Bezpieczeństwo WordPress – 12 kroków do zabezpieczenia i ochrony witryny WordPress

Ogromna popularność WordPressa niesie za sobą pewne ryzyko– im więcej osób zakłada na nim swoje witryny, tym bardziej kuszące dla cyberprzestępców staje się szukanie w nich każdej możliwej luki, którą mogą wykorzystać do swoich złych celów. Oczywiście przy odpowiednim podejściu do tematu bezpieczeństwa, WordPress może być bardzo bezpieczną platformą. Jednak niestety w tym przypadku, jego otwarty kod źródłowy oznacza, że nowe zagrożenia stale rosną. To trochę nierówny wyścig, bez mety i żadnych zasad, pomiędzy ekspertami ds. bezpieczeństwa WordPressa, a hakerami szukającymi nowych sposobów włamania. Najlepsze, co możemy w tym przypadku zrobić, to zmuszać cyberprzestępców do “pit stopu” w tym wyścigu, tak często, jak to tylko możliwe.

W poniższym artykule przyjrzymy się najczęstszym zagrożeniom bezpieczeństwa, czyhającym na nieświadomych ryzyka właścicieli witryn, oraz sposobom na zwiększenie bezpieczeństwa witryn WordPressa. Czytaj dalej, aby dowiedzieć się, jak zabezpieczyć i chronić swoją stronę na WordPress.

Czy WordPress jest bezpieczny?

Cóż, to zależy, w sumie w większości od Ciebie. Ale zanim do tego przejdziemy, spójrzmy najpierw na liczby – na całym świecie, dochodzi do ponad 90 tys. ataków na witryny WordPress, co… minutę. A hakerzy nie są wybredni; atakują zarówno gigantyczne firmy, jak i prywatne mikroblogi. To oznacza, że nigdy nie możesz czuć się w pełni bezpiecznie, nawet jeśli Twoją witrynę odwiedza mniej niż 50 osób miesięcznie.

Największa siła WordPressa to jednocześnie jego największa słabość. Oprogramowanie typu open source, w którym każdy może stworzyć nową wtyczkę lub motyw, stanowi doskonałą platformę dla tysięcy kreatywnych programistów, którzy w dobrej wierze wykorzystują jej elastyczność i otwartość. Ale z drugiej strony, pozostawia także otwarte drzwi dla hakerów, którzy szukają okazji do zdobycia łatwych pieniędzy lub po prostu chcą zepsuć komuś dzień. W rzeczywistości ponad 90% zgłoszonych luk w zabezpieczeniach WordPressa pochodzi z wtyczek stworzonych przez jego społeczność.

Powyższe fakty, nie oznaczają jednak, że samo podstawowe oprogramowanie jest w 100% bezpieczne, chociaż jest całkiem bliskie ideału. WordPress zatrudnia najwyższej klasy specjalistów do identyfikacji i łatania luk w systemie. A oni wykonują swoją pracę bardzo dobrze, naprawiając krytyczne problemy i dostarczając regularne aktualizacje – podstawowe pliki WP są winne tylko w 4% ataków. Ale, jak wspomnieliśmy wcześniej, jest to niekończący się wyścig bez wyraźnych zwycięzców w danym momencie. Możesz zrobić wiele, aby Twoja witryna WordPress była bezpieczna, ale ważne jest, aby pamiętać – nie ma czegoś takiego jak całkowicie bezpieczna platforma. Bezpieczeństwo dotyczy ograniczania ryzyka, a nie jego eliminacji..

Najczęstsze zagrożenia bezpieczeństwa dla WordPress

W zależności od swoich umiejętności i determinacji, cyberprzestępcy mogą zaszkodzić Twojej witrynie na kilka różnych, zarówno tych prymitywnych, jak i bardziej skomplikowanych sposobów.
Oto lista najpopularniejszych metod wykorzystywanych do naruszania bezpieczeństwa WordPress:

Próby logowania typu brute-force

Brute-force to bardzo uproszczony rodzaj ataku. Wykorzystuje on zautomatyzowany skrypt do parowania nazwy użytkownika z hasłem, aby ostatecznie odgadnąć właściwą kombinację i uzyskać dostęp do witryny. Atak ten jest prosty do przeprowadzenia, ale równie prosto można się przed nim ochronić. Upewnij się, że Twoje hasło jest znacznie silniejsze niż „123456”, rozważ wdrożenie weryfikacji dwuetapowej i dzięki temu, ogranicz próby logowania – te środki wystarczą, aby skutecznie uniknąć włamań brute-force.

