Когда взломают ваш блог? или Немного статистики о взломах WordPress

62 комментария

взломали блог WordPressОтвечая на вопрос, заданный мною в заголовке, скажу: очень надеюсь, что ваш блог не взломают никогда. Впрочем, все в ваших руках. Здравствуйте, господа и дамы!

Никогда не задумывались, почему WordPress является такой популярной целью для хакеров, недохакеров, кулхацкеров и прочей нечисти? Только ли из-за своей распространенности и популярности? А может быть, все дело в том, что разработчики настолько недалекие люди, что оставляют в движке кучу дыр: заходи-располагайся-бери-что-хочешь? Думаю, нет. Причина, как обычно, находится по эту сторону монитора — в нас самих, друзья!

Часто думали, что особых мер по укреплению обороноспособности вашего блога вам не требуется? «Кому я нужен вместе со своим скромным бложиком», — это не из вашего ли лексикона фраза? Это самая первая и главная наша с вами ошибка!

Не буду долго измышлять и рассуждать, а предлагаю обратиться к неумолимой статистике. Вы знали, что только в 2012 году более 117000 инсталляций WordPress были взломаны хакерами? Как и почему? Обратимся к цифрам.

В период с 12 по 15 сентября 2013 года, то есть спустя день после выхода обновления WordPress до версии 3.6.1, в которой пофиксили несколько критических уязвимостей движка, было проведено массовое исследование ресурсов, работающих на WP. На предмет их устойчивости ко взломам, конечно же. Исследование было проведено Sandro Gauci, генеральным директором и основателем одной из авторитетнейших компаний в мире в сфере IT-безопасности — EnableSecurity.

Версии WordPress: статистика, поражающая воображение

Для исследования были взяты 42106 сайтов и блогов, работающих на WordPress, которые были выбраны из первого миллиона сайтов рейтинга Alexa.com. Для начала была определена версия WordPress, на которой эти сайты работают:

  • всего было определено 74 (!) различные версии WordPress;
  • 11 из них в природе не существует (например, был найден сайт, работающий на WordPress 6.6.6 — и мне даже страшно представить, кто его владелец 🙂 );
  • 18 сайтов имеют недопустимые номера для существующих версий WordPress (например, WP 3.18);
  • 769 веб-сайтов (1,82%) все еще работают на WP 2.0;
  • только 7814 сайтов (18,55%) обновлены до версии 3.6.1;
  • при этом 1785 сайтов обновились до WP 3.6.1 в период с 12 по 15 сентября, то есть основная масса сайтов обновилась в день релиза;
  • 13034 сайта (30,95%) по-прежнему работают на WP 3.6.

Все остальные сайты работают под управлением более старых, и как следствие, более уязвимых версий движка.

Топ-10 самых популярных версий WordPress

Итак, владельцы всего 18,5% всех сайтов, работающих под управлением WordPress, могут спать спокойно — в их движках пока не обнаружено уязвимостей. Авторы же исследования предлагают нам таблицу, в которой собрали статистику по 10 самым популярным версиям WP:

Версия WordPress Число установок
Количество известных
уязвимостей
3.6 13,034 5
3.6.1 (последняя) 7,814 0
3.5.1 6,859 8
3.5.2 4,031 0
3.4.2 2,204 12
3.5 1,655 10
3.3.1 820 24
3.2.1 820 10
3.3.2 732 14
3.4 295 15
Итого (без версии 3.6.1) 30,823

То есть, друзья, по крайней мере 30823 сайта из 42106 сайтов имеют «на борту» уязвимости, а простыми словами — лазейку для взломщиков.

Надо сказать, что выборка здесь достаточно репрезентативная — исследованы более 42 тысяч взломали блог wordpressсайтов. А это означает, что 73,2% всех сайтов, работающих на WordPress, могут быть взломаны в любой момент. И учитывая, что в это число входят достаточно популярные ресурсы, даже странно, что это с ними не произошло до сих пор.

Вы думаете, что взломать сайт очень сложно? Нет, если знать, куда бить, то это дело нескольких минут.

Вы представляете себе, как хакер под покровом ночи, сгорбившись над клавиатурой, неистово стучит по клавишам, вручную взламывая ваши ключи и пароли? Нет, он запускает специальную программу-сканер, и спокойно идет пить кофе. Программа все сделает сама.

