Звіт: Бот-атаки на WordPress-сайти

1. Основні типи бот-атак на WordPress

Brute force (брутфорс) атаки. Один з найпоширеніших типів – масовий перебір паролів до адмін-панелі WordPress. Автоматизовані боти намагаються тисячі чи мільйони комбінацій логінів/паролів, щоб отримати доступ. Такі атаки можуть бути масштабними – наприклад, фіксували до 23 мільйонів спроб входу на добу, заблокованих захистом (Wordfence warns of a huge increase in brute force attacks on WordPress). Боти часто зловживають інтерфейсом XML-RPC для множинних спроб авторизації за один запит. Ціль брутфорсу – підібрати пароль адміністратора або іншого користувача й захопити сайт.

Реєстрація ботів та фейкові акаунти. Боти можуть масово реєструвати облікові записи на сайті (якщо ввімкнена реєстрація користувачів). Мета – створити багато фейкових акаунтів для подальшого розповсюдження спаму (через профілі, коментарі) або для отримання додаткового доступу. Наприклад, на сайтах з відкритою реєстрацією (форуми, освітні портали) спам-боти реєструються і заповнюють профілі рекламними посиланнями чи публікують небажаний контент. Така активність засмічує базу користувачів і ускладнює модерацію.

DDoS-атаки. Розподілені атаки типу відмова в обслуговуванні (DDoS) здійснюються ботнетами – великою кількістю скомпрометованих пристроїв або скриптів, що одночасно надсилають запити на сервер. Метою є перевантажити сайт трафіком і зробити його недоступним для реальних користувачів. WordPress-сайти можуть бути як ціллю DDoS (наприклад, атаки на українські сайти хактивістами), так і знаряддям: відомі випадки, коли зламані WordPress сайти використовувалися для атаки на інші ресурси. Зокрема, у березні 2022 року було виявлено сотні зламаних WP-сайтів, в код яких впровадили скрипт для автоматичного DDoS-нападу – браузери відвідувачів цих сайтів непомітно надсилали до 1000 запитів одночасно на українські урядові та медіа-сайти (Hacked WordPress sites force visitors to DDoS Ukrainian targets) (Hacked WordPress sites force visitors to DDoS Ukrainian targets). Таким чином, боти можуть як безпосередньо атакувати ваш сайт, так і перетворити ваш зламаний сайт на інструмент для DDoS інших.

Спам-коментарі. Автоматичні боти часто націлені на форми коментування в WordPress. Вони масово публікують коментарі з рекламними посиланнями, шахрайськими пропозиціями або шкідливими URL. Це робиться для просування сторонніх ресурсів (SEO-спам) або поширення фішингу та малварі. Обсяги такого спаму величезні – наприклад, за допомогою плагіну Akismet відфільтровано понад 548 мільярдів спам-коментарів загалом (The Best WordPress Comment Plugins Compared (2025 Review)). Спам-коментарі засмічують сайт, псують досвід користувачів і можуть негативно вплинути на репутацію та SEO сайту (пошуковики понижують рейтинг заражених спамом сайтів).

Cross-Site Scripting (XSS). Це атаки, у яких зловмисник впроваджує зловмисний JavaScript-код у сторінки сайту, що відкриваються іншим користувачам. WordPress може піддаватися XSS через уразливі плагіни або форми без достатньої перевірки даних (наприклад, форма коментаря чи пошуку). Боти-сканери активно шукають такі вразливості. У разі успіху – вставлений на сторінку скрипт може викрасти cookie-файли сеансів, виконати дії від імені користувача або перенаправити його на інший сайт. XSS-атака не дає прямого доступу до сервера, але дозволяє атакувальному коду працювати в браузері жертв, що може призвести до крадіжки облікових даних чи встановлення бекдору в адмін-панель (якщо адміністратор відкриє сторінку зі шкідливим скриптом). Зафіксовано, що плагіни безпеки WordPress спеціально захищають від XSS-атак та схожих загроз ( 5 best WordPress security plugins 2024).

SQL-ін’єкції. Атаки цього типу націлені на базу даних WordPress. Боти надсилають в HTTP-запитах спеціально сформовані параметри, які викликають виконання довільних SQL-команд через уразливості в плагінах або темах. Успішна SQL-ін’єкція може дати змогу зловмиснику отримати конфіденційні дані (наприклад, хеші паролів з БД), змінити вміст БД (вставити власного адміністратора) або навіть виконати PHP-код через запис бекдор-коду в поля бази (як wp_options). WordPress-плагіни з недостатньою перевіркою введених даних – основна мішень таких атак (Wordfence warns of a huge increase in brute force attacks on WordPress). Захисні рішення для WordPress враховують цю загрозу: найкращі плагіни безпеки прямо зазначають захист від SQL-ін’єкцій як одну з ключових функцій ( 5 best WordPress security plugins 2024).

Зловмисні редіректи та рекламне впровадження. Поширений наслідок злому – редірект (перенаправлення) відвідувачів сайту на інші ресурси без їх відома. Атакувальники після отримання доступу впроваджують код (JS-скрипт або PHP-фрагмент) який перенаправляє користувача на сторонню URL-адресу. Зазвичай жертву відправляють на шахрайські сайти (фейкові виграші, техпідтримка) або сторінки зі шкідливими завантаженнями. Наприклад, у 2021 р. масово експлуатувалася вразливість плагіна wp-user-avatar: через неї зловмисники завантажували бекдор і вставляли код редіректу, що відправляв відвідувачів (окрім адміністратора) на шахрайські сторінки (Vulnerable Plugin Exploited in Spam Redirect Campaign). На екрані користувача раптово можуть з’являтися підозрілі сайти або спливаючі вікна з вимогою «оновити браузер» чи «виграти приз» – це типові ознаки таких ін’єкцій. Крім редіректів, хакери можуть додавати рекламні банери, спливаючі вікна або приховані SEO-посилання. Такий прихований спам-контент часто невидимий самому власнику сайту, проте пошукові системи його індексують, що призводить до blackhat SEO-атаки: ваш сайт починає рекламувати чужі товари (казино, фармацевтику тощо) (Vulnerable Plugin Exploited in Spam Redirect Campaign). У деяких випадках шкідники використовують легальні рекламні мережі для підміни оголошень – наприклад, вищезгаданий код редіректу міг довантажувати ціль для перенаправлення через легітимну ad-систему (Vulnerable Plugin Exploited in Spam Redirect Campaign). Це робиться, щоб утруднити фільтрацію (адже домен редіректу постійно змінюється) та отримати вигоду від трафіку, що вони перенаправляють.

