Bezpieczeństwo strony WordPress
WordPress jako najpopularniejszy system do zarządzania treścią jest narażony na wzmożone ataki hakerów. Wykorzystują oni boty, które przeczesują sieć w poszukiwaniu tych instalacji, które mają wady. Po czym wykorzystują te luki w systemie na swoją korzyść. Jak wpłynąć na bezpieczeństwo strony WordPress i uchronić się przed atakami? O tym będzie ten artykuł.
Jak widać na załączonym zdjęciu, na którym jest tylko wycinek z rejestrowanego ruchu, ataki pochodzą z różnych stron świata. Na przestrzeni zaledwie kilku godzin obserwujemy ataki botów z 10 krajów. Dodatkowo dorzucamy trochę liczb, poniżej prezentacja statystyk obrony przed atakami dla 4 naszych stron. Pomaga w tym wtyczka Wordfence.
Wygląda na to, że liczba ataków wiąże się bezpośrednio z wielkością ruchu na stronie. Na samym dole zdjęcia – dla tych lubiących ciekawostki, wykres prezentujący zmagania całej sieci Wordfence, czyli wszystkie zablokowane ataki z istniejących instalacji na całym świecie. To daje obraz tego z czym musimy się mierzyć.
Dlatego dokładamy wszelkich starań żeby chronić nasze WordPressy. Oczywiście mamy sposoby, dzięki którym chronimy witryny naszych Klientów.
Czynniki wpływające na bezpieczeństwo strony WordPress:
- Używamy tylko sprawdzonych szablonów i wtyczek oraz ograniczamy ich ilość.
- Bardzo często aktualizujemy, praktycznie na bieżąco utrzymujemy WordPressy, wtyczki i szablony w najnowszych wersjach.
- Regularnie obserwujemy co dzieje się na naszych stronach poprzez np. raporty bezpieczeństwa.
- Dane naszych klientów są bezpieczne dzięki regularnym kopiom zapasowym.
- Wtyczka bezpieczeństwa – Wordfence – w każdym WordPressie.
- Korzystamy tylko ze sprawdzonych dostawców usług serwerowych.
- Jeżeli zdarzy się jakaś awaria – rzucamy wszystko i śpieszymy żeby temu zaradzić.
Bezpieczeństwo strony WordPress – tylko sprawdzone szablony i wtyczki w ograniczonej ilości
Jedną z rzeczy, która leży u podstaw bezpieczeństwa naszych stron internetowych jest odpowiedni dobór narzędzi, z których korzystamy. Lata doświadczeń pozwoliły nam skrupulatnie wyselekcjonować zbiór wtyczek i szablonów spełniających wymogi naszej polityki jakości. W przeciwnym wypadku – kiedy wtyczka czy szablon pochodzi od niesprawdzonego autora/podejrzanego źródła – zwiększamy prawdopodobieństwo tego, że kod będzie posiadał wrażliwość, którą może wykorzystać haker.
Z tego powodu w naszych projektach używamy w zasadzie tylko szablonów Astra (Brainstorm Force) i Themify. Są szybkie, dalece konfigurowalne oraz niezawodne.
Wspomniane firmy posiadają do dyspozycji również potężny zestaw wtyczek, które pozwalają dowolnie rozbudowywać szablony graficzne naszych stron oraz dodawać inne potrzebne narzędzia.
Natomiast to co nas najbardziej interesuje – jesteśmy pewni co do tych twórców oprogramowania. Z dotychczasowej współpracy jesteśmy zadowoleni. Wiemy, że ewentualne luki będą natychmiast naprawiane, ponieważ tak wielkie przedsięwzięcia nie mogą sobie pozwolić na wpadki. Z produktów Astry korzysta 1 600 000+ instalacji WP, a Themify szczyci się ogromną liczbą użytkowników. Od 2010 roku to aż 113 873 osób korzystających z ich usług.
Ogranicz wtyczki do niezbędnego minimum
Oprócz pilnowania źródła i zaufanego autorstwa, staramy się ograniczyć liczbę używanych wtyczek do niezbędnego minimum. Jest to na tą chwilę około 20 wtyczek. Generalnie pilnujemy tego co instalujemy na naszych stronach, nie zaśmiecamy ich niepotrzebnie. Jeżeli możemy zrobić coś bez użycia wtyczki to chętnie się tego podejmujemy. Instalowanie wtyczek wiąże się bowiem z pilnowaniem ich aktualizacji oraz sprawdzaniem źródła z którego pochodzą. Każda wtyczka to potencjalna furtka dla hakerów próbujących się włamać na naszą witrynę.
