Жесткий мониторинг уязвимых версий плагинов и тем на сайте WordPress

Сейчас я покажу, как должна проходить проверка плагинов и тем на уязвимости WordPress сайта. А точнее мы будем каждый день проверять все небезопасные версии продуктов. Проверять будем с помощью расширения Vulnerability Alerts.

Зачем вообще, это нужно делать? Дело в том, что неважно, откуда вы взяли тот или иной плагин и тему. Вернее, на самом деле это важно. Однако даже скачанные плагины с официального хранилища, могут иметь версии, содержащие в себе различные уязвимости. То есть такие версии использовать на своем сайте не безопасно. От этого подрывается защита WordPress.

Поэтому даже если вы скачали какое-то расширение или тему с официального источника, то это еще не значит, что вы в безопасности. Вот именно для таких случаев я рекомендую подключить к своему сайту автоматическое сканирование версий плагинов, тем и самого ВорПресс на предмет опасных угроз в плане защиты сайта. Это нужно обязательно сделать!

Хочу сказать, что существует специальная база уязвимостей версий плагинов, тем и самого ВордПресса. Эта база пополняется каждый день различными специалистами. Таким образом с ее помощью можно обнаружить скрытые угрозы на своем сайте.

Но к сожалению, в основном это касается только бесплатных продуктов с официального репозитория WordPress. К каким-то платным продуктам сторонних фирм или вообще, не пойми с какого сайта, база уязвимостей вам тут не поможет. Поэтому будем проверять только то, что находится в официальном хранилище.

Vulnerability Alerts

Стоит сказать, что вручную каждый раз сверять уязвимости WordPress и его компонентов нет смысла. Нам нужен плагин, который будет автоматически каждый день проверять версии и связываться с общей базой уязвимости. При обнаружении неприятных моментов он должен нам на почту высылать уведомления с указанием причины.

И поможет нам в этом расширение Vulnerability Alerts. Он и будет оповещать нас про различные уязвимости сайтов. После установки и активации плагина переходим в меню «Инструменты» —> «Vulnerability Alerts».

Там вам будут показаны проблемные версии, которые найдутся. Для начала, рекомендую все проверить. Сперва нажимаем на кнопку на «Check Now». Плагин начнет сверяться с базой и делать проверку сайта на уязвимости версии плагинов, тем и самой CMS.

Проверка плагинов и тем на уязвимости wordpress

По окончанию проверки ниже вы можете посмотреть отчет. Если нет красных значков, то значит все нормально. Но если обнаружится уязвимость какой-то версии, то Vulnerability Alerts выдаст вам нечто похожее, как на фото ниже.

Отчет плагина vulnerability alerts на сайте wordpress

Тут видны, какой продукт и в каких версиях есть определенные проблемы с безопасностью WordPress сайта. Как видите, даже в самых популярных расширениях находят изъяны. Вот именно поэтому я рекомендую каждый день автоматом мониторить уязвимые версии.

Плагин каждый день будет это делать и при обнаружении угрозы защиты сайта, он вышлет вам на email уведомление. Только в конце отчета в опции плагина укажите свой email, на который все эти оповещения будут приходить.

Как я говорил ранее, вы не сможете проверить версии продуктов, которые были взяты не с официального хранилища ВордПресса. Напротив таких продуктов плагин будет писать о недоступности данных.

Нет отчета по уязвимым версиям плагинов и тем WordPress

Поэтому я рекомендую стараться брать в основном все с официального хранилища WordPress. Там и модераторы есть, которые каждый день проверяют плагины и темы. Также существует своя база уязвимостей, которая пополняется каждый день.

Так что ставьте на сайт себе такой оповеститель о незащищенных версиях. Их есть много. Я пробовал использовать несколько. В том числе и Plugin Vulnerabilities. Однако самым нормальным оказался Vulnerability Alerts. Он хорошо проверяет, автоматически запускает проверку и всегда работает без проблем.

Теперь вы знаете, как идет проверка плагинов и тем на уязвимости WordPress сайта. Такой метод еще больше усилит защиту сайта и предотвратит попадание очень неприятных моментов на вашу голову. В общем, изучайте и внедряйте!

А вы проверяете уязвимые версии установленных продуктов?

Закрываем другие уязвимости WordPress

  • Theme Authenticity Checker поможет вам при сканировании тем вордперсс на наличие подозрительного кода и внешних ссылок. Настоятельно рекомендую тем, кто берет темы с каких-то неофициальных источников.
  • Automatic Plugin Updates задает автоматическое обновление для определенных плагинов. Рекомендую установить его и все расширения защиты сайта поставить на автообновление. Это нужно для усиления безопасности проекта.

Zavitushka-dlya-sayta

 
rss-1Следить за новыми статьями на этом блоге!

 Нажимая на кнопку, вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.

Комментарии 7

  • Сергей, день добрый! У одного моего клиента как раз стоит NextGEN Gallery. Ну, проверю, увижу предупреждения. А дальше что делать? Уязвимости же нужно убирать.

