Taking care of WordPress website security

Problemy bezpieczeństwa w WordPressie i jak z nimi walczyć

WordPress to najpopularniejszy sposób na zbudowanie strony. Do czerwca 2020, 37% wszystkich istniejących stron używa WordPressa. Ta popularność ma jednak przykrą wadę – przyciąga kłopoty.

arrow_downward

WordPress to najpopularniejszy sposób na zbudowanie strony. Do czerwca 2020, 37% wszystkich istniejących stron używa WordPressa. Ta popularność ma jednak przykrą wadę – przyciąga kłopoty. WordPress jest technologią open-source, a setki developerów dba o to, aby naprawić na bieżąco każdą podatność na atak i wypuścić update do zainstalowania przez użytkowników. Ale nawet z wysiłkiem i pracą włożoną przez zespół WordPressa, nie jest on najbezpieczniejszy. Wpvulndb.com podaje, że zostały rozpoznane 4034 unikalne luki bezpieczeństwa. No dobra, ale przecież Ciebie to nie dotyczy. Kto by chciał zhakować Twoją stronę? Atak nie musi być osobisty i wycelowany specjalnie w Ciebie. Wystarczy, że Twoja strona zostanie zeskanowana z milionem innych w celu przejęcia nad nimi kontroli. Możesz paść atakiem hakerów, którzy potraktują Twoją stronę po prostu jako potencjalne źródło linków do SEO. Warto więc zwiększyć bezpieczeństwo swojej strony WordPress.

Pilnuj tych update’ów! Instalowanie ich może być kłopotliwe, ale to najprostszy sposób, aby pozostać bezpiecznym. W końcu, powstają z jakiegoś powodu. Niewielkie aktualności instalują się same, ale te większe będziesz musiał zainstalować sam. Według wpvulndb.com najmniej bezpieczne wersje to WordPress 3.X, a więc było minęło. Niestety, nie – tylko 39.4% wszystkich użytkowników WordPressa ma jego najnowszą wersję. A Ty?

Uważaj na wtyczki WordPress. Większość luk bezpieczeństwa pochodzi właśnie od nich i są najpopularniejszym sposobem na atak strony WordPress. Pamiętaj, żeby regularnie sprawdzać dostępne aktualizacje wtyczek i szablonów. Niestety, niektóre nie mają żadnego wsparcia i brak update’ów zwiększa szanse ataku. Sama wtyczka może być źródłem kłopotów. Jej kod może zostać użyty do załadowania plików zdalnych, które pozwalają hakerowi przejąć kontrolę nad Twoją stroną. Nazywa się to zdalnym dołączeniem pliku (file inclusion exploit) i polega na dostaniu się do kluczowych plików WordPressa, takich jak wp-config.php, poprzez znalezienie dziur w kodzie PHP (który obsługuje Twoją stronę, wtyczki i szablony).

Inny sposób na zaatakowanie Twojej strony to cross-site scripting. Nieświadomie ładujesz strony z niezabezpieczonym kodem JavaScript. Gdy kod jest załadowany, cyberprzestępcy mają dostęp do danych z Twojej przeglądarki. Dobrym przykładem będzie podstawiony formularz – gdy go wypełnisz, Twoje dane zostaną skradzione. Ostatnim typem ataku jest SQL injection – haker zdobywa dostęp do Twojej bazy danych WordPress. Tak jak inne malware, ta metoda może zostać wykorzystana do wstawiania linków do spamu lub złośliwych witryn. Nie tylko jest to tragiczne, ale powoduje także, że Google wrzuca Twoją stronę na czarną listę i blokuje ją. Auć.

Hakerzy mogą próbować ukraść Twój login i hasło, używając ataku brute force. Nazwa jest całkiem dosłowna – to trochę jak wciskanie numerów na padzie i walenie w drzwi, aż te się otworzą. To metoda prób i błędów, polegająca na próbowaniu różnych kombinacji, aż znajdzie się tę właściwą. Możesz chronić siebie, używając skomplikowanego i nieoczywistego loginu. Więc żadnych imion i nazwisk, bądźmy trochę bardziej kreatywni. To naprawdę może Cię uratować. To samo jest z hasłem – generuj je losowo i zmieniaj często. Żadnych “hasło”, “1234”, “admin”, czy imienia Twojego chomika.

To są absolutnie podstawowe zasady bezpieczeństwa. Przestrzegaj ich, jeśli nie chcesz paść ofiarą cyberataku. Wszystko to jest proste i możesz zrobić to sam. Ale możesz też powierzyć swoje bezpieczeństwo agencji takiej, jak nasza. Nie tylko zajmiemy się powyższymi kwestiami, ale zrobimy pełen audyt Twojej strony i dodamy wiele innych rozwiązań (np. dwustopniowe logowanie), które jeszcze lepiej ją zabezpieczą. Dbasz o swoje zdrowie, stan techniczny samochodu czy bezpieczeństwo domu. Dlaczego nie dbasz o bezpieczeństwo także Twojej strony internetowej?

Jesteśmy tutaj, żeby Ci w tym pomóc.

Piotr Tabor
Piotr Tabor
CEO

Prezes Appwise i pasjonat nowych technologii. Ponad 10 lat doświadczenia w tworzeniu oraz testowaniu oprogramowania. Chcesz się dowiedzieć jak mogę Ci pomóc? Skontaktuj się z nami – porozmawiajmy!

Masz dość nierzetelnych freelancerów?

Zatrudnij agencję whitelabel, która kładzie nacisk na jakość i terminowość.