Bezpieczeństwo strony internetowej powinno być priorytetem dla każdego, kto ją posiada. I niewłaściwym jest myślenie, że włamanie na www grozi tylko witrynom celebrytów, banków i znanych korporacji. Wszystkie strony mogą stać się celem hakerów. A jak pokazują statystyki, te zbudowanie na WordPress, szczególnie często. Popularność ma też swoje ciemne strony…
4 minuty i przeczytane!
WordPress na celowniku hakerów
Gotowe motywy mniej bezpieczne?
Po co hakerowi Moja strona?
Nieświadomi zagrożenia
Zasada nr 1: Proaktywnie i ciągle
Zasada nr 2: Aktualizacja rdzenia WordPress i wtyczek
Zasada nr 3: Kopie zapasowe strony
Zasada nr 4: Hosting
Zasada nr 5: Bezpieczne i łatwe do zapamiętania hasło…
WordPress na celowniku hakerów
Każdy właściciel strony internetowej powinien liczyć się z tym, że jego witryna może stać się obiektem ataku hakerskiego. Jednak skala „robi różnicę”. W światowym Internecie co 3 strona www działa na WordPress-ie. To oznacza setki milionów stron i miliony użytkowników z nich korzystających. Pamiętajmy też, że WordPress jest platformą typu „open source” rozwijaną przez szeroką społeczność programistów – tych zaawansowanych i początkujących również. Tworzone przez nich gotowe motywy i pluginy zasilają repozytorium WordPress-a, które udostępniane są publicznie wszystkim – hakerom również.
Gotowe motywy mniej bezpieczne?
Gotowe motywy nie zawsze spełniają standardy bezpieczeństwa. Bywa, że twórcy przestają je wspierać, co powoduje, że nie są kompatybilne z najnowszą wersją WP. Gotowe motywy zawierają często nadmiarową ilość kodu w stosunku do rezultatu, wymagają wielu wtyczek do prawidłowego działania i nie są pozbawione luk. Co gorsza, mogą być zawirusowane. To wszystko powoduje, że włamanie się na stronę internetową wykorzystującą gotowy motyw WordPress jest po prostu łatwiejsze. Zlecając wykonanie strony warto upewnić się, że zostanie zbudowana na autorskim, dedykowanym Twojej firmie szablonie.
Po co hakerowi Moja strona?
Motywacje hakerów mogą być różne, a lista celów długa. Zazwyczaj przejmują konto hostingowe, by wykorzystać je do ataku na innych użytkowników sieci. Instalują złośliwe oprogramowanie lub fragment kodu (tzw. malware), którego celem jest podmiana treści na stronie lub jej usunięcie, wysłanie spamu, zablokowanie dostępu do strony, umieszczenie wrogich linków i przekierowanie na inne strony, kradzież danych osobowych, a w ostatnim czasie popularne kopanie kryptowalut.
Nieświadomi zagrożenia
Utrzymanie bezpieczeństwa witryny wymaga zaangażowania, ale powinno być priorytetem dla każdego, kto poważnie myśli o swojej witrynie. Jej zabezpieczenie jest zdecydowanie mniej kosztowne niż uporanie się z konsekwencjami zainfekowania strony, a czasem koniecznością postawienia jej od nowa. Z naszych obserwacji wynika, że właściciele stron nie do końca zdają sobie z tego sprawę. Doniesienia medialne o spektakularnych włamaniach być może przemawiają do wyobraźni, ale nie przekładają się na konkretne działania. Zapala się czerwona lampka, która szybko gaśnie…
Złamanie zabezpieczeń strony banku zapewne odbije się szerszym echem, a skala oddziaływania będzie zdecydowanie większa niż przy włamaniu na prostą stronę – to prawda. Nie zmienia to jednak faktu, że taka złośliwość może spotkać każdą witrynę – również Twojego bloga, wizytówkę w Internecie, czy platformę eCommerce. I o ile duzi gracze mają do dyspozycji ogromne zasoby (prawne, finansowe i ludzkie), by takiej awarii zaradzić to „zwykły użytkownik” już niekoniecznie…
Zasada nr 1: Proaktywnie i ciągle
Strona internetowa, również ta na WordPress‑ie, może być bezpieczna, jeśli o to zadbasz. Powodem wielu zahakowanych witryn jest niepodejmowanie absolutnie żadnych działań zapobiegawczych. Otrzeźwienie przychodzi po włamaniu na stronę – a to kosztuje czas, pieniądze i … dużo nerwów. Wyobraź sobie, że właśnie w tym momencie Twoja strona przestała się wyświetlać, albo wysyła tysiące złośliwych linków, albo haker pozyskał dane wszystkich klientów Twojego sklepu. Ręce się pocą i ściska w dołku…
A to tylko wyobraźnia. Aby tego uniknąć musisz proaktywnie podejść do zabezpieczeń witryny, bo zanim zauważysz, że coś jest nie tak, może być za późno. Możesz stracić klientów, ponieść konsekwencje prawne, a naruszenie bezpieczeństwa wpłynie na Twój organiczny ranking Google. Zabezpieczenie strony internetowej to dość skomplikowany proces, dlatego by mieć pewność, że Twoja strona jest w dobrych rękach możesz realizację powierzyć profesjonalistom. Istnieje jednak kilka podstawowych zasad, które powinieneś znać.
