На сколько безопасен WordPress(без плагинов)?

Question

[littleguga]

Очень прошу без холиваров, давайте аргументировано.

На фоне подобных новостей у меня с коллегами возник вопрос - на сколько безопасен чистый WP.

Если сравнивать с modx/самописом над laravel/yii2. Joomla и Drupal вроде подырявее будет или я ошибаюсь?

Очень благодарен за аргументированный ответ.

Answer 1

[Сергей]

Все что сделал человек может сломать другой человек.
Самописы безопасны не больше, но их не взламывают массово, только если нужно конкретно взломать его

Answer 2

[Alex]

На счет Drupal ошибаетесь.
По поводу новостей о "26 000 САЙ..." нужно учитывать что WordPress сейчас самая популярная CMS (по количеству) и на ней просто дофига сайтов созданных школьниками/домохазяйками/гавнокодерами у которых пароли уровня 123456 и "халявные" темы с бекдорами.
Да сам вордпрес не идеален, но сейчас обновления безопасности ставятся автоматически. Можно легко нагуглить методы обезопасить систему, поставить нормальные пароли. Я думаю таких средств будет достаточно чтобы не попадать в число этих 26 000.
А если захотят взломать, то найдут дыру в любой системе.
Регулярно бекапим и спим спокойно :)

Comments

[littleguga]

Не знал, что обновления безопасности ставятся автоматически. Спасибо.

Answer 3

[Sanes]

Такой же, как и все остальные. Вспомните про неуловимого Джо, может полегчает.

Comments

[littleguga]

И как тогда быть? Идти по пути, как захотят ловить - будем фиксить?

[Sanes]

littleguga: Что фиксить? Все известные дыры закрываются обновлениями.

[littleguga]

Sanes: я к тому, как поступать в такой ситуации: расслабиться и следовать принципу неуловимого Джо, а потом напрягаться, когда будут обнаружены следы взлома?

Помимо регулярных обновлений, есть какие-нибудь средства защиты/профилактики?

[Sanes]

littleguga: Можно еще с паранойей бороться.

Answer 4

[Руслан Макаров]

Взломать можно все....
Даже если в вордпресе дыр куча, никто не будет трогать ваш задрыпанный блогик...
А большие проекты его не используют...

Comments

[Сёмка Гавриленко]

"А большие проекты его не используют... "
Это спорное утверждение

[Руслан Макаров]

Сёмка: тогда примеры в студию :)

[Сёмка Гавриленко]

onliner.by
ifehacker.ru
и продолжать можно ещё очень долго, дальше можно искать в интернете

[littleguga]

Руслан Макаров: ulmart

[littleguga]

Руслан Макаров: вот куча примеров

[Руслан Макаров]

littleguga: все эти примеры - новостники. там нечего воровать... нет информации о картах и подобного.... Зачем нужно его ломать? домен то все равно будет принадлежать владельцу...

+ например первый пример (onliner.by) - если там осталось что то от вордпресса - то только одно название.
Он перелопачен весь не одним программистом + наверно когда сайт начал подниматься, они пожалели что он на вп...

[littleguga]

Руслан Макаров: взлом актуален не только для похищения банковских кард. Похищение почт/паролей(пусть в шифрованном виде), атаки такого же рода, как и в вопросе(смотрите ссылку), распространение зловредов.

[Александр]

Вы говорите о ручном взломе. Но это делают с интересующими сайтами.
Кроме того (и это огромная нижняя часть айсберга) абсолютно все сайты взламываются в режиме ботов.
Просто методом перебора паролей и уязвимостей. Абсолютно все, с разных IP адресов подбирают пароли.

Зачем? Даже не для поиска кредиток, а для рассылки спама. Для использования взломанного как инструмента для взлома более защищеннных и т.д. Хакер спит, а взлом идет в автоматическом режиме.

Какой-то студент на shared хостинге во впервые установленном WordPress не сменил логин admin, да еще и пароль выбрал Oleg2001
Через неделю-две его взломали и через него сотни сайтов рассылают спам, наполнены ссылками, троянами и т.д. Да еще и круглосуточно ломают других, автоматически посылая запросы раз в час-два по сотням тысяч еще невзломанных сайтов.

Еще при запрете логина admin пробуют логин как название домена в 2-х вариантах:
Я создаю вебсайты, использую для этого https://8alfa.com/
Логин admin я запретил для входа. взламывают с 2 вариантами логина: 8lfa.com и 8alfa

Береженного Бог бережет. Мой логин месячной давности был 8-AlfoviyBurbukis
Сейчас другой, конечно.

Разве такой автоматический процесс может сравниться с десятком самых талантливых хакеров? Те собирают вишенки с торта. А эти - тупо перебирают в масштабах всего мира. По статистике больше 56% трафика - боты!

Мой вебсайт создан всего как пару месяцев. Я его до сих пор довожу до ума, он даже в гугле индексировался всего 2 раза. Кому он нужен, казалось бы?

Вот мой лог за кусочек сегодняшнего дня (повторы и разные IP вырезал, время настоящее):

2020/04/17 19:15:26
2020/04/17 19:23:31
2020/04/17 13:56:39 [error] 11827#11827: *20431035 access forbidden by rule, client: 107.180.99.203, server: 8alfa.com, request: "POST /xmlrpc.php HTTP/1.1", host: "www.8alfa.com"

Answer 5

[alexxandr]

как дыра

Comments

[nirvimel]

Like that:

[alexxandr]

в точку)

Answer 6

[Zakaz_zakaz]

Вполне безопасен

Answer 7

[Александр]

Все зависит от целей. Как я понимаю конечная цель: создать вебсайт, который будет полезен владельцу.

Сколько готов за это заплатить потенциальный владелец? Если он готов раскошелиться: пишите на чем угодно, что может обеспечить необходимый уровень безопасности. Если он намерен заплатить по минимуму - делайте на WordPress. И сразу позаботьтесь о том, чтобы настроить все пункты, требуемые для обеспечения спокойствия.
Подавляющее большинство сайтов на WordPress взламывают в автоматическом режиме из-за логина admin и слабого пароля, методом перебора. Попадаются, в основном, новички и те, кто установил ворованные шаблоны тем.

Описанное в приведенной Вами новости касается только сайтов, где не сделано одно из самого основного:
не закрыт протокол XML-RPC. Это можно сделать без плагинов, в .htaccess

Я считаю, что есть 4 основных вещи, которые обязательно нужно сделать сразу после установки: сменить логин admin, установить надежный безопасный пароль, закрыть протокол XML-RPC. Еще сменить slug, указывающий через страницу автора на его логин.

Полный список мер безопасности для вебсайта на wordPress больше:
https://8alfa.com/bezopasnost-sajta-wordpress-zash...

Это уже по мере появления времени. И этот список еще можно расширить. В плане безопасности паранойя не помешает :-)