# Как вредоносный код попадает на сайты WordPress
CMS WordPress — это бесплатная платформа для управления контентом. Именно её тысячи пользователей выбирают для создания своих сайтов, в том числе корпоративных веб-страниц, интернет-магазинов. Систему с открытым исходным кодом облюбовали разработчики, которые создают самостоятельно расширения и темы. Но всё не так безоблачно — именно в них часто обнаруживаются уязвимости, позволяющие взламывать сайты.
# Уязвимости CMS WordPress
В первую очередь под прицелом злоумышленников оказываются движки старых версий. Их могут взламывать для того, чтобы захватить контроль над целевыми системами. При этом используются разные методы подбора паролей, например, брутфорс-атаки.
После взлома множества сайтов хакеры объединяют их в ботнет-сеть и совершают DDoS-на целевой сервер. Вредоносное ПО умеет обходить защиту CAPTCHA, подделывать безобидные запросы браузеров, что позволяет им не попасться в капкан для ботов. Поэтому стандартная система защиты WordPress оказывается недостаточно сильной в борьбе с ним.
Недавний пример — ботнет GoTrim, с помощью которого с декабря 2022 года взломщики распространяют вредоносные программы.
Чтобы защитить свои сайты, всегда обновляйте CMS до последней версии и пользуйтесь двухфакторной аутентификацией.
# Уязвимости плагинов WordPress
Важно также своевременно обновлять плагины и постоянно проверять, не было ли несанкционированного изменения файлов, настроек. Например, даже свежий плагин Ultimate Member, обновлённый разработчиками 29 июня 2023 года, остаётся уязвимым. Владельцы сайтов WordPress добавляют его для создания профилей, сообществ.
Злоумышленники используют уязвимость плагина в логике блокировки. Они создают новые учётные записи, с помощью которых перехватывают управление сайтами. После этого на них добавляются вредоносные плагины.
Здесь остаётся только дождаться, пока разработчики Ultimate Member обновят этот плагин, ликвидируя уязвимость. Если вы тоже им пользуетесь, проверьте все учётные записи пользователей, нет ли среди них неизвестных вам записей.
Владельцам интернет-магазинов также следует соблюдать осторожность при работе с плагинами. Например, все версии WooCommerce Stripe Gateway ниже 7.4.1 (которая обновлена 30 мая 2023 года), тоже имеет уязвимость. Это небезопасная прямая ссылка на объект. С её помощью взломщики могут получить данные покупателей — его ФИО, e-mail, адрес доставки. Далее злоумышленники могут перехватывать доступ к учётным записям.
# Уязвимости тем WordPress
Устаревшие темы тоже имеют уязвимости. Их нужно обновлять не только чтобы пользоваться новыми функциями, но и чтобы обеспечить безопасную работу своего сайта. Новые версии тем можно устанавливать автоматически либо вручную.
Старайтесь не скачивать ПО из ненадёжных источников. Обходите стороной взломанные версии тем, в них может быть зашит вредоносный код. Он сработает даже в том случае, если у вас в остальном система защита сайта продумана до мелочей.
Например, уязвимость темы может заключаться в возможности скачать любой файл с сервера. Так злоумышленник может получить конфигурационный файл и добавить в него вредоносный код.
Своевременно обновляйте темы, удаляя те, которые разработчики забросили или те, которыми вы не пользуетесь.