Підміна трафіку (traffic cloaking). Cloaking – це методика, коли зловмисний код диференціює, кому показувати себе, а кому – ні. Тобто шкідливий скрипт може перевіряти, хто саме зайшов на сайт (адміністратор, звичайний відвідувач, пошуковий бот, геолокація користувача тощо) і на основі цього вирішувати – показати нормальний контент чи виконати шкідливу дію. Наприклад, часто малварні редіректи не спрацьовують для адміністратора: відомий випадок із фейковим плагіном «Zend Fonts», коли шкідливий код збирав дані про IP та браузер адмініна і не перенаправляв його (Vulnerable Plugin Exploited in Spam Redirect Campaign). Адмін, заходячи на сайт, бачив все нормально, в той час як звичайні відвідувачі автоматично переспрямовувалися на шахрайські сайти. Це дозволяє атаці довше лишатися непоміченою. Інший приклад cloaking – показувати заражений контент лише незареєстрованим користувачам або гостям з пошукових систем. Бот Google може індексувати сторінку, наповнену прихованими SEO-ключовиками чи посиланнями, тоді як реальні користувачі цього не бачать. Cloaking також використовується для обходу заходів безпеки: шкідливий скрипт може не виконуватися, якщо виявить, що сайт сканує веб-сканер або якщо запит іде від відомих IP-адрес брандмауера. У підсумку, підміна трафіку – небезпечний прийом, що ускладнює виявлення зараження, адже власник сайту чи служби моніторингу можуть бачити «чисту» версію, поки звичайні користувачі страждають від редіректів чи спаму.

2. Вектори проникнення: як сайт заражається ботами чи скриптами

Вразливі плагіни. Більшість зломів WordPress стаються через уразливості в додатках (плагінах). Зловмисники постійно сканують сайти на наявність відомих вразливих версій плагінів. Якщо власник вчасно не оновив плагін, бот-сканер знайде вразливість і експлуатує її для впровадження шкідливого коду. За оцінками дослідників, з 44 тисяч проаналізованих плагінів WordPress понад 8 800 мали хоча б одну відому вразливість (Wordfence warns of a huge increase in brute force attacks on WordPress). Тож не дивно, що “діряві” плагіни – перша ціль ботів. Вразливості бувають різних типів: SQL-ін’єкції, XSS, обходи автентифікації, довільне завантаження файлів тощо. Наприклад, наведена вище атака через плагін wp-user-avatar дозволяла без авторизації завантажити файл на сервер – хакери закачували веб-скрипт (бекдор) і отримували повний контроль (Vulnerable Plugin Exploited in Spam Redirect Campaign) (Vulnerable Plugin Exploited in Spam Redirect Campaign). Інший кейс – уразливість в плагіні Popup Builder (CVE-2023-6000) з оцінкою 8.8 балів: її експлуатація давала змогу виконати будь-яку дію від імені адміністартора WordPress, зокрема встановити довільний плагін чи створити нового адміністратора на сайті (Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability). Це фактично відкривало двері для подальшого зараження (встановлення шкідливих модулів, зміну налаштувань тощо). Отже, несвоєчасне оновлення плагінів – один з головних векторів проникнення, яким користуються боти.

Уразливості тем оформлення. Аналогічно до плагінів, небезпечними можуть бути і теми (шаблони) WordPress. Особливо ризиковані піратські («nulled») теми, завантажені з неофіційних джерел. Часто такі шаблони вже містять вбудований шкідливий код – свого роду «троянського коня». Наприклад, було виявлено бекдор у популярних темах та плагінах від компанії AccessPress: зловмисники компрометували їхній офіційний сайт і поширили оновлення з прихованим бекдором. Внаслідок цього тисячі сайтів, які оновили ці теми/плагіни, отримали «подарунок» – зловмисний скрипт, що давав нападникам повний доступ і здійснював редіректи відвідувачів на шкідливі сторінки (A Backdoor in WordPress AccessPress Plugins and Themes Could Allow an Attacker Access to a Targeted Website | Office of Information Technology Services). Такі supply-chain атаки особливо небезпечні, бо сайт стає враженим просто через встановлення/оновлення легітимного на вигляд компонента. Крім того, піратські копії платних тем часто умисно наповнюються SEO-спамом або рекламою. Дослідження показали, що сайти з nulled-темами майже гарантовано мають приховані бекдори або посилання на сторонні ресурси (WP-VCD Malware Comes with Nulled Themes – Sucuri Blog) (Vulnerable Plugin Exploited in Spam Redirect Campaign). Тому ніколи не варто встановлювати неопубліковані розробниками чи невідомим джерелом теми/плагіни – ризик інфікування дуже високий.

Уразливості ядра WordPress. Хоча розробники WordPress регулярно випускають патчі безпеки, інколи в самому core двигунці виявляються критичні баги. Якщо адміністратор не оновить версію WordPress, сайт лишається вразливим. Історично були випадки RCE (віддаленого виконання коду) через WordPress Core, XSS у механізмі публікації статей, викрадення сесій через API тощо. Такі вразливості трапляються значно рідше, ніж у плагінах, але мають великий вплив – ботам достатньо знайти сайт на старій версії WP, щоб отримати над ним повний контроль. Наприклад, у 2019 році в WP 5.x існувала вразливість, що дозволяла змінити email адміністратора без авторизації, а потім скинути пароль – таким способом боти захопили тисячі неопублікованих сайтів. Отже, несвоєчасне оновлення WordPress Core також може стати вектором проникнення, хоч і трапляється рідше. Рекомендовано завжди застосовувати останні оновлення ядра, бажано ввімкнувши автоновлення для minor-версій.

Сторонні скрипти та інтеграції. WordPress-сайти часто підключають зовнішні скрипти: лічильники відвідувань, віджети коментарів, рекламні банери, код аналітики тощо. Якщо цей сторонній ресурс буде зламано, ваш сайт автоматично почне завантажувати шкідливий код. Відомий приклад – масові зараження SocGholish (Fake Browser Update): зловмисники зламували дрібні сайти та вставляли скрипт, що підмінявся з віддаленого сервера, показуючи відвідувачам підробне повідомлення про «необхідність оновити браузер» з посиланням на malware (New Wave of SocGholish Infections Impersonates WordPress Plugins) (New Wave of SocGholish Infections Impersonates WordPress Plugins). Адміністратор сайту при цьому може й не помітити проблеми, адже код хоститься не в нього, а лише імпортується. Також були випадки компрометації популярних JavaScript-бібліотек (наприклад, скриптів реклами): підмінивши скрипт на сервері реклами, атакувальники автоматично заражали всі сайти, що його підключають. Таким шляхом можна здійснювати атаки типу Magecart (крадіжка даних карток через впровадження коду у поля оплати) чи згаданий SocGholish. Захиститися від цього непросто, адже проблема не на вашому сайті, але щоб знизити ризик, варто мінімізувати кількість сторонніх інтеграцій та використовувати перевірені джерела скриптів.

Компрометація облікових записів (паролі). Не завжди потрібно «зламувати код» сайту – іноді боти отримують доступ просто вгадуючи або вкравши паролі. Слабкі паролі адміністраторів (типу “123456” або “password”) піддаються перебору за лічені хвилини. Існують цілі словники поширених паролів та раніше злитих облікових даних, які боти використовують для credential stuffing – автоматичної перевірки, чи не підходить якийсь відомий пароль до вашого сайту. Крім того, фішингові атаки або витоки на інших сервісах можуть призвести до того, що логін/пароль адміністратора WordPress стане відомим нападникам. Якщо немає двофакторного захисту, бот просто ввійде в адмін-панель під справжнім акаунтом. Далі зловмисник діятиме через легальний інтерфейс: може встановити шкідливий плагін, змінити файли теми (вписати бекдор у header.php), або створити нового користувача-адміна для збереження доступу. У новій хвилі атак SocGholish 2023 року було показово, що всі скомпрометовані WordPress сайти мали зламані облікові записи wp-admin (New Wave of SocGholish Infections Impersonates WordPress Plugins) – тобто зловмисники спершу отримали чи підібрали логін/пароль, а вже потім впровадили шкідливий код через адмінку. Отже, людський фактор і паролі теж відносяться до векторів проникнення: брутфорс, фішинг, використання паролів, злитих в інтернет – усе це дозволяє ботам зайти як “свої”.