Резюме

Можно сколь угодно много заботиться о безопасности своего блога, устанавливать и часами настраивать самые мощные и надежные плагины-защитники. Можно регулярно сканировать блог на вирусы при помощи Sucuri Security, например. Но до тех пор, пока WordPress не обновлен до самой последней версии, вы в любой момент рискуете увидеть на главной странице своего блога вот такую милую картинку:

Доброй ночи и крепкого сна, друзья! А я пойду обновляться — уговорила сама себя все-таки 🙂 !

Была с вами всегда ваша пушистая Web-Кошка!

62 коммент.
  1. У нас многие учителя учат не обновлять движок WordPress. Типа, сделаете обновление, а шаблон как-то не так будет работать. Такой подход я очень часто встречал в различных видеокурсах. После установки и настройки сайта сразу советуют отключить обновление WordPress. О безопасности сайта, такие учителя даже не заикаются.

    • Видимо, это абсурдное учение распространено не только у нас, но и за рубежом. Ничем другим эту статистику не объяснишь. Обычно советуют отключать оповещение об обновлениях, чтобы якобы блог не тормозили, я тоже часто встречала такие заявления. Вот поэтому и доверия ко всем этим платным курсам все меньше и меньше…

      • Я постоянно встречаю статьи, где «знатоки» советуют установить специальный плагин, который и сделает недоступной информацию по обновлению движка, тем и плагинов…Но я честно говоря вообще все делаю по-своему, поэтому и обновилась уже до 3.6.1., а шаблон у меня вообще в месяц по три раза обновляется…

        • Юль, все чаще кажется, что все эти статьи просто тупо переписываются друг у друга, даже не вникая, что и почему написано и верно ли это… Сама изначально такой плагин ставила, когда только-только начинала разбираться, но быстро поняла, что глупость сделала. С тех пор все тоже делаю только по-своему, так оно надежнее)

          • «… все чаще кажется, что все эти статьи просто тупо переписываются друг у друга…»- !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

          • Такие плагины, кстати, реально нужны. НО! На тех блогах, где кроме админа в админке есть еще и другие юзеры. Вот и вся магия. А «гуру» где-то с инглиша перевели с гугл-транслейт, и впаривают эти «знания» за деньги.

            Хотя, есть вероятность еще того, что когда обновления «светятся», они где-то отображаются. А злоумышленники эту инфу могут получить. Поэтому такие плагины нужны. Но я этому объективного обоснования дать не могу, в виду отсутствия компетенции и знаний 😉

            p.s. у меня запрет на уведомления об обновлениях стоит =) но обновляюсь я регулярно

          • А как узнаешь об обновлениях? Ладно, движок. Но плагины, например, как обновляешь?

          • Несколько вариантов:
            1) и главный — есть другие блоги, на которых стоят те же плагины, но уведомления об обновлениях не режутся
            2) новостные бюллетени (рассылка), если есть, на важнейшие плагины
            3) периодически отключаю блок на уведомления, и смотрю.

            «Все гениальное просто» 🙂

      • Так вот ты о какой статистике говорила недавно =) Занимательно, хотя и предсказуемо.

        Наши «ВП-гуру», все такие «гуру». Обновляться нужно ВСЕГДА? Обновления же не для красоты существуют, а в первую очередь для устранения багов и уязвимостей, а уже потом — дополнительный функционал и «красота». Единственное, что я поддерживаю, обновляться сходу не стоит, лучше выждать несколько дней. Вдруг какие лаги будут, несовместимости и т.д. Но движок — это сердце. Его обязательно нужно обновлять.

        Настройки, внесенные в темы (шаблон) от этого ведь не слетят.

        «Ничем другим эту статистику не объяснишь».

        Не, Ларис, объяснить наоборот очень легко. Просто существует безумное количество «мертвых» сайтов, авторы которых пишут в них раз в месяц/два/три. Так, для поддержания. А все остальное делает реклама. И таких сайтов реально великое множество во всем мире. Вот и стата такая.

        • Возможно, ты и прав. Я об этом и не подумала… Но даже занимаясь блогом раз в месяц и тратя деньги на рекламу, нужно же отдавать себе отчет, что не обновляясь, можно потерять и блог, и вложенные в него деньги.

