WordPress - 7 porad dla właścicieli stron, którzy chcą spać spokojnie
Jedni cenią WordPressa za funkcjonalność, szeroki wybór dostępnych wtyczek i prostą obsługę. Inni z kolei twierdzą, że to rozwiązanie dla początkujących blogerów i zarzucają mu podatność na włamania. No właśnie - jak to jest z tymi dziurami i czy WordPress to bezpieczne narzędzie?
Ten artykuł powstał z myślą o:
- uruchamiających nowy biznes, którzy chcą od razu wdrożyć choćby podstawowe zabezpieczenia w stronie na WordPressie, aby móc skupić się na swoim pomyśle, a nie walce z intruzami,
- właścicielach obecnych stron firmowych lub prywatnych, którzy chcą poczuć się bezpieczniej i zmniejszyć ryzyko niepożądanych sytuacji, związanych z bezpieczeństwem ich strony (np. kary za wykradzione dane, dziwne linki, przekierowania),
- zlecających wykonanie strony specjaliście albo agencji, którzy chcą lepiej przygotować się do rozmowy z wykonawcą i lepiej rozumieć, czego mają prawo oczekiwać.
To nie przypadek, że jako największy blog o technologiach w kraju, świadomie zdecydowaliśmy się właśnie na WordPressa. Nie wyobrażamy sobie skuteczniejszego systemu do realizacji naszych projektów. WordPress może być bezpiecznym narzędziem do prowadzenia dużego serwisu, jeśli tylko dobrze o niego zadbamy… Jak to zrobić?
Z pewnością nie jednorazowo:
Bezpieczeństwo to proces, nie da się tego zrobić raz i mieć spokój na zawsze, o naszego WordPressa powinniśmy dbać przez cały cykl życia strony. Oprócz kwestii technicznych związanych z WordPressem, należy też zadbać o bezpieczeństwo danych dostępowych zarówno do hostingu jak i do samego WordPressa. Często obserwuję sytuację w której właściciel strony skupia się na technicznych aspektach, jednocześnie zapominając o tak podstawowych kwestiach jak np. wyłączenie dostępu dla osób, które już z nami nie współpracują.
- mówi Maciej Kuchnik, autor jednego z najważniejszych polskich podcastów dla twórców i właścicieli stron, “Rób WordPressa” (jeśli pracujesz na WordPress - gorąco polecam, warto posłuchać!)
Zanim jednak poznasz kilka podstawowych punktów, które mogą pomóc Ci w zdrowym i bezpiecznym prowadzeniu Twojej strony - pierwszy protip ujawnię od razu.
Wszystko to, co przeczytasz w tym artykule radykalnie obniży poziom narażenia Twojej strony na nieprzyjazne działania. Radykalnie, pod jednym warunkiem - że przeczytasz do końca i faktycznie BĘDZIESZ REGULARNIE DBAĆ o wszystkie opisane tu elementy. To jak z kopiami zapasowymi. To, że wiesz, że należy wykonywać kopie zapasowe - nie chroni przed utratą danych. Ochronę daje dopiero ich faktyczne wykonywanie.
Dlatego, jeśli masz już swoją stronę na WordPressie, zawrzyjmy umowę. Czytasz dalej TYLKO jeśli wiesz, że w ciągu najbliższych 7 dni wygospodarujesz chwilę na przepracowanie tych zagadnień na Twojej stronie. Możesz spróbować przerwać w tym momencie, tylko wtedy już nie wyobrażaj sobie tych wszystkich spamerskich linków, ostrzeżeń z programów antywirusowych, utraconych pozycji w Google, pikujących jak moneta rzucona z dachu wieżowca, drakońskich kar, które możesz zapłacić w razie wykradzenia cennych danych.
To, jak, mamy umowę? W takim razie zapraszam!