Backdoory

Luka w zabezpieczeniach backdoora pozwala atakującym ominąć szyfrowanie bezpieczeństwa i uzyskać dostęp do Twojej witryny bez właściwych danych logowania. Hakerzy używają różnych sposobów, aby uzyskać dostęp do folderu głównego (np. przez FTP) i wstrzyknąć złośliwy kod podszywający się pod legalne pliki WordPress. Pojedynczy udany atak backdoorem może zagrozić wszystkim witrynom na tym samym serwerze. I chociaż backdoory mogą siać spustoszenie, tym atakom też łatwo zapobiec, wymuszając weryfikację dwuetapową, blokowanie adresów IP i ograniczanie dostępu administratora.

Cross-Site Scripting (XSS)

Jest to najczęściej występujący problem we wtyczkach WordPress. XSS występuje, gdy haker wstrzykuje wykonywalny skrypt do zaufanej witryny lub aplikacji. Cross-Site Scripting jest często inicjowany przez nieświadomego użytkownika, nakłonionego do kliknięcia w złośliwy link lub formularz użytkownika. Podstawowym celem ataków XSS jest przejęcie aktywnego pliku cookie sesji i przez to uzyskanie dostępu do witryny.

Denial-of-Service (DoS)

DoS, czyli jeden z najbardziej destrukcyjnych typów ataków, uniemożliwia autoryzowanym użytkownikom dostęp do ich własnych stron internetowych. Wykorzystuje błędy i bugi znalezione w oprogramowaniu, aby przeciążyć pamięć serwera wzmożonym ruchem w witrynie i skutecznie go zawiesić. Właściciele witryn, którzy korzystają z poprzednich wersji WordPressa są szczególnie podatni na ataki DoS, ponieważ starsze oprogramowanie zawiera liczne błędy, które kuszą hakerów możliwością łatwego włamania. „Ulepszona” wersja tej metody, zwana Distributed Denial-of-Service, jest wykonywana przez kilka maszyn jednocześnie i może spowodować ogromne zakłócenia nawet w największych i odpowiednio zabezpieczonych witrynach.

Złośliwe przekierowania

Takie przekierowania często przeprowadzane są z wykorzystaniem backdoorów za pośrednictwem FTP lub wp-admin – haker wstrzykuje zaszyfrowany złośliwy kod do podstawowych plików WordPress, sprawiając, że Twoja witryna przekierowuje ruch do witryn phishingowych lub zawierających inne złośliwe oprogramowanie. Sposoby ochrony przed złośliwymi przekierowaniami są podobne do tych zapobiegającym atakom backdoorom.

Powyższa lista to oczywiście nie wszystko – inne rodzaje ataków:

• Phishing
• Wstrzykiwanie SQL
• Hotlinking
• Cross-site Request Forgery

również nie mogą być ignorowane, jeśli chodzi o bezpieczeństwo WP.

Bezpieczeństwo WordPress – podstawy

Konkretne zagrożenia wymagają konkretnych środków zapobiegawczych. Jednak najskuteczniejszym sposobem ograniczania zagrożeń związanych z potencjalnymi atakami hakerów, jest przede wszystkim ścisłe przestrzeganie najlepszych praktyk bezpieczeństwa WordPress. Zignorowanie któregokolwiek z poniższych podstawowych kroków, narazi Twoją witrynę na ataki, dlatego zawsze upewnij się, że:

