Plugin Vulnerabilities для поиска уязвимостей в плагинах WordPress

Привет! Сейчас поговорим о плагине Plugin Vulnerabilities, который может обнаружить уязвимости в установленных плагинах WordPress. В последнее время хакеры очень интенсивно ведут атаки на сайты WordPress. Причем взламывают, как правило, через дыры популярных плагинов. Последние уязвимости в плагинах WP Super Cache и WordPress SEO by Yoast тому подтверждение.

В принципе, тут ничего удивительного нет! Ведь система WordPress является самой популярной CMS в мире. Поэтому ее часто и ломают, чтобы потом взять под контроль наибольшее количество сайтов. Ломать могут разными способами. Даже с помощью плагинов. Один только WordPress SEO by Yoast насчитывает более 14 млн. скачиваний. Поэтому хакеры очень часто ищут слабые стороны этого расширения.

Как осуществить поиск уязвимостей в плагинах WordPress

Даже сейчас, читая этот пост, возможно, в ваших плагинах уже есть какие-то серьезные уязвимости. Однако, как же их обнаружить? Даже если сам автор плагина знает об опасности, то он не сразу может ее устранить. В итоге, мы в свою очередь будем сидеть в ниведении. Вот чтобы такого недоразумения не было, был создан специальный плагин Plugin Vulnerabilities.

Он уведомляет нас обо всех обнаруженных опасностях в установленных плагинах. Теперь при обнаружении уязвимости, мы можем не дожидаться очередного обновления, а сразу перейти на более безопасную версию или вовсе удалить плагин. Согласитесь, так уже надежнее!

Итак, устанавливаем и активируем плагин защиты Plugin Vulnerabilities. После этого сразу галопом бежим в меню «Плагины» —> «Установленные«и просматриваем весь список установленных плагинов WordPress. Если красных надписей нет, то значит пронесло! А если вы увидели что-то похожее, как на рисунке ниже, то тогда дела плохи.

Уязвимость в плагине GD Star Rating

Это сигнал о том, что в установленном плагине обнаружена серьезная уязвимость в защите. Обратите внимание, что плагин пишет, какая именно дыра была обнаружена. Что теперь делать дальше? Тут есть два способа. Первый самый простой — деактивировать, а лучше вообще, удалить сам плагин. Однако такой способ не всегда подойдет. К примеру, я на своем блоге не могу просто так взять и удалить WordPress SEO by Yoast. В таком случае нужно сделать откат на более старую и надежную версию плагина.

Однако, прежде чем это сделать, вам нужно узнать, на какую именно версию лучше перейти. Чтобы не пришлось гадать на картах или звать гадалку, переходим в меню «Плагины» —> «Plugin Vulnerabilities«.

Плагин защиты Plugin Vulnerabilities для WordPress

В самом верху вы увидите установленные плагины (1) с уязвимыми версиями. Тут отображаются названия расширений, опасные версии и сам вид уязвимости со ссылкой на более подробное описание проблемы. От нас потребуется только узнать, какие версии устанавливать не стоит. Из рисунка видно, что плагин GD Star Rating нужно ставить ниже версии 0.9.0.

Нужную версию плагина можно скачать с официального сайта WordPress, (wordpress.org). Ищите страницу нужного вам плагина, переходите на вкладку «Developers» (3) и оттуда скачивайте нужную версию. Затем удаляете уязвимую версию плагина и вместо нее устанавливаете безопасную. Потом, когда разработчик устранит проблему и выпустит новое обновление, тогда сможете перейти на свежую версию.

Developers plugins for WordPress

Теперь давайте продолжим знакомиться с опциями плагина Plugin Vulnerabilities. Если у вас не было обнаружено никаких уязвимых плагинов, то в позиции (1) ничего не будет. Чуть ниже идут уязвимые версии ваших установленных плагинов (2).

Как найти уязвимости плагинов WordPress

Эта функция пригодится, когда понадобиться перейти на старую версию плагина. Например, мне не нравится работа последней версии какого-то расширения. Появляются различные ошибки и тому подобное. Чтобы сделать откат на более старую и стабильную версию, мне нужно просто посмотреть на данные в позиции (2). Так я уже буду знать, на какую версию плагина мне переходить точно не стоит. Правда, удобно!

Идем дальше! Если ваш сайт был взломан, то по ссылке (4) вы можете обратиться к специалистам, которые помогут вам справиться с проблемами безопасности WordPress.

