Sieć jest miejscem o tyle fascynującym, co niebezpiecznym. Co chwilę słyszymy o wycieku danych, złamaniu zabezpieczeń stron, atakach hackerów. Możliwe, że wielu z nas otrzymało przynajmniej raz maila z informacją, że portal X został zaatakowany i nasze dane zostały prawdopodobnie skradzione.
W kontekście bezpieczeństwa często wspomina się o wątpliwej jakości zabezpieczeń stron tworzonych na platformie WordPress. Niezwykle popularne, darmowe narzędzie jest podstawą wielu – zarówno firmowych, jak i prywatnych serwisów. Jeśli zastanawiasz się czy korzystanie z WP jest bezpieczne, ten artykuł jest dla Ciebie.
Podstawowe zasady bezpieczeństwa
Najpierw należy odpowiedzieć sobie na pytanie jak to jest w rzeczywistości. Przede wszystkim pamiętajmy, że nie ma doskonałych rozwiązań, więc w teorii żadna strona nie jest w 100% bezpieczna. Ale istnieje kilka sposobów (i to relatywnie prostych do wdrożenia), które zwiększą w znaczący sposób jej bezpieczeństwo. Na początek trzeba pamiętać o zasadach:
TWÓRZ KOPIE BEZPIECZEŃSTWA
Zdarzyło się Wam kiedyś utracić dokument np. w Wordzie, w którym nie zapisaliście zmian? Kopia bezpieczeństwa jest dla strony internetowej tym, czym dla edytora tekstu funkcja „Zapisz”. Warto stosować ją regularnie. Jak często? To zależy od tego w jakich odstępach czasu i jak duże zmiany wprowadzacie.
Jeśli treści są aktualizowane raz na kilka miesięcy, nie ma potrzeby wykonywać backupu częściej. Podobnie jak w przypadku drobnych zmian (dodanie zdjęcia, poprawa literówki). Jednak każdą dużą modyfikację (np. aktualizacja wtyczek, zmiana znaczącej części treści, dodanie lub usunięcie podstron) powinien poprzedzać backup. Pozwoli nam błyskawicznie przywrócić ostatnią, najświeższą wersję online na wypadek awarii.
Backupy można wykonywać ręcznie, ale równie dobrze sprawdzą się w tym przypadku specjalne pluginy tj. All – in – one WP migration, UpdraftPlus (https://pl.wordpress.org/plugins/updraftplus/) czy BackWPup. (https://pl.wordpress.org/plugins/backwpup/).
AKTUALIZUJ NA BIEŻĄCO
Równie ważne jest utrzymywanie aktualnego stanu WordPressa. Co to oznacza? Należy na bieżąco aktualizować zarówno posiadane wtyczki WP, jak i sam PHP. Wykorzystywanie starych, a co więcej nierozwijanych rozwiązań może stwarzać ogromne zagrożenie i ryzyko ataków z zewnątrz.
Aktualizacja wtyczek wykonywana jest z panelu administracyjnego WordPress, natomiast wersje i ustawienia PHP znajdziecie najprawdopodobniej w odpowiednim panelu do zarządzania usługami hostingowymi.
Przy aktualizacji plug-inów pamiętajcie o jednej ważnej rzeczy. Jakkolwiek nie byłby kuszący jednoczesny update wszystkich wtyczek, może on przysporzyć o wiele więcej kłopotów niż pożytku. W przypadku awarii nawet jednej z nich, odnalezienie jej w gronie kilkudziesięciu pozycji, będzie czasochłonnym i trudnym zajęciem. Zupełnie jak przysłowiowe szukanie spalonej lampki na świątecznej choince. Dlatego zawsze aktualizujcie pojedynczo!
POBIERAJ WTYCZKI ZE SPRAWDZONEGO ŹRÓDŁA
Wtyczki do WP ułatwiają zarządzanie stroną. Wspierają działania pozycjonerskie, pozwalają edytować wygląd strony, podnoszą jej bezpieczeństwo i spełniają wiele innych przydatnych funkcji. Nic dziwnego, że często w panelu mamy zainstalowanych nawet kilkanaście różnych plug-inów. Nic w tym złego – o ile pobieraliśmy je ze sprawdzonego źródła (a jedynym rekomendowanym przez nas jest https://pl.wordpress.org/plugins/).
Tylko to miejsce daje pewność, że plug-in jest sprawdzony, bezpieczny i nie zawiera niebezpiecznego lub złośliwego oprogramowania.