Częste aktualizacje kluczem do bezpiecznej strony na WordPress
Bardzo częste aktualizacje to czasochłonna praktyka, jednakże niezbędna żebyśmy mogli spać spokojnie. Wymaga czujności, metodycznego podejścia oraz zachowania zimnej krwi. 🙂
Czego się nie robi dla dobra naszych Klientów? Bardzo rzadko coś idzie nie tak podczas aktualizacji, jednakże problemów nie można całkowicie wykluczyć. Gdy coś się dzieje wymaga to szybkiej reakcji oraz znajomości WordPressa. Wszelkie awarie traktujemy nadzwyczaj poważnie, dlatego rzucamy wszystko i śpieszymy naprawić problem. Nie ma co się martwić na zapas, zazwyczaj nie trwa to długo.
Przywracamy stronę do stabilnego działania, potem przychodzi czas na analizę i wyciąganie wniosków.
Kolejną warstwą zabezpieczającą dane naszych Klientów są kopie zapasowe. Robione regularnie, sprawiają, że możemy odzyskać pliki czy bazy danych nawet do 14 dni sprzed daty spostrzeżenia problemu.
Korzystamy z sprawdzonych dostawców usług serwerowych. W razie czego mamy z nimi bezpośredni kontakt. W szczególności jeśli problem dotyka środowiska związanego z maszyną i jej oprogramowaniem, na której fizycznie znajduje się strona.
Raporty bezpieczeństwa
Regularnie obserwujemy co dzieje się na naszych stronach poprzez np. raporty bezpieczeństwa. I tutaj powoli przechodzimy do ostatniego komponentu, ale jakże ważnego – wtyczki Wordfence. Blokuje wykonywanie złośliwych skryptów na naszej stronie. Chroni czułe punkty WP, zabezpiecza wrażliwe foldery/pliki oraz pełni wiele innych funkcji.
Każda z naszych stron posiada optymalnie skonfigurowaną wtyczkę Wordfence, która pomaga nie tylko doraźnie – poprzez np. skanowanie na żądanie lub śledzenie na żywo ruchu związanego z bezpieczeństwem na stronie, ale również długofalowo. W dłuższej perspektywie pomaga, wysyłając raporty z informacjami o podejrzanej aktywności oraz problemach np. z nieaktualną wtyczką. Dzięki temu jesteśmy bardzo szybko alarmowani kiedy coś złego dzieje się z naszą witryną i możemy ekspresowo naprawić problem.
Dodatkowo z racji tego, że zrealizowaliśmy już wiele projektów, przydaje nam się narzędzie Wordfence Central. Ułatwia sprawdzenie w szybkim czasie nawet kilkudziesięciu stron bo są one wylistowane w jednym miejscu i posiadają krótką informację o tym czy dzieje się coś wymagającego atencji.
Wordfence co to jest?
Wordfence to dedykowana do WordPressa wtyczka, która ma na celu zwiększenie bezpieczeństwa witryn postawionych na tym CMS-ie. Bezpłatna wersja Wordfence’a oferuje szerokie funkcjonalności takie jak firewall, skaner bezpieczeństwa, zabezpieczanie logowania do WordPress poprzez dwuetapowe uwierzytelnianie 2FA oraz blokowanie dostępu określonych IP.
W ostatniej części artykuły postaram się zaprezentować czemu tak wiele osób wybrało Wordfence. W czasie pisania tego artykułu Wordfence posiada ponad 4 miliony aktywnych instalacji. Dla porównania drugi największy gracz na rynku iThemes Security (dawniejsze Better WP Security), który już od kilku lat ustępuje miejsca omawianej tutaj wtyczce, jest używany w około 1 milionów działających systemów Worpdress. Deklasuje pod względem popularności również swojego drugiego największego rywala na rynku wtyczek bezpieczeństwa czyli Sucuri Security.
Jak wszystko w naszym życiu, także i wspomniane wtyczki posiadają swoje „plusy dodatnie i plusy ujemne”, a celem tego artykułu nie jest rozstrzyganie na temat tego czy najpopularniejszy odpowiada najlepszemu. Dlatego stojąc przed tym wyborem trzeba decyzję podejmować w oparciu o to co nam oraz stronom, które obsługujemy jest najbardziej potrzebne.