Надежная защита плагинов WordPress

И в завершение рассмотрим последнюю опцию Send Email Alerts For Vulnerabilities in Installed Versions of Plugins (5). Обязательно включите ее (ставим на Enabled). В дальнейшем при обнаружении уязвимых версий, вам на почту будут высылаться специальные уведомления.

Обратите внимание, что в опциях плагина нам предлагают установить расширение для автоматического обновления плагинов. Обязательно установите его! Это очень важно при защите сайта. После активации не забудьте поставить Plugin Vulnerabilities на автообновление. Так плагин будет автоматом обновлять базу вредоносных версий плагинов и сможет вовремя вас об этом известить.

По плагину защиты теперь все! Рекомендую вам установить Plugin Vulnerabilities и постоянно следить за всеми уязвимыми версиями установленных расширений. Так вы повысите защиту WordPress и сможете вовремя сбежать с уязвимой версии плагина.

Напоследок хочу дать пару рекомендаций. Во-первых, при выборе расширения, обращайте внимание на количество разработчиков. Как говорится: «Одна голова хорошо, а две лучше!» Во-вторых, не гонитесь за навороченными темами. Как правило, они не сразу обновляются. А при обнаружении опасности, вам будет уже труднее ее устранить. Придется либо полностью вырезать функцию, либо менять саму тему. В общем, изучайте и внедряйте!

Zavitushka-dlya-sayta

 
rss-1Следить за новыми статьями на этом блоге!

 Нажимая на кнопку, вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.

Комментарии 22

  • Сереж привет! Ни фигассе какой крутой плагин! А он должен быть всегда включен да? Сегодня уже поздно и голова не варит, но завтра приду, буду пошагово все делать. А еще вот что хотела спросить. Стыдно признаться, но я ни разу не делала резервное копирование… Сереж ну не офигивай ))) Не понимаю просто я еще много. Но скажи я могу установить еще себе плагин WP DB Backup? Хочу, чтобы мне автоматом на почту приходило все. Он не будет конфликтовать с плагином защиты, с секьюрити?
    О, еще вот что вспомнила, я в админку попадаю со второго раза всегда. Вввожу логин и пароль, нажимаю на проверку, появляется зеленая галочка и фиг вам. ) Приходится вновь вводит и только тогда меня впускают.

    • Привет, Лариса!

      я ни разу не делала резервное копирование…

      Лара, ты меня зарезала без ножа!! *shock*
      Почему не хочешь бэкапы скачивать с самого хостинга? Там в принципе ничего сложного нет. В сети есть подробные инструкции. *rtfm* Тем более если что-то сломается, тьфу-тьфу-тьфу, тебе все равно придется восстанавливать через хостинг.

      Бэкапы я тебе рекомендую вручную делать. То есть вручную скачивать файлы и базу с самого хостинга на компьютер. Также завести аккаунт на Dropbox и туда тоже закачивать бэкап. Так просто надежнее. Вдруг жесткий диск на компе накроется медным тазом или какой-то вирус проникнет. А так будет доп копия. Я лично всегда после публикации нового поста, вручную делаю полный бэкап.

      Плагинам я не сильно доверяю. У них могут встречаться глюки. Поэтому как правило плагины я бы порекомендовал использовать только тогда, когда публикация постов идет очень часто. Тогда будет не так страшно если одна какая-то копия сайта сделается некорректно.

      По поводу WP DB Backup, то он полный бэкап не делает. Делает только копию базы. А тебе еще и копия файлов нужна. Поэтому этот плагин даже не ставь. Это во-первых. А во-вторых, копию базы можно сделать в самом плагине секьюрити. Там можно задать автоматическое резервное копирование базы данных.

      Ну а если все же хочешь делать копии плагином, то попробуй UpdraftPlus. Он тебе может сразу на облачное хранилище все автоматом закачать. Копии можно делать не только базы, но и файлов. К тому же с его помощью можно восстановить сайт из резервной копии. Хотя я не уверен, что это будет работать абсолютно во всех случаях. Просто бывает так, что восстанавливать придется только на самом хостинге. Сам плагин на русском и позволяет делать запланированную копию.

      По поводу плагина Plugin Vulnerabilities (о чем я в этой статье писал), то он должен быть всегда включенным. На счет админки, точно не могу сказать, почему вход идет со второго раза. Лариса, а там высвечивается какое-то предупреждение или еще что-то. Если нет, то скорее всего интернет слабенький. У меня так пару раз тоже было.

