Siedem prostych porad na temat tego jak zabezpieczyć stronę opartą na WordPressie przed atakami i włamaniami.

BLOGERKA

Pewnego razu była sobie bardzo ambitna i zdolna młoda kobieta. Kochała pisać o biznesie, postanowiła więc założyć bloga zawierającego marketingowe porady dla osób, które nie mają zbyt wielkiej wiedzy na ten temat. Jako że potrafiła w przyjazny i ciekawy sposób wytłumaczyć skomplikowane treści, jej blog w dość krótkim czasie zyskał popularność.

W związku z dużym ruchem panującym na jej stronie, szybko pojawiły się oferty współpracy. W końcu umówiła się na swoje pierwsze spotkanie w celu omówienia warunków kooperacji z reprezentantem dużej firmy. Spotkali się w modnej restauracji. Miała zamiar otworzyć stronę, żeby przedyskutować szczegóły, gdy nagle.. coś poszło nie tak.

Okazało się, że strona nie działa. Biznesmen spojrzał się na nią podejrzliwie, jakby próbowała go oszukać. Dziewczyna już sama nie wiedziała czy za moment dostanie zawału serca czy spali się ze wstydu. Potrzebowała kilku minut, żeby zdać sobie sprawę, że jej strona została zhakowana.

Myślicie, że to zmyślona historyjka? Tak się składa, że ta sytuacja wydarzyła się naprawdę. Zapewne myślisz sobie “To nie dotyczy mojej strony. Przecież jest mała i nie ma za dużego ruchu.” Naprawdę? A trzymasz chociaż kopię zapasową swojej strony? Mhm.. Wiem co oznacza ta cisza .

Budowanie własnej strony internetowej wymaga tak wielu różnych czynności, że kwestie bezpieczeństwa są często zwyczajnie pomijane. Każdy tłumaczy to brakiem czasu, jednakże odzyskiwanie strony i jej ponowne zabezpieczanie zajmie Ci przynajmniej dwa razy tyle czasu, pieniędzy oraz nerwów. A w niektórych przypadkach nie będziesz w stanie jej odzyskać.

W tym artykule chcielibyśmy Ci doradzić jakie kroki powinieneś podjąć w celu zabezpieczenia strony opartej na WordPressie. Jeśli będziesz trzymać się tych reguł to prawdopodobieństwo przejęcia witryny znacząco spadnie.

AKTUALIZUJ ZAWSZE WSZYSTKIE WTYCZKI, SZABLON I WORDPRESSA DO NAJNOWSZEJ WERSJI

Dużo osób zapomina o tej prostej i nieskomplikowanej czynności, która powinna stać się “zdrowym nawykiem” utrzymywania strony internetowej. Dlaczego to jest tak ważne? Pojawienie się nowej aktualizacji WordPressa oznacza, że błędy z poprzedniej wersji zostały naprawione. Wpływa to korzystnie na bezpieczeństwo i funkcjonowanie naszej witryny. Nieprzestrzeganie tej zasady oznacza wysyłanie nieśmiałego zaproszenia na naszą stronę w kierunku hakerów.

Sprawa wygląda podobnie w przypadku szablonów i wtyczek. Aktualizuj je na bieżąco, gdyż autorzy udoskonalają je regularnie, po to aby pozbyć się wszystkich poprzednich błędów.

Pamiętaj także o tym, żeby usuwać nieużywane wtyczki. Hakerzy mogą znaleźć sposób na to, żeby wkraść się na Twoją stronę poprzez znalezienie dziury w dawno już zapomnianej przez Ciebie wtyczce. Bez względu na to czy jest aktywna czy nie – w dalszym ciągu jest tak samo niebezpieczna.

Miej też na uwadze, że jeśli dana wtyczka nie miała przez długi czas żadnej aktualizacji lub strona autora wtyczki jest niedostępna lub podejrzana, nie oznacza to, że jest bezpieczna i działa poprawnie. Możliwe, że jej rozwój został zatrzymany na pewnym etapie i nie jest już bezpieczna. Bądź zawsze czujny w kwestii aktualizacji wtyczek! Wszystkie te informacje można sprawdzić w panelu administracyjnym WP w zakładce “Wtyczki”.

UŻYWAJ WTYCZEK I SZABLONÓW POCHODZĄCYCH TYLKO ZE SPRAWDZONYCH ŹRÓDEŁ

W Internecie jest pełno miejsc oferujących szablony i wtyczki dla stron opartych na WordPressie. Czy wiedziałeś o tym, że praktycznie każdy może je stworzyć, niekoniecznie posiadając wiedzę na temat spraw bezpieczeństwa albo bazując na specjalnie uszkodzonym kodzie, po to aby móc się z łatwością wkraść na Twoją stronę?