1. Aktualizacje. Zapomniałeś o nich? A włamywacze pamiętali...
Jeden z czołowych dostawców hostingowych na rynku, cyber_Folks, przeprowadził w 2019 roku badanie 12 tysięcy losowo wybranych WordPressów, znajdujących się na ich serwerach. Okazało się, że 80 proc. właścicieli stron nie aktualizuje swojego WP. Dlaczego to takie ważne?
Właśnie ze względów bezpieczeństwa! Najnowsze aktualizacje są najczęściej udoskonaleniem poprzedniej wersji nie tylko pod kątem optymalizacji kodu i płynności działania, ale też pod względem zabezpieczania strony. Czasem to drobne poprawki mogą okazać się naprawdę znaczące, a praca na starych i nieaktualnych standardach naraża stronę na ataki hakerskie.
Pamiętaj, żeby dbać o aktualność swojego WordPressa zarówno pod kątem rdzenia, jak i wszystkich komponentów. Wiele osób sugeruje się tylko tym, czy w panelu jest zainstalowana najnowsza wersja, zapominając o bezwzględnej dacie instalacji obecnej. Kiedy instalujesz wtyczkę i przez 3 lata nie ma ona aktualizacji, to teoretycznie wciąż masz najnowszą wersję. Tyle, że jest to już wersja „stara”, po prostu autorzy nie zadbali o aktualizacje, a przez 3 lata mogły pojawić się nowe zagrożenia.
2. Pamiętaj o kopiach zapasowych!
Mając odpowiednie uprawnienia i dostęp do panelu administracyjnego, możesz wykonać kopie zapasowe samodzielnie zgrywając pliki i zrzut bazy… ale w dobrej firmie hostingowej - nie musisz robić tego ręcznie. Dobry operator hostingu zapewnia częsty system wykonywania kopii zapasowych. Kiedy wybierzesz dobry hosting dla WordPress - to będzie się działo „samo”, Twoje pliki, bazy i poczta będą codziennie backupowane bez względu na to, czy o tym będziesz pamiętać, czy też nie.
Zwróć uwagę, że firmy hostingowe różnią się czasem przechowywania kopii zapasowych. Przykładowo, cyber_Folks kopie plików wykonuje codziennie. Przechowywane są 4 kopie dziennie i 4 tygodniowe, co daje do 28 dni dostępu do archiwalnych kopii danych. Oznacza to, że ryzyko strat w przypadku awarii lub w razie włamania na stronę jest naprawdę niewielkie. W wypadku hostingu WordPress kopie baz są wykonywane co 6 godzin, co będzie szczególnie cenne dla osób pragnących używać WordPress do prowadzenia sklepu (np. w oparciu o popularny plugin WooCommerce).
Kopia zapasowa wykonywana przez firmę hostingową jest ważnym elementem Twojego systemu bezpieczeństwa. Warto natomiast mieć własne kopie zapasowe, wykonywane w całkowicie niezależnych miejscach. Istnieje ku temu kilka powodów.
Wygodnie wykonasz to wtyczkami, jak np. BackWpup!. Przeczytaj rozległy wpis o kopiach zapasowych WordPress na blogu cyber_Folks, z którego dowiesz się więcej o samodzielnym wykonywaniu kopii zapasowej.
3. Wtyczki typu „security” zwiększają bezpieczeństwo WordPress... na pewno?
Wtyczki „do bezpieczeństwa” to kontrowersyjny temat. Większość osób związanych profesjonalnie z tworzeniem stron zwraca uwagę, że istnieją co najmniej 3 istotne wady korzystania z takich wtyczek.
- Zawierają one często złożoną logikę analizującą ruch przychodzący do strony i może to powodować spadek wydajności strony.
- Wtyczki te często mają rozległy kod. Są tym samym podatne na ludzkie błędy i mogą same zawierać dodatkowe podatności. W historii dochodziło już do sytuacji głośnych ataków, wykorzystujących podatności we wtyczkach, które miały chronić przed atakami!
