Dzisiaj większość stron tworzy się na podstawie różne systemy CMS. Dzięki systemom zarządzania treścią można w znacznie łatwiejszy sposób edytować treść w przyszłości, aktualizować to, co znajduje się na witrynie. Najpopularniejszym systemem CMS jest WordPress, dlatego też w tym artykule skupimy się na tym, w jaki sposób podnieść bezpieczeństwo witryny opartej o to oprogramowanie.
Zaczniemy od podstaw, potem przechodząc do coraz poważniejszych zagadnień. Jednak na początku zastanówmy się nad najważniejszym.
Czy warto martwić się bezpieczeństwem WordPressa?
Wiele osób może się zastanawiać, po co martwić się bezpieczeństwem, skoro nie prowadzi się bardzo popularnej strony. Pierwszym powodem, dla którego trzeba zwrócić uwagę, na bezpieczeństwo stron opartych o WordPress jest popularność tego systemu CMS. Szacuje się, że ponad 26% witryn na świecie jest oparta o to oprogramowanie! WordPress po prostu zdeklasował rywali, drugi najpopularniejszy system CMS (joomla) ma jedynie lekko ponad 2% popularności…
Ze względu na popularność WordPress jest częstym celem hakerów i stanowi cel dla ponad 70% ataków. Jednak najgorszy jest fakt, że w wielu przypadkach do infekcji przyczyniają się właściciele stron internetowych, którzy nie potrafią odpowiednio skonfigurować i zabezpieczyć swojej witryny.
Po co infekowane są strony firmowe?
Wielu przedsiębiorców może zastanawiać się, czemu ich strona miałaby być celem ataku hakerów. Najczęstsze powody, to:
- Wysyłanie spamu przy użyciu serwera zhakowanej strony.
- Tworzenie spamerskich treści, które mają pozycjonować strony hakera.
- Zainfekowanie strony niebezpiecznym oprogramowaniem, które jest też potencjalnie niebezpieczne dla osób odwiedzających witryny.
- Kradnięcie danych użytkowników.
W każdym z tych przypadków tracisz bardzo dużo. Przede wszystkim tracisz wejścia użytkowników na twoją stronę, co przekłada się na utratę potencjalnych klientów. Również zaufanie twoich odbiorców spada, a zainfekowana strona traci również w oczach Google, co przekłada się na spadek pozycji.
Jak widać, nawet prowadząc niewielką stronę możemy narazić się na ataki hakerów, dlatego też warto odpowiednio ją zabezpieczyć.
W jaki sposób hakerzy infekują strony?
Zanim przejdziemy do omówienia sposobów zabezpieczenia witryny, zastanówmy się, w jaki sposób działają hakerzy i jak udaje im się zainfekować witrynę. Wiele osób myśli, że wystarczy silne hasło. To jednak poważny błąd. Oczywiście silne hasło ma znaczenie, jednak najczęściej strony oparte o CMS WordPress są infekowane za pomocą wtyczek. Problemem jest brak regularnych aktualizacji, które tworzą luki w bezpieczeństwie witryny, oraz instalowanie wtyczek z nieznanych źródeł, które czasem po prostu tworzą furtkę dla ataków hakerów.
Jednocześnie silne hasło również jest istotne, ponieważ łamanie go jest drugim najpopularniejszym sposobem na zhakowanie strony opartej o WordPress. Teraz czas przejść do najważniejszego, czyli.
Jak zabezpieczyć stronę WordPress przed zhakowaniem? Metody podstawowe
Dbaj o regularne aktualizacje
Najlepiej będzie, jeśli po prostu będziesz wykonywał każdą aktualizację od razu, jak się ona pojawi. Dotyczy to zarówno całego systemu CMS, jak i poszczególnych wtyczek oraz motywów. Różne aktualizacje nie tylko dodają nowe funkcje, poprawiają wygląd, ale również podnoszą bezpieczeństwo twojej witryny. Dlatego poświęć chwilę, żeby zainstalować aktualizację.
Ustaw silne hasło
Próba łamania haseł jest drugim sposobem na zhakowanie twojej strony. Dlatego też musisz zadbać o to, żeby hasło było silne. Kombinacje małych i dużych liter, cyfr oraz znaków specjalnych są bardzo istotne. Pamiętaj również o tym, że nie wystarczy ustawić silnego hasła do panelu WordPress, ważne jest również hasło do serwera FTP, bazy danych, oraz panelu logowania hostingu.
Oddzielne konto administratora na WordPressie
Pamiętaj o tym, żeby nie publikować artykułów i innych treści z konta administratora. Dzięki temu nawet jeżeli komuś uda się złamać hasło do użytkownika, który dokonuje publikacji, to nie będzie mógł on zdziałać zbyt wiele. Ponadto zadbaj o to, żeby nazwa administratora była inna niż „admin”, to również uniemożliwi ataki typu brute force, gdzie po prostu próbuje się odgadnąć hasło „na siłę”, używając tysięcy kombinacji.
Kopie bezpieczeństwa
Dbaj o to, żeby samemu wykonywać kopie bezpieczeństwa. Co prawda korzystając z wielu hostingów możesz liczyć na to, że firma również będzie wykonywała kopie bezpieczeństwa, jednak może zdarzyć się jakaś awaria w ich systemie. Dlatego dobrze jest mieć swoją kopię, która dodatkowo zabezpieczy twoje pliki.