• Wybrałeś zaufanego dostawcę hostingu. Dobra firma hostingowa zawsze podejmuje działania, które mają zapewnić dodatkową warstwę bezpieczeństwa na serwerze. Serwer można zabezpieczać stale monitorując podejrzaną aktywność, aktualizując jego oprogramowanie i wdrażając niezawodne plany zabezpieczające Twoje dane przed atakiem, gdy będzie taka potrzeba. Wybór zarządzanego hostingu WordPress to również dobry pomysł, ponieważ jego różne plany zwykle zawierają automatyczne kopie zapasowe, aktualizacje i dodatkowe konfiguracje zabezpieczeń w celu zwiększenia bezpieczeństwa Twojej witryny.
• Aktualizujesz WordPressa, wtyczki i motywy oraz usuwasz nieużywane dodatki. Oprogramowanie WordPress jest regularnie aktualizowane w tle, bez wiedzy użytkowników. Ale wszystkie główne aktualizacje muszą być instalowane ręcznie. Nadal zbyt wielu właścicieli witryn zapomina o znaczeniu aktualizacji podstawowego oprogramowania WP, a każda nowa aktualizacja WordPress zawiera kluczowe poprawki bezpieczeństwa i stabilności. Utrzymywanie przestarzałego oprogramowania w zasadzie przyciąga hakerów. To samo dotyczy aktualizacji wtyczek i motywów. Twórcy wtyczek/motywów udostępniają aktualizacje związane nie tylko z nowymi funkcjonalnościami, ale także z poprawkami bezpieczeństwa. Biorąc pod uwagę, że wtyczki są pierwszym wyborem hakerów np. do ataków XSS, ważne jest, aby zawsze były one “załatane” i bezpieczne. A jeśli nie planujesz już używać żadnej konkretnej wtyczki lub motywu, po prostu je odinstaluj. Nie tylko zajmują one wolne miejsce na serwerze, ale mogą również stać się źródłem problemów, jeśli zostaną zignorowane.
• Uaktualniasz PHP. Za każdym razem, gdy dostępna jest nowa wersja PHP, na pulpicie WordPress pojawia się o tym powiadomienie. Nie czekaj i zaktualizuj PHP jak najszybciej. A jeśli nie możesz tego zrobić sam, skontaktuj się ze swoim dostawcą usług hostingowych. PHP jako kod po stronie serwera ma kluczowe znaczenie dla bezpieczeństwa WordPressa, a pozostawienie jego starej wersji jest zawsze kiepskim pomysłem. Aktualizacje PHP są zwykle publikowane raz w miesiącu.
• Używasz bezpiecznych nazw użytkownika i haseł. Szczerze mówiąc, nie powinniśmy nawet o tym wspominać. Tworzenie unikalnego, silnego hasła jest najbardziej podstawowym środkiem ostrożności, który każdy powinien podjąć tworząc jakiekolwiek konto online. Ta rada wydaje się rażąco oczywista, prawda? Niestety, coroczna lista najpopularniejszych haseł w sieci nadal zawiera wpisy takie jak „123456” lub „qwerty”. To oznacza, że miliony użytkowników chętnie udostępniają swoje zasoby online, każdemu dwubitowemu cyberprzestępcy szukającemu łatwej zdobyczy. A jeśli nie masz głowy zapamiętywania, po prostu użyj jednego z wielu zaufanych menedżerów haseł, takich jak LastPass lub Bitwarden aby tworzyć i chronić silne hasła. Upewnij się również, że wybierasz bezpieczne nazwy użytkowników. Zastąp domyślną nazwę użytkownika „admin” czymś mniej oczywistym, aby próby logowania metodą brute-force były bezskuteczne.

Czy wiesz,
że możesz odmienić
swój biznes?

Zacznijmy już teraz

POROZMAWIAJMY

Bezpieczeństwo WordPress – 12 kroków do zabezpieczenia i ochrony witryny

Teraz, gdy omówiliśmy już absolutne podstawy, nadszedł czas, aby szczegółowo przyjrzeć się środkom bezpieczeństwa WordPress, które możesz dodatkowo podjąć. Niektóre z nich są bardzo proste do wprowadzenia, a inne wymagają odrobiny wiedzy technicznej. Natomiast pewne konkretne rozwiązania (takie jak SSL lub kopie zapasowe) mogą być już uwzględnione w Twoim planie hostingowym, więc zawsze dobrze jest zacząć od kontaktu z dostawcą usług hostingowych, aby dopytać o ochronę strony.