- Większość zabezpieczeń można wykonać samemu kilkoma względnie prostymi posunięciami, np, modyfikując plik .htaccess na serwerze, więc po co instalować skomplikowane wtyczki?
Istnieją też argumenty za wtyczkami tego rodzaju:
- Dają poczucie bezpieczeństwa. Często potrafią „wizualizować” zatrzymane ataki. To poprawia świadomość właściciela strony, który stopniowo może coraz lepiej rozumieć zagadnienia związane z bezpieczeństwem.
- Osobom bez kompetencji technicznych pozwalają kilkoma kliknięciami wykonać podstawowe operacje, jak ochrona strony logowania przed atakami brute-force, zmienić przedrostki tabel w bazie danych itp.
- Niektóre z popularnych wtyczek - np. WordFence - działają z użyciem filtrowania ruchu w oparciu o koncepcję rozproszonego bezpieczeństwa. Polega ona na tym, że jeśli na świecie użytkownicy zanotują wrogą działalność z danego adresu IP, zostanie on wpisany na czarne listy dystrybuowane przez dostawcę wtyczki. To trochę, jak szczepionka, Twoja strona będzie chroniona przed takim adresem IP zanim jeszcze zetknie się z wrogim żądaniem z tego adresu.
Jeśli masz kompetencje techniczne prawdopodobnie lepszym wyborem będzie samodzielne wzmocnienie Twojej instalacji poprzez zadbanie o odpowiednie nazwy tabel w bazie (zamiasts podstawowego wp_), albo dokonanie kilku dodatkowych wpisów w .htaccess, które ochronią Cię przed wieloma kłopotami. Zabezpieczenia WordPress, które możesz wprowadzić samodzielnie opisuje na swoim blogu cyberfolks.pl.
Znaną i cenioną publikację na ten temat proponuje też Krzysztof Dróżdż, doświadczony programista, specjalizujący się w środowisku WordPress. „Wyczaruj sobie spokój” stało się legendarnym, bezpłatnym mini-podręcznikiem dla średnio-zaawansowanych użytkowników tego systemu CMS. Jak mówi sam autor:
Wielu użytkowników wierzy, że wystarczy zainstalować wtyczkę „zabezpieczającą” i można zapomnieć o opiece nad stroną. Niestety jest to bardzo złudne i często prowadzi do infekcji. Wtyczka zabezpieczająca to nadal tylko wtyczka i działa ona warstwę wyżej niż sam WordPress. Jeśli więc nasza strona jest podatna na ataki, to wtyczka nijak jej nie załata. (...) Jak zatem zadbać o bezpieczeństwo? Tak samo, jak o dobry stan zdrowia czy samochodu - stosować się do dobrych praktyk i zaleceń, monitorować, szybko leczyć/naprawiać usterki i korzystać z usług osób, które się na tym znają.
- mówi Krzysztof Dróżdż.
Jeśli nie masz kompetencji technicznych - dobrym wyjściem będzie zatem skorzystanie z pomocy specjalistów, którzy znają się na tym lepiej. Koszt pracy specjalistów będzie o wiele niższy niż ewentualne kary za np. utracone dane osobowe.
Jeśli nie masz ani umiejętności, ani budżetu - to skorzystanie z wtyczek może okazać się pewnym rozwiązaniem, które traktuj raczej jako rozwiązanie tymczasowe i miej świadomość ograniczeń wskazanych powyżej.
4. Używanie silnych haseł - jak robić to wygodnie?
Mówisz, że to przecież oczywiste? Niestety dla wielu nadal takie nie jest, a ataki hakerskie bardzo często dotyczą właśnie kradzieży haseł. Jak powinno wyglądać idealne hasło?
Silne hasło powinno być nieoczywiste i wbrew pozorom - może być trudne do zapamiętania - od tego jest menedżer haseł. Rozwiązania typu KeePass pozwalają na bezpieczne przechowywanie zróżnicowanych i silnych haseł do wielu miejsc i serwisów.