  • Лара, ты меня зарезала без ножа!!

    Так и знала и не хотела признаваться, просто не куда деваться уже. :-)

    Почему не хочешь бэкапы скачивать с самого хостинга?

    Я ни не хочу. Просто не умею и ничего там не понимаю. Сколько раз пыталась и бросала.

    Я лично всегда после публикации нового поста, вручную делаю полный бэкап.

    А если я каждый день собираюсь постить, это надо каждый день скачивать? Что же делать? У меня тогда интернет трафик накроется медным тазом. Или можно хотя бы с хостинга сразу на Dropbox? Я публикую 3-4 раза в неделю на каждый сайт.

    Сереж, ну я совсем расстроилась. WP DB Backup я делала по уроку Александры Вовк. Просто она в статье не упоминала, что он делает не полное копирование.

    С секьюрити я ваще боюсь связываться, поэтому попробую тот, который ты мне назвал.

    По поводу админки… нет, никакого предупреждения нет. Просто ввожу по два раза, а интернет, не знаю, вроде все быстро работает, ну не столько конечно хорошо, все ж я на модеме.

  • Нашла хороший урок по UpdraftPlus. Завтра все буду делать. :-)
    Сереж, торжественно клянусь, что буду делать полные бэкапы ежедневно *blush*
    (я понимаю, что это не шутки и все серьезно более, чем)

    Кстати, у меня еще есть один вопрос. Задам завтра, так как надо на хостинг лезть, так не смогу объяснить. Суть в том, что мне надо (хотя думаю надо ли действительно, а то ты мне воон как), вообщем у меня вдруг стало оч много отказов 100%. Я изменила код метрики. чтобы видеть ай пи. Как я поняла их нужно внести в запрет в файл (забыла название). Я файл этот открыла, и внесла список в самый конец, а теперь думаю правильно ли я все сделала. Завтра точно приду за уточнением.

    • Конечно, Лара, если ты часто публикуешь посты да еще на два блога, тогда попробуй UpdraftPlus. Только не забудь аккаунт завести на Dropbox, чтобы плагин туда автоматом все закидывал. Также можно закидывать и на Google Drive. :-)

      • Сереж, у меня уже язык на плечо упал *wacko*
        Скажи на этот дропбокс я могу только с одного сайта делать резервные копии или как то можно там разделить. Просто я с одного сделала, там папка появилась с приложением в которой файлы сайта. Потом я на другом сайте стала делать и мои файлы отправились в эту же папку и теперь по факту получается, что с первого сайта уже нет копий. *wacko* Или надо три аккаунта? (господи, ну куда я лезу, мама дарагая *shock* )

        • А там у тебя ведь старая первая копия не удалилась же! В этой папке две копии же, так? Тогда все нормально. Зачем тебе еще один аккаунт на Dropbox. Будешь кидать все в один аккаунт. Только я не знаю, если в самом плагине есть возможность указать конкретную папку для бэкапа, то в хранилище для каждого сайта сделай отдельную папку. Ну, что не мешать все бэкапы в одну кучу. И потом с каждого сайта автоматом кидай копии в разные папки. В принципе и все! :-)

          • *wacko* У меня так. Стала делать первый сайт и после запроса на дроп там создалась папка «приложение» в ней папка «бэкап». В нее все с первого сайта попало. Стала делать на втором, после запроса на дроп у меня ушло автоматом опять же по этому пути. И там я теперь не могу понять где какие файлы от какого сайта. Вот скрин images.vfl.ru/ii/1429269354/1100421f/8460429.png

            в хранилище для каждого сайта сделай отдельную папку

            в смысле вручную переносить копированием? Все равно не получится, я же не знаю точно, когда они будут делаться. В плагине нет точного указания папки. Я то сначала так и сделала создала три папки, сайтов три.

            • Тогда ясно. Если в плагине точно нельзя указать путь, то тогда раскидывай на разные аккаунты. Только потом проверь все файлы. Все ли закачалось. По скриншоту я вижу, что плагин почему-то создает копии не одним архивом, а делит их на несколько частей. Для базы копия есть. А вот файлы я вижу не все. Ты Лариса у себя на всякий случай перепроверь, все ли файлы плагин закачивает. Все копии для каждого сайта у тебя различаются номерами. Видно, что для одного идут первые пять, для второго все остальное.