Zapamiętaj jeśli jakaś wtyczka przestała być dla nas użyteczna lub przestała być wspierana - odinstalujmy ją. Nie ma potrzeby utrzymywać jej w panelu i niepotrzebnie zwiększać ryzyko włamania.
ODPOWIEDNIE ZARZĄDZANIE
Prozaiczną, ale ważną rzeczą podczas administracji strony jest odpowiednie rozdysponowanie ról, czyli poziomów uprawnień. Ma to szczególnie znaczenie, kiedy osób obsługujących serwis jest dużo. Należy dokładnie przemyśleć zakresy obowiązków oraz przydzielić odpowiednie dostępy. Z reguły do dyspozycji mamy Subskrybent, Współpracownik, Autor, Redaktor i Administrator. Oczywiście spośród nich największe możliwości ma admin – ta rola powinna być zachowana dla Ciebie i ew. informatyka, który zajmie się zarządzaniem stroną.
W ten prosty sposób naturalnie zmniejszy się potencjalne zagrożenie włamania, a także ryzyko dokonania przypadkowych zmian w ustawieniach strony. Pamiętajcie też, aby na bieżąco aktualizować statusy. Przykładowo – jeśli osoba obsługująca stronę już z nami nie współpracuje – usuńmy jej konto, a w ostateczności zmieńmy hasło dostępu.
Ostatnią rzeczą, którą należy pamiętać, będąc przy temacie zarządzania stroną, jest zabezpieczenie konkretnego pliku (xmlrpc.php), a dokładniej wyłączeniem dostępu do niego. To ważne, ponieważ może zostać wykorzystany do ataku Brute Force. Modyfikacji możemy dokonać poprzez wtyczkę Disable XML – RPC (https://pl.wordpress.org/plugins/disable-xml-rpc/) (instalujemy, włączamy i niczym więcej się nie przejmujemy) lub ręcznie w pliku .htaccess. W tym przypadku wystarczy dodać kilka linijek kodu:
<files xmlrpc.php>
order deny,allow
deny from all
</files>
A czym jest właściwie xmlrpc.php? Przy każdej instalacji strony na WP plik znajduje się pod adresem nazwa-domeny.pl/xmlrpc.php. W dużym uproszczeniu odpowiada za możliwość interakcji ze stroną za pomocą zdalnych aplikacji – np. kiedy chcemy zarządzać stroną ze smartfonu. Jednak w ostatnich latach element ten stał się bardziej problemem niż pomocą. Właśnie w tym miejscu często dokonywane są ataki (Brute Force czy DDoS), dlatego rekomenduje się zablokowanie do niego dostępu.
Przy użyciu .htaccess możemy także ograniczyć dostęp do administracji z wyjątkiem konkretnych adresów IP. Można zrobić to używając przykładowo takiego fragmentu kodu i zamieniając wartości xx na wskazany adres.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist mojkomputer IP address
allow from xx.xx.xx.xxx
# whitelist mojdom IP address
allow from xx.xx.xx.xxx
</LIMIT>
UŻYWAJ SILNYCH HASEŁ
Silne hasła to chyba jedna z najczęściej powtarzanych zasad bezpieczeństwa. Ale jak ma wyglądać to silne hasło? Odradza się używania generatorów haseł oraz logicznych ciągów znaków – np. dat, wyrażeń ze słownika. Jak stworzyć, a potem zapamiętać takie hasło?
Jedną z technik jest wybranie jakiegoś dłuższego zwrotu. Może to być nawet wers z ulubionej piosenki, którego nie zapomnimy, a następnie podmiana części liter na znaki specjalne. Klucz możemy wymyślić sami bazując na istniejących rozwiązaniach – np. L33t language. Metoda może i nie jest idealna, ale z pewnością pomocna.
Przykład: Pr5ykl@d0w3H45l0K70r3U5yw@mN4C0Dz13n PrzykladoweHasloKtoreUzywamNaCoDzien
WordPress a bezpieczeństwo
Czas przejść do przedstawienia rozwiązań „zewnętrznych”, które pozwolą na dalsze zabezpieczenie strony przed atakami hackerskimi.
PROTOKÓŁ SZYFRUJĄCY
O wdrażaniu certyfikatów SSL zapewne już słyszeliście. Zwłaszcza w kontekście zmian w przeglądarce Chrome, która oznacza strony bez https jako niezabezpieczone, a zatem potencjalnie niebezpieczne dla użytkownika.