Niemal każdy z nas, chociaż raz w życiu posiadał proste hasło: jedno lub dwa słowa, bez znaków specjalnych. To normalne, że staramy się mieć hasło, które łatwo nam zapamiętać, ale… Skoro jest ono łatwe dla nas, z pewnością będzie proste do odgadnięcia także dla potencjalnego hakera. Ktoś inny jest w stanie zapamiętać nasze zabezpieczenia w bardzo prozaiczny sposób, np. podglądając nas zza ramienia, albo przy wykorzystaniu Brute-Force.
- mówi Paweł Otlewski, autor popularnego artykułu o bezpieczeństwie WordPress.
W panelu cyberfolks.pl w usłudze hostingu WordPress znajdziesz unikatowy audyt bezpieczeństwa WordPress, który w odniesieniu do hostowanych stron, sprawdza wg listy tysięcy popularnych haseł, czy nie zostały one wykorzystane przez użytkownika. Przykładowo mogą to być trywialne “password”, “admin”, “administrator”, “root”, “god”, a w odniesieniu do języka polskiego często używane hasła to wulgaryzmy, imiona i nazwy klubów sportowych. Jak widać, dobry hosting dla WordPress może Cię dodatkowo wspierać w obszarze bezpieczeństwa, bezpłatnie zapewniając dodatkowe narzędzia audytujące.
źródło: Audyt bezpieczeństwa przykładowej strony na WordPress, utrzymywanej na hostingu WordPress w cyberfolks.pl
5. Certyfikat SSL - dlaczego musisz go mieć, mimo, ż e nie chroni przed wszystkim?
Certyfikat SSL to dziś konieczność. To podstawa poufnej komunikacji między przeglądarką i serwerem. Zapewnia nam wiarygodność strony i daje możliwość szyfrowania komunikacji pomiędzy przeglądarką użytkownika a serwerem. Dzięki tej funkcji, osoba, która wprowadza dane na naszej stronie np. zapisując się do newslettera, albo dokonuje płatności na stronie, ma pewność, że jej dane nie zostaną przechwycone “w trasie”.
Dodatkową korzyścią ze stosowania certyfikatu SSL jest zwiększenie zaufania użytkownika oraz lepsza ocena w oczach wyszukiwarki Google. Przeglądarki oznaczają strony posługujące się szyfrowaniem przy pomocy kłódki przed linią adresową i często podnoszą alarmy, jeśli strona takiego certyfikatu nie posiada.
Certyfikat SSL to dzisiaj konieczność. Pamiętaj że to tylko JEDEN z wielu elementów, które trzeba brać pod uwagę mówiąc o Twojej stronie. Certyfikat chroni jedynie poufność danych w warstwie transmisji - to wszystko (i aż), co technicznie robi. Chcąc realnie chronić stronę musisz natomiast podjąć inne kroki, ponieważ wachlarz zagrożeń jest szeroki. Wstrzyknięcie złośliwego kodu przez dziurawą wtyczkę lub odgadnięcie trywialnego hasła to przykłady zagrożeń, które nie mają nic wspólnego z obecnością SSL’a na Twojej stronie.
Zanim wybierzesz odpowiedni certyfikat dla siebie - na cyberfolks.pl możesz poznać rodzaje certyfikatów SSL i dowiedzieć się, jaki rodzaj certyfikatu ssl warto wybrać, kiedy prowadzisz na przykład sklep internetowy. Jakikolwiek certyfikat będzie lepszy niż żaden, nawet w wypadku strony typu prywatny blog, nie mówiąc już o stronach komercyjnych.
