Как хакеры крадут электронные письма администраторов WordPress (и как им это предотвратить)

Начнём с неприятной правды:

Ваш электронный адрес администратора WordPress, вероятно, гораздо более доступен, чем вы думаете.
А хакерам? Им это очень нравится.

Для них ваша административная электронная почта — это не просто почтовый ящик. Это ключ, который открывает доступ к спам-атакам, фишинговым атакам, попыткам взлома методом перебора паролей и случайным ошибкам типа “Сброс пароля” в 3 часа ночи.

Если вы запускаете WordPress сайт, зная как Для хакеров получение доступа к электронной почте администраторов — и понимание того, как закрыть эти двери, является элементарным навыком выживания.

Почему хакеры так одержимы вашей административной электронной почтой

Хакеры не просыпаются с мыслью: “Сегодня я буду восхищаться дизайном веб-сайтов”.”
Они просыпаются с мыслью: “Что я могу сломать?”

Ваш административный адрес электронной почты помогает им именно в этом:

• подбор учетных данных
  У вас где-то в интернете скопились пароли? Хакеры попробуют их здесь.
• Фишинг
  Поддельные электронные письма с “предупреждением о безопасности WordPress” наносят больший ущерб, если отправляются настоящему администратору.
• Спам и вредоносное ПО
  Как только ваш адрес электронной почты станет известен, наслаждайтесь потоком цифрового спама.
• попытки захвата аккаунта
  Электронные письма для сброса пароля — мощный инструмент, но в неумелых руках.

Короче говоря: если им известен ваш административный адрес электронной почты, вы уже попали в поле их зрения.

Как хакеры на самом деле находят электронные письма администратора WordPress

Никакой магии. Никаких голливудских хакерских трюков. В основном просто лень… автоматизировано очень эффективно.

1. Страницы автора: Случайное изливание личной информации

WordPress с удобством создает страницы авторов, например:

yoursite.com/author/username

Звучит безобидно. Но:

• Во многих темах информация об авторе отображается публично.
• Изображения в Gravatar привязаны к электронным письмам.
• Имена пользователей можно сверить с базами данных утечек данных.

Поздравляю — ваша биография в блоге только что попала в список объектов слежки в даркнете.

2. Разделы комментариев: Болтовня приводит к проблемам.

Комментарии могут незаметно пролить свет на гораздо большее, чем просто на чужое мнение.

• Некоторые темы выводят скрытые метаданные.
• Старые плагины случайно раскрывают адреса электронной почты в HTML-коде.
• Хакеры любят функцию “Просмотреть исходный код” больше, чем кофе.

Если комментарии не защищены, они превращаются в автоматы по продаже информации.

3. Страницы контактов: любимый интернет-буфет

Дружелюбное “Свяжитесь с нами по адресу» [email protected]”?

Боты воспринимают это так:
“Цель захвачена бесплатно”.”

Даже такие хитрые маскировки, как “admin [at] site [dot] com”, не всегда помогают. Боты умнее, чем нам хотелось бы.

4. REST API: полезен для разработчиков, полезен и для хакеров.

REST API WordPress может предоставлять следующие возможности:

• Имена пользователей
• Хэши Gravatar
• Общедоступные данные пользователей

А по хешу Gravatar хакеры иногда восстанавливают адрес электронной почты методом обратного проектирования.

Не самый лучший вариант.

5. XML-RPC: Боковая дверь, которую никто не запер

XML-RPC не передает электронные письма напрямую, но как только хакеры получают ваш адрес электронной почты, он становится их излюбленным способом атаки.

Представьте себе автоматические попытки входа в систему. Тысячи попыток. Очень быстро.

6. Темы и плагины: самое слабое звено

Устаревшие плагины и плохо написанные темы могут:

• Утечка электронных писем из шаблонов
• Отображение административных данных в журналах ошибок
• В случае взлома выгрузите пользовательские таблицы.

Сначала сканируют версии. Затем используют эксплойты. Спать некогда.

Как защитить свою административную электронную почту от хакеров

Хорошие новости: вам не нужна паранойя — достаточно грамотной настройки.

1. Прекратите публиковать сообщения от имени администратора (серьёзно!)

Для общедоступного контента создайте отдельный аккаунт автора или редактора.

• Общее название
• Типовое электронное письмо
• Администратор остается невидимым

Ваша учетная запись администратора должна быть скучной, приватной и использоваться редко.

2. Обеспечьте безопасность REST API.

Если вам это не нужно для публичного доступа, ограничьте его.

• Ограничить доступ только для авторизованных пользователей.
• Или отключите открытые конечные точки

Меньше данных = меньше проблем.

3. Уничтожьте или скройте авторские архивы.

Если вам это не нужно /автор/имя пользователя страницы:

• Запретить индексацию или отключить их с помощью SEO-плагинов.
• Перенаправьте их на главную страницу
• Притворитесь, что их никогда не существовало.

Хакеры не упустят того, чего не смогут найти.

4. Настройки комментариев для очистки

• Не отображайте адреса электронной почты в разметке.
• Используйте надежные антиспам-плагины.
• Сохраняйте данные комментариев в тайне.

В комментариях следует инициировать дискуссию, а не допускать утечки данных.

5. Откажитесь от общедоступных электронных адресов, используйте формы.

Если пользователям необходимо связаться с вами:

• Используйте контактные формы
• Зашифровать электронные письма с помощью JavaScript
• Никогда не указывайте адреса электронной почты администраторов в нижнем колонтитуле.

Формы не парсятся. Парсятся электронные письма.

6. Отключите XML-RPC (если это возможно).

Если вы им не пользуетесь:

• Выключите его
• Или же ввести жесткие ограничения.

На один вектор атаки меньше. Никаких сожалений.

7. Обновляйте всё. Всегда.

Большинство утечек происходит по следующим причинам:

• Старые плагины
• Заброшенные темы
• Проигнорированные обновления WordPress

Если вы чем-то не пользуетесь — удалите это.
Цифровой беспорядок привлекает цифровых преступников.

8. Используйте настоящий плагин безопасности.

Хорошие плагины безопасности не просто блокируют атаки — они предотвращают утечки информации.

• Обнаружение ботов
• защита от злоупотреблений API
• мониторинг входа в систему

Воспринимайте их как охранников для вашего сайта.

Заключительные мысли: Конфиденциальность — это функция, влияющая на производительность.

Защита электронной почты администратора WordPress — это не “дополнительная безопасность”.”
Это элементарная гигиена.

Хакеры полагаются на отложенные настройки по умолчанию.
Вы выигрываете, будучи немного умнее, чем по умолчанию.

На сайте АИРСАНГ, Этот образ мышления заложен во всё, что мы делаем.
Мы специализируемся на трансграничной электронной коммерции., WordPress & Shopify Веб-дизайн и долгосрочная стабильность сайта — это не просто визуальные эффекты, которые хорошо выглядят в день запуска.

Если вы создаёте глобальный сайт, перепроектируете интернет-магазин или усиливаете безопасность перед масштабированием, мы будем рады вам помочь.
Мы не просто разрабатываем веб-сайты — мы создаём системы, которые безопасно развиваются.

Следовать АИРСАНГ для получения более практических советов по веб-дизайну, производительности и развитию бизнеса за рубежом.