          • А ты представь, сколько блогов из этого млн вообще не обновляются, или обновляются раз в три месяца (я про контент)? Даже в рунете масса блогов, которые просто «висят» с 2010 года и приносят трафик и $, а по контенту не обновляются совсем. Их реально масса. Что уж говорить о мировом 1 000 000 объеме Алексы (кстати, на днях заметил, что мы с тобой планку в 100 к перешагнули =), а ты вообще скоро и 50к перешагнешь! Поздравляю ;)).

            Все те «древние» версии, что в статистике, это определенно полнейшая «мертвечина». Ну а те, что более свежие версии, тут уж индивидуально. Кто забил, кто забыл, кто-то по «медицинским» показаниям не обновляется =)

  2. Александр Викторович

    Когда начал вести свой блог, о безопасности как то не задумывался, просто не понимал ее важности, действительно подумывал кому нужен мой простейший блог. Понимание пришло позже. Сейчас и защита стоит и сканер и версию стараюсь обновлять сразу. Тему тоже обновляю, но не постоянно. Теперь буду стараться не пропускать и обновление темы. Общение помогает узнавать новое. Большое спасибо за информацию.

  3. Александр Викторович

    Да я вчера действительно не смог зайти на ваш сайт, попадал на главную и больше не куда. А позавчера вечером на моем блоге прервалась связь с сервером (наверное проблема у хостера?) , утром все было нормально.

    • Да, Александр Викторович, вчера у меня были проблемы… Но не с хостером, а мои внутренние — что-то где-то внутри сбоит, не могу понять пока почему.

    • А сейчас Ваш блог работает, все в порядке. Скорее всего, действительно, что-то у хостера было.

    • Александр, если честно, у вас с сайтом (который с часами) — беда полная. АВ ругается, почти все ссылки индексируются, дизайн под часовой магазин не подходит. Нужно вам что-то кардинально менять.

      p.s. Хотя я только сейчас понял (побродил поглубже по сайту) — у вас это сайт-партнер, «витрина» просто? Тогда, в принципе, сносно. Скажите, если не секрет, как лично у вас выгода от этого? Можете в «личку» (через обратную связь у меня). Очень интересна эта тематика, давно заглядываюсь.

  4. Елена Олейникова

    Ну понятно же, почему 11 версий Вордпресса в природе не существует. Ведь часто можно встретить в статьях по безопасности совет удалить или изменить версию движка, чтобы хакерам было над чем голову поломать. Отсюда и WordPress 6.6.6 🙂
    Правда, при таких манипуляциях какой-то плагин не хочет устанавливаться, говорит, что такой версии не существует.

    • Елена, рада видеть) Поздравляю с новым блогом, сейчас пойду изучать. Хорошо, что Вы не пропали)

      • Елена Олейникова

        Кошечка, ну как я могу пропасть? Такие только гнутся, но не прогибаются и не ломаются 🙂
        Просто лето было в этом году замечательное, грех по 12 часов за компом торчать. Но без дела не сидела, так что заходите в гости, надеюсь, у нового блога судьба будет более счастливая 🙂

  5. Лариса, привет)
    Даже не верится, что не сразу обновляла ВП.
    А что смущало? Там ведь все довольно безболезненно проходит и в случае чего можно сделать откат на резервную копию.

    • Привет, Дима) Три попытки обновления — три отката… Возможно потому, что пытаюсь в автоматическом режиме перепрыгнуть через сразу 2-3 версии, с 3.3 на 3.5/3.6. Теперь буду вручную обновлять, и думаю, что постепенно, от версии к версии…

      • Дмитрий

        Хм. Я один из своих ГС как раз обновлял на 3 версии вперед.
        Проблем совсем не было….
        Но перед этим я отключал кеширование и все плагины.

        • У меня есть тестовый блог — полная копия этого. Вплоть до того. что БД на нем регулярно обновляю. Так вот он обновился сразу на 3.5.1 с первого раза и без проблем. Даже плагины не отключала. А с кошкиным блогом прям беда… Обновляется, но потом потихоньку все начинает подглючивать: визуальный редактор, медиазагрузчик, потом плагины… Колдовство, не иначе.

  6. Я тоже на версии 3.5.1. Нажимаю проверить обновления, пишет самая свежая версия. Если я скачаю версию 3.6.1 как мне обновить вручную? Я тоже с полгода как отключил обновления всего — плагинов движка и тем.