Недбала конфігурація та інші фактори. Окрім наведеного, існують й інші шляхи зараження: використання застарілого програмного забезпечення на сервері (PHP, бібліотек), відсутність обмежень на виконання PHP в директоріях uploads чи tmp, небезпечні права доступу до файлів і папок (через що атака може поширитись на інші сайти на тому ж хостингу). Інколи зловмисники знаходять незахищені резервні копії (backup.zip в корені сайту) або файли конфігурації з паролями, викладають їх і таким чином добираються до бази даних чи FTP. Хоч такі вектори менш автоматизовані, все ж боти можуть сканувати й наявність типових помилок (наприклад, wp-config.php.bak у відкритому доступі). Тому безпека WordPress – це також правильна конфігурація сервера і прибирання “сміття” (резервні архіви, тестові скрипти), які можуть стати точкою входу.

3. Типові наслідки успішних атак

Якщо сайт вже зламано або націлений ботами, прояви можуть бути різними. Перерахуємо типові наслідки:

• Зловмисні редіректи відвідувачів. Як згадувалось, один з перших знаків компрометації – сторонні перенаправлення. Користувач клікає на посилання вашого сайту в Google, але потрапляє не на ваш сайт, а на чужий (шахрайський чи рекламний). Це відбувається через вставлений на сайт код (JS або прихований iframe), який перевіряє умови (наприклад, не адміністратор) і робить window.location = “http://malicious.site/…”. Наслідки для відвідувачів плачевні – їх можуть обманом змусити завантажити вірус (“Ваш браузер застарів – скачайте оновлення”), або показати фейкову сторінку з формою, щоб вони ввели конфіденційні дані (банківські, логіни) (Vulnerable Plugin Exploited in Spam Redirect Campaign). Для власника сайту наслідки теж серйозні: по-перше, втрачається трафік (люди фактично не потрапляють на ваш ресурс), по-друге, пошукові системи швидко банять такі сайти, помітивши редіректи на зло. В браузерах можуть почати з’являтися попередження “Цей сайт може бути зламаний” або взагалі блокування із червоним екраном. Отже, редіректи б’ють по репутації сайту і довірі користувачів миттєво.

• Відображення небажаної реклами, спаму. Інший поширений симптом – на сторінках сайту з’являється контент, якого власник не додавав. Це можуть бути банери казино, текстові блоки з SEO-посиланнями (“купить дешевое ⚡️лекарство⚡️ тут”), спливаючі вікна з підозрілим вмістом. Зазвичай такий контент вставляється приховано (через JavaScript або пряме редагування HTML). Іноді користувачі бачать цей спам, а іноді він видний лише пошуковикам (через cloaking). Мета зловмисників – монетизація трафіку жертви: тобто заробіток на рекламі чи просування своїх сайтів за ваш рахунок (Vulnerable Plugin Exploited in Spam Redirect Campaign). Наприклад, відомий “фарма-хак” на WordPress – коли на зламаному сайті створюються сотні прихованих сторінок з описом ліків і партнерськими посиланнями на аптечні сайти. Власник цього може не бачити, але Google індексує, і ваш ресурс починає ранжуватися по запитах типу “купить Viagrа” 😊. Це сильно псує репутацію і може призвести до виключення сайту з результатів пошуку. Отже, несподівана реклама або SEO-спам на сайті – явна ознака злому, і це треба негайно усувати.

• Підміна або вставка шкідливих посилань. Атакувальники можуть цілеспрямовано змінювати ваш контент – наприклад, замінити деякі існуючі посилання на інші. Уявімо, у вас сайт університету, і всі посилання на розклад раптом починають вести на фішингову форму. Або у статтях новин непомітно вплетені URL на сторонні ресурси. Таке трапляється, якщо зловмисник має доступ до БД: він масово знайде і замінить певні фрагменти тексту через SQL-запит. В результаті користувачі клікають по знайомих елементах сайту, а потрапляють невідомо куди. Також поширений сценарій – додавання невидимих посилань у футер або в стилях CSS (шрифтом 0px) для підняття чужих сайтів в SEO. Для власника наслідки – знову ж таки, пошукові системи карають за прихований лінк-білдінг, а відвідувачі можуть потрапляти на небажані сторінки. Тому важливо перевіряти, чи не з’явилося в коді сайту чужих <a href>, яких ви не додавали.

• Впровадження шкідливого JavaScript-коду. Багато атак призводять до того, що у вашому сайті поселяється ворожий JavaScript. На відміну від редіректу, який одразу перенаправляє, скрипт може діяти більш приховано: красти введені дані (логіни, номери карток з форм на сайті), ключіти майнінг криптовалюти в браузері відвідувачів, або виявляти вразливих користувачів (наприклад, на сайті інтернет-банку вставлений скрипт може чекати, коли зайде адміністратор з правами – і виконати дію від його імені). Один з прикладів – упомянуте малваре SocGholish: воно підміняє сторінку, показуючи відвідувачу діалог наче від браузера з пропозицією оновити Flash/Chrome, і якщо користувач завантажує “оновлення”, отримує віру (New Wave of SocGholish Infections Impersonates WordPress Plugins) (New Wave of SocGholish Infections Impersonates WordPress Plugins)】. Інший приклад: Balada Injector – масова кампанія, що через вразливі плагіни впроваджує на сайт JS-файл з сервера specialcraftbox[.]com; цей скрипт перехоплює керування сайтом і довантажує додатковий шкідливий код для редіректі (Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability)】. Такі складні багатоступеневі атаки особливо небезпечні: код може маскуватися (бути стеганографічно захований в зображенні чи закодований у Base64), періодично тягнути нові інструкції з сервера зловмисника. Наслідки – повна компрометація безпеки відвідувачів на вашому сайті. Ін’єкції JavaScript часто виявити складніше, ніж зміну HTML, тому що код може впроваджуватися глибоко (напряму в базу даних, в таблицю wp_posts або wp_options). Втім, непрямі ознаки – уповільнення роботи сайту, підозрілі звернення у консолі браузера до невідомих доменів – можуть вказувати на таку проблему.

