Nie ma chyba nikogo, kto nie wiedziałby czym jest WordPress. Najpopularniejszy na rynku system do zarządzania treścią (z angielskiego “CMS”) zdominował rynek stron internetowych nie tylko w Polsce, ale także za granicą. Miliony instalacji, miliony stron internetowych są najlepszym przykładem na popularność tego CMS’a.
Wielu jednak wciąż obawia się instalacji WordPressa z powodu jego złej sławy dotyczącej bezpieczeństwa i dziur w nim zawartych. Wielu innych, którzy mają go u siebie i na nim opierają swoje strony nie zawsze śpi spokojnie z podobnych powodów.
Jak zawsze prawda leży gdzieś po środku i dobrze zabezpieczony WordPress może być równie bezpieczny co dedykowana aplikacja. Często nawet powiedziałbym najpopularniejszy CMS jest bardziej bezpieczny od kiepskiej jakości dedykowanych aplikacji.
Popularność WordPressa to wiele korzyści. Przede wszystkim mnogość wtyczek jest imponująca. Nie ma chyba na rynku drugiego takiego produktu, do którego ilość dodatków z dnia na dzień powiększała by się w takim tępie, a ilość już dostępnych rozszerzeń liczona jest w tysiącach. Jednak to co sprawia, że ludzie i developerzy tak chętnie sięgają po WordPressa jest jednocześnie jego przekleństwem. Kiepsko napisane, wadliwe i często nieaktualizowane wtyczki są najczęstrzym powodem, przez który strona uruchomiona na tym CMS’ie jest atakowana i niestety często skutecznie. Z drugiej strony popularność samego WordPressa, jego otwarty kod jak i ilość osób zaangażowanych w jego rozwój, a nadto fakt, że nad core tego systemu pracują setki osób na całym świecie powoduje w sposób transparentny powoduje, że jest to jedna z bezpieczniejszych aplikacji na rynku. Tak, dobrze przeczytałeś, WordPress potrafi być bezpieczny.
Aktualizacje kluczową sprawą
Aby móc powiedzieć, że mamy bezpieczną instancję WordPressa konieczne jest dbanie o to, aby jego elementy i wtyczki były zawsze aktualne. To właśnie przez nieaktualne wtyczki i rozszerzenia botnety oraz crackerzy przejmują strony oparte o WordPress.
Niezależnie od tego ile mamy zainstalowanych wtyczek, niezależnie od wszystkiego – zawsze aktualizujmy WordPressa i pluginy do najnowszych wersji, a jeśli coś po aktualizacji nie działa (czasem się tak zdarza) to powinniśmy poszukać innej wtyczki, zgodnej z obecną wersją core.
Podczas instalacji pluginu, każdorazowo instalator informuje nas czy dany plugin jest zgodny z naszą wersją. Zawsze stosujmy tylko te zgodne, co na pewno podniesie poziom bezpieczeństwa i stabilności naszej aplikacji.
Ucz się na cudzych błędach
Podczas instalacji pluginów i wtyczek możemy podejrzeć komentarze i oceny innych użytkowników. Czytajmy je, zwłaszcza jeśli ocena jest podejrzanie niska. Nie zawsze ilość pobrań świadczy o bezpieczeństwie i stabilności danego pluginu czy rozszerzenia.
Jeżeli ocen jest mało lub nie ma ich wcale to też powinno dać nam do myślenia i takie rozszerzenie powinniśmy omijać z daleka.
Nie zawsze też wtyczki płatne choć mogłoby się wydawać inaczej są najbezpieczniejsze. Niedawne odkrycie dziury w popularnej wtyczce BuddyMoss, której cena zaczyna się od 39$ pokazuje, że nawet te premium bywają dziurawe.
Generalna zasada bezpieczeństwa jest jedna – im mniej wtyczek, tym lepiej. Jeśli jednak musisz z nich korzystać wybieraj te z najwyższą ilością pobrań, komentarzy, dobrych ocen i przede wszystkim te rozwijane, aktualizowane. Znacząco zmniejszasz ryzyko ataku.