Instaluj rzeczy z legalnych i wiarygodnych źródeł
WordPress w dużej mierze opiera się na różnych wtyczkach zwiększających jego funkcjonalność. Część twórców udostępnia wtyczki lub motywy na swoich stronach. Warto być ostrożnym przy korzystaniu z takich rozwiązań i upewnić się, że dane źródło jest legalne i bezpieczne. Dzięki temu zapobiegniesz instalacji złośliwego kodu na stronie, który będzie stanowił furtkę dla hakerów.
Zaawansowane metody ochrony WordPressa
Teraz przyjrzymy się zaawansowanym metodom zabezpieczenia WordPress przed atakami hakerów. Mogą być one trudniejsze do wdrożenia w życie i dlatego w niektórych przypadkach koniecznie może być skorzystanie z pomocy webmastera. Dlatego też podzieliłem je od zadań najłatwiejszych do zadań najtrudniejszych do wprowadzenia.
Wyłączenie edycji motywów i wtyczek w kokpicie
W pliku wp-config.PHP powinna znajdować się następująca formuła:
define(‘DISALLOW_FILE_EDIT’,true);
Uniemożliwi ona edycję istotnych plików z poziomu panelu WordPress. Dzięki temu, jeżeli ktoś włamie się tylko do twojego panelu, to twoja witryna będzie znacznie bezpieczniejsza.
Ochrona pliku wp-config.PHP
W pliku .htaccess dodaj poniższą formułę:
<files wp-config.php>
order allow,deny
deny from all
</files>
Zabezpieczy ona plik wp-config.php, który jest jednym z najważniejszych dla całego WordPress.
Ochrona pliku .htaccess
Warto zabezpieczyć również plik .htaccess, wystarczy, że umieścisz w nim poniższy zapis:
<files ~ „^.*.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>
Ochrona folderu wp-content
W tym folderze znajduje się istotna dla twojej strony zawartość — wtyczki, szablony, oraz przesyłane przez Ciebie pliki. Żeby zabezpieczyć ten folder przed atakami, stwórz w nim plik .htaccess, w którym wpiszesz następującą formułę:
Deny from all
<Files ~ „.( xml|css|jpe?g|png|gif|js|woff|woff2|ttf)$”>
Allow from all
</Files>
Ograniczenie dostępu do logowania WordPress
Możesz również ograniczyć dostęp do panelu logowania WordPress. Jednym ze sposobów jest konieczność podania dodatkowych danych, zanim będziesz mógł zalogować się do panelu. Innym sposobem jest ograniczenie dostępu do logowania tylko dla określonych adresów IP.
Oba te rozwiązania nie sprawdzą się jednak w przypadku, gdy będziesz tworzył witrynę, na której twoi klienci będą się logować. Dlatego też zastanów się, czy to rozwiązanie na pewno sprawdzi się w twojej firmie.
Jak poradzić sobie ze zhakowaną stroną?
Te wszystkie porady były dla osób, które po prostu chcą się zabezpieczyć przed atakiem na witrynę, co jednak gdy twoja witryna już została zainfekowana? Przede wszystkim trzeba zastanowić się jak rozpoznać, że twoja witryna została zhakowana. Czasem zmiany, są trudne do zauważenia, dlatego zwróć uwagę:
- Czy zmienił się układ treści?
- Czy strona ładuje się wolniej?
- Czy masz problemy zalogowaniem się do panelu WordPressa?
Warto pamiętać, że każdy z tych powodów to jedynie przesłanka do tego, żeby zainteresować się stanem twojej witryny. Układ treści mógł się zmienić np. na skutek aktualizacji motywu lub wtyczek albo usunięcia jakiejś wtyczki. Z tych samych powodów strona może ładować się wolniej, a Ty możesz mieć problemy z logowaniem.
Żeby sprawdzić stan swojej witryny:
- Sprawdź, czy w Google Search Console pojawiły się powiadomienia na temat infekcji.
- Możesz dodatkowo wyszukać swojej witryny w wyszukiwarce Google, sprawdź, czy wyświetla się przy niej napis “Ta witryna mogła paść ofiarą ataku hakerów”.
- Przeskanuj swoją witrynę skanerem VirusTotal.
Co, jeżeli strona została zhakowana?
W takim przypadku masz trzy możliwości:
- Samemu zlokalizować przyczynę problemu i ją wyeliminować.
- Skorzystać z pomocy profesjonalnego webmastera.
- Przywrócić kopię zapasową witryny, gdy nie była ona zainfekowana.
Często sposób trzeci jest sposobem najszybszym, zwłaszcza jeżeli szybko wykryłeś infekcję i od czasu jej pojawienia nie przybyło dużej ilości treści na twojej stronie.
Podsumowanie
W dużej mierze to od Ciebie zależy, jak bezpieczna będzie twoja strona firmowa. Większości ataków hakerskich można uniknąć poprzez wprowadzenie zmian omawianych w tym artykule. Pamiętaj jednocześnie, że jeżeli dojdzie do ataku na twoją stronę i zostanie ona zainfekowana, to liczy się jak najszybsze działanie. W przeciwnym wypadku narażasz się na utratę zaufania zarówno użytkowników, jak i wyszukiwarki Google.