• Створення бекдорів та прихованих користувачів. Професійні хакери, отримавши доступ до WordPress, обов’язково залишають собі “запасний вхід” – бекдор. Бекдор – це шматок коду (PHP-файл, або запис у базі, або навіть окремий прихований аккаунт адміністратора), який дозволить зловмиснику повернутися на сайт навіть після очистки основного зараження. Наприклад, часто бекдори ховають у вигляді mu-плагінів (must-use plugins) або в каталозі wp-content/uploads під виглядом картинок (файл .php, що називається як .jpg). Бували випадки, коли додатковий адміністратор заводився в системі з іменем “1001” або схожим, щоб його не помітили серед тисяч користувачів. Також бекдором можуть служити крон-завдання або веб-скрипти, що звертаються до спеціальних URL. Наслідок: навіть якщо ви видалите видимий зловмисний код, атакер через день знову все заразить, скориставшись бекдором. У кампанії Balada Injector якраз фіксували такі дії – після проникнення хакери одразу забезпечували стійкість: *підвантажували кілька бекдорів, встановлювали власні плагіни та створювали фейкових адміністраторів (Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability)】. Тому після злому треба дуже ретельно перевіряти всі куточки сайту. Типові наслідки наявності бекдору – повторне виникнення інфекції, навіть після начебто успішного очищення. Якщо таке стається – значить, на сайті залишився прихований шкідливий механізм, і потрібно його шукати та видаляти.

• Витік та крадіжка даних. Деякі боти націлені не на видимі ефекти, а на викрадення важливої інформації. WordPress часто використовується для сайтів з особистими кабінетами, інтернет-магазинами (WooCommerce) тощо – там є база даних користувачів, замовлень, можливо, платіжної інформації (хоч і неповної). Якщо бот отримав адмін-доступ або SQL-ін’єкцію, він може скопіювати всю вашу базу даних. З неї витягуються email-адреси, номери телефонів, хеші паролів – ця інформація потім може бути продана або використана для подальших атак (наприклад, розсилка фішингу вашим клієнтам). Були випадки, коли після злому сайту клініки зловмисники погрожували опублікувати базу пацієнтів, вимагаючи викуп. Для освітніх сайтів ризик – витік персональних даних студентів чи викладачів. Також бот може вбудувати збирач введень: наприклад, перехоплювати кожну форму логіна і відправляти введені паролі на сервер нападника. Витік може довго лишатися непоміченим, поки не почнуться скарги користувачів або інциденти (різке зростання спаму на email, цільові атаки на тих, чия інформація витекла). Тому безпека даних – критично важлива. Наслідком такої атаки є не тільки технічні проблеми, а й правові (порушення GDPR, можливі штрафи) та репутаційні втрати.

• Залучення сайту до ботнету. Зламаний WordPress-сайт сам може стати ботом у великій зомбі-мережі. Відомо, що деякі атаки (особливо з боку про-російських хактивістів) використовують скомпрометовані веб-сайти для масованих DDoS або розсилки. Наприклад, група KillNet обговорювала на своїх каналах доступ до зламаних WordPress з адмінками і роздавала паролі до них, називаючи їх «стрибковими точками (Ukraine at D+341: Killnet hits US hospitals.)】. Маючи бекдор в вашому WP, зловмисники можуть в будь-який момент завантажити і запустити на сервері скрипт, що буде генерувати трафік на їхню ціль (часто це урядові сайти, сайти критичної інфраструктури тощо). Тобто ваш ресурс, сам того “не знаючи”, почне брати участь у злочинних атаках. Наслідки для вас: по-перше, серверні ресурси будуть вичерпані (сайт гальмуватиме), по-друге, IP вашого сайту можуть занести в чорні списки як джерело нападів. У згаданому випадку шкідливий скрипт на WP-сайтах примусово відкривав сотні з’єднань до українських веб-ресурсів з метою їх перевантажит (Hackers Force Unsuspecting WordPress Website Visitors to DDoS Ukrainian Targets) (Hackers Force Unsuspecting WordPress Website Visitors to DDoS Ukrainian Targets)】. Отже, зламаний сайт підконтрольний ботам – це загроза не лише вам, а й іншим, і ваша відповідальність як власника вчасно виявити та знешкодити такий ботнет-агент.

4. Приклади цільових атак російських угруповань (на українські та освітні сайти)

З початком повномасштабної кібервійни багато про-російських хакерських угруповань націлилися на українські ресурси (державні, медіа, освітні) та сайти країн, що підтримують Україну. Розглянемо кілька відомих груп і їх методи, з акцентом на атаки, пов’язані з WordPress:

KillNet – DDoS-атаки та ботнети. KillNet – сумнозвісна про-російська хактивістська група, що активізувалася у 2022 році. Вона спеціалізується на масових DDoS-атаках на веб-сайти та сервіси країн, які підтримують Україн (Ukraine at D+341: Killnet hits US hospitals.)】. Ударними цілями були урядові портали, сайти аеропортів, банків, лікарень тощо. KillNet діє як своєрідна “киберармія” волонтерів: вони організовуються через Telegram-канали (~92 тисячі підписників) і роздають інструкції та скрипти для DDo (Ukraine at D+341: Killnet hits US hospitals.)】. Зазвичай використовуються публічно доступні stress-test інструменти або власні прості скрипти, а також величезні мережі проксі. Цікаво, що KillNet активно шукає додаткові ресурси для посилення атак – зокрема, вони поширювали у своїх колах списки паролів до зламаних WordPress-сайтів, закликаючи використовувати їх як плацдарм (Ukraine at D+341: Killnet hits US hospitals.)】. Володіння адмін-доступом до WP дає їм можливість, наприклад, хостити на тому сайті DDoS-скрипт чи проксі-сервер для атаки. Однією з характерних тактик KillNet є експлуатація уразливих роутерів Mikrotik для побудови своєї інфраструктури (тисячі відкритих проксі на базі зламаних роутерів (Ukraine at D+341: Killnet hits US hospitals.)】, але залучення веб-сайтів (в тому числі WP) теж має місце. У результаті жертвами KillNet стали і деякі українські освітні сайти: наприклад, на початку 2023 повідомлялося про DDoS на ресурси кількох університетів, що спричинило їхню недоступність протягом декількох годин (ці інциденти не публікувалися широко, але згадувалися у зведеннях кібератак). Методика KillNet – це майже виключно об’ємні DDoS: вони не відомі складним зламуванням, але через масовість можуть тимчасово вивести сайт з ладу. Зловмисний код на самих цілях вони не впроваджують (як правило), їх цікавить саме зниження доступності. Втім, опосередковано KillNet сприяє й зламам: вони кооперуються з іншими про-російськими групами (XakNet, Ghostwriter тощо (Ukraine at D+341: Killnet hits US hospitals.)】, які можуть здійснювати більш таргетовані взломи і передавати їм результати для DDoS-кампаній.