1. Zainstaluj Secure Sockets Layer (SSL)

SSL to protokół bezpieczeństwa, który bezpiecznie szyfruje połączenie pomiędzy przeglądarką użytkownika, a stroną internetową. Korzystanie z SSL ma wiele zalet – przede wszystkim podnosi on bezpieczeństwo Twojej witryny WordPress, klienci widzą, że Twoja firma jest legalna, a dodatkowo poprawia on SEO. Niektóre przeglądarki nawet ostrzegają użytkowników podczas próby wejścia na witrynę, która nie ma ważnego certyfikatu SSL.
Możesz uzyskać certyfikat SSL za darmo lub za niego zapłacić. Jego koszt jest często wliczony w opłatę hostingową; skontaktuj się z dostawcą, aby uzyskać więcej informacji. Ale jeśli musisz sam zainstalować certyfikat SSL na swojej stronie.

2. Dodaj uwierzytelnianie dwuetapowe (2FA)

Już wspomnieliśmy o tym jak duże znaczenie ma używanie silnych haseł. Jednak 2FA zapewnia jeszcze jedną, dodatkową warstwę bezpieczeństwa, dzięki czemu przejęcie hasła przez osoby trzecie jest praktycznie niemożliwe. W przypadku 2FA użytkownicy muszą zweryfikować swoją próbę logowania na drugim urządzeniu.
A prawdopodobieństwo, że haker zna zarówno Twoje hasło, jak i telefon komórkowy, jest zwykle równe zeru. No chyba że hakerem jest twój zły współlokator… Cóż, pamiętaj, że Cię ostrzegaliśmy.
Uwierzytelnianie dwuskładnikowe możesz ustawić osobno dla swojego konta hostingowego oraz konta WordPress. W takim przypadku możesz użyć wtyczek, takich jak Two Factor Authentication lub miniOrange’s Google Authenticator.

3. Ogranicz próby logowania i włącz automatyczne wylogowanie

Kolejna prosta i skuteczna metoda zmniejszająca ryzyko ataków brute-force. Domyślnie WordPress pozwala na nieograniczoną liczbę prób logowania, co oznacza, że hakerzy mogą sprawdzić dowolną liczbę kombinacji nazwy i hasła użytkownika, żeby włamać się na konto. Ale dzięki wtyczkom takim jak Limit Login Attempts lub Login Lockdown możesz ustawić maksymalną liczbę nieudanych prób logowania, zanim dany adres IP zostanie tymczasowo lub na stałe zablokowany. Czasami nie musisz nawet instalować tej wtyczki, aby mieć dostęp do tej opcji – niektóre usługi hostingowych i firewalle po prostu oferują tę funkcję.
Pamiętaj też, aby włączyć automatyczne wylogowanie, zwłaszcza jeśli zdarza Ci się zapominać o prawidłowym wylogowywaniu. Sesje bezczynnych użytkowników bez nadzoru mogą trwać nawet kilka godzin, pozostawiając witrynę otwartą dla węszących błędów hakerów. Tutaj z pomocą przychodzi wtyczka Inactive Logout, która zadba o Twoje bezpieczeństwo w tym zakresie.

4. Usuń domyślnego użytkownika „admin”…

…i utwórz nowego. Mimo, że WordPress teraz prosi użytkowników o wybranie niestandardowej nazwy dla kont administratorów, dawniej zawsze był to po prostu „admin”. Bardzo ułatwiało to hakerom rozgryzienie połowy niewiadomych z równania “nazwa użytkownika-hasło”. Jeśli „admin” nadal jest Twoim administratorem, powinieneś go usunąć i utworzyć nowego z niestandardową nazwą i uprawnieniami administratora. Możesz także użyć wtyczki Easy Username Updater lub zmienić nazwę użytkownika bezpośrednio przez phpMyAdmin. Ta druga opcja powinna być jednak traktowana jako ostateczność, ponieważ łatwo tutaj popełnić błąd i spowodować błędy w witrynie podczas wprowadzania zmian w bazie danych WP.