Oznacza to, że hakerzy, poprzez modyfikację kodu, mogą przekształcić kompletnie bezpieczną, popularną wtyczkę na zawirusowaną. Dlatego właśnie powinieneś pomyśleć dwa razy, zanim ściągniesz coś z nieznanego źródła.

Zanim podejmiesz jakąkolwiek decyzję, sprawdź recenzję, oceny oraz datę ostatniej aktualizacji, po to aby się upewnić, że wtyczka jest dobrej jakości i bezpieczna. Postaraj się wybrać te, które mają cztery lub pięć gwiazdek popartych wiarygodnymi opiniami oraz znaczną liczbą aktywnych instalacji w repozytorium wtyczek WordPressa.

Jeśli naprawdę Ci zależy na bezpieczeństwie Twojej witryny, pobieraj wtyczki tylko z pewnych źródeł – te najpopularniejsze oraz masę ciekawych szablonów znajdziesz w repozytorium WordPressa, które znajdziesz na oficjalnej witrynie autorów oprogramowania.

SKOMPLIKUJ PROCES LOGOWANIA SIĘ NA SWOJE KONTO

Mówisz, że nazwa Twojego użytkownika to “admin” i jeszcze nie zostałeś zhakowany..? Miałeś szczęście! Wybierając tak łatwy do odgadnięcia login, ściągasz na siebie kłopoty. Teraz wystarczy, że hakerzy odgadną hasło i Twoja witryna jest w ich rękach.

Niestety nazwa użytkownika jest czymś, czego nie możesz zmienić. Taka jaką ustawisz podczas instalacji WordPressa, musi już zostać.

W takiej sytuacji Twoim obowiązkiem jest zabezpieczenie procesu logowania się najbardziej jak tylko się da.

Polecamy Ci wdrożenie dwuetapowej weryfikacji – np. potwierdzenia mailowego lub telefonicznego. Istnieje wiele wtyczek dostarczających taką funkcjonalność – np. Rublon. W ten sposób, zanim uzyskasz dostęp do swojej platformy, zostaniesz poproszony o dodatkowe potwierdzenie tożsamości poprzez odpowiedź na specjalnie wymyślone przez Ciebie pytanie lub wpisanie kodu, który zostanie wysłany na Twój numer komórkowy.

Innym sposobem może być wprowadzenie ograniczenia liczby logowań, po to by ochronić stronę przed nieautoryzowanym dostępem.

UTWÓRZ SKOMPLIKOWANE HASŁO

Wymyślenie trudnego hasła może być Twoją najlepszą bronią przeciwko hakerom. Słyszałeś może o brute force attacks?

To jest szczególna sytuacja, w której hakerzy próbują odgadnąć Twoje hasło aż do skutku. Wpisują najbardziej popularne kombinacje słów, włącznie z tymi, które są powiązane z Twoją domeną. Mocne hasło powinno się składać z małych i wielkich liter, znaków interpunkcyjnych, liczb oraz znaków specjalnych.

UTWÓRZ KOPIĘ ZAPASOWĄ SWOJEJ STRONY

Zapewne słyszałeś przynajmniej parę tysięcy razy o tym jak ważne jest posiadanie kopii zapasowej swojej strony. Nikt jednak nie bierze tej porady wystarczająco poważnie albo robi to w niewłaściwy sposób. Pamiętaj, że nawet zachowanie wszelkich środków ostrożności, nie da Ci nigdy 100% gwarancji bezpieczeństwa.

Dlaczego utworzenie kopii jest takie ważne? Załóżmy, że Twoja strona została zhakowana. Jesteś załamany. Jednakże jeśli odrobiłeś pracę domową – czyli zrobiłeś wcześniej kopię zapasową plików i baz danych, odzyskanie ich nie będzie dużym problemem. Oczywiście później będziesz musiał przeanalizować całe zdarzenie – w jaki sposób doszło do włamania i jakich środków ostrożności użyć w przyszłości, tak aby nie dopuścić po raz drugi do takiej sytuacji.

Pamiętaj, że to Twoim obowiązkiem jest stworzenie i utrzymanie zapasowej wersji strony internetowej – nikt Cię w tym nie zastąpi. Nie dopuść do utraty danych i konieczności zaczynania wszystkiego od zera. Może się zdarzyć, że dostawca hostingu świadczy taką usługę i utworzy kopię zapasową Twojej witryny. Jeśli nie, skorzystaj z bardzo przydatnych, wysoko ocenianych wtyczek – np. BackWPup.

