Według raportu Website Hacked Trend Report 2016 WordPress był najczęściej atakowanym systemem zarządzania treścią w Internecie w pierwszym kwartale 2016 roku. Nie oznacza to jednak, że jest on najbardziej „dziurawym” systemem w sieci – tak duża liczba ataków wynika z tego, że jest on po prostu najpopularniejszy. Warto wiedzieć, że poprawnie zarządzany WordPress już w swoich podstawowych opcjach może być rozwiązaniem stosunkowo bezpiecznym. Niestety, częste praktyki, takie jak łatwe do złamania hasła, nazwa użytkownika pozostawiona jako “admin” czy też brak aktualizacji wtyczek i szablonów w znaczny sposób przyczyniają się do wzrostu zagrożenia strony www infekcją. Warto więc wspomóc się wtyczkami, które sprawią, że Wasza witryna stanie się jedną z najbezpieczniejszych w sieci.
Poniżej przedstawiam dwa rozwiązania skutecznie chroniące strony, na których zostały przeze mnie wdrożone.
Wtyczka Wordfence
Na stronie wtyczki możemy przeczytać, że jest to najczęściej pobierana wtyczka bezpieczeństwa dla systemu zarządzania treścią WordPress. W jej silniku znajdziemy między innymi: firewall, ochronę przed atakami typu brute force oraz skaner plików.
Autorzy chwalą się również, że wtyczka jest w kontakcie z ich serwerami w Seattle i Waszyngtonie. Przechowują na nich wszystkie wersje szablonów, wtyczek i samego WordPressa, tak, by móc porównać pliki oryginalne z tymi znajdującymi się na naszym serwerze. Dzięki temu minimalizujemy ryzyko funkcjonowania złośliwego kodu w plikach naszej strony. Oczywiście mamy również zapewnienia o ciągłych aktualizacjach ochrony przed malware, wirusami i atakami typu back-door. Dodatkowo wtyczka zapewnia ochronę przed linkami z czarnej listy Google. Jeśli w komentarzu, treści lub plikach pojawią się podejrzane linki, użytkownik zostanie o nich poinformowany.
Jak zacząć korzystać z wtyczki?
Pierwszą rzeczą, którą powinniśmy wykonać, jest skorzystanie ze skanera plików. Z dostarczonych przez niego wyników dowiemy się, w jakiej kondycji obecnie jest strona. Zostaniemy poinformowani o większych problemach, takich jak kłopoty z plikami, ale też o mniejszych sprawach – jak nieaktualne pliki szablonów lub wtyczek. Część z nich uda nam się naprawić od razu z poziomu raportu. W przypadku dobrze napisanej strony praktycznie nie musimy się obawiać przeprowadzenia aktualizacji, jeśli jednak mamy wątpliwości, dobrze jest to skonsultować z developerem, który przygotował stronę.
W dalszej kolejności możemy zaplanować harmonogram przeprowadzania skanów bezpieczeństwa, jak i dodać adres e-mail, na który mają być wysyłane powiadomienia w przypadku zagrożeń. Warto również zezwolić wtyczce na jej samodzielne, automatyczne aktualizacje, by zautomatyzować proces zapewniający bezpieczeństwo stronie.
Wtyczka dostarcza również inne rozwiązania, takie jak: przyśpieszenie działania strony, kontrolowanie podejrzanego ruchu czy nawet blokowanie ruchu z danego kraju.
Wtyczka All In One WordPress Security
Autor tejże wtyczki opisuje ją jako uzupełnienie zabezpieczeń w WordPressie. Osobiście używam jej jako uzupełnienie zabezpieczeń Wordfence. Jedną z głównych zalet wtyczki (jak słusznie zapewniają twórcy) jest prostota jej konfiguracji i łatwość zrozumienia jej działania.
W kokpicie wtyczki dostajemy czytelną informację na temat tego, jak wtyczka ocenia obecny poziom zabezpieczeń, a także sugestie, które z nich wymagają wzmocnienia – może to być np. zmiana nazwy użytkownika (jeśli jest nią popularny “admin”), ustawienie limitu prób logowania z jednego adresu IP, sprawdzenie uprawnień plików czy aktywacja ochrony typu firewall.
Użytkownik, nawigując po kolejnych opcjach programu, ma możliwość wdrożenia następujących rozwiązań: ukrywanie informacji o wersji WordPress przed botami, wykonanie kopii wrażliwych plików, np. wp-config.php czy .htaccess. Mamy również możliwość sprawdzenia siły hasła, dodania rozwiązania typu captcha do stron logowania i rejestracji, wykonania kopii bazy danych oraz ustawienia cyklicznego jej wykonywania, zmianę adresu do panelu administracyjnego czy rozwiązań przeciwspamowych.
Podsumowanie
Skorzystanie z powyższych opcji zawsze skutecznie chroniło przed atakami wszystkie witryny, które znajdowały się pod moją opieką. Z doświadczenia wiem, że – w kwestiach ataków na strony – łatwiejsze i przyjemniejsze jest zabezpieczenie witryny niż późniejsze próby jej naprawy. Zachęcam więc do sprawdzenia, jakie rozwiązania zabezpieczające zostały wdrożone na Twoich stronach, a jeśli takowych nie ma – do skorzystania z powyższych rozwiązań.
