Piotr Skrzypczak Jest dziurawy, ataki hakerów to codzienność, nie da się uchronić go przed wirusami – to jedne z wielu niepochlebnych opinii na temat WordPressa. Bezpieczeństwo WordPressa zdaniem niektórych pozostawia wiele do życzenia. W tym poradniku obalamy mity dotyczące bezpieczeństwa WP, a przede wszystkim radzimy jak skutecznie zabezpieczyć platformę przed potencjalnymi zagrożeniami.
(Nie)bezpieczeństwo WordPressa – fakt czy mit?
WordPress to niezwykle popularne, a przy tym darmowe narzędzie, początkowo używane do prowadzenia internetowych dzienników przez blogerów. Z czasem, za sprawą modułowej budowy, WP stał się platformą do wszelkiego rodzaju stron – od wizytówek, przez sklepy internetowe, po systemy CMR. Zgodnie z wieloma różnymi statystykami, WordPress jako platforma Systemu Zarządzania Treścią używany jest przez 30-50% serwisów internetowych na świecie. I to właśnie jego popularność sprawia, że często bywa celem ataków.
Utrata plików czy wprowadzenie niepożądanych zmian w bazie na skutek zainfekowania systemu to nie jedyne zagrożenia czyhające na WordPressie. Szczególne ryzyko związane jest z wyciekiem czy wyłudzeniem danych, co może odbić się na widoczności witryny w wynikach wyszukiwania Google, które na właściciela strony może nałożyć dodatkową karę. Naprawa błędów może być nie tylko czasochłonna, ale i kosztowna.
Zamiast całkowicie skreślać WordPressa, pamiętajmy, że każda jego nowa wersja wprowadza dodatkowe zabezpieczenia oraz ulepszenia pod kątem bezpieczeństwa przechowywania oraz dostępu do wrażliwych danych użytkownika.
Podstawowe zasady bezpieczeństwa WordPressa
Na szczęście, istnieje kilka sposobów, w dodatku prostych do zastosowania, które w znaczącym stopniu zwiększą bezpieczeństwo strony na WP. Oto one!
1. Bieżące aktualizacje
Pierwszym z czynników podnoszących bezpieczeństwo strony jest utrzymywanie aktualnego stanu WordPressa. W praktyce oznacza to regularne aktualizowanie zarówno samego PHP, jak również wtyczek zainstalowanych w ramach witryny. Stosowanie przestarzałych, a przy tym często nierozwijanych rozwiązań, stwarza ogromne zagrożenie w postaci zewnętrznych ataków. Nowe wersje i ustawienia PHP znaleźć można w panelu do zarządzania usługami hostingowymi, zaś aktualizacji wtyczek dokonuje się z poziomu panelu administracyjnego WordPress. W przypadku tych drugich warto pamiętać o ważnej zasadzie, zgodnie z którą każdą z wtyczek należy aktualizować pojedynczo. Update wszystkich naraz, w przypadku potencjalnej awarii jednej z nich, może trudnić nam poszukiwanie „winnego”, a tym samym opóźnić rozwiązanie problemu.
2. Kopie bezpieczeństwa
Bieżące aktualizacje to jedno. Bezpieczeństwo WordPressa i opartej na nim strony zapewnić nam może również systematyczne tworzenie kopii zapasowych. Regularność back-upów warto dostosować do tego, jak często i w jakim zakresie dokonujemy zmian w ramach witryny. I tak, przy sporadycznej aktualizacji treści – co kilka miesięcy, nie jest potrzebne częstsze od tego wykonywanie kopii zapasowej. Podobnie rzecz ma się w przypadku nanoszenia drobnych zmian, takich jak poprawa błędów w tekście czy zamiana zdjęcia. Jeśli zaś chodzi o spore modyfikacje, takie jak zmiana sporej części treści, dodanie lub usunięcie podstron czy aktualizacja wtyczek, to każdą z nich powinien poprzedzać back-up. Kopie zapasowe możemy wykonywać zarówno ręcznie, jak i korzystając z dedykowanych plug-inów, takich jak BackWPup czy UpdraftPlus. Dzięki back-upowi, na wypadek awarii, bez najmniejszego problemu przywrócimy ostatnią wersję online.
3. Sprawdzone wtyczki
Rozmaite wtyczki stanowią nieodłączny element każdej strony na WordPressie. Najpopularniejsze z nich pozwalają na edycję wyglądu strony, wspomagają jej pozycjonowanie i mają wspierać bezpieczeństwo witryny. Nie bez powodu typowe jest więc dla wielu stron korzystanie z nawet kilkunastu plug-inów o odmiennych funkcjach. Sam ten fakt nie obniża bezpieczeństwa WordPressa – należy jednak zwrócić uwagę na źródło pobieranych wtyczek. Jedynym rekomendowanym ich źródłem jest strona WP (https://pl.wordpress.org/plugins/). Pobierając z niej wtyczkę możemy mieć pewność, że została dokładnie sprawdzona i nie zawiera złośliwego oprogramowania. Dobrą praktyką, zmniejszającą niepotrzebne ryzyko włamania, jest usuwanie wtyczek, z których przestaliśmy korzystać oraz wtyczek, które utraciły wsparcie deweloperów.