6. Nie loguj się do strony z sieci Wi-Fi, której nie znasz
Korzystanie z publicznej sieci Wi-Fi nie zawsze jest bezpieczne, nawet gdy korzystamy z oprogramowania antywirusowego. Niebezpieczne hotspoty najczęściej mają nazwy nie budzące podejrzeń, nawiązujące do pobliskich sklepów, hoteli czy kawiarni. Ogólnodostępne sieci nie są najczęściej odpowiednio chronione, a dla przeciętnego cyberprzestępcy nie jest trudne przejęcie kontroli nad takim systemem.
Logując się z nieznanego Wi-Fi narażamy się na kradzież danych i dostępu do kont np. bankowości internetowej czy WP, dlatego najbezpieczniejszą alternatywą dla sieci publicznych jest korzystanie z sieci komórkowej lub zaufanego Wi-Fi. Oczywiście nie każda sieć publiczna jest niebezpieczna, ale jaką mamy pewność, że konkretna sieć jest całkowicie wolna od zagrożeń? Żadną, dlatego lepiej z nich nie korzystać.
7. Bezpieczne logowanie do kokpitu
Dobrym pomysłem jest dwuetapowe uwierzytelnianie. Two Factor Authentication, 2FA to mechanizm, który zwiększa bezpieczeństwo dla systemów logowania. Jest dodatkowym zabezpieczeniem, pozwalającym użytkownikom zalogować się na stronę, tylko po wprowadzeniu dwóch elementów: danych logowania i dodatkowego czynnika.
Tym czynnikiem może być teoretycznie cokolwiek. Kropla krwi czy skan siatkówki są rzadko wykorzystywane, najczęściej jest to realizowane w oparciu o metodę „co masz”, czyli urządzenie, które masz przy sobie. Na przykład telefon, na który odbierzesz jednorazowy kod SMS’em, albo skorzystasz z aplikacji do generowania krótkoterminowych kodów, jak Google Authenticator.
Wspominając o bezpieczeństwie logowania polecam też kroki, które warto podjąć, aby zmniejszyć ryzyko, że do kokpitu zalogują się niepożądane osoby, albo roboty:
- ograniczenie ekranu logowania tylko do określonego adresu IP,
- schowanie ekranu za dodatkową warstwą serwera www, wymagającą podania dodatkowego loginu i hasła w oknie przeglądarki,
- blokadę użytkownika po wpisaniu błędnego hasła,
- zmianę domyślnego adresu strony logowania (to tylko maskowanie, ale przed częścią prymitywnych, zautomatyzowanych ataków pomoże się ochronić).
Bezpieczny ten WordPress, czy jednak nie?
Ten artykuł miał na celu uzmysłowienie Ci kilku najważniejszych obszarów. Nie traktuj go jako wyczerpującego źródła wiedzy o wszystkich zagrożeniach - to raczej byłoby trudne w tak ograniczonej formie. Zamiast tego poczytaj publikacje o bezpieczeństwie WordPress Pawła Otlewskiego, posłuchaj podcastu „Rób WordPressa” Maćka Kuchnika, pobierz PDF „Wyczaruj sobie spokój” od Krzyśka Dróżdża i stopniowo rozwijaj swoje umiejętności w tym obszarze. Zadbaj też o solidny serwer dla WordPress.
WordPress jest całkiem bezpiecznym systemem. To my, ludzie, sprowadzamy na niego niebezpieczeństwa, poprzez beztroskie napakowanie nieaktualnymi wtyczkami lub poprzez zaniedbanie podstawowych zasad ochronnych. Dobrze dobrany hosting dla WordPress, jak w cyberfolks.pl - pomoże Ci nie tylko zapewnić odpowiednią wydajność, ale także - będzie Cię wspierać w edukacji i dostarczać narzędzi, dzięki którym możesz łatwiej zadbać zarówno o wydajność, jak i o bezpieczeństwo strony.
PS - Pamiętaj o naszej umowie i skonfrontuj 7 opisanych punktów z Twoją stroną na WordPress!
Tekst powstał we współpracy z cyber_Folks.
