Для любых сайтов, которые работают на самой популярной в мире системе управления контентом – WordPress. Это могут быть корпоративные сайты, блоги, персональные сайты, каталоги, рекламные сайты. Я подробно знаком с данной CMS, хорошо разбираюсь в ее возможностях, имею опыт разработки на ее основе, а также постоянно слежу за обновлениями и новинками, связанными с ней.

Их много, и вероятно, самые популярные у злоумышленников – brute-force, XSS, вредоносные перенаправления, SQL-инъекции, эксплуатация небезопасных настроек сервера и/или сайта.

Наиболее распространенные уязвимости в области безопасности веб-сайтов

SQL-инъекция – это вид уязвимости в безопасности веб-приложений, при которой злоумышленник пытается использовать исходный код приложения для доступа или повреждения содержимого базы данных. В случае успеха это позволяет злоумышленнику создавать, читать, обновлять, изменять или удалять данные, хранящиеся во внутренней базе данных. SQL-инъекция является одним из наиболее распространенных типов уязвимостей безопасности веб-приложений.

Межсайтовый скриптинг (XSS) ориентирован на пользователей приложения путем “встраивания” вредоносного кода, обычно клиентского скрипта, такого как JavaScript, в вывод веб-приложения. Концепция XSS заключается в манипулировании клиентскими скриптами веб-приложения для выполнения в запрограммированном злоумышленником порядке. XSS позволяет взломщику выполнять в браузере жертвы скрипты, которые могут перехватывать пользовательские сессии, искажать данные веб-сайтов или перенаправлять пользователя на вредоносные сайты.

Подделка межсайтовых запросов (Cross-Site Request Forgery – CSRF) – это вредоносная атака, при которой пользователя обманом заманивают для выполнение действия, которое он не собирался выполнять. Сторонний веб-сайт посылает запрос на веб-приложение, в котором пользователь уже прошел процедуру аутентификации (например, его банк). После этого злоумышленник может получить доступ к функциональности через уже аутентифицированный браузер жертвы. Цели включают в себя веб-сайты, такие как социальные сети, почтовые сервисы, интернет-банкинг, другие популярные веб-сервисы, в которых хранятся большие объемы конфиденциальных данных.

Неправильная конфигурация системы безопасности. Ошибки в настройке безопасности включают в себя несколько типов уязвимостей, все из которых сосредоточены на отсутствии обслуживания или недостаточном внимании к конфигурации веб-приложений. Безопасная конфигурация должна быть определена и развернута для приложения, фреймворка, сервера приложений, веб-сервера, сервера баз данных и платформы сайта. Неправильная настройка безопасности дает хакерам доступ к частным данным или функциям и может привести к полной компрометации системы.

Brute force (атака грубой силы или атака автоматического перебора учетных данных). Атака типа Brute force может проявляться по-разному, но в первую очередь заключается в том, что злоумышленник настраивает предопределенные значения, делает запросы к серверу, используя эти значения, а затем анализирует ответы. Для большей эффективности атакующий может использовать атаку по словарю (с мутациями или без) или традиционную атаку полным перебором (с заданными классами символов, например: буквенно-цифровой, специальный, чувствительный к регистру). Рассматривая данный метод, количество попыток, эффективность системы, которая проводит атаку, и оценочную эффективность системы, которая подвергается атаке, злоумышленник способен приблизительно рассчитать, сколько времени понадобится, чтобы перепробовать все выбранные заранее заданные значения.

Я могу быть уверен только в провайдере, у которого арендую серверы, в данном случае, это немецкая компания Hetzner. Я постоянно слежу за работой всех системных служб и поддерживаю в актуальном состоянии все ПО на серверах. Вся инфраструктура выстроена вокруг оборудования арендованного в Hetzner.