Забезпечте надійний захист CMS WordPress.
Ми налаштуємо ефективний багаторівневий та багатошаровий захист WordPress від взлому і хакерських атак, проведемо чистку від вірусів і спаму, оптимізуємо CMS на максимальну безпеку.
БЕЗПЕКА ВЕБ-САЙТІВ
БЕЗПЕКА WORDPRESS
БЕЗПЕКА СЕРВЕРІВ
ПЕНТЕСТ
ЛІКУВАННЯ САЙТІВ
Конфіденційність, цілісність, доступність
Комплексні рішення безпеки WordPress
Досконалі рішення для улюбленої CMS
СКАНУВАННЯ WORDPRESS
Сканування на вразливості і дірки безпеки WordPress спеціалізованими програмними засобами: WPScan, Acunetix Vulnerability Scanner, BurpSuite Scanner, Qualys Web Application Scanner та ін.
ОНОВЛЕННЯ WORDPRESS
Оновлення WordPress, всіх плагінів і додатків до останньої версії. Видалення та заміна застарілих, неактивних плагінів. Налаштування безпечного оновлення по SFTP/SSH.
РЕЗЕРВНЕ КОПІЮВАННЯ
Створення бекапів вмісту і дампів бази даних. Налаштування автоматичного резервного копіювання за плануванням через WebDAV або Cloud Disc.
ЧИСТКА WORDPRESS
Чистка WordPress від вірусів, руткітів, бекдорів, троянів, шкідливого коду. Знешкодження popup-банерів, JS-скриптів, токсичних посилань. Видалення із блеклістів.
ІНТЕГРАЦІЯ FIREWALL
Встановлення і налаштування кращих плагінів безпеки для WordPress: Wordfence, All-in-One-Security, Sucuri, Astra Security, iThemes або інших.
ІНТЕГРАЦІЯ CAPTCHA
Безпека форм, елементів та веб-об’єктів WordPress інтелектуальною системою захисту CAPTCHA (Google reCAPTCHA).
ІНТЕГРАЦІЯ 2FA
Інтеграція системи двофакторної авторизації (2FA), контроль доступу в адмін-частину WordPress з допомогою додатку Google Authentification.
ТЕХНІЧНА ОПТИМІЗАЦІЯ
Комплексна технічна оптимізація, тюнинг і правильна конфігурація WordPress на максимальну швидкодію, працездатність, безпеку. Аналіз логів і виправлення існуючих багів, помилок.
SSL + HTTPS
Встановлення SSL-сертифікату і налаштування безпечного HTTPS-з’єднання.
ЗАХИСТ ВІД ІН’ЄКЦІЙ І ПЕРЕБОРІВ
Захист WordPress від різного типу ін’єкцій: SQL, PHP, XSS, XML. Фільтрація вхідних запитів. Блокування брутфорс-перебору, фаззінга, енумерації.
ЗАХИСТ ВІД СПАМУ І БОТІВ
Захист WordPress від веб-спаму, фішингу, ботів, токсичних User-Agent, блокування шкідливих IP-адрес. Фільтрація трафіку і коментарів, валідація відвідувачів.
ЗАХИСТ ВІД ШЕЛЛІВ
Захист WordPress від LFI/RFI/RCE атак, несанкціонованого завантаження OS Shell, виконання експлойтів.
АУДИТ OWASP TOP 10
Аудит безпеки WordPress по списку кіберзагроз OWASP Top 10.
ПЕНТЕСТ WORDPRESS
Тестування WordPress на проникнення і стійкість, моделювання атак, оцінка вразливостей.
МОНІТОРИНГ WORDPRESS
Моніторинг цілісності і доступності WordPress 24/7. Захист файлів від несанкціонованих змін, контроль версій та спостереження за використанням ресурсів.
ЗАХИСТ КОНТЕНТУ
Захист авторського права і контенту від несанкціонованого використання та копіювання.
ЧЕК-ЛІСТ БЕЗПЕКИ
Основні методи і способи захисту WordPress
check Встановити мережевий файєрвол і модулі безпеки на сервері (modSecurit, CSF, IPtables, Fail2Ban, ClamAv)
check Встановити коректні права доступу, захистити файли і папки WordPress
check Оновити, правильно сконфігурувати PHP, встановити необхідні модулі
check Оновити, правильно сконфігурувати та обмежити доступ до MySQL
check Сконфігурувати та обмежити доступ до SSH/FTP
check Встановити SSL і налаштувати TLS/HTTPS
check Налаштувати HTTP Security Headers
check Провести комплексне сканування і технічний аудит WordPress (аналіз log-файлів, помилок у панелях вебмайстрів)
check Захистити адміністративну частину WordPress, обмежити доступ до wp-admin, wp-login.php
check Захистити службові файли xmlrpc.php, wp-cron.php, debug.log та інші
check Захист функції REST API (wp-json)
check Захистити і сконфігурувати wp-config.php
check Змінити стандартний префікс бази даних wp_
check Запровадити двофакторну авторизацію (2FA)
check Інтегрувати систему Google reCAPTCHA v3
check Підключити CDN/DNS CloudFlare і захистити IP/DNS
check Оновити ключі безпеки WordPress (Auth Salt Keys)
check Вимкнути стандартний планувальник WP-CRON і активувати серверний Cronjob
check Встановити і налаштувати плагін безпеки файєрвол (WAF)
check Встановити і налаштувати плагін резервного копіювання (Backup WordPress)
check Встановити і налаштувати антиспам фільтр
check Налаштувати фільтр вхідного трафіку (блокування шкідливих HTTP-запитів, IP/User-Agent)
check Вимкнути зайві функції WordPress (кошик, ревізії, file editor)
check Приховати версії: WordPress, теми, плагінів
check Задати правила індексації сайту в robots.txt і meta robots
check Оптимізувати і захистити вихідний код WordPress (мініфікація, AntiCopypaste)
check Захистити контент від несанкціонованого парсингу, крадіжки, копіювання (DMCA, Copyscale, AntiHijacking, AntiHotlinking)
check Привести сайт у відповідність до регламенту GDPR (додати Договір користувача і Правила користування)
check Привести сайт у відповідність до вимог міжнародного стандарту OWASP Top 10
Основні вразливості WordPress
Cybermolfar.io досліджує та спеціалізується на пошуку і знешкодженні широкого списку вразливостей, загроз і атак на WordPress.