Funkcjonalności Wordfence:
- Zapora WordPress
- Skaner bezpieczeństwa
- Baza sygnatur do skanera i zapory
- Zabezpieczenia przed atakami typu BruteForce
- Bezpieczne logowanie
- Wordfence Central
- Monitorowanie zagrożeń w czasie rzeczywistym
Zapora WordPress
Zawiera zaporę aplikacji sieci Web (WAF), która identyfikuje i blokuje złośliwy ruch, kod oraz zawartość. Chroni przed atakami typu brute force, ograniczając próby logowania, wymuszając silne hasła oraz zapewniając inne środki bezpieczeństwa logowania np. uwierzytelnianie dwuetapowe (2FA).
Skaner bezpieczeństwa
Sprawdza pliki, motywy i wtyczki pod kątem złośliwego oprogramowania, złych adresów URL, backdoor, spamu SEO, złośliwych przekierowań i wstrzyknięć kodu. Monitoruje luki w zabezpieczeniach, porzuconych i niewspomaganych wtyczek, sprawdza pliki pod kontem integralności, kontroluje bezpieczeństwo treści plików, postów i komentarzy.
Baza sygnatur do skanera i zapory
Uzbraja wtyczkę w reguły zapory ogniowej, sygnatury złośliwego oprogramowania i złośliwe adresy IP. Dzięki temu, że Wordfence chroni tak dużą ilość witryn ma niezrównany dostęp do informacji o tym, w jaki sposób hakerzy włamują się do witryn, skąd pochodzą ataki i jaki złośliwy kod pozostawiają po sobie.
Zabezpieczenia przed atakami typu BruteForce
Ataki BruteForce polegają na dużej liczbie powtarzających się prób odgadnięcia nazwy użytkownika i hasła w celu uzyskania dostępu do ekranu administracyjnego WordPress. Ataki te są zautomatyzowane, a nazwy użytkowników i hasła używane do odgadywania zwykle pochodzą z dużych wycieków danych. Wordfence wprowadza ograniczenie liczby logowań oraz blokowanie użytkowników, którzy próbują użyć nieprawidłowej nazwy użytkownika. Broni również poprzez funkcje takie jak: wymuszania silnych haseł, zapobiegania wykrywaniu nazw użytkowników czy blokowanie używania haseł, które wyciekły podczas naruszeń danych itd.
Bezpieczne logowanie
Dzięki tej funkcjonalności mamy dostęp do takich funkcji jak: uwierzytelnianie dwuskładnikowe, ochrona XML-RPC i strona logowania CAPTCHA.
- Uwierzytelnianie dwuskładnikowe – uwierzytelnianie dwuskładnikowe lub 2FA dodaje drugą warstwę bezpieczeństwa do kont użytkowników. Wymaga od nich nie tylko podania hasła, ale także drugiej informacji, do której tylko oni mają dostęp.
- Ochrona XML-RPC – XML-RPC to interfejs, który umożliwia WordPressowi komunikację z innymi aplikacjami, jest on celem ataków zagrażających bezpieczeństwu witryny. Wordfencowa ochrona logowania pozwala zabezpieczyć XML-RPC, chroniąc go za pomocą 2FA lub całkowicie go wyłączając.
- Logowania CAPTCHA – Wordfence Login Security umożliwia włączenie CAPTCHA na stronach logowania i rejestracji, dodając krytyczną warstwę bezpieczeństwa do Twojej witryny.
Wordfence Central
Zapewnia skuteczny sposób administrowania bezpieczeństwem wielu witryn WordPress za pośrednictwem jednego pulpitu nawigacyjnego, który umożliwia przeglądanie i zarządzanie wynikami dotyczącymi bezpieczeństwa, a także konfiguracją wtyczki Wordfence.
Monitorowanie zagrożeń w czasie rzeczywistym
Rejestruje ruch na poziomie serwera taki jak odwiedziny robotów Google/Bing, próby włamań oraz inne wizyty, które nie wykonują kodu Javascript.
Wymienione komponenty sprawiają, że warto mieć Wordfence jako główne narzędzie odpowiedzialne za bezpieczeństwo naszych WordPressów.
Jeśli podejmiemy odpowiednie kroki i regularnie będziemy monitorować stan naszej witryny WordPress unikniemy nieprzyjemności i zapewnimy bezpieczeństwo swojej strony. Kluczem do bezpiecznej witryny jest bowiem ciągła pielęgnacja zaplecza i stosowanie wielopoziomowych zabezpieczeń. Jeśli Ty także chciałbyś abyśmy zadbali o bezpieczeństwo Twojej witryny, zapraszamy do wypełnienia formularza kontaktowego. Postawić stronę potrafi teraz niemal każdy, kto choć trochę się na tym zna. Zadbać o jej bezpieczeństwo potrafią profesjonaliści.