5. Używaj motywów i wtyczek tylko z zaufanych źródeł

Oficjalne repozytorium WordPressa powinno być Twoim głównym, a najlepiej jedynym źródłem wtyczek i motywów. Wiemy, że kuszące może wydawać się zainstalowanie świetnie wyglądającego motywu lub darmowej wtyczki, znalezionej na przypadkowej stronie internetowej. Ale po prostu tego nie rób. Dodatki, które pochodzą z niezweryfikowanych źródeł zawierają często ukryte złośliwe oprogramowanie i są pełne luk w zabezpieczeniach.
Upewnij się również, że Twój aktualny motyw jest zgodny z bieżącymi standardami WordPress. Możesz to zweryfikować za pomocą usługi W3C Markup Validation Service.

6. Użyj wtyczek bezpieczeństwa

Rozważ dodanie co najmniej jednej wtyczki zabezpieczającej Twojego WordPressa. Wtyczki takie jak WordFence Security, Sucuri Security, lub All In One WP Security & Firewall szybko eliminują duże luki w zabezpieczeniach i zapewniają Ci spokój ducha, skanując i monitorując działania na Twojej stronie w czasie rzeczywistym. Wtyczki te swoim działaniem obejmują prawie wszystkie kluczowe aspekty bezpieczeństwa witryny, wykonując za Ciebie większość prac związanych z jej bezpieczeństwem.

7. Zainstaluj firewalla

Firewall czyli zapora sieciowa, znajduje się między siecią natywną Twojej witryny a wszystkim innym na zewnątrz. Najlepiej byłoby, gdyby firewall blokował cały nieautoryzowany i złośliwy ruch zanim dostanie się on do Twojej sieci i trafi na witrynę. Wydajność zapory bardzo zależy od jej typu i konfiguracji, więc upewnij się, że dokładnie wiesz czego potrzebujesz. Możesz wybierać między zaporami na poziomie DNS i na poziomie aplikacji. Zapory DNS wykorzystują serwery proxy w chmurze do filtrowania ruchu, zanim dotrze on do serwera; Firewalle na poziomie aplikacji działają później, gdy ruch dotrze już do serwera, ale jeszcze przed załadowaniem skryptów WordPress.
Usługi zapór sieciowych są często oferowane przez dostawców hostingu, ale mogą być też w pakiecie z wtyczkami zabezpieczającymi lub używane jako samodzielna wersja.

8. Regularnie skanuj w poszukiwaniu złośliwego oprogramowania

Skanowanie złośliwego oprogramowania to funkcja występująca we wszystkich wymienionych wcześniej, zalecanych wtyczkach bezpieczeństwa WordPress; ale możesz również skorzystać z jednego z bezpłatnych narzędzi, do skanowania złośliwego oprogramowania, które są dostępne online, takich jak np. WPSec, WordPress Vulnerability Scanner, lub IsItWP Security Scanner. Skanery są bardzo łatwe w użyciu – wystarczy wpisać adres URL swojej witryny i kliknąć „Skanuj”. Zalecamy wykonywanie takiego skanowania przynajmniej raz w miesiącu. Warto jednak pamiętać, że chociaż te narzędzia sprawdzą Twoją witrynę, to jednak same nie usuną żadnego złośliwego oprogramowania, jeśli zostanie znalezione.

