Насколько легко взломать сайт на Wordpress?

Насколько легко взломать сайт на WP, если используются более-менее проверенные плагины?
Сильно ли влияет HTTPS на защиту?

UPD: что посоветуете почитать по безопасности WP, да и вообще сайтов?
  • Вопрос задан
  • 13093 просмотра
Решения вопроса 3
Jump
@Jump
Системный администратор со стажем.
По разному.
Сам по себе wordpress достаточно стабильный устойчивый продукт, и как всегда в таких продуктах уязвимости быстро отслеживаются и ликвидируются.
Поэтому он в этом плане ничуть не хуже и не лучше других крупных платформ.
С одной стороны - код сложный, а чем сложнее код тем больше вероятности ошибок и уязвимостей.
Но все уязвимости оперативно устраняются.
Теоретически взломать можно все, но практически - все простые и опасные уязвимости уже закрыты или будут моментально закрыты после обнаружения. Поэтому бояться не стоит.
Глупых ошибок свойственным движкам написанным новичками там нет. Поэтому взломать его очень сложно.
С плагинами ситуация хуже. Один дырявый плагин - и вся безопасность коту под хвост.

Но самая большая проблема - wordpress позиционируется как простой и легкий в освоении продукт для конечного пользователя. Не нужно быть профессионалом чтобы сделать сайт на вордпресс.
В итоге большинство сайтов на этом движке делают непрофессионалы, люди не понимающие как и что там работает, и не имеющие представления о безопасности или небезопасности тех или иных вещей. Что можно делать, а что нельзя.
По этой причине множество сайтов на wordpress являются очень дырявыми.

Https это протокол передачи данных - его задача обеспечить безопасность данных передаваемых между сайтом и пользователем.
К безопасности самого сайта он вообще не имеет никакого отношения.
Ответ написан
Inlore
@Inlore
Про сам вордпресс и его код и плагины вам ответили, а по https поясню:
Https нужен для того, что соединение между клиентским устройством (комьютер, телефон и т.п.) и веб-сервером было зашифровано, а значит будут зашифрованы и передаваемые данные.
Что это даёт?
Если вы логинитесь в админку сайта по обычному http, то на пути от вашего устройства до веб-сервера сетевые пакеты можно перехватить и прочитать переданные вами данные (логин, пароль) в открытом виде в виде текста. Если будет использован https, то сетевые пакеты так же перехватываются, но прочитать их содержимое можно только если расшифровать его закрытым ключом, который хранится на веб сервере. Сами сообщения зашифровываются на стороне клиента открытым ключом, который веб-сервер передаёт любому, установившему соединение.
При передаче данных обратно, от сервера к клиенту, используется сгенерированная на клиенте пара открытый-закрытый ключ. Тут уже веб-сервер шифрует сообщения открытым ключам клиента, а клиент расшифровывает их своим закрытым.
Т.е. ключи для расшифровки сообщений текущей сессии знают только клиент и сервер.

И, да, не слушайте Site Developer, где он в комментариях говорит по поводу того, что клиент не знает, что к нему прилетает, потому что как раз клиентское устройство знает, что к нему прилетает.
Ответ написан
secsite
@secsite
Безопасные и быстрые сайты
Насколько легко взломать сайт на WP, если используются более-менее проверенные плагины?

Если плохая прокладка между клавиатурой и креслом, то легко.
А так даже у гуглов, фейсбуков и прочих твиттеров базы юзеров уводят. И у Пентагона говорят тоже документацию сливают. :)

Сильно ли влияет HTTPS на защиту?

Вообще не влияет. https не для сайтов, а для юзеров. И то не для всех и не всегда полезно. (от него больше вреда на самом деле)
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
OtshelnikFm
@OtshelnikFm Куратор тега WordPress
Обо мне расскажет yawncato.com
Еще вариант вероятного взлома - нулленые темы и плагины. Ну например когда вы решили сэкономить и взяли из варезников или складчин премиум плагин или шаблон (а значит так вам и надо - хотели всех обмануть и вот как вышло...). Так есть большая вероятность что вскоре вас сломают. Не скупитесь - покупайте нужные вам премиум плагины у их авторов. Авторы дорожат репутацией и не будут бекдоры встраивать. Да и вам спокойней с тех поддержкой и обновлениями.
Уж очень часто на форумах поддержки стали подниматься вопросы что нашли хостеры вирь и заблочили акк. А оказывается там где не должно быть, понапиханы файлы типа proxy.php
А если по вордпрессу - обновляйтесь на актуальную версию вовремя и все будет хорошо.
Ответ написан
Комментировать
@fatalick
Известные уязвимости wordpress:
www.cvedetails.com/product/4096/Wordpress-Wordpres...
Ответ написан
Комментировать
@mirzok
Information Security
Выше всё верно пояснили про Wordpress, его плагины и темы. Могу ещё добавить, что при недостаточных ресурсах на хостинге или нежелании покупать на полноценное использование плагины по безопасности можно проверить сайт снаружи, т.н. black box, чем-то специфическим, специально для WP. Навскидку, это:
- https://wprecon.com
- https://metascan.ru
- https://hackertarget.com/wordpress-security-scan/
Ответ написан
Комментировать
Посоветую вам статью о фрэймворке Zoom и о том, как проверить свой движок WordPress на уязвимости...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы