CMS-движок (Content Management System, система управления контентом) WordPress на рынке уже 15 лет. Сегодня на нем работают около 30 % от 10 миллионов лучших веб-сайтов Сети. Именно по причине своей популярности WordPress не раз становился мишенью для киберпреступников, также его часто критикуют за отсутствие должного уровня безопасности. Однако так ли он уязвим для атак, как это принято считать? Разберемся.
- Введение
- Немного истории
- Развитие безопасности WordPress и его экосистемы
- Плагины и сервисы безопасности
- Безопасен ли WordPress на самом деле
- Выводы
Введение
Прежде всего, возникает закономерный вопрос — если этот движок настолько небезопасен, почему же его используют такие громкие имена, как The New York Times, Time.com, Microsoft и The Walt Disney. Каждая из этих компаний с мировым именем использует WordPress для своих сайтов или разделов.
Немного истории
WordPress представляет собой бесплатную и простую в использовании платформу для блогов, которая в настоящее время трансформировалась в полномасштабную CMS. Наличие целой экосистемы плагинов, тем оформления и сервисов позволяет любому желающему обзавестись своим веб-сайтом.
По сути, совершенно необязательно обладать богатым опытом сайтостроения для работы с WordPress, что можно назвать преимуществом в сравнении с конкурирующими решениями. Однако здесь есть и минусы — пользователи без всякого опыта создают совершенно дырявые сайты.
Помимо этого, неопытные разработчики создают уязвимые плагины и темы для WordPress. А что в итоге? Простая статистика — большинство случаев взлома сайтов на WordPress, о которых мы все читали в новостях, произошли не по причине уязвимости самого движка.
Наибольший процент успешных атак стали успешными лишь потому, что у пользователей были слабые учетные данные и устаревшее уязвимое программное обеспечение. Хотя их не раз предупреждали о том, что вышли обновления, которые необходимо установить.
Конечно, это не значит, что ядро WordPress неприступно и идеально с точки зрения безопасности. Исследователи также обнаруживали уязвимости в основном коде движка. Однако важно отметить, что команда разработчиков крайне оперативно устраняла эти бреши, выпуская соответствующие патчи.
До тех пор, пока уязвимости устраняются оперативно, беспокоиться особо не о чем, так как каждое программное обеспечение содержит ряд уязвимых мест. Вспомните дни, когда Microsoft IIS приходилось обновлять несколько раз в неделю.
Еще один немаловажный момент — разработчики WordPress развиваются, они постоянно пытаются по максимуму защитить своих пользователей от кибератак и вторжений. Сообщество долгое время училось на собственных ошибках, и теперь, за последние несколько лет, разработка движка значительно усовершенствовалась.
Развитие безопасности WordPress и его экосистемы
За последнее время WordPress и его экосистема сильно изменились:
- Главная команда разработчиков движка WordPress активно сотрудничает с профессионалами в области кибербезопасности. Этот подход позволяет убедиться в том, что код защищен, а выявленные уязвимости быстро устраняются.
- Появились новые полезные функции безопасности. Среди них автоматические рекомендации использования устойчивых паролей и советы не использовать учетную запись администратора по умолчанию. Все это помогает пользователям работать с более защищенным веб-ресурсом.
- Добровольцы из WordPress Foundation проверяют темы и плагины, загруженные в официальные репозитории.
- Плагины, которые не обновлялись в течение нескольких месяцев после выхода патча, помечаются. А в некоторых случаях даже отключаются, что позволяет дать пользователю понять, что он использует уязвимые компоненты.
- В сообществе WordPress стали гораздо активнее обсуждать вопросы безопасности.
Плагины и сервисы безопасности
Первоначальная идея о том, что все, что касается WordPress должно распространяться бесплатно, изменилась. Теперь владельцы сайтов зачастую понимают, что им не обойтись без профессиональных сервисов и программного обеспечения, следовательно, в свой проект надо вкладывать деньги.
Все это привело к созданию коммерческих плагинов и сервисов, которые, в свою очередь, помогли создать более защищенную экосистему, а также повысить в сообществе осведомленность о безопасности.
Еще несколько лет назад просить деньги за плагин было просто немыслимо. А сегодня мы имеем тысячи плагинов премиум-класса, за доступ к которым придется раскошелиться. Естественно, в бесплатных плагинах нет ничего плохого, но есть явные проблемы с поддержкой из-за ограниченности ресурсов.
С другой стороны, коммерческие проекты позволяют разработчикам инвестировать в исследования безопасности и саму разработку продукта. Таким образом, создаются более надежные и безопасные продукты и сервисы, которые в конечном итоге предлагают пользователям лучший опыт.
Безопасен ли WordPress на самом деле
Основной вопрос звучит довольно просто — стоит ли вам использовать WordPress для своего бизнес-проекта? Ответ — да, беспокоиться об особой «дырявости» этого движка не стоит, это всего лишь миф. Со времен таких серьезных атак, как Timthumb и RevSlider прошло много времени, и теперь эта CMS гораздо серьезнее защищена.
Если у вас есть опыт работы с веб-сайтами, проблем с управлением движком WordPress не должно возникнуть. Если такого опыта нет, настоятельно рекомендуем вам заняться изучением этого вопроса, также можно привлечь профессионалов.
Есть ряд основных правил, при соблюдении которых безопасности вашего сайта на WordPress практически ничего не будет грозить:
- Используйте устойчивые к взлому учетные данные. По возможности активируйте двухфакторную аутентификацию.
- Обновляйте все свое программное обеспечение, включая веб-сервер, операционную систему, на которой он работает, и компьютер, который вы используете для управления вашим сайтом.
- Перед установкой плагина убедитесь, что у него хорошая репутация и разработчик его грамотно поддерживает.
- Устанавливайте только необходимые плагины. Удалите все деактивированные плагины, темы и другой софт и файлы, которые не используются на сайте.
Выводы
Несмотря на то, что это лишь поверхностный взгляд на проблему, его достаточно, чтобы убедиться в том, что зачастую движку WordPress совершенно несправедливо приписывают проблемы безопасности. На самом деле, это очень гибкая система, которую можно настроить исключительно под себя, просто для этого потребуется немного лучше с ней ознакомиться.