9. Twórz kopie zapasowe strony na WordPress

Miej nadzieję na najlepsze, ale przygotuj się na najgorsze. Przywrócenie witryny z kopii zapasowej, może czasami być najlepszym i jedynym rozwiązaniem, które pozwoli cofnąć szkody wyrządzone podczas naruszenia bezpieczeństwa. Dlatego tak ważne jest regularne wykonywanie kopii zapasowych, aby zminimalizować potencjalną utratę danych. Równie ważne jest też przechowywanie kopii zapasowych w lokalizacji innej niż konto hostingowe. Opcje przechowywania danych w chmurze oferowane przez Amazon, Microsoft Azure lub Dropbox są idealne do zapisywania kopii zapasowych całej witryny. Jak zwykle, nie musisz nawet robić tego ręcznie – wtyczki takie jak UpDraftPlus lub BackWPup mogą wykonywać w tle zaplanowane kopie zapasowe lub przeprowadzać je w czasie rzeczywistym.

10. Wyłącz XML-RPC w WordPress

Jest to jedno z najbardziej zaawansowanych zabezpieczeń WordPressa na tej liście. XML-RPC to podstawowy interfejs API na WordPress stworzony, aby pomóc użytkownikom łączyć ich witryny z narzędziami innych firm, aplikacjami mobilnymi i usługami zewnętrznymi. W tym celu wykorzystuje on protokoły HTTP i XML. Niestety hakerzy również go używają i za pomocą funkcji system.multicall mogą ukryć wiele prób logowania, które WP odczytuje jako zaledwie kilka żądań logowania. Jeśli nie potrzebujesz funkcji zapewnianych przez XML-RPC, zalecamy wyłączenie go. Jest na to kilka metod, ale najszybszą i najprostszą jest wtyczka o trafnej nazwie Disable XML-RPC. Po prostu zainstaluj ją, aktywuj i zapomnij. To wszystko.

11. Wyłącz możliwość edycji plików

Wbudowany edytor kodu w panelu administracyjnym WordPressa, który zazwyczaj służy do szybkiej edycji wtyczek i plików motywów, może stać niebezpiecznym narzędziem w niepowołanych rękach. Jeśli go nie potrzebujesz, po prostu wyłącz go, aby być po bezpiecznej stronie mocy. Niektóre wtyczki zabezpieczające WordPress, takie jak Sucuri Security mogą to zrobić za Ciebie; alternatywnie możesz dodać następujące wiersze na dole pliku wp-config.php

// Disallow file edits
define( ‘DISALLOW_FILE_EDIT’, true );

12. Dodatkowe środki bezpieczeństwa na WordPress

Zastosowanie wszystkich powyższych kroków, realnie wzmocni bezpieczeństwo Twojej witryny, czyniąc ją niezwykle trudną do złamania. Ale zawsze można zrobić więcej, prawda? Zastosuj następujące środki, aby Twoja witryna była prawie nie do zdobycia:

• Wyłącz kompilowanie plików PHP (PHP file execution)
• Zmień prefiks bazy danych WordPress
• Wyłącz indeksowanie i przeglądanie katalogów
• Zapobiegaj hotlinkom
• Zweryfikuj uprawnienia do plików i serwera

Bezpieczeństwo WordPress i jak ją zapewniamy w Develtio

Biorąc pod uwagę tysiące stron internetowych, które są codziennie umieszczane na czarnej liście, pod kątem zawartości szkodliwego oprogramowania, widać wyraźnie, że wyścig między ekspertami ds. bezpieczeństwa, a cyberprzestępcami wcale nie zwalnia. W Develtio zawsze ważne dla nas było bezpieczeństwo naszych klientów, a sprawy bezpieczeństwa stawiane są na pierwszym miejscu. Dlatego nasi klienci otrzymują produkty końcowe, które opracowane są zgodnie z najlepszymi praktykami WordPressa i wyposażone we wszystkie wymienione powyżej środki bezpieczeństwa. Ponadto do nowych projektów podchodzimy już z pomocą naszego własnego „security starter pack”, czyli zestawu zaawansowanych procedur programistycznych oraz narzędzi, opracowywanych i udoskonalanych przez lata naszej praktyki. Ponadto regularnie i automatycznie skanujemy strony internetowe naszych klientów pod kątem różnych niebezpieczeństw. Wszelkie wykryte problemy są natychmiast zgłaszane do nas, dzięki czemu możemy zająć się nimi jak najszybciej.