4. Zarządzanie stroną
Kolejną kwestią podnoszącą bezpieczeństwo WordPressa jest umiejętne przydzielenie ról, czyli poziomów uprawnień do strony. Jest to szczególnie istotne, jeśli daną witrynę obsługuje wiele osób. W takim przypadku należy przemyśleć zakres obowiązków każdej z nich i na tej podstawie przyporządkować odpowiednie dostępy, takie jak Autor, Redaktor, Administrator, Subskrybent i Współpracownik. Najważniejsza rola – admina, powinna być zarezerwowana dla maksymalnie dwóch osób, czyli głównego właściciela strony i ewentualnie zarządzającego nią informatyka.
W ten prosty, a jednocześnie często pomijany sposób, skutecznie zmniejszymy ryzyko włamania czy dokonania przypadkowych zmian w ustawieniach witryny. Przydzielając dostępy warto pamiętać również o ich bieżących aktualizowaniu. Na przykład wtedy, gdy autor znajdujących się na stronie tekstów nie pracuje już nad nimi, należy uniemożliwić mu zalogowanie do panelu i nanoszenie zmian w treści.
5. Logowanie do strony
Kolejną skuteczną metodą poprawy bezpieczeństwa WordPressa jest używanie adresu e-mail zamiast loginu. Możemy posiadać dedykowany adres, który będzie używany przez nas wyłącznie w celu logowania do WP, co dodatkowo utrudni odgadnięcie loginu. Częstą przyczyną ataków hakerskich są też słabe hasła. By utrudnić zadanie potencjalnemu intruzowi, hasło powinno być nie tylko unikalne, ale przede wszystkim odpowiednio silne. Dobrze, by zawierało zarówno małe, jak i duże litery, cyfry oraz symbole, składało się z przynajmniej 16 znaków i było używane wyłącznie w jednym serwisie. Trudne do zapamiętania hasła można przechowywać w zewnętrznych aplikacjach oraz systemowych sejfach. Pomocne w zabezpieczeniu witryny jest też uwierzytelnienie dwuskładnikowe (2FA), nazywane dwuetapowym, które jak wskazuje sama nazwa – wprowadza dodatkowy etap do logowania. Poza loginem i hasłem, konieczne jest wpisanie kodu otrzymanego SMS-em lub zeskanowanie kodu QR.
6. Protokół szyfrujący
Powyższe zasady dotyczą działań, jakie warto podjąć w ramach serwisu. Jednak zabezpieczenie przed atakami hakerskimi zapewnić mogą również elementy „zewnętrzne”, takie jak choćby protokół szyfrujący. Protokół SSL zapewnia bezpieczny transfer danych między przeglądarką użytkownika i serwerem, co utrudnia hakerom przerwanie połączenia lub fałszowanie informacji.
Co nie bez znaczenia, certyfikat pozytywnie wpływa na pozycję witryny w Google. Należy pamiętać, że certyfikat SSL jest obowiązkowy, jeśli serwis posiada jakąkolwiek formę rejestracji użytkownika, na przykład w postaci zapisu do newslettera.
Czy należy obawiać się WordPressa? Naszym zdaniem to świetne, bo ekonomiczne rozwiązanie, które choć narażone na potencjalne niebezpieczeństwa, można z łatwością przed nimi uchronić. Dlatego też stawiając stronę na WP, a później ją prowadząc, warto poświęcić dodatkowy czas na zabezpieczenie serwisu. Ostatecznie może oznaczać to jego oszczędność.
Piotr says:
Dobre tipy, ale sama aktualizacja wordpressa to zwykle ogromne wyzwanie. Klienta do aktualizacji przekonuje zwykle włamanie. A na co dzień, że odłóżmy w czasie, dlaczego tak drogo 😉
Piotr Skrzypczak says:
Wszystko zależy od tego jak jest strona, czy sklep zbudowany. Jeśli używamy rozwiązań, które są wspierane i aktualizowane przez twórców, to aktualizacje są w miarę bezpieczne. Natomiast ja zawsze polecam robienie aktualizacji na kopii strony, nim zrobimy to na produkcji – zwłaszcza jak jest to sklep. Dzięki temu jak coś pójdzie nie tak, to nie musimy się stresować, że nie działa i nie ma sprzedaży 🙂 No i konieczne jest wykonywane kopii zapasowych przed samymi aktualizacjami.
Co do ceny i „czemu tak drogo” to już kwestia z jednej strony klientów oraz ich świadomości – jeżeli mają serwisy, które zarabiają, to koszty za aktualizacje i utrzymanie nie są czymś dużym. Natomiast jeżeli kogoś nie stać, to lepiej jakby skorzystał z dobrego „gotowca” znanych twórców, żeby mieć pewność co do późniejszych aktualizacji.
SercemWidziane says:
Jak mam sprawdzić czy moja strona internetowa jest bezpieczna i na co mam zwrócić uwagę, jeśli używam szablonów u kogoś na wordpressie. Mam panel administracyjny, i nie mam dostępów do żadnych kodów strony.
Piotr Skrzypczak says:
Niestety większość zabezpieczeń konfiguruje się po strony serwera www lub sam hosting w dużej mierze powinien o to zadbać. Wtyczki do zabezpieczeń mogą jedynie pomóc w pewnych aspektach, np. blokowaniem adresów IP lub kont przy kilku nieudanych próbach logowania, ale nie są w stanie dostatecznie zabezpieczyć stronę, bo jak już dojdzie do włamania to one też mogą zostać oszukane. Najlepsze zabezpieczenia to takie, które działają poziom wyżej niż oprogramowanie zainstalowane na serwerze, w tym przypadku WordPress.