WYBIERZ PROFESJONALNEGO DOSTAWCĘ HOSTINGU

To właściwie powinien być pierwszy krok, jaki powinieneś zrobić, aby zabezpieczyć swoją stronę. Zanim zdecydujesz się wybrać konkretną firmę, upewnij się, że jej klienci są zadowoleni z usług jakie świadczy – sprawdź wszelkie możliwe opinie na jej temat.

Najważniejsze jest, żeby dostawca hostingu działał na solidnych serwerach i posiadał niezawodne połączenia sieciowe.

Jeśli Twojej stronie internetowej przydarzy się coś złego, profesjonalny dostawca hostingu powinien pomóc Ci zmniejszyć szkody oraz wesprzeć w tym stresującym okresie, znajdując najlepsze rozwiązania.

Powinieneś też umieć mniej więcej przewidzieć ruch na swojej stronie i w zależności od swoich potrzeb wybrać odpowiedni typ hostingu – serwer współdzielony, serwer VPS lub serwer dedykowany.

Przykładowo, gdy Twój blog ma mały ruch, najprawdopodobniej serwer współdzielony będzie dla Ciebie wystarczającym rozwiązaniem. Jeśli jednak posiadasz duży sklep, z setką zamówień dziennie, wybór dedykowanego serwera będzie najlepszą opcją.

Jeśli poszukujesz solidnego partnera w tym zakresie –  zapoznaj się z naszą ofertą.

ZAMIEŃ HTTP NA BEZPIECZNE HTTPS

Chyba nie chcesz, żeby Google oznaczyło Twoją stronę jako niebezpieczną i zniechęciło potencjalnych klientów do odwiedzin? Jeśli wciąż posiadasz http na początku adresu internetowego to niestety zmierzasz w złym kierunku..

Czy kiedykolwiek słyszałeś o certyfikacie SSL (Secure Socket Label)? Jeśli zdecydujesz się na jego zakup, to zabezpieczysz połączenie między Twoją stroną a jej użytkownikami. Jest to szczególnie ważne w sytuacji, gdy prowadzisz sklep internetowy, a Twoi klienci dzielą się z Tobą swoimi danymi personalnymi w celu złożenia zamówienia.

Sytuacja ta szczególnie wymaga ochrony, ponieważ  dane klientów mogą zostać przejęte przez osobę trzecią, jeśli nie zabezpieczysz właściwie operacji zakupowej.

W niektórych krajach istnieje specjalny wymóg prawny dotyczący posiadania certyfikatu SSL w celu ochrony danych osobowych. Jak rozpoznać, że strona jest zabezpieczona przez certyfikat SSL? Z pewnością zauważysz, że początek adresu rozpoczyna się od https zamiast standardowego http, a przed nim powinna znajdować się zielona kłódka.

Dodatkowo Twoja strona może znaleźć się na jednej z ostatnich stron w wynikach wyszukiwania. Jeśli nie posiadasz certyfikatu SSL, prawdopodobnie osiągniesz gorszą pozycję w rankingu Google.

Na tej stronie możesz na zakupić różne typy certyfikatów.

BEZPIECZEŃSTWO NA SKRÓTY

Podsumowując, wszystkie wyżej wymienione kroki mają na celu ochronę pliku wp-config.php, który zawiera najbardziej wrażliwe dane na temat Twojej witryny – nazwę użytkownika oraz hasło dostępu do bazy danych. Po przejęciu tych informacji, haker może zrobić z Twoją stroną co tylko mu się spodoba.

Jak widzisz, większość zasad bezpieczeństwa nie jest wcale trudna do zastosowania. Wymaga jedynie czasu, który musisz na to poświęcić. Pamiętaj, że przezorny zawsze ubezpieczony.

Niemniej, zawsze istnieje pewne niebezpieczeństwo, że Twoja strona zostanie zhakowana – Twoim zadaniem jest jak najbardziej zminimalizować zagrożenie.

I na koniec jeszcze jedna informacja – zastosowanie się do powyższych kroków nic nie da, jeśli zapomnisz o ostatnim, najbardziej podstawowym środku ostrożności, jakim jest utrzymywanie komputera w czystości. Zanim rozpoczniesz swoją przygodę z WordPressem, upewnij się, że Twój system operacyjny jest zaktualizowany i posiadasz dobre oprogramowanie antywirusowe.

Komentarze