Wielu właścicieli stron zdecydowało się zakupić odpowiednie certyfikaty – zarówno, aby usunąć niepokojący komunikat, jak i zwiększyć poziom zabezpieczeń na stronie. Nie zapominajmy także, że każdy serwis, który zawiera jakąkolwiek formę rejestracji użytkowników (chociażby zapis do newslettera), obowiązkowo musi posiadać protokół szyfrujący.
LOGOWANIE
Formularze logowania to także temat, który często poruszany jest w kwestii bezpieczeństwa. Już sam fakt, że wielu właścicieli stron pozostawia domyślny URL jako /wp-admin ułatwia pracę hackerom. Istnieje jednak kilka sposobów, które nam pomogą:
- Warto zmienić domyślny login do panelu administracyjnego „admin” – na jakiś własny ciąg znaków. Generalnie w kwestiach bezpieczeństwa używanie generycznych danych jest szczególnie odradzane. Login ustawiamy przy zakładaniu konta na WordPress, a w przyszłości możemy go zmienić w panelu „Użytkownicy”.
- Zmieńmy także adres logowania do panelu. Domyślnie ustawiony jest jako nazwa-domeny.pl/wp-admin lub /admin. Pozostawiając go w niezmienionej postaci narażamy się na domyślne ataki wycelowane w taki URL. Modyfikacji możemy dokonać poprzez wtyczkę WPS Hide Login. (https://wordpress.org/plugins/wps-hide-login/)
- Spora część włamań opiera się na wielokrotnych próbach logowania do panelu na zasadzie „prób i błędów”. Warto zatem ograniczyć ilość prób, które można podjąć jednego IP w określonym odstępie czasu. W tym celu można skorzystać z prostego rozwiązania Limit Login Attempts. (https://wordpress.org/plugins/limit-login-attempts/)
- Walcząc z domyślnymi ustawieniami serwisu WordPress, warto także zmienić ID administratora. Możemy to zrobić w bazie danych, w tabeli wp_users. Domyślnie admin ID to „1” – przypiszmy mu dowolny ciąg losowych cyfr.
ZABEZPIECZENIE BAZY DANYCH
Z oczywistych względów bazy danych bywają częstym celem ataków. Istnieje jednak prosty sposób w jaki można zwiększyć poziom ich ochrony. Ponownie odwołujemy się tu do walki z domyślnymi ustawieniami WordPress.
Standardowo platforma narzuca prefix „wp_” praktycznie do każdej domyślnej nazwy. Jego zmiana prefixu automatycznie utrudni ataki (np. SQL Injection). Nazwę bazy danych ustalamy przy instalacji WP. A co w przypadku kiedy strona jest już postawiona? Nic straconego – z pomocą przychodzą użyteczne wtyczki takie jak chociażby WP-DBManager. (https://pl.wordpress.org/plugins/wp-dbmanager/).
ANTYWIRUS DLA WORDPRESS
Praktycznie każdy komputer chroniony jest przez różne rozwiązania – programy antywirusowe, firewalle itp. Tego typu narzędzia przygotowano także dla samego WordPressa, a dokładniej dla stron, które są na nim stawiane.
Taką rolę pełni np. Wordfence Security Firewall & Malware Scan (https://pl.wordpress.org/plugins/wordfence/),, który jest prawdopodobnie jednym z najpopularniejszych tego typu pluginów na świecie. Obecnie ma ponad 2 000 000 pobrań, jest regularnie aktualizowany i bardzo wysoko oceniany przez użytkowników. To dedykowane rozwiązanie zabezpiecza stronę przed atakami z zewnątrz oraz przed różnego rodzaju złośliwym oprogramowaniem.
Podsumowanie
Jak widać nie należy się obawiać platformy WordPress pod względem rozwiązania ekonomicznego i narażonego na wiele niebezpieczeństw. Warto jednak poświęcić odpowiednią ilość czasu i zabezpieczyć serwis, który jest w końcu jednym z najważniejszych elementów prowadzonego biznesu.
Zainfekowanie czy włamanie na stronę to nie jedyny problem. W takich sytuacjach może ucierpieć nie tylko sam serwis, ale w bardziej krytycznych przypadkach może dojść do wycieku danych, wyłudzeń, a także ucierpieć może cała domena. W konsekwencji odbija się to na widoczności w wynikach wyszukiwania Google, od którego można też otrzymać karę. Naprawa negatywnych skutków może być bardzo czasochłonna i kosztowna.