Zasada nr 2: Aktualizacja rdzenia WordPress i wtyczek
Jak wynika z najnowszej analizy firmy cyber_Folks, jednego z dostawców usług hostingowych Polsce, tylko co piąta strona internetowa oparta o WordPress ma zainstalowaną najnowszą wersję CMS. Smutna prawda jest taka, że najwięcej włamań na strony z WordPress‑em jest skutkiem braku aktualizacji. Często z niewiedzy, ale też niedbalstwa administratorów, którzy… zapominają. Strony są zagrożone, ponieważ ich podstawowe oprogramowanie, pliki, motywy i wtyczki są przestarzałe. A na to czekają internetowi przestępcy, którzy za pomocą gotowych narzędzi skanują stronę, znajdują luki, instalują złośliwe oprogramowanie i przejmują kontrolę nad stroną. Chcesz utrudnić im dostęp – korzystaj z najnowszej wersji WordPress‑a. Zawsze! Miej porządek w motywach i wtyczkach. Aktualizuj te, z których korzystasz i usuń nieużywane. Jeśli jakieś instalujesz samodzielnie upewnij się, że pochodzą od wiarygodnego i sprawdzonego dostawcy.
Zasada nr 3: Kopie zapasowe strony
Niby wszyscy wiedzą, że tworzenie kopii zapasowych jest ważne, ale rzadko z tej wiedzy korzystają. I nie dotyczy to tylko stron internetowych. Jak często robisz kopie zapasowe plików z komputera albo smartfona? Ile razy zdarzyło Ci się, że zignorowałeś powiadomienia i odkładałeś zaplanowany backup „na potem”? Zabezpieczenie plików strony internetowej wprawdzie nie uchroni jej przed cyberatakiem, ale umożliwi jej odtworzenie, gdy problem się pojawi. A to zdecydowanie szybsze (i tańsze) rozwiązanie niż stawianie jej od nowa. Kopie bezpieczeństwa należy robić regularnie, najlepiej w innej lokalizacji niż hosting. Zadanie można zautomatyzować i powierzyć firmie, która specjalizuje się w zabezpieczaniu danych.
Zasada nr 4: Hosting
Hosting również odgrywa ważną rolę w bezpieczeństwie Twojej witryny. Źle zabezpieczony lub błędnie skonfigurowany serwer może stać się przyczyną problemów. Firmy hostingowe oferują różne środki bezpieczeństwa, takie jak szyfrowane połączenie certyfikatem ssl, blokowanie adresu IP po kilku nieudanych próbach logowania, automatyczne kopie zapasowe, firewall‑e, aktualizacje oprogramowania, czy separacja stron www. Wybierając usługodawcę, oprócz pojemności, wydajności i szybkości serwera sprawdź, jakie rozwiązania w zakresie bezpieczeństwa może Ci zaoferować.
Zasada nr 5: Bezpieczne i łatwe do zapamiętania hasło…
… podobno występuje rzadziej niż jednorożec. Gdyby się nad tym dłużej zastanowić uznamy, że w tym stwierdzeniu jest dużo racji. Spełnienie obu kryteriów jednocześnie wydaje się mało realne. Istnieją hasła łatwe do zapamiętania i hasła bezpieczne. Nie oznacza to jednak, że nie powinniśmy podjąć trudu wymyślenia bardziej skomplikowanego niż data urodzenia czy adres zamieszkania. Im bardziej będzie złożone, tym hakerowi trudniej będzie je złamać. Można do tego celu wykorzystać generator haseł.
Jak już wymyślimy „hasło nie do złamania” nazbyt się do niego nie przywiązujmy. Aby było skuteczne musi być unikalne i regularnie zmieniane. Posługiwanie się tym samym hasłem „od zawsze i na zawsze” nie jest dobrą strategią. Nazwa użytkownika też nie jest bez znaczenia. Pozostawienie standardowo używanego w WordPress „admin” to ułatwienie dla hakera, bo zna już 50% danych uwierzytelniających. Jeśli w Twojej witrynie aktywnych jest wiele osób – każda z nich powinna mieć osobne konto z uprawnieniami odpowiednimi do pełnionej roli. Przypisywanie członkom zespołu odpowiednich poziomów dostępu również zmniejsza ryzyko cyberatak