    • Ну так у тебя же плагин установлен, я видела. Отключи его и проверь еще раз. И не верь никому, 3.6.1 — последняя версия, точно тебе говорю 😀

    • Но если понадобится вручную, то потерпи немного — я у себя вручную обновлюсь, потом расскажу.

      • Буду ждать пока расскажешь. Этот плагин я удалил еще сегодня утром, а когда ты его видела он был деактивирован :), я в каком-то хитром файле какие-то строки удалял, чтобы не обновлялось ничего.
        Подожду пока все страсти устаканятся и обновлюсь вручную. У меня уязвимостей всего на 8 штук больше, чем у 3.6.1 — прокатит ))

        • Не, ну если всего на восемь, тогда и переживать нечего))) Шучу я.

  7. Спасибо за предупреждения. Предупреждён, значит вооружён. До сих пор обновлял версии с 3.4.2 до 3.5.1 автоматически. А тут при попытке автоматического версии ru.RU обновления вышло окно на английском с предложением скачать (download) версию 3.6.1 и с фразой на русском, что 3.6.1 готова только на английском и если её установить, то можно приобрести неприятности. Решил пока не обновлять. И есть вопрос. Если у меня в header.php, footer.php и прочих файлах сделаны вставки кода, то сохранятся ли они в новой версии? Или надо будет их вставлять снова?

    • Сергей, нет, Ваши вставки затронуты не будут — ведь это вставки в шаблон, а обновление коснется только ядра самого WordPress. А вот шаблон обновлять нужно аккуратно, все слетит.

  8. Привет, Ларис! Наверное тоже надо обновиться.Ты кстати, по ручному обновлению движка лучше не просто расскажи, а напиши пост с инструкцией по роименению. Думаю, статья будет востребована.

    • Да, Саша, я это и имела в виду — конечно, напишу. Кстати, привет)

      • Да, да. Саша прав, очень полезно будет знать многим, и познавательно. Я вот, если честно, никогда вручную не обновлялся. Так что, обязательно возьму на вооружение. Мало ли.

  9. Привет, Лариса! Сильная статья! Я правда сразу обновляюсь, но все-таки, а еще я знаю пару сайтов которые взломали.

    • Привет, Артем! Давно не заходил) Да, тоже знаю взломанные сайты, один — даже знакомого блогера. У него и картинку последнюю взяла.

      • Да не, я постоянно к тебе захожу, просто молчком-молчком)))

        • Точно, Лариса, я помню ты рассказывала про блог, который взломали (та надпись, что на картинке). Название блога не помню. Как блог, не оклемался? Как автор, не появлялся? Может он реально просто решил блоговедение забросить и такую фичу придумал? =)

          • Что-то способ забросить блогинг какой-то экстремальный))) Можно и проще все сделать…

          • Зато ушел с шиком! 🙂 Все заметили.

          • Нет его нигде. На письма не отвечает, в соцсетях не появляется… Судя по его настрою, в блогинг он приходил «всерьез и надолго». Обсуждается версия о похищении инопланетянами)

          • Так в этом-то и вся суть. Приходил вроде «всерьез и надолго», а тут забросил. Уж проще исчезновение сделать эффектным.

            Но это всего лишь одна из версий. Лишь бы с ним ничего не случилось. Но в совпадения я не верю: чтобы чел пропал, и одновременно хакнули обычный блог =) Если бы он пропал (тьфу, тьфу), то максимум что было бы, это истек срок делегирования домена, или еще скорее, срок оплаты домена. Но не такая надпись, да еще со смайлом =)

            Так что, все с автором в порядке. Мой оперативный опыт мне об этом прям кричит =)))

          • У тебя есть оперативный опыт?

          • Тсс.. Нет, это не правда.