Wtyczki tylko z oficjalnych źródeł
WordPress bez wtyczek nie jest aż tak funkcjonalny więc często po nie sięgamy. Wiemy już jak wybierać bezpieczne wtyczki, ale pytanie skąd? Z oficjalnego marketu wbudowanego w WordPress i oficjalnych, dużych sklepów typu Envato. W tym popularnym CMS’ie jego autorzy zadbali o to, aby dostępny z poziomu aplikacji był market z wtyczkami. Znajdziemy w nim oficjalne wtyczki i z nich powinniśmy korzystać, a jeśli jakaś ma odpowiednik premium to po zainstalowaniu jej z marketu możemy dokupić premium na stronie producenta.
Istnieje też wiele marketów, na przykład Envato gdzie można dokupić wtyczki. Szukajmy i wybierajmy te duże, sprawdzone sklepy. Unikajmy małych, a także tych mało przejrzystych stron, a już na pewno nie kupujmy na aukcjach w popularnych portalach.
Unikajmy z pewnością pobierania nielegalnych, crackowanych wtyczek. Jednego możemy być pewni poza tym, że w źródle strony będzie informacja o tym, że taką wtyczkę mamy i autor z pewnością się o tym dowie. Możemy być pewni tego, że osoba, która umieściła płatną wersję za darmo w internecie, dorzuciła coś od siebie co z pewnością otworzy tylne furtki do naszej strony. Osoby, które umieszczają takie pluginy nie robią tego bezinteresownie.
Hasła dostępowe
Podczas instalacji WordPressa proszeni jesteśmy o podanie nazwy użytkownika oraz hasła dostępowego. Wiele osób ustawia standardowy login na “admin” oraz mniej skomplikowane hasło do tego profilu. To duży błąd. Zamiast użytkownika “root”, “admin” wykorzystajmy imię, nazwisko, jakąś losową nazwę. Najczęściej atakujące roboty próbują zalogować się do zaplecza właśnie na te najbardziej popularne loginy i stosując słownikowe metody łamania haseł lub brute-force.
Używajmy także silnego hasła. WordPress podczas instalacji domyślnie generuje dla nas bezpieczne hasło. Nie bez powodu jest ono tak złożone (mała litera, duża litera, cyfra, znaki specjalne). To właśnie stopień skomplikowania hasła wpływa na jego siłę.
Warto wspomnieć o szybkości łamania haseł przez współczesne roboty. Poniżej tabelka pokazująca w jakim czasie hasła danego typu są łamane.
Tak naprawdę mówi się, że bezpieczne hasło to takie hasło, dla którego złamanie zabierze zbyt wiele czasu, aby opłacało się je łamać. Jeżeli będzie to prosty blog, który ma tylko kilka wpisów i służy raczej samoistnieniu niż celom zarobkowym czy hobbystycznym to z pewnością hasło, którego złamanie zajmie 4 dni, może być uważane za bezpieczne ;).
Nie ufaj pluginom zabezpieczającym
W oficjalnym sklepie istnieje naprawdę sporo pluginów, które możemy wyszukać wpisując popularne frazy o bezpieczeństwie. Są te bardzo i mniej popularne. Wszystkie bazują i są dla mniej doświadczonych użytkowników, którzy jednym (lub kilkoma) kliknięciami chcą mieć idealne zabezpieczony blog lub stronę.
Nic bardziej mylnego. Te skądinąd popularne pluginy często same są źródłem wielu nowych dziur i wektorem ataków botnetów. Zabezpieczenie WordPressa to szereg zabiegów i kroków, których nie da się zoptymalizować i wykonać jednym kliknięciem. Instalując tego typu wtyczki kupujemy sobie tylko potencjalnie więcej czasu.
Nie chcę powiedzieć, że wszystkie tego typu rozwiązania są złe, ale więcej z nimi jest problemów niż pożytku, a to co oferują tego typu pluginy można zrobić i wykonać samodzielnie mając pewność, że jest wykonane na najnowszej zaktualizowanej wersji i działa. Dodatkowo w każdej chwili możemy odwrócić nasze działania, a plugin? Zainstalowany raz, zostaje w systemie, a te najbardziej agresywne pluginy zabezpieczające przy próbie odinstalowania mogą skutecznie położyć stronę i dodać nam tylko pracy.
Jeżeli mamy odrobinę wiedzy o systemach, skorzystajmy z własnej pracy, a nie gotowego rozwiązania. Pozostałe elementy może zapewnić nam dostawca hostingowy i powinien o ile nasz hosting nie jest w słabo zabezpieczonej firmie.
