Bezpieczeństwo strony www na WordPressie z perspektywy jej właściciela jest fundamentalnie ważne. Zapytasz czytelniku, dlaczego? „Przecież działa poprawnie”, „muszę skoncentrować się na procesach sprzedażowych, tam są zyski”, zdarzało mi się słyszeć od przedsiębiorców. Płynność finansowa w biznesie jest rzeczą fundamentalnie ważną, jednak kiedy nasz serwis w sieci nie byłby dostępny przez dłuższy okres, będzie to miało również wpływ na finanse.
WordPress – najbardziej popularny CMS na świecie
Trzeba pamiętać, że WordPress jest niezwykle popularnym systemem zarządzania treścią CMS (niektóre źródła wskazują nawet na 75% jego udział w tego typu systemach https://www.wappalyzer.com/technologies/cms i około 40% wśród najpopularniejszych stron: , https://w3techs.com/technologies/details/cm-wordpress)
Wiele jego zalet wskazaliśmy w naszych artykułach opublikowanych niedawno na naszym blogu:
· Dlaczego warto korzystać z WordPressa?
· Jakie wtyczki stosować do WordPress?
· Przeniesienie strony na WordPressa
Znaczna część rozbudowanych funkcjonalności WordPressa dostępna jest bez opłat, cechuje go też łatwość wdrożenia. Jak zainstalować WordPressa w 2 minuty? prezentowaliśmy na naszym YouTube.
Popularność systemu, jego otwartość, korzystna relacja jakość – cena to jego duże zalety. Z drugiej strony ta popularność oznacza również duże zainteresowanie nie tylko potencjalnych użytkowników, ale również osób zajmujących się działalnością przestępczą w sieci (tzw. hackerów). Zwłaszcza, że technologie na jakiej jest zbudowana strona można bardzo łatwo sprawdzać przy pomocy szerokiego wachlarza narzędzi np. https://www.wappalyzer.com/
Bezpieczeństwo hostingu dedykowanego dla WordPressa
Właściciel strony może powiedzieć, że bezpieczeństwo powierza firmie hostingowej, która utrzymuje serwery i systemy, na których funkcjonuje strona. W dużym stopniu jest to prawda. Operator hostingu musi zadbać o bezpieczeństwo systemów i sieci, na którym są utrzymywane strony klientów. System operacyjny serwerów (np. CloudLinux https://www.cloudlinux.com/), system zarządzenia hostingiem (np. cPanel https://cpanel.net/), ochrona brzegowa serwerowni to kluczowe elementy bezpieczeństwa infrastruktury hostingowej. Operator hostingu dba o bezpieczeństwo tych systemów oraz infrastruktury sieciowej, ale o bezpieczeństwo aplikacji (np. WordPressa) powinna dbać jednostka, która ją wdraża, utrzymuje i aktualizuje treści. Zatem w zakresie utrzymania bezpieczeństwa strony www, odpowiedzialność jest po stronie przedsiębiorcy. Stabilność działania systemów informatycznych w tym strony internetowej wpływa na jego biznes.
Czym może skończyć się pozostawianie WordPressa bez opieki serwisowej?
Skutki zaniedbań w zakresie bezpieczeństwa strony internetowej można spróbować zamknąć w postaci listy, ale nie wszystkie z nich są możliwe do przewidzenia. Zwykle kończy się na włamaniu do panelu administracyjnego (wp-admin) lub przejęciem kontroli nad stroną poprzez „wstrzyknięcie” z internetu złośliwego kodu, który zaczyna pracować na naszej stronie już nie dla nas, ale dla hackera.
Najczęściej te działania kończą się dla właściciela strony:
· Jej zablokowaniem ze względów bezpieczeństwa przez operatora hostingu (włamanie zostaje wykryte przez systemy firmy hostingowej).
· Utworzenie w panelu administracyjnym WordPressa nowych użytkowników z wysokimi uprawnieniami, którzy będą mogli wykonać dowolne działania na stronie.
· Podmiana zawartości strony lub jej części (np. na tzw. “ofertę” hackera).
· Zarejestrowanie strony na tzw. „czarnych listach”, jako strony szkodliwej w serwisach reputacyjnych producentów oprogramowania security (oprogramowanie będzie ostrzegać Twoich potencjalnych klientów przed wejściem na Twoją stronę).
· Użyciem oprogramowania strony do rozsyłania spamu.
Jakie działania należy podjąć i od czego zacząć, aby uniknąć tego typu konsekwencji? Spróbuję Ciebie drogi Czytelniku, poprowadzić krok po kroku.
Certyfikat SSL – komunikacja protokołem https
Pierwszy krok to wdrożenie szyfrowanej komunikacji. Koniecznie należy cały ruch klientów do Twojej strony, prowadzić protokołem szyfrowanym https, aby zabezpieczyć np. dane pozostawione przez potencjalnych klientów w formularzach kontaktowych i dane logowania. Aby to wdrożyć należy wykonać dwa kroki:
· Instalację certyfikatu SSL w panelu administracyjnym hostingu (Jak zainstalować certyfikat SSL na koncie hostingowym z systemem cPanel? pokazuje prezentacja: https://www.youtube.com/watch?v=v4SF1CKN1Hk
· Wdrożenie wtyczki wymuszającej na stronie ruch szyfrowany do strony na WordPress https:// np. Really Simple SSL. Jak ją zainstalować dowiesz się z artykułu na naszym blogu: https://www.mserwis.pl/blog/jakie-wtyczki-stosowac-do-wordpress/
Aktualizacje WordPressa są fundamentalnie ważne
Kolejny krok to aktualizacje, które są podstawą bezpieczeństwa WordPressa.
