Міф про «безпечне ядро WordPress»
Команда WordPress Security дійсно чудово працює: критичні вразливості в ядрі закриваються протягом годин, оновлення встановлюються автоматично. Але проблема не в ядрі. За даними WPScan, 97% успішних зламів WordPress-сайтів відбуваються через плагіни та теми — не через ядро системи.
Як хакери знаходять вразливі сайти
Щойно виходить публічний CVE для популярного плагіна, автоматизовані боти починають сканувати мільйони WordPress-сайтів у пошуку вразливої версії. Час між публікацією вразливості і початком масових атак у 2024 році скоротився до 1-24 годин. Якщо ваш сайт не оновлений — він буде знайдений і атакований ще до того, як ви прочитаєте новини.
Найпростіший спосіб знайти версію плагіна на сайті — подивитись у вихідний код сторінки. URL вигляду /wp-content/plugins/contact-form-7/readme.txt?ver=5.3 відкрито доступний на більшості сайтів і містить точну версію плагіна.
Топ-5 найнебезпечніших плагінів 2023-2024
Elementor (5M+ активних установок) — множинні XSS вразливості в різних версіях. WooCommerce — через розповсюдженість є постійною ціллю. Contact Form 7 — CVE-2020-35489 (критичний, file upload без обмежень). Yoast SEO — кілька XSS у 2022-2023. Advanced Custom Fields — SQL injection у 2023 році.
Три рівні захисту
Перший рівень — автоматичні оновлення плагінів. Увімкніть у WordPress Settings → Plugins або через WP-CLI. Другий рівень — мінімізація: видаліть всі неактивні плагіни і теми. Навіть деактивований плагін з вразливістю може бути проексплуатований. Третій рівень — моніторинг: Rank Sentinel відстежує версії плагінів і сповіщає при появі нових вразливостей ще до того, як атаки стають масовими.
Що робити якщо сайт вже зламаний
Перші ознаки злому: незнайомі файли у /wp-content/uploads/, нові адміністратори яких ви не створювали, редиректи на сторонні сайти, Google Search Console повідомляє про шкідливий контент. Якщо підозрюєте злом — ізолюйте сайт, зробіть резервну копію і звертайтесь до фахівця. Час реакції критичний.