Уровень WordPress
WordPress — самая популярная CMS в мире, поэтому самая атакуемая. Аудит начинается с проверки версии ядра — должна быть последней стабильной. Затем проверяется обновление всех плагинов и тем, а неиспользуемые должны быть полностью удалены. Деактивированный плагин — тоже источник риска, так как файлы остаются на сервере и могут содержать уязвимый код.
Следующий шаг — учётные записи. Права администратора только у тех, кому они нужны. Пользователя с именем "admin" быть не должно — это первое имя, которое пробуют атакующие. Проверяются сильные пароли, включена ли двухфакторная аутентификация и защищена ли папка wp-admin IP whitelisting.
Уровень сервера
Аудит на уровне сервера начинается с обновления ОС: apt update и apt upgrade приводят все пакеты к последним версиям. Затем проверяются запущенные сервисы — netstat -tlnp показывает открытые порты. Должны работать только нужные сервисы, остальные останавливаются или удаляются.
SSH-конфигурация требует особого внимания: вход по паролю отключён, root-логин запрещён, стандартный порт 22 заменён, аутентификация по ключу включена. В PHP-конфигурации display_errors должен быть отключён, expose_php = Off, опасные функции (exec, shell_exec, system) добавлены в disable_functions.
SSL и шифрование
Состояние SSL-сертификата проверяется через SSL Labs (ssllabs.com/ssltest) — рейтинг должен быть минимум A. TLS 1.0 и 1.1 отключены, TLS 1.2 и 1.3 включены. Слабые алгоритмы шифрования (RC4, DES, 3DES) убраны из списка, HSTS-заголовок настроен, цепочка сертификатов полная.
Также проверяются: подключения к БД через SSL, пароли хешированы bcrypt или Argon2, API-ключи хранятся в переменных окружения, а не в коде.
Резервные копии и восстановление
Наличие бэкапов недостаточно — нужно тестировать их работоспособность. Во время аудита берётся последний бэкап и проводится тестовое восстановление в отдельной среде. Проверяется давность бэкапа, частота создания и безопасность хранения (защита паролем, шифрование, оффсайт-копии). Правило 3-2-1: 3 копии, 2 разные среды, 1 оффсайт.
Права пользователей
Права файловой системы важны для безопасности: веб-файлы 644, папки 755, конфигурационные файлы 600. Владелец — правильный пользователь (обычно www-data или nginx). Веб-сервер не должен иметь права на shell, у пользователя БД только нужные права (не GRANT ALL).
Практика Sayt.uz
Клиентам хостинга Sayt.uz раз в год предоставляется бесплатный аудит безопасности. Отчёт содержит все найденные уязвимости, их критичность и конкретные рекомендации по устранению. Для коммерческого аудита оформите заявку в личном кабинете или свяжитесь с техподдержкой.