              • плагин почему-то создает копии не одним архивом, а делит их на несколько частей

                я помню там в настройках было графа разделять архив через каждые 500мб

                UpdraftPlus будет разбивать на части архивы резервных копий когда размер файла превысит данное значение. Значение по умолчанию 500 Мб. Будьте внимательны и указывайте значение с запасом, на случай если ваш сервер имеет жесткие ограничения на допустимый размер файлов (напр. 2 Гб / 2048 Мб для некоторый 32-х битных серверов).

                Я не знаю что тут надо сделать и оставила значение 500.

                Вот что входит в копирование images.vfl.ru/ii/1429271572/57d28035/8461560.png

                Ой, мне кажется удалю я все нахрен, тебя дергаю, а сама туплю.

                • Лариса, а у тебя что, копия превышает 500 Мб. Нехило ты так улажилась. У меня со всех блогов общая копия чуть больше 100 Мб составляет. Тебе скорее всего нужно сжать все старые фотографии. Как правило они очень много места могут занимать. Также смотреть, есть ли дубли изображений. Те дубли, что на блоге не используются, лучше удалить. В общем, если ты раньше не сжимала фотографии, то обязательно сделай это. Иначе места даже на хостинге не хватит.

                  Не понял последние предложения про системные файлы ядра WordPress. В общем, ты сама посмотри, есть ли системные файлы у тебя в копии или нет. Посмотри обязательно архив othres. Возможно, они там лежат. Обычно это файлы: robots.txt, wp-config, .htcaccess и тому подобное. То есть это корневая директория, где лежит роботс, фавикон или подтверждающие файлы от вебмастера гугла и яндекса.
                  В общем, эти файлы в резервной копии обязательно должны присутствовать. Если их нет, то попробуй полазить по настройкам плагина. На всякий случай задай вопрос тому, у кого написана инструкция по плагину. Если же никак нельзя это исправить, то удаляй этот плагин к чертовой бабушке. Хотя я думаю, плагин должен делать все копии системных файлов иначе это полная фигня получается.

        • А можешь еще и по другому попробовать сделать. Если ты часто делаешь копии своих блогов и при этом копии у тебя не маленькие, то попробуй сделать так:
          для одного блога копии храни в Дропбоксе, а для другого на Google Drive.
          в общем, тебе тут самой нужно смотреть, как тебе будет удобно. Если тебе не будет хватать дискового пространства, то можешь делать по этой методике. Так ты место сэкономишь. Если же тебе хватает, то можешь все хранить на одном аккаунте. Только потом не забывай иногда скачивать копии и на компьютер, чтобы у тебя была копия там и там.

        • Лара, здравствуйте.

          на этот дропбокс я могу только с одного сайта делать резервные копии или как то можно там разделить

          Вот насчёт этого могу просветить, поскольку имею всего один аккаунт на DropBox и туда автоматически без моего участия сохраняются копии сразу с нескольких блогов. Это работу за меня делает плагин BackWPup, в настройках которого, я указываю конкретную папку на на DropBox для каждого блога. При этом, установив DropBox на компьютер, я получаю синхронизацию с облаком и на компьютере. Очень удобно!
          Более того, ежедневно делаются копии только контента, комментов и т.д. и раз в неделю полные копии

  • Лариса, а у тебя что, копия превышает 500 Мб. Нехило ты так улажилась. У меня со всех блогов общая копия чуть больше 100 Мб составляет. Тебе скорее всего нужно сжать все старые фотографии. Как правило они очень много места могут занимать. Также смотреть, есть ли дубли изображений. Те дубли, что на блоге не используются, лучше удалить. В общем, если ты раньше не сжимала фотографии, то обязательно сделай это. Иначе места даже на хостинге не хватит.

    Ну все, я в последнем шоке на сегодня. ) Копии я делала с новых сайтов, на которых по 25 рецептов всего! А что тогда будет с моим основным? *wacko*
    У меня каждая фотка не выше 50 Кб, это тоже много? Я просто уже не знаю как еще сжимать, так как тогда вообще само изображение нарушится и поплывет.