NoName057(16) – DDoS і використання малварі. NoName057(16) – інша про-російська хактивістська група, що з’явилася в 2022 році. Їх цілі багато в чому перетинаються з KillNet: урядові сайти України, новинні портали, а також ресурси в Європі та США, які вони вважають “анти-російськими (Noname057(16) – Wikipedia) ( Pro-Russian Hacker Group: Noname057(16) | Radware )】. Перша гучна акція NoName057(16) – атаки на українські медіа Zaxid і Факти у березні 2022 (DDoS-атаки, що зробили ці сайти тимчасово недоступними (Noname057(16) – Wikipedia)】. Надалі вони розгорнули власний проект під назвою DDOSIA – це програмне забезпечення для координації DDoS, яке учасники-волонтери встановлюють на свої П ( Pro-Russian Hacker Group: Noname057(16) | Radware )】. Фактично, NoName створили напівдобровільний ботнет: вони фінансово мотивують людей (навіть проводять виплати в криптовалюті за результативні атаки) і таким чином нарощують потужність ата (NoName057(16): Pro-Russian Hacktivist Group – Radware) (DDosia Project: Volunteers Carrying out NoName(057)16’s Dirty Work)】. Ця група також не гребує використанням шкідливого ПЗ: було задокументовано, що вони застосовують троян Bobik RAT для інфікування пристроїв і додавання їх до своєї бот-мереж (Pro-Russian Group Targeting Ukraine Supporters with DDoS Attacks – Avast Threat Labs)】. Avast у вересні 2022 повідомляла, що пристрої, заражені Bobik, отримували команди DDoS саме з центру управління NoName і атакували сайти згідно списку цілей з їх Telegra (Pro-Russian Group Targeting Ukraine Supporters with DDoS Attacks – Avast Threat Labs)】. Таким чином, NoName057(16) поєднує і класичний DDoS “толпою”, і більш APT-підхід з використанням малварі. Для WordPress-спільноти цікаво, що вони іноді вдаються до дефейсів (злам і зміна сторінок) на підтримку своїх ідей – зокрема, декілька дрібних сайтів в країнах Балтії були зламані ними з розміщенням прокламацій. Відомих кейсів зломів саме українських освітніх сайтів від NoName наразі небагато, але в одному зі звітів Radware зазначено, що вони атакували і сайти освітніх установ (наприклад, індійські інститути під час #OpIndia ( Pro-Russian Hacker Group: Noname057(16) | Radware )】. Тобто не можна виключати, що вони спробують зламати або покласти й українські університетські сайти, особливо якщо ті висвітлюють правду про війну. Методики NoName057(16): в основному DDoS (HTTP-flood атаки через власний софт), співпраця з іншими групами, можливі дефейси. Якщо порівнювати, KillNet діє більш шумно і відкрито, тоді як NoName більше автоматизували процес і навіть намагаються залучати розробників (їх інструменти хостяться на GitHub, а канали в Telegram публікують “навчальний контент” для хакерів-початківці (Noname057(16) – Wikipedia)】).

Інші угруповання (“etc”). Окрім цих двох, існує цілий спектр інших про-російських хакерських колективів:

• XakNet – група, що заявляла про зливи даних українських держорганів у 2022. Вони позиціонувалися як “відповідь Anonymous” і більше займалися шпигунством, але могли співпрацювати з KillNet (забезпечуючи доступи, які потім використовувалися в атаках (Ukraine at D+341: Killnet hits US hospitals.)】.
• Sandworm (ГРУ) – державне угруповання, відповідальне за найруйнівніші атаки (енергомережа, «NotPetya»). Хоч Sandworm діє на зовсім іншому рівні (віпери, критична інфраструктура), в розрізі війни його активність зросла. Звичайні WP-сайти не є їх прямою ціллю, але загальний ландшафт загроз формується і такими акторами.
• Phoenix, UserSec, NoName Squad, Anonymous Russia – дрібніші групи/бренди, які теж проводили атаки на українські ресурси. Як правило, це DDoS-атаки на сайти ОДА, міських рад, інколи – освітніх установ (для “символічного” удару). Їх методи повторюють описані вище: мережі ботів, координація через форуми і Telegram, дуже примітивні технічно прийоми (головна сила – чисельність запитів, а не витонченість).
• IT Army of Ukraine (українська сторона). Для повноти варто згадати, що й українська сторона активно веде хактивізм. Наприклад, IT-армія у відповідь теж здійснювала DDoS на російські ресурси і навіть використовувала схожий прийом: добровольцям пропонували відвідати спеціальну веб-сторінку, яка через JavaScript генерувала потік запитів на російські сайти. Цей механізм, як не парадоксально, був взятий на озброєння й росіянами – вони, зламавши WP-сайти, приховано вставили аналогічний скрипт для атаки на українські ціл (Hackers Force Unsuspecting WordPress Website Visitors to DDoS Ukrainian Targets) (Hackers Force Unsuspecting WordPress Website Visitors to DDoS Ukrainian Targets)】. Тобто методика “примусити браузер відвідувача DDoSити третю сторону” використовувалася обома таборами.

Висновок: Атаки про-російських хакерів на українські сайти носять масований характер. Переважає тактика DDoS, що націлена на виведення сайтів з ладу (особливо в критичні моменти – наприклад, під час іспитів на освітніх порталах чи оголошення результатів). Водночас трапляються і прямі злами сайтів з метою пропаганди (дефейс) або для використання як платформи для подальших атак (бекдор на сайті – для хостингу malware або для DDoS на інші ресурси). Українським адміністраторам веб-сайтів, особливо в держсекторі та освіті, варто бути насторожі: атака може прийти як “ззовні” (трафік), так і “зсередини” (вразливість, через яку впровадять скрипт). Тепер перейдемо до методів протидії таким загрозам.

5. Методи підміни трафіку (traffic cloaking) і їх виявлення

Як працює cloaking зсередини атаки. Підміна трафіку – це коли зловмисник показує різний контент різним аудиторіям, щоб обійти захист або ввести в оману. Вище ми розглянули приклади: не показувати редірект адміністраторам, ховати спам від постійних відвідувачів. Технічно це реалізується кількома шляхами:

• Перевірка User-Agent та ролі користувача. Скрипт може зчитати рядок User-Agent браузера. Якщо там вказано, скажімо, “Googlebot” (сканер Google) – показати однаковий текст, багатий ключовими словами, але без видимого спаму (щоб пройти SEO-перевірку). Якщо User-Agent – “Mozilla/5.0” (звичайний користувач) і немає ознак адміністратора (немає WordPress cookies на логін) – тоді виконати шкідливу дію. У коді cloaking часто є списки “винятків” – ID адмінів, IP-адреси, відомі боти, для яких інфекція *відключена (Vulnerable Plugin Exploited in Spam Redirect Campaign)】. Так, у кейсі з фейковим плагіном Zend Fonts таблиця в БД зберігала дані про адмінів і скрипт порівнював поточний IP/браузер з цією таблицею, щоб вирішити – робити редірект чи н (Vulnerable Plugin Exploited in Spam Redirect Campaign)】.
• Геотаргетинг. Шкідливий код може виконуватися тільки для відвідувачів з певних країн. Наприклад, атаки SocGholish нерідко перевіряють IP: якщо він з Росії – не показувати фейкове оновлення (мовляв, “своїх не чіпати”), якщо з Європи чи України – показати. Так само і SEO-спам: можуть орієнтуватися на мову браузера або регіон, щоб підвищити ефективність (показувати “купити ліки” лише тим, у кого браузер ru-RU, приміром).
• Часові тригери. Інколи малварі налаштована проявлятись не постійно. Наприклад, редірект може спрацьовувати тільки на перший візит користувача або раз на день, щоб занадто не привертати увагу. Або активується через кілька секунд після завантаження сторінки (сподіваючись, що сканер безпеки цього не помітить, бо він міг вже завершити аналіз).
• Domain/IP cloaking. Особливо витончені атаки можуть перевіряти, з якого домену прийшов трафік. Якщо реферером є Google (тобто користувач клікнув з пошуковика) – показати йому один контент, якщо перейшов напряму або з закладок – інший. Це використовується для того, щоб пошуковий бот індексував сайт як нормальний (сайт же бачить, що бот приходить з Google IP), а реальні користувачі, які приходять теж з результатів Google, одразу перенаправляються на шкідливе. В результаті власник сайту дивується: “Чому люди не залишаються на моєму сайті? Мабуть, їм нецікаво”, а насправді всі вони пішли на інший домен.