  10. Что за блог? Заинтереовали вы меня

  11. Сайт так и не восстановился, а жаль. Неплохой был сайт…

  12. Ну в общем, принимаю поздравления) Процесс ручного обновления прошел штатно, обычных для него глюков не замечено, на все-про все минут десять. Так что взамен на поздравления с меня статья об этом)))

  13. На днях мой блог 2-ой раз уже за пол года подвергся нападению. На этот раз был троянский вирус malware. Блог 2 дня находился в блокировке:((. Плюс ко всему в корне папке были еще следующие файлы: FinePills.html, BestEDmed.htm, veggie.html. От куда они там взялись я понять не могу)). Вообщем с небольшой помощью тех. службы моего хостинга, я успешно справился с этой угрозой и мой блог вновь заработал.
    P.S. — Возможно это как то связанно вступлением в сообщество троллей на блоге «В гостях у Блогейши». В результате чего я подвергся нападению эльфов:)

    • Александр, а почему вы так думаете? Вы там разругались с кем то? Вот поэтому надо заводить полезные привычки. Обновления и бекапы.
      Обновлялась я всегда, даже когда была новичком и гуру не слушала. Я просто не понимаю как можно не обновляться, если тебе предлагают улучшенную и более безопасную версию.
      А что этого делать не надо я читала даже у некоторых достаточно серьёзных блоггеров. Вот и получается, что слепые ведут слепых.
      Очень мне нравится ваш блог Web кошка. Успехов вам и ему!

      • Спасибо, Татьяна) Очередное подтверждение мысли, что думать нужно всегда сначала своей головой, а только потом… опять своей головой)))

    • Саш, а чего ты защитой не озаботишься? Пару защитных плагинов, проверка блога на вирусы… А то так и будут ломать все время, а ты — файлы левые удалять.
      Кстати, срочно меняй все пароли: от ftp, от ПУ хостера, проверяйся на вирус обязательно.

      • Уже поменял все пароли, да и плагины 3 штуки поставил: BulletProof Security, Sucuri SiteCheck, Login LockDown, думаю этого пока хватит)
        А бэкапы я уже давно делаю в обязательном порядке. Так что у меня уже все схвачено-)
        Про обновления и речи быть не может, все всегда обновляю во время.

        • Ну тогда будем надеяться, что такая ерунда в последний раз с тобой приключилась) Зато опыт приобрел)

          • К черту такой опыт))) будем надеяться что это в последний раз))

  14. Прям все по полочкам. Статистика показывает, что не надо сразу обновлятся, в новой версии могут быть дырки. Лучше подождать пару месяцев, последить за ситуацией.

    • Так-то оно так… Но дырки-то находят чаще хакеры-взломщики, чем разрабы) Так что пока уязвимость станет достоянием общественности, кто-то успеет хорошо ею попользоваться.

  15. Евгений

    Статья конечно очень хорошая,особенно для новичков.Но есть * НО * всё- таки не надо забывать о грамотной защиты сайта или блога на движке wordpress.Можете ознакомиться у меня.

  16. Занятная статья , всё выше сказанное — верно.
    Небольшое дополнение:
    Многие не хотят обновляться умышленно, дабы не создать внутреннего конфликта… Большинство из популярных плагинов так широко предлагаемых сейчас в инете — заброшены разработчиками, не знаю как Вы, а я довольно часто наблюдаю такую картину — новый пост, описание к супер-пупер нужному плагину, бери и устанавливай… Только вот умалчивается например, что данный плагин не обновляется пару лет и к последним версиям WP, не приспособлен. Помимо wordpress, плагины также нуждаются в устранении уязвимостей.
    P.S.
    Для усиления защиты wordpress необходимо установить — файервол для блога + плагин от брутфорс атак +…

    • Андрей, спасибо за важное дополнение! Абсолютно согласна, есть такая проблема. Правда, в WordPress разработчики подошли к вопросу совместимости с умом, не так, как в Joomla, например. Но конфликты бывают.
      Опять-таки, если старый плагин конфликтует с новой версией движка, то не обновляясь, мы оставляем у себя целых две зияющие дыры: и в движке, и в плагине. А аналог плагина, обновляющийся разработчиками, всегда можно найти! В конце концов, если контроль над блогом в результате взлома будет утерян, то уже никакие плагины не понадобятся, поэтому безопасность все-таки на первом месте должна быть!
      А про усиление — тут тоже в точку! И файервол, и защитник, и сканер на вирусы — ничего лишним не будет. Но опять-таки, без обновленного движка это все равно что ставить бронированную дверь в квартиру, где в окнах даже стекол нет)

  17. Web-Кошка, никто никогда не знает откуда черти полезут ☻☻☻поэтому я с вами полностью согласен.
    Но дверь всё таки лучше поставить, даже если оконные рамы отсутствуют, а то «бомжи» заведутся. ☺

  18. Вчера обновил ВП, и сразу слетел CKEditor. Или, может, совпадение…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *