Bezpieczeństwo WordPress.

Najlepsze praktyki.

Macie własną stronę, czad, to podstawa marketingu w dzisiejszych czasach. Słyszycie jednak codziennie o wyciekach danych, hackerach… Czy warto się bać? Dziś o tym, co zapewni Wam spokojny sen, czyli o cyberbezpieczeństwie.

Wszędzie te Internety

Wraz z rozwojem Internetu jako potężnej sieci połączonych smart patelni, mikrofalówek, lodówek i smartfonów zrobiło się skomplikowanie. Na tyle skomplikowanie, że ciężko zapanować nad bezpieczeństwem tego wielkiego tworu. Każdego dnia wyszukiwarki takie jak Google, Yahoo czy Bing umieszczają na swoich czarnych listach (blacklist) dziesiątki tysięcy stron. Klasyfikuje się je jako niebezpieczne, bo zawierają pliki, które mogą nam zaszkodzić. Ale dobra, powiedzmy, że mamy tylko prostą stronę-wizytówkę, żadnego zbierania danych, sklepów, blogów itd. Po prostu umożliwiamy kontakt z nami przez stronę, pokazujemy czaderski biznes. Co nam po jakichś złośliwych oprogramowaniach? Otóż sporo. Bo jak wujek Google postanowi, że coś tu nie gra i wrzuci naszą stronę na czarną listę, nici z ruchu na stronie. Wyobraźcie sobie, że widzicie coś takiego po wejściu na stronę. Trochę odstrasza, co?
Jeśli nasza strona zbiera dane o użytkownikach w dowolny sposób (choćby przez formularz, panel logowania, zakup produktu czy zapis do listy mailingowej), możemy być w sporych tarapatach, gdy dostęp do danych osobowych zyska osoba nieuprawniona (hacker?). Stworzyliśmy ten artykuł, żebyście uniknęli niepotrzebnego stresu i oszczędzili pieniądze. Chcemy wyeliminować blokadę związaną z tworzeniem własnej strony spowodowaną strachem przed działalnością cyberprzestępców.

WordPress a bezpieczeństwo

Każdy, kto ma stronę, powinien chronić ją przed zagrożeniami bezpieczeństwa. WordPress z jednej strony daje nam ogrom możliwości, z drugiej strony umieszcza na radarze hackerów. To, co chcemy osiągnąć, to złoty środek. Wykorzystajmy w pełni platformę WordPress, chroniąc maksymalnie swoją stronę.

Dlaczego ktoś miałby mnie zaatakować?

Mały blog wcale nie oznacza małego zainteresowania ze strony hackerów. Zwykle właśnie takie strony są mniej zabezpieczone przed atakami. Najczęstszym celem cyberprzestępców jest:
  • Przekierowanie ruchu z Waszej strony na inne, zwiększając ruch na nich
  • Zdobycie danych Twoich użytkowników lub rozsiewanie złośliwego oprogramowania w Twoim imieniu
  • Spamowanie i dzielenie się fałszywymi informacjami pod szyldem Twojej marki
  • Wszystko powyżej wpływa negatywnie na wyniki wyszukiwania Twojej strony, reputację i zarobki z Twojego biznesu. Jeśli strony są tak podatne na ataki hackerów, to co jest z bezpieczeństwem i integralnością platformy WordPress? WordPress sam w sobie jest bezpieczny, tworzony przez specjalistów z całego świata i zdecydowanie skupia się na bezpieczeństwie swoich użytkowników. Uwagę trzeba zwrócić na to, że odpowiedzialność za wykorzystywanie najlepszych praktyk w dziedzinie bezpieczeństwa spoczywa na administratorach stron internetowych. A administratorem bardzo często jest sam właściciel, w takim przypadku koniecznie powinien zapoznać się z listą poniżej.

    Najlepsze praktyki bezpieczeństwa w WordPressie

    WordPress, jak każde inne oprogramowanie na świecie, ciągle się rozwija. I robi to naprawdę solidnie. Wiążą się z tym częste ulepszenia bazy kodu, dodawanie nowych funkcji i naprawianie bugów. Wszystko pięknie, ale musimy za tym nadążać. Jeśli używacie starszych wersji WordPressa, pluginów czy nieaktualizowanych motywów ryzykujecie, że poprawki, których nie wprowadziliście, mogą dać hackerom pole do popisu.

    Dlatego pamiętajcie o regularnych aktualizacjach, wystarczy 5 kliknięć 3 razy w tygodniu i z bani, jesteście w czołówce, jeśli chodzi o bezpieczeństwo stron internetowych na świecie.

    Zabezpiecz panel logowania przed atakami brutalnymi

    Wyobraź sobie następującą sytuację.

    Po ostatnich aferach w GetinBanku mają wypasione oferty kredytów hipotecznych. Wykorzystaliście sytuację, umówiliście się na spotkanie i oto jesteście. Siedzicie po jednej stronie biurka ze swoją wybranką/wybrańcem i negocjujecie warunki z nieugiętym Panem…, niech będzie, Sebastianem – konsultantem kredytowym Getin Banku. Wybraliście kredyt, Pan Sebastian nieubłaganie wciska klawisze na klawiaturze i w końcu rzuca: “Prognozowana rata miesięczna to 2430zł”. No kurczę, sporo, będzie ciężko…

    Nagle da się zauważyć, że z Panem Sebastianem coś jest nie tak, jak by się zestresował czy coś. Pada kardynalne: “Przepraszam Państwa na kilka minut. Za chwilkę będę.”.

    Ok, to jest ten czas, budzi się w Tobie hacker i podbiegasz do laptopa. “Wylogował się, skubaniec” – myślisz. Nazwa użytkownika, hmm, spróbujmy, Sebastian. Hasło, niech będzie… Sebastian. Kurczę, nie działa. Wtem dostrzegasz na biurku ramkę ze zdjęciem pociesznego psiaka z podpisem Fafik. To musi być to. Nazwa użytkownika: Fafik, hasło: Fafik. Jesteś w środku, zalogowany. Zauważasz pole rabat dla spoko klientów: 0%. Ej no, przecież jesteśmy spoko. Wpisujesz: 40%, pyk, prognozowana rata kredytu teraz to 1458zł. No i będzie na corgiego! Czad, jesteś bohaterem w swoim związku, a Sebastian ma przerąbane.
    Atak, który wykonałeś to raczej atak słownikowy, nie brutalny, ale o tym dokładnie w następnym artykule. W internecie Sebastian byłby poddawany takim atakom tysiące razy każdego dnia. Może hackerzy nie widzieliby Fafika na biurku, ale hasło o takiej małej złożoności (hej, raptem 5 liter!) jest do złamania, wykorzystując moc obliczeniową Twojego smartfona, w ciągu kilka sekund. No nie ma szału, co? Dobra, no to jak z tym walczyć, co polecamy? A takie rzeczy:
  • Wyłącz domyślne ustawienie w WordPressie z nieograniczoną liczbą prób logowania – no i klops dla cyberprzestępców, max 5 prób na 15 minut. Jest progres, co dalej?
  • Uwierzytelnianie dwuskładnikowe (2FA) – dodanie do procesu logowania dodatkowego składnika, my korzystamy z Two Factor Authentication i Google Authenticatora i mryga!
  • Wykorzystujcie menadżera haseł do generowania i przechowywania haseł, polecamy KeePass!
  • Domyślnie sekcja administracyjna strony jest dostępna po dopisaniu do adresu Waszej strony ‘/wp-admin/’ lub ‘/wp-login.php/’, zmieńcie to na coś unikalnego, może ‘/fistaszek/’? Wyeliminuje to większość prób nieautoryzowanego logowania na Waszą stronę.
  • Wymuszaj wylogowanie użytkowników, którzy chcą wejść do sekcji strony nieprzeznaczonych dla nich. Dobrą praktyką jest też zakończenie bezczynnych sesji, żeby przeciwdziałać atakom.
  • Przydzielaj uprawnienia użytkownikom z rozwagą. Ten, kto wstawia treści na stronę, nie powinien być administratorem! Zabezpiecz podstawowe pliki konfiguracyjne takie jak ‘wp-config.php’, ‘.htaccess’ i przenieś je do katalogów dostępnych tylko dla administratorów.
  • Szyfruj ruch z Twojej strony za pomocą TLS 1.2+

    Zabezpiecz ruch między serwerem, na którym siedzi Twoja strona a jej użytkownikami. Odpowiednia konfiguracja certyfikatu SSL pozwala na przeciwdziałanie podsłuchiwaniu ruchu przez hackerów, czyli atakom MITM (Man-in-the-middle). Nie ma co mówić, że jeśli przetwarzacie dane osobowe klientów, to wtedy używajcie TLS. Nie! Po prostu trzeba go używać. To jest standard w dzisiejszych czasach, a każda strona zaczynająca się adresem http traci bardzo dużo, nawet pod względem SEO. Powstał świetny portal – let’s encrypt, który umożliwia wystawienie darmowego certyfikatu dla każdego. Kryptonum gusta! Jak byście potrzebowali pomocy z konfiguracją, piszcie!

    Nie zapominaj o kopiach zapasowych i bezpiecznym hostingu

    Nawet jeśli wprowadzimy serię zabezpieczeń, nie można powiedzieć, że jest spoko i nic nam się nie stanie. Hackerzy to bardzo zdolni ludzie. Wtyczka, która jeszcze wczoraj była uznawana za bezpieczną, może stać się jutro wytrychem do Twojej strony. To jest trochę taki wyścig zbrojeń XXI wieku. Ludzie od cyberbezpieczeństwa zajmują się łataniem systemów, a hackerzy szukają podatności.

    Czyli co, wszystko stracone? I tak się nie uda zabezpieczyć, więc lepiej nic nie robić? Nope. Pamiętaj o kopiach zapasowych i wykonuj je cyklicznie. Jest wiele platform chmurowych, które pozwalają na tworzenie kopii zapasowych w różnych miejscach na świecie, niezależnych od siebie. Pamiętajcie, że kopia zapasowa na hostingu to fajna sprawa i oszczędność nerwów. Dodatkowym stopniem zabezpieczenia jest trzymanie oddzielnej kopii w innym miejscu (chmura, własny dysk twardy, skonfigurowany NAS).

    Zapobiegaj atakom wstrzykiwania SQL (SQL injection)

    Najczęściej spotykanym atakiem i podatnością stron internetowych jest atak wstrzykiwania SQL. Brzmi strasznie, jest o czym pisać, więc wyjaśnimy dokładnie o co chodzi w oddzielnym artykule.
    Wstrzykiwanie kodu SQL to podatność bezpieczeństwa, która pozwala atakującemu manipulować żądaniami do bazy danych, z których korzysta Wasza strona. Sprowadza się do tego, że hacker ma możliwość dotarcia do danych, które nie są dla niego przeznaczone. Mogą to być dane innych użytkowników, Waszych klientów, dane transakcji itd. Podsumowując, spory przypał. Sposobów na zabezpieczenie się przed tym atakiem jest wiele. W tym artykule skupiamy się na WordPressie i prostych czynnościach, które szybko polepszą bezpieczeństwo Waszych stron. Zalecamy zmianę prefiksu tabeli z domyślnego ‘wp-’ na coś unikalnego – tym razem nie używajmy ‘fistaszka’, niech poniesie nas inwencja!

    Podsumowanie

    Bezpieczeństwo WordPressa to temat, który jara hackerów. Nie dajmy się im, wprowadzając przynajmniej powyższe zalecenia. Pozwoli to na ‘utwardzenie’ Waszych stron do poziomu, który skutecznie zniechęci cyberprzestępców do jakichkolwiek prób ataków. Ponadto, mamy nadzieję, że będziecie dzięki temu spali nieco spokojniej, a jak wydarzy się coś złego, to na spokojnie odzyskacie stronę ze świeżutkiej kopii zapasowej.

    Don’t Be A Stranger…

    Just write down some details and our customer success heroes will get back to you in a jiffy!

    Contact Info

    • 2917 Farm Meadow Phoenix, AZ 85008
    • 928-830-6228
    • James@company.com