Обман брандмауерів та сканерів. WAF (веб-фаєрволи) зазвичай працюють на рівні запитів і не завжди можуть побачити кінцевий результат відображення сторінки. Якщо малварі відправляє шкідливий контент лише в HTML-відповіді, але не в коді сервера – то деякі WAF цього не зафіксують. Сучасні фаєрволи, як Cloudflare, навчилися визначати і поведінкові ознаки (наприклад, якщо сторінка після завантаження одразу робить 1000 запитів до стороннього сайту – це підозріло). Але зловмисники можуть додатково маскувати трафік: вставляти випадкові параметри в URL редіректу, щоб кожен запит виглядав унікально (і не потрапляв під шаблон). Такий прийом ми бачили: скрипт для DDoS через браузер генерував випадковий рядок у запитах (/?71.59…), щоб обійти кеш та ускладнити детек (Hacked WordPress sites force visitors to DDoS Ukrainian targets)】. Також вони можуть використовувати шифрування: наприклад, payload шкідливого редіректу зберігається в зашифрованому вигляді (base64, XOR) і розшифровується вже на клієнті, тож сигнатурному сканеру на сервері важко його знайти.

Виявлення cloaking-активності. Для адміністратора сайту найскладніше – зрозуміти, що його сайт займається підміною трафіку. Що можна зробити:

• Перевіряти сайт як гість. Потрібно регулярно виходити з адмін-панелі (або в режимі інкогніто) і заходити на свій сайт очима звичайного користувача. Бажано – з різних пристроїв, IP-адрес і геолокацій. Якщо ви знаходитесь в Україні, варто протестувати доступ, напр. через VPN з інших країн – чи не з’являється редірект або інший контент. Так само корисно переглянути сайт від імені пошуковика: є інструменти “Fetch as Google” або сервіси, що показують, як бот бачить сторінку. Різниця у вмісті між цими переглядами – сигнал про cloaking.
• Використовувати сканери сайтів. Наприклад, безкоштовний Sucuri SiteCheck або аналоги перевіряють сайт “ззовні” і повідомляють, якщо виявили редірект чи підозрілий скрипт. Вони часто спеціально не імітують адміністратора, тому якщо cloaking є – сканер побачить заражений контент, а ви отримаєте сповіщення.
• Моніторити Google Search Console. Якщо ваш сайт почав показуватися в пошуку з дивними описами (наприклад, snippet містить російські слова про казино) – Console попередить про “Проблеми безпеки: злам зі спамом”. Також користувачі можуть натиснути “Поскаржитися” в Google, якщо їх перенаправило – і ви отримаєте нотифікацію. Тож не ігноруйте повідомлення GSC.
• Перевіряти лог-файли веб-сервера. Cloaking-скрипти зазвичай звертаються до сторонніх доменів (щоб дізнатися куди редіректити, або отримати актуальну рекламу). В access-логах можна побачити нетипові виклики. Наприклад, у випадку Balada Injector лог серверу містив звернення до specialcraftbox.com – чужого хост (Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability)】. Адмін, який переглядає логи, повинен насторожитися: “Чому мій сайт з кожним запитом тягне щось зі стороннього домену?” Це може викрити прихований скрипт.
• Аналіз HTML-коду сторінок. Після завантаження сторінки у браузері (як гість) можна переглянути вихідний код (Ctrl+U). Якщо сайт зламаний, часто там будуть видно дивні або перед . Однак, при cloaking таке може не проявитися, бо для адміна код “чистий”. Тут допоможе інструмент або сторонній сервіс – вони покажуть сирий HTML, який отримує гість. Іноді зловмисники вставляють шкідливий код динамічно через JavaScript (document.write тощо) – тоді в коді сторінки ви побачите щось як <script>eval(String.fromCharCode(….))</script> – явна ознака malvertising.

В цілому, traffic cloaking ускладнює життя захисникам, але його можливо розкрити, якщо знати куди дивитися. Особливо це важливо для освітніх сайтів та медичних порталів, де критично зберегти довіру користувачів: адміністратори мають інколи “перевтілюватися” в студентів чи пацієнтів і перевіряти, чи не показує сайт чогось зайвого.

6. Рекомендації щодо захисту і протидії бот-атакам

Нижче наведені поради та найкращі практики захисту WordPress від розглянутих загроз. Враховано також, як відфільтрувати ботів, не погіршуючи досвід легітимних користувачів (наприклад, реальних людей-реєстрантів на сайті медичного закладу), та як боротися з підміною трафіку.

Регулярне оновлення та обмеження функціоналу. Перший і найважливіший крок – своєчасні оновлення WordPress, плагінів і тем. Як ми бачили, більшість атак використовують відомі вразливості, для яких вже є патчі. Впровадьте політику оновлень: перевіряти наявність оновлень щоденно або ввімкнути auto-update там, де це можлив (Vulnerable Plugin Exploited in Spam Redirect Campaign)】. Обов’язково робіть резервні копії перед оновленнями (на випадок несумісності) – але не відкладайтепатчі. Також видаляйте невикористовувані плагіни і теми: кожен зайвий компонент – потенційний вектор атаки. Після аудиту залиште лише необхідний мінімум розширень. Особливу увагу зверніть на безпеку плагінів форм зворотного зв’язку, завантаження файлів – вони часто бувають дірявими. Якщо функціонал плагіна можна замінити простим кодом – віддайте перевагу меншому коду. Дотримуйтеся принципу “зменшення площі атаки”.

Сильна автентифікація. Захистіть адмін-панель від брутфорсів: увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів з правами адмініа і редактора. Навіть якщо бот підбере чи вкраде пароль, без одноразового коду (OTP з телефону) він не увійде. Багато безпекових плагінів дозволяють легко додати 2FA. Також введіть обмеження на спроби входу (Login Attempt Limit) – спеціальний модуль або налаштування сервера блокуватимуть IP після, скажімо, 5 хибних спроб. WordPress-плагіни безпеки (Wordfence, All In One WP Security тощо) мають таку опцію за замовчування ( 5 best WordPress security plugins 2024)】. Це відріже більшість тривіальних ботів від перебору паролів. Переконайтеся, що адмін-логін не легко вгадати: змініть стандартний “admin” на унікальний username. Використовуйте довгі паролі (12+ символів, випадкові). Для менш чутливих частин сайту, куди боти також б’ють (напр. wp-login.php або XML-RPC), можна ввімкнути додатковий захист на рівні веб-сервера: HTTP-аутентифікацію, обмеження доступу по IP (якщо адміни заходять тільки з офісу, наприклад).