Міжсайтові скриптові атаки (XSS)
Атаки через застарілі і незахищені додатки на сайті. Можливі завдяки вразливостям у вихідному коді, незахищеним cookie, відсутності SSL шифрування і HTTP-заголовків безпеки, недостатня перевірка і фільтрація вхідних запитів/символів. Один із різновидів атаки – CSRF (Міжсайтова підробка запитів). Застосування ключів і токенів безпеки дозволить уникнути атаки.
SQL-ін'єкції
Атаки через вразливі скрипти і URL-параметри сайту. Реалізація SQLi стає можливою завдяки відсутності перевірки та фільтрації трафіка, WAF і шифрування, недостатній валідації і аутентифікації відвідувачів, вразливостям MySQL-бази даних.
File Inclusion Attack (RFI/LFI)
Атака через PHP-ін’єкцію і завантаження експлойтів на сайт та отримання доступу до сервера з можливістю читання локальних директорій (OS Shell). Це можливо завдяки застарілим додаткам, хибним правам доступу, відсутності файєрволу та фільтрації HTTP-запитів.
BRUTE FORCE АТАКИ
Атаки на форми входу та авторизації з підбором логінів і паролів користувачів. Можливі завдяки відсутності багатофакторної авторизації, антибот і антиспам фільтрів, обмеження спроб доступу в акаунт, слабкі паролі і логіни по-замовчуванню, витоки і публічні розкриття даних.
DOS/DDOS АТАКИ
Масовані безперервні атаки на сайт з однієї або різних IP-адрес та хостів, з застосуванням хаотичних HTTP/POST/GET запитів та здійснення сильного навантаження на сервер. Стають можливими завдяки відсутності зовнішнього та внутрішнього файрєволу, IPS/IDS-систем, фільтрації трафіку, вразливі і застарілі компоненти і URL-адреси, неправильній конфігурації сервера.
Zero Day Vulnerabilities (0-Day)
Вразливості в компонентах, темах, плагінах, ядрі WordPress, про які не знають самі розробники. Такі вразливості довгий час можуть залишатися непомітними, поки постачальник або дослідники безпеки не розкриють факт і не випустять оновлення.
SPAM & PHISHING АТАКИ
Атаки з відправкою великої кількості нерелевантних email-листів, які містять посилання на шкідливі ресурси з перехопленням метаданих. Також, це спам у коментарях та публікація токсичних посилань з метою понизити рейтинг сайту в очах пошукових систем і відвідувачів.
HIJACKING & HOTLINKING АТАКИ
Атаки з перехватом і викраденням даних. Стають можливими завдяки повній або частковій відсутності HTTP-заголовків безпеки. Бувають атаки різних видів: BGP/DNS/Session/URL/Page Hijacking. Зловмисники можуть використовувати ваші мета-дані, перехоплювати трафік, викрадати домени та вбудовувати контент ваших сайтів на своїх ресурсах і вводити користувачів в оману.
АТАКИ МІЖСЕРВЕРНИХ ЗАПИТІВ (SSRF)
Атаки з підробкою міжсерверних запитів SSRF (Server Side Request Forgery), коли від імені вразливого сервера відправляють запити. Такі атаки можливі завдяки вразливому або застарілому серверному середовищу, відсутності міжмережевого екрану (файєрволу), незахищеному хостингу.
CRLF-ін'єкції
CRLF ін’єкція (Carriage Return Line Feed) – це вразливість, яка дозволяє зловмиснику впровадити символи переведення рядка в HTTP-запит, змінивши логіку роботи програми. У висновку, з допомогою цієї атаки можна маніпулювати параметрами і відповідями веб-сервера, втручатись у формування log-журналів, експлуатувати IMAP/SMTP протоколи, приховувати сліди атак та багато іншого.
DNS-СПУФІНГ
DNS-спуфінг – це атака з використанням вразливостей та відсутності захисту DNS-сервера і засобів шифрування SSL/TLS (1.2-1.3). Завдяки цьому зловмисник може отруїти кеш DNS (cache poisoning), провести підміну або переадресацію IP-адреси, перехопити трафік. Лікується переведенням сайту на CDN CloudFlare і активацією технології DNSSEC для домену.
XML eXternal Entities (XEE)
Атаки на сайти, компоненти, додатки, які застосовують XML-протокол. Зловмисник здійснює ін’єкцію у вихідний код XML-документа. Ця атака може призвести до розкриття конфіденційних даних, відмови в обслуговуванні (DoS), підробки запитів на стороні сервера та інших деструктивних впливів на систему.