Motywy tylko oficjalne
WordPress ma wiele zalet, z pewnością należy do nich mnogość motywów dostępnych do zainstalowania. Podobnie jak ma to miejsce z wtyczkami, tak motywy możemy zainstalować wprost z managera motywów wbudowanego w WordPressa. Jest ich tam tysiące, jest w czym wybierać, ale powinniśmy zwrócić uwagę podobnie jak w przypadku pluginów na to czy motyw jest rozwijany, zgodny z naszą wersją WordPressa (najnowszą) oraz na system komentarzy i ocen.
Niestety w przypadku motywów konieczne jest wejście w konkretny motyw, aby poznać jego oceny i szczegóły.
Wszystkie te dane zaczytywane są ze strony producenta, gdzie jest oficjalny market. Możemy także skorzystać ze strony internetowej WordPressa, a jeśli jakiś motyw nam się spodoba, możemy go zainstalować z poziomu aplikacji.
Motywy dostępne za darmo w WordPressie mają z reguły szereg ograniczeń lub są wersjami demo motywów premium. Jeżeli decydujemy się na zakup motywu ze sklepu, skorzystajmy podobnie jak w przypadku pluginów z dużych i sprawdzonych sklepów jak Envato. Nie ufajmy małym sklepikom, aukcjom.
Z pewnością podobnie jak w przypadku wtyczek, nigdy nie instalujmy motywów pobranych z pirackich stron. Jak już wspomniałem, z pewnością osoby, które je tam umieściły miały w tym jakiś cel – najpewniej dopięcia naszej strony do botnetu lub wykradnięcie danych osobowych.
Certyfikat SSL
Jeżeli nasz hosting umożliwia nam uruchomienie certyfikatu SSL, skorzystajmy z tego. Nigdy nie zostawiajmy strony bez protokołu HTTPS. Podczas logowania osoba, która chce się dostać do naszego zaplecza z pewnością będzie w stanie podsłuchać ruch między nami, a naszym dostawcą hostingu.
Dodatkowo mając bloga z pewnością będziemy mieli system komentarzy, mając sklep będziemy mieli zamówienia. To wszystko dane osobowe, a w przypadku ich wycieku kary w dzisiejszych czas ze względu na RODO mogą być bardzo dotkliwe, sięgające wielu milionów złotych.
Certyfikaty dzielą się na te płatne i darmowe (Let’s Encrypt). Technologicznie nie różnią się od siebie więc jeżeli nie chcemy wydawać fortuny i być “profi” mając zieloną kłódkę, to spokojnie wystarczy zabezpieczenie darmowym Let’s Encryptem i komunikacja będzie w pełni bezpieczna
Podsumowanie
Powyżej umieściłem zbiór najważniejszych zasad jakimi powinniśmy się kierować instalując WordPressa. Te wytyczne powinny być drogowskazem dla wszystkich, którzy chcą mieć spokój i przekonanie, że strona postawiona na WordPressie będzie bezpieczna.
Jest to pierwszy artykuł dotyczący najpopularniejszego CMS’a. Dotyczył rzeczy od tak zwanego “frontu”, i podstawowych zasad bezpieczeństwa. W kolejnej części pokażę jak od kuchni zabezpieczyć WordPressa, tak aby nie było konieczności korzystania z pluginów dających złudne poczucie pseudobezpieczeństwa i spać spokojnie o swoje dane.
Małe chochliki się wdarły w artykuł takie jak „powiększała by”, „tępie” 😉
Pojawiłyby się może w przyszłości poradniki/webinary/artykuły z atakami na przestarzałego, niezabezpieczonego wordpressa ? Albo jak sprawdzić mimo najnowszych aktualizacji i SSL’a czy nie mamy jakiś istotnych dziur w naszych stronach ? Wiem, że istnieją jakieś online’owe scannery, ale nie ufam temu do końca, czy to na pewno wszystko wykrywa.
żaden skaner nie wykryje wszystkiego :/ zainteresuj się wpscan to jedno z lepszych narzędzi mimo że nie prowadzi kompleksowej oceny z podatności wordpresa łapie dużo
@redakcja Rom zdecydowanie lepszy post od kolejnego, choć równie stary to napisany prawie ponadczasowo jeśli wywalicie ten śmieszny fragment o zielonej kłódce której już nawet w IE nie ma od dawna.