Веб Application Firewall (WAF). Розгорніть брандмауер для вашого сайту. Це може бути плагін WAF (такі як Wordfence) або хмарний WAF (Cloudflare, Sucuri Firewall, Imperva). WAF-фільтр буде аналізувати всі запити до вашого сайту і автоматично блокувати відомі шкідливі патерни: спроби SQL-ін’єкцій, XSS, завантаження PHP-файлів тощ ( 5 best WordPress security plugins 2024)】. Наприклад, Wordfence володіє великою базою підписів атак, і якщо бот спробує експлуатувати дірку в плагіні – WAF зупинить його до того, як код виконається на сайті. Також WAFи захищають від брутфорсу (ліміт логін-спроб, блокування підозрілих IP) та частково від DDoS рівня застосунку (Http flood). Брандмауери можуть уповільнити деякі дії ботів замість повного блокування, щоб не вплинути на реальних користувачів: наприклад, Cloudflare має режим “IUAM” (I’m Under Attack Mode), коли відвідувачу спершу показується коротка затримка з перевіркою (JS challenge), яка непомітна людині, але зупиняє простих скриптів-ботів. Встановлення Cloudflare як проксі перед сайтом також дасть бонус – захист від DDoS на мережевому рівні (вони відсіюють мільйони пакетів на своїх серверах, до вашого сайту навіть не дійде цей обсяг). Для критичних освітніх ресурсів (сайти МОН, великі бібліотеки) варто розглянути платний WAF з розширеними можливостями, але й безкоштовні плани Cloudflare/Wordfence вже значно підвищать безпеку.

Виявлення і блокування ботів без шкоди для користувачів. Блокувати всіх підряд – не вихід, бо можна відлякати справжніх відвідувачів (особливо, якщо це пацієнти чи студенти, яким важливо швидко доступитися до інформації). Тому використовують комбінацію методів:

• Honeypot (пастка для ботів). Це невидиме для людини поле форми або посилання, яке чесний користувач ніколи не заповнить/не клацне, а бот – спробує (бо сканує весь код (Anti-Spam Honeypot: 5 Methods to Stop Bots Without CAPTCHA)】. Наприклад, у форму реєстрації додають приховане поле “middle_name”. Людина його не бачить і лишає пустим, а простий бот заповнить чимось. Якщо поле заповнене – значить, це бот, і сайт відхиляє реєстрацію. Такий метод не потребує взаємодії з користувачем, отже ніяк не псує UX. Досвід показує, що honeypot може відсіяти ~99% тупих спам-боті (Anti-Spam Honeypot: 5 Methods to Stop Bots Without CAPTCHA) (Anti-Spam Honeypot: 5 Methods to Stop Bots Without CAPTCHA)】. Для WordPress є готові рішення: плагіни WP Armour, Antispam Bee і т.д., які додають honeypot у коментарі та форми. Так, WP Armour заявляє, що блокує ботів без капчі “безшовно” для користувача. Впровадити honeypot варто усюди, де боти можуть щось надсилати: форма коментарів, контактна форма, реєстрація. Це значно знизить навантаження від спаму.
• CAPTCHA / reCAPTCHA. Традиційні капчі (“виберіть всі картинки з автобусом”) ефективні проти ботів, але дуже псують користувацький досвід. Сучасні альтернативи – Google reCAPTCHA v3 чи Cloudflare Turnstile – майже непомітні: вони аналізують поведінку користувача у фоні і дають боту “оцінку”. Якщо підозріло – можуть лише тоді показати капчу. Рекомендація: не змушуйте кожного відвідувача проходити перевірку, увімкніть капчу тільки для критичних дій (реєстрація, відновлення паролю, масове голосування, якщо таке є). Деякі плагіни (наприклад, All In One WP Security) дозволяють вмикати прості математичні запитання замість капчі (“3+4 = ?”) – це легше для людей і зупиняє найпримітивніших ботів. Балансуйте між захистом і зручністю: можливо, варто показувати капчу тільки після 3-5 невдалих спроб (тобто бот вже запідозрений).
• Аналіз поведінки та частоти. Боти часто діють не так, як люди: вони можуть за долі секунди заповнити форму і натиснути “Submit”. Встановіть на важливих формах таймери: не приймати форму, якщо вона була надіслана менш ніж через N секунд після відкриття. Людина фізично не здатна за 1 секунду написати повідомлення – отже, це бот. Така перевірка невидима для користувача, але ефективна для ловлі автоматизаці (Anti-Spam Honeypot: 5 Methods to Stop Bots Without CAPTCHA)】. Також відстежуйте частоту дій з одного IP або аккаунта: якщо хтось намагається зареєструвати 50 акаунтів за хвилину – система повинна це блокувати. Можна написати власні невеликі скрипти або використовувати плагіни захисту, що мають функцію Rate Limiting.
• Використання спільних бот-лістів. Деякі сервіси (Project Honeypot, Cloudflare) ведуть бази відомих зловмисних IP-адрес бото-мереж. Підключившись до них, ви можете автоматично блокувати трафік з сумнівних джерел. Приміром, Wordfence Premium має Threat Defense Feed, що блокує IP, помічені на інших сайтах за атако (Wordfence warns of a huge increase in brute force attacks on WordPress)】. Це зупиняє “бродячих” ботів ще на підході. Але обережно: інколи й нормальні користувачі можуть сидіти за NAT з “поганого” діапазону – не переблокуйте зайвого. Краще виставити такий фільтр в режимі логування (спершу збирати статистику, хто відсіявся, і переконатися, що це справді боти).

Захист від DDoS. Проти масованого трафіку найкраще допомагають хмарні рішення (Cloudflare, AWS Shield, Google Project Shield для новинних сайтів). Вони можуть поглинати атаки силою своєї інфраструктури. Якщо сайт критично важливий, розгляньте можливість підключити його через CDN або хоча б включити Cloudflare (навіть безкоштовний план надає базовий захист від L3/L4 DDoS). На рівні сервера можна налаштувати rate-limit правила: наприклад, не більше X запитів на секунду з одного IP. Це відсіє частину ботів. Але сучасні атаки розподілені, тому локальні rate-limit мало допоможуть – все одно прийде одночасно тисячі IP. Також перевірте налаштування свого веб-сервера (Apache/nginx): збільште max_clients, налаштуйте fail2ban для виявлення шлюзу (якщо бачите, що бот б’є по неіснуючих URL, можна банити). Рознесіть критичні служби: наприклад, якщо на тому ж сервері що WordPress стоїть MySQL, DDoS може вибити і його. Краще база на окремій машині – тоді навіть якщо фронт повалять, дані цілі. Кешування сторінок теж допомагає пережити атаку: увімкніть плагін типу WP Super Cache – він буде видавати статичні HTML без звернення до PHP/БД, що значно легше для сервера і дозволить витримати більше трафіку (навіть злого).