Przy logowaniu do panelu administracyjnego np. w trakcie publikowania treści należy zwrócić uwagę na to czy nie wyświetlają się komunikaty dotyczące nowych wersji WordPressa, która powinna być aktualizowana automatycznie. Warto przejrzeć przy tej okazji listę motywów i wtyczek (Rysunek 1). W razie wyświetlania komunikatów o nowych wersjach, należy „ręcznie” zainicjować aktualizację. Warto również zorientować się czy nie stosujemy wtyczek do których skończyło się wsparcie. Jeśli autor wtyczki nie wydaje już do niej poprawek, należy jak najszybciej szukać innego rozwiązania, które oferuje podobną funkcjonalność i wdrożyć je tak, aby było cały czas wspierane. Zaleca się również usunięcie nieużywanych wtyczek.
Rysunek 1 Przykładowy fragment listy wtyczek koniecznych do aktualizacji w WordPress
Kopie zapasowe strony na WordPressie
Kopie zapasowe naszych zasobów na koncie hostingowym to oczywiście obowiązek firmy, która udostępnia mam swoje serwery w celu utrzymania strony. Warto jednak regularnie, na przykład przed wykonaniem aktualizacji CMS oraz wykonywania zmian na stronie (aktualizacje treści czy wyglądu strony), wykonać kopie zapasową samodzielnie i w każdej chwili mieć możliwość jej przywrócenia (bez zgłaszania takiej potrzeby firmie hostingowej). Jeżeli używamy hostingu z profesjonalnym systemem zarządzania, bardzo łatwo wykonać to w cPanelu. Krok po kroku pokazuje to wideo: Jak wykonać kopię zapasową / backup w cPanelu? https://www.youtube.com/watch?v=5CZecUD3zcM
Ochrona dostępu do panelu administracyjnego
Użytkownicy WordPressa używają zwykle standardowej ścieżki do panelu administracyjnego (wp-admin). Między innymi z tego powodu panel administracyjny, może stać się obiektem ataku hakerskiego, w celu przejęcia pełnej kontroli nad stroną.
Ważne jest nieużywanie jako loginu: admin oraz administrator. Ułatwia to włamanie, zwłaszcza przez automatycznie działające oprogramowanie realizujące próby włamania, przy użyciu typowych loginów i haseł. Zaleca się używanie unikalnych, mocnych haseł,
np. losowych zawierających 20 znaków oraz przechowywać je w menadżerze haseł (np. darmowym https://keepass.info/).
Warto pójść o krok dalej i wdrożyć rozwiązanie dwuskładnikowego uwierzytelniania (two factor authentication 2FA) zwłaszcza kiedy przechowujemy dane ważne dla firmy lub dane osobowe. Rozwiązanie wymusi, oprócz loginu i hasła, podanie dodatkowego składnika np. kliknięcia w link lub kod z aplikacji Google Authenticator. Wdrożenie krok po kroku wtyczki miniOrange (https://www.miniorange.com/2-factor-authentication-plugin) pokazaliśmy w artykule: https://www.mserwis.pl/blog/jakie-wtyczki-stosowac-do-wordpress/
Zabezpieczenie przed SPAMEM
Internet już od wielu lat jest medium interaktywnym. Twórcom bardzo zależy na aktywności czytelników, czyli potencjalnych klientów. Na stronach pojawia się możliwość pozostawiania opinii. W momencie kiedy dopuszczamy pozostawianie komentarzy na stronie, należy uchronić się przed spamem. W najłagodniejszym przypadku psuje on wizerunek naszej firmy, ale należy pamiętać, że takie wpisy mogą również zawierać linki do złośliwego oprogramowania.
Przed spamem ochronią naszą witrynę odpowiednie wtyczki np. Akismet. Wdrożenie opisaliśmy wcześniej na naszym blogu w cytowanym już wcześniej artykule (https://www.mserwis.pl/blog/jakie-wtyczki-stosowac-do-wordpress/).
Dodatkowe wtyczki bezpieczeństwa
Przy omawianiu dodatkowych wtyczek bezpieczeństwa dla WordPressa, warto zaznaczyć że pełnią one rolę dodatkową i nie zastąpią ważnej aktualizacji CMS, wdrożenia certyfikatu SSL czy zabezpieczenia dostępu do panelu administracyjnego. Warto sięgnąć po takie rozwiązania w celu dodatkowej ochrony naszej aplikacji przed atakami sieciowymi, gdyż nawet w wersjach darmowych posiadają one zaporę (firewall). Dodatkowo poinformują alarmem e-mail o próbie dostępu do panelu administracyjnego oraz o konieczności aktualizacji składników WordPressa.
Wdrożenie wtyczki Wordfence Security pokazałem w artykule:
https://www.mserwis.pl/blog/jakie-wtyczki-stosowac-do-wordpress/
Bezpieczeństwo WordPressa to wiele czynników o które należy zadbać
Elementów od których zależy bezpieczeństwo aplikacji webowej, w tym również WordPressa jest wiele. Warto wykonać listę do wykonania i wdrażać rozwiązania pokazane powyżej krok po kroku we wszystkich serwisach utrzymywanych w tym systemie.
Komentarze
4 odpowiedzi na “Jak zabezpieczyć WordPressa?”