    • Здравствуйте, Надежда! Извините, что поздно отвечаю — занят был сильно.
      Если нашлась уязвимая версия плагина, то его нужно обновить на более последнюю версию. Как правило, в новых версиях они устраняют предыдущие уязвимости.

      Бывает, что и в самой последней версии нашлась уязвимость, а новая версия пока еще не вышла. В таком случае нужно смотреть на какие версии можно откатиться. Там в отчете видно с какой и по какой есть уязвимости. Поэтому нужно выбрать более безопасную версию и потом на нее откатиться.

      Для быстрого и удобного отката версий тем и плагинов используйте расширение WP Rollback. Им будет очень удобно откатиться на нужную версию.
      А проверять версии нужно обязательно! Многие сидят с не обновленными плагинами и темами, и при этом не подозревают о уязвимостях в защите сайта.

  • Вот как раз упомянутый в прошлом комментарии владелец блога полностью пренебрегает возможностью обновиться. Причем, не обновлялся даже движок. Видимо, это и стало причиной нашего знакомства: сайт был взломан, и меня попросили порекомендовать специалиста для лечения. Не факт, что старые версии cms и плагинов создали уязвимости. Скорее, вредоносный код вставил сам владелец, потому что в блоге куча тизерок, причем, не самых безобидных тематик. На вопрос, почему не делаются обновления, ответ был: «Боюсь».

    Конечно, сложно приходится тем, кто далек отвебмастеринга и поисковой оптимизации, вести свои проекты. Как это, посещаемость была 10к, а стала 1,5. Ищут виновных. А причина чаще всего в качестве самого сайта и его безопасности. Сотрудник Яндекса на днях в своем докладе назвал уже 1500 факторов ранжирования (здесь я тоже отстала — на глазок прикидывала где-то около тысячи). Поэтому нужно пользоваться абсолютно любой возможностью для повышения авторитета веб-площадки.

    P.S Сережа, а Вы в курсе, что письма об ответах на комментарии приходят по незашифрованному соединению?

    • Да, Надежда. Об этом знаю. Нужно будет как-то устранить этот недочет. А то все откладываю на потом.
      Наверное, что-то на хостинге не то. Потому что раньше с этим не было проблем. На сайтах с других хостингов у меня так нормально. А этот блог на Спринтхосте находится. Попробую в тех поддержку им написать.
      Возможно придется дополнительно платить за услуги почты. На других хостингах она уже входит в стоимость. А здесь на Спинтхосте я ее не приобретал. Возможно и тут проблема тоже. Буду потом разбираться.

      А обновляться нужно. Ну, ничего. Жизнь их заставит, так в любом случае, им придется обновится. Может еще и полный бэкап они не делают. Спросите у владельцев на всякий случай.

  • Надеюсь, попаду на хостинг. Во время чистки бэкап наверняка делался. Там парень — специалист грамотный. Пока хозяйке не до того. После обновления вордпресс пропала форма подписки в сайдбаре. Вот была паника! Оказалось, галочка в общих настройках сделала свое «доброе» дело — исправился код. )) Теперь она свою рекламу не видит, после чистки компьютера adwcleaner’om. Обновила хром — реклама появилась. Беда! Приоритеты у людей, привыкших зарабатывать на рекламе, расставлены по местам, и сдвинуть их нереально. Выговорилась. :)

    Да, у хостеров поинтересуйтесь, конечно. Не дело, чтобы почта не была защищена, пусть даже относительно.

  • Здравствуйте, у вас очень красивый шаблон WP, у меня такой же))) Могли бы написать статью о том, конкретно у вас какие плагины стоят, например форма обратной связи не стандартная, выделенный "листиком"текст в статье… 

    И еще вопрос, у вас очень легко делается публикация из кнопки "поделиться Фейсбук", у меня Фейсбук блокирует как подозрительную ссылку, не допускает к размещению. Вы что-то для этого специально настраивали? Спасибо.

    • Здравствуйте! На счет статьи на блоге про плагины и тому подобное — вряд ли это будет. Мне как-то не хочется светить все установленные расширения по соображению безопасности. Да и на сам блог я уже забил.)) Пока некогда им заниматься.

      На счет, вашей проблемы с Фэйсбуком, ссылки на своем проекте попробуйте скрывать различными скриптами, а не через обычный ноиндекс и нофолов. Плюс ко всему все свои ссылки нужно видоизменять. Например, предоставлять их, как ссылки со своего (или другого вашего) домена, но с редиректом на партнерскую страницу. 

      Просто я не рекомендую открыто давать партнерские ссылки в таком виде, в каком они изначально присутствуют. Могут быть проблемы вроде вашей. Или еще хуже, когда в браузере начнет ругаться антивирус на вредоносные ссылки на сайте. Поэтому все линки нужно хорошенько скрывать.

А что вы думаете по этому поводу?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку «Отправить», вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.