Моніторинг файлової системи та цілісності. Щоб оперативно виявляти бекдори і зміни, встановіть сканер безпеки. Плагіни на кшталт Wordfence, Sucuri Security, iThemes Security мають функцію Integrity check – перевіряють файли WordPress і плагінів на відповідність оригіналу. Якщо зловмисник впровадить PHP-файл у wp-content/uploads або змінить ядро, ви отримаєте сповіщення. Wordfence, наприклад, сканує і файл-систему, і базу даних на предмет відомих малварних підписів (в тому числі прихованих , iframe ( 5 best WordPress security plugins 2024)】. Це дуже допомагає у ранньому виявленні: ще до того, як Google почне кричати про злом, ви вже знатимете і зможете вжити заходів. Рекомендується налаштувати щоденні або навіть щогодинні сканування критичних сайтів. Також можна впровадити Notification на додавання нового адміністратора – багато плагінів журналювання подій (Audit Log) надішлють email, якщо раптом у списку користувачів з’явився новий адмін. Це дозволяє відразу спохопитися, адже в нормі ви знаєте, хто у вас адміністратор.

Резервне копіювання і план реагування. Незважаючи на всі засоби захисту, потрібно бути готовим до найгіршого – успішного злому. Обов’язково налаштуйте регулярний бекап сайту: файли + база даних. Частота – залежить від активності сайту (для новинного – щодня, для статичного – хоча б щотижня). Бекапи повинні зберігатися поза сервером (в хмарі, на іншому сервері) і кілька поколінь. Так, якщо сайт зламають і ви не зможете повністю очистити – наявність недавнього бекапу дозволить швидко перевстановити чисту версію, закрити дірку і повернути роботу. Також розробіть план інцидент-респонзу: хто відповідає за усунення наслідків, контакти фахівців (можливо, договори з Sucuri або іншими на випадок екстреної очистки). При DDoS-атаці – мати контакти провайдера, щоб оперативно увімкнути фільтрацію. При дефейсі – бути готовим відключити сайт (поставити заглушку) на час відновлення, щоб не поширювався шкідливий контент. Ці кроки не стільки про профілактику, але критично для мінімізації збитків.

Специфічні поради проти traffic cloaking. Після опису методів cloaking, варто згадати і методи захисту від нього:

• Для виявлення – використовуйте власний “WAF-сканер”: тобто, налаштуйте cron завдання, яке раз на N хвилин завантажує ключові сторінки вашого сайту через інший сервер/проксі і перевіряє, чи немає редіректу або підозрілого контенту. Це свого роду саморобний моніторинг. Якщо щось знайде – нехай надсилає SMS чи Telegram.
• Content Security Policy (CSP). Це HTTP-заголовок, який обмежує, звідки ваш сайт може вантажити скрипти/фрейми. Наприклад, ви точно знаєте, що з вашого домену мають йти скрипти лише з mysite.com і може з analytics.google.com. Тоді CSP, яка забороняє інші джерела, заблокує виконання шкідливого скрипта з невідомого домену (типовий випадок редірект-малварі). CSP може врятувати від багатьох XSS і вставок, хоча в WordPress його іноді важко налаштувати через різноманіття плагінів. Але хоча б базові правила поставити варто (frame-src ‘self’; script-src ‘self’ ‘unsafe-inline’ … і т.д.).
• Очистка кешу/OPcache при оновленнях. Досвід показує, що деякі бекдори ховаються у закешованому коді (OPcache) і навіть після видалення файла можуть продовжувати виконуватися. Тому налаштуйте, щоб при деплої або оновленнях кеші opcode скидалися – так ви уникнете “безсмертних” бекдорів.
• Менше плагінів – менше шансів cloaking. Адже найчастіше складні cloaking-скрипти приходять через встановлення сумнівних плагінів (“SEO-плагін від невідомого автора” – може містити функції cloaking для своїх цілей). Користуйтеся перевіреними рішеннями з хорошою репутацією.

Захист в контексті специфічних груп загроз. Наостанок, зважаючи на активність KillNet/NoName, дайте оцінку ризикам для свого сайту: якщо це, скажімо, сайт великого університету, який може стати символічною мішенню – зробіть наголос на DDoS-стійкості (CDN, дублювання інфраструктури). Якщо це сайт з потенційно цінними даними – акцент на запобіганні витоку (моніторинг БД, складні паролі). Для медичних сайтів критично забезпечити безперебійну роботу для користувачів (пацієнтів), тому тримайте плани запасних сайтів або хоча б сторінок у соцмережах на випадок атаки, щоб інформувати аудиторію. Кібервійна триватиме, і найкраща протидія їй – це проактивний захист і готовність реагувати.

7. Інструменти та плагіни для захисту WordPress

Нижче представлено перелік інструментів, розбитий за функціями, які допоможуть реалізувати зазначені рекомендації. Включено як плагіни WordPress, так і зовнішні сервіси:

Примітка: Більшість зазначених рішень легко інтегруються в WordPress і не потребують глибоких технічних знань. Водночас, їх ефективність значно вища при правильному налаштуванні. Рекомендується комбінувати кілька інструментів для різних рівнів захисту – наприклад, Cloudflare для DDoS + Wordfence для сканування і WAF + Akismet для антиспаму. Це забезпечить багаторівневу оборону (defense in depth). Також варто періодично читати звіти безпекових компаній (Wordfence, Sucuri, WPScan) – вони публікують інформацію про нові вразливості та атаки. Оперативно оновлюючи знання і софт, ви зможете випередити ботів і захистити як свій WordPress-сайт, так і його користувачів від більшості типових загроз в сучасному інтернеті.

Джерела: Звіт складено на основі аналізу матеріалів з офіційних блогів WordPress-безпеки (Wordfence, Sucuri), сайтів кібербезпеки та реальних кейсів атак:

• Дані про масштаб брутфорс-атак і уразливість плагіні (Wordfence warns of a huge increase in brute force attacks on WordPress) (Wordfence warns of a huge increase in brute force attacks on WordPress)】.
• Опис масового використання зламаних WP-сайтів для DDoS на українські ресурси у 202 (Hacked WordPress sites force visitors to DDoS Ukrainian targets)】.
• Приклад експлуатації вразливого плагіна для редірект-кампанії та методи приховування від адміністратор (Vulnerable Plugin Exploited in Spam Redirect Campaign) (Vulnerable Plugin Exploited in Spam Redirect Campaign)】.
• Інформація про про-російські групи (KillNet, NoName057(16)) та їхні атаки на сайт (Ukraine at D+341: Killnet hits US hospitals.) ( Pro-Russian Hacker Group: Noname057(16) | Radware )】.
• Рекомендації з безпеки WordPress та опис функцій захисних плагіні ( 5 best WordPress security plugins 2024) ( 5 best WordPress security plugins 2024)】.
• Антибот-методики (honeypot, аналіз поведінки) та їх переваги над CAPTCH (Anti-Spam Honeypot: 5 Methods to Stop Bots Without CAPTCHA) (Anti-Spam Honeypot: 5 Methods to Stop Bots Without CAPTCHA)】.
• Список інструментів сформовано з урахуванням популярності та згадок у спільноті (офіційний каталог WP, огляди).

Застосування описаних засобів значно знизить ризик бот-атак на ваш WordPress-сайт і допоможе забезпечити стабільну та безпечну роботу, що особливо важливо в умовах зростаючих кіберзагроз. Безпека – це процес, тож впровадження заходів повинно бути підкріплене постійним моніторингом і оновленням – тоді жодні боти не завадять ні вам, ні вашим користувачам.