🎯
Модуль 2Безпека10 хв читання

WordPress і плагіни — найпопулярніша мішень хакерів

Кожен третій сайт у світі побудований на WordPress. Саме тому це головна мішень для автоматизованих атак. Що треба знати власнику.

WordPress використовують 43% всіх сайтів у світі. За деякими підрахунками — це понад 835 мільйонів сайтів. Це зручна платформа з великим вибором плагінів і тем. Але є зворотній бік: WordPress — беззаперечний лідер серед мішеней для хакерів. І причина не в тому, що він поганий. Причина в масштабі і в тому як більшість власників його обслуговує.

43%
всіх сайтів у світі використовують WordPress
94%
зломів WP — через плагіни і теми, не через ядро
70 000+
вразливостей у WP-плагінах задокументовано у WPScan DB
40%
власників оновлюють плагіни раз на місяць або рідше

Чому WordPress так часто стає жертвою

Парадокс WordPress: це одночасно і найбезпечніша з популярних CMS (ядро регулярно оновлюється, велика команда безпеки) — і найчастіше зламувана (через величезну кількість сторонніх плагінів і недбалих власників).

Ядро WordPress — це лише фундамент. Реальний сайт складається з десятків плагінів і теми. Кожен плагін — це сторонній код, написаний окремим розробником або командою. Якість і безпека цього коду — дуже різна.

😰Типова ситуація з WordPress
  • 25 активних плагінів (середній сайт)
  • Останнє оновлення — 3 місяці тому
  • Версія WordPress 5.x (не остання)
  • Тема куплена на ThemeForest рік тому
  • Пароль адмінки — простий (автор сайту знає)
  • XML-RPC увімкнений (атаки в 23:00)
Захищений WordPress
  • Мінімум плагінів (лише необхідні)
  • Автоматичні оновлення або щотижнева перевірка
  • Остання версія WordPress
  • Активна тема з оновленнями
  • Складний пароль + двофакторна автентифікація
  • XML-RPC вимкнений або захищений

Ланцюжок атаки: від CVE до злому

Ось як виглядає типова атака на WordPress. Важливо розуміти: це повністю автоматизований процес, без жодного людського втручання.

Автоматизована атака на WordPress
🔍
Виявлення вразливості
Дослідник або хакер знаходить проблему в популярному плагіні (наприклад, Contact Form 7, WooCommerce, Elementor).
📢
Публікація CVE
Вразливість документується. Розробники плагіну випускають виправлення. Але мільйони сайтів ще не оновились.
🤖
Хакер пише сканер
Автоматизований скрипт що шукає сайти з вразливою версією плагіну. Сканування мільйонів сайтів за кілька годин.
🎯
Ваш сайт знайдено
Сканер виявляє вразливу версію плагіну. Генерує список для атаки.
💥
Автоматична атака
Без жодного втручання людини. Шкідливий файл завантажений. Backdoor встановлений. Ви нічого не знаєте.

Від публікації CVE до перших автоматизованих атак — іноді кілька годин. Це означає: якщо ви оновлюєте плагіни раз на місяць, у вас є вікно вразливості від кількох годин до кількох тижнів.

Не тільки плагіни: інші вектори атак WordPress

  • Адмінка /wp-admin без додаткового захисту — боти постійно намагаються зламати пароль (brute force). 50 000+ спроб на день — норма для популярного сайту.
  • XML-RPC — старий інтерфейс WordPress, часто використовується для brute force і DDoS. Більшість сайтів його не використовують, але він залишається увімкненим.
  • Слабкий пароль адміністратора — "admin", "password", ім'я компанії. Хакерські словники містять мільйони популярних паролів.
  • Видима версія WordPress у коді — хакери бачать точну версію і знають які CVE до неї застосовуються.
  • Файл readme.html і readme.txt — автоматично відображають версію WordPress публічно.
  • Права доступу до файлів — неправильно встановлені дозволи дозволяють записати шкідливий файл.
  • Теми і плагіни з неофіційних джерел — "безкоштовні" версії платних тем часто вже містять шкідливий код.

Як виглядає зламаний WordPress: що помітить власник

Ознаки злому, на які треба звертати увагу:

Ознаки злому WordPress
  • Невідомі користувачі-адміни в списку користувачівКритично
  • Сайт перенаправляє на невідомі сайти (особливо з мобільного)Критично
  • Google Search Console показує попередження "зламаний сайт"Критично
  • Антивірус клієнта блокує ваш сайтКритично
  • Незнайомі файли в директоріях uploads або wp-contentКритично
  • Сайт став повільнішим без видимих причинСередній
  • В коді сторінок з'явились незрозумілі рядкиКритично
  • Хостинг-провайдер надіслав попередження про шкідливу активністьКритично

Як Rank Sentinel стежить за вашим WordPress

  • Перевіряє версію WordPress і порівнює з актуальною стабільною (щодня)
  • Виявляє плагіни з відомими CVE (щодня)
  • Відстежує появу нових файлів і скриптів
  • Перевіряє чи доступний XML-RPC і сигналізує якщо так
  • Перевіряє readme.html і readme.txt (розкриття версії)
  • Моніторить нові облікові записи адмінів (через зміни на сторінках)
  • Надсилає миттєве сповіщення при будь-яких підозрілих змінах

Готові захистити ваш сайт?

Перевірте безпеку вашого WordPress
← Попередня📂 Відкриті файли на сайті: що не повинні бачити ваші клієнти і конкурентиНаступна →⚠️ Новий скрипт на сайті — чому це може бути дуже погано

Інші статті цього модуля

📂Відкриті файли на сайті: що не повинні бачити ваші клієнти і конкуренти⚠️Новий скрипт на сайті — чому це може бути дуже погано🛡️HTTP Security Headers — невидимий захист якого у вас мабуть немає🕷️Вразлива бібліотека: як jQuery з 2015 року може зламати ваш сайт у 2025
← Повернутись до Академії