    • Может из-за дублированных фотографий у тебя такой большой размер. Ладно, буду молчать. :-) А то ты так к концу дня совсем расстроишься. *mosking*

  • Сергей, отличная статья и нужная тема особенно тем у кого стоит много плагинов, да и не только. Всё таки за всем не уследить, особенно за уязвимостью. Хакеры не спят=)

  • Сереж, ты где-то объяснял кажется, как отключить автоматическое обновление. Дай ссылку. Вордпресс стал обновляться чуть ли не через день сам. Сегодня обновился опять до 4.0.3. а на подходе уже новая. *wacko*

    • Лариса, не занимайся ерундой! По сути от этих обновлений у тебя нет каких-то серьезных проблем. Зачем тебе их запрещать? А два последних обновления WordPress очень важные. В них были устранены некоторые серьезные проблемы безопасности системы. Поэтому хорошо, что часто выходят новые версии. Значит разработчики вовремя устраняют большие пробелы.
      Ну а если не передумаешь запрещать, то тебе хорошо подойдет плагин Update Control. Там в нем можно запретить обновление CMS, плагинов и тем. В итоге тебе не придется бояться лезть в код. :-)

      • А у тебя тоже автоматом обновляется? Я просто походила по сайтам, везде пугают, что когда-нибудь так обновится, что потом замучаешься восстанавливать, поэтому я бегом к тебе )))) Мне очень важны твои мнения и я к ним прислушиваюсь. *blush* Кароч, тада и париться не буду.
        Сережааа, а ты не можешь кратко сказать, как ты избавлялся от дублей в гугле? (реплитоком, фиды, атачменты, пишу по-русски, неохота переключать клаву). Я нашла кучу уроков и у Борисова, и у Максима и у других известных нам блогеров, только везде все пишут разное и я не могу определить, что будет правильным. У одних должно быть с каким то кодом, у других достаточно открыть их в роботсе, а потом опять же что-то сделать. А каким способом у тебя? Можешь сказать, а я тогда уже буду искать более полную информацию. Хочу сегодня сделать это.

        • потом замучаешься восстанавливать

          А чтобы не мучится, нужно не забывать почаще делать резервные копии. *yes* Даже с хостинга можно восстановить блог за пару кликов.

          Тоже частенько слышал, что мол обновил этот Г**ноPress и все слетело к чертовой бабушке. Однако как правило, основные проблемы могут возникать только при обновлении на основную версию. А она всегда вручную делается. С подверсиями таких проблем нет. Единственное, их не стоит использовать, когда вносятся какие-то изменения в системные файлы движка. Но и тут опять же, вносить изменения в системные файлы не рекомендуется. Да и редко кто так делает. Поэтому тут нет смысла отключать автообновления WordPress. У меня так автоматом обновляется. Я ничего не запрещал. Не понимаю, почему вокруг такая шумиха. Ведь достаточно просто вовремя делать бэкапы, не лезть в системные файлы и если используется дефолтная тема WordPress, то сделать дочернюю тему.

          Против дублей я использую WordPress SEO by Yoast. Он реплитокомы убирает, создает канонические урлы и закрывает ненужные страницы от индексации и в карте сайта. Фиды и атачменты закрываю редиректом в файле .htaccess. Пример можешь взять у Борисова. В принципе и все! А, ну и с роботса убрал все лишнее. У меня можешь посмотреть в виде примера. А так больше ничего не делал.

  • Сергей, спасибо за описание интересного плагина. И вообще, плагины необходимо устанавливать только с репозитория WordPress — там они проходят всяческую проверку.
    Хотя, они сами пишут, что:

    Включение плагинов и тем в репозиторий WordPress.org не является гарантией их безопасности.
    Но с учетом того, что подобные темы и плагины хоть как-то проверяются и модерируются командой WordPress.org, доверие к ним гораздо выше, чем к плагинам и темам со сторонних ресурсов.

    Вообще, там, на wpmag.ru очень много полезной информации. Даже есть список наиболее уязвимых плагинов, находящихся в репозитории…

    • Ага, спасибо, Александр! Знаю такой сайт. Даже подписан на него.
      Плагины я тоже всегда беру только с репозитория. К ним больше доверия. Да и к тому же бесплатно. А другие плагины коммерческих фирм платные. Да и к тому же нужно каждый год платить за поддержку (обновления) плагина. Конечно, можно и не платить, но только это не безопасно будет потом использовать старую версию плагина. Поэтому я беру только с репозитория. :-)
      Еще больше обращаю на количество разработчиков на один плагин. Чем больше, тем лучше. Как говориться: «Одна голова хорошо, а две еще лучше!» :-)

А что вы думаете по этому поводу?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку «Отправить», вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.