Bezpieczeństwo bloga dla laika – WordPress.

Dosyć głośno ostatnio o atakach na WordPressa. Ten system jest aż tak dziurawy, czy może to tymczasowa moda? Ataki na WordPressa odbywają się codziennie, a tylko co pewien czas udaje się znaleźć naprawdę dużą lukę. Czy to wada tego oprogramowania? Zdecydowanie nie!

WordPress jest jednym z bardziej znanych systemów zarządzania treścią. Jest lekki, szybki, prosty we wstępnej konfiguracji i oferuje bardzo przejrzysty panel administracyjny dla nowego użytkownika. Projekt cały czas żyje. Bardzo rozbudowana społeczność wokół tego CMS’a generuje niezliczone ilości darmowych wtyczek i szablonów. Bez wydawania grosza, jesteśmy w sposób chałupniczy, poprzez instalację i konfigurację modułów stworzyć swoją pierwszą stronę.

Jak się zabezpieczyć? Jak żyć i jak nie dać się zaatakować?

Po pierwsze musisz zrozumieć że ataki na Twojego WordPressa będą i co gorsza, nie będziesz o nich wiedział. Chyba że zainstalujesz wtyczkę zliczającą ilość udaremnionych prób logowania do Twojego panelu. Mi w ciągu roku udało się uzbierać 15 931 zablokowanych prób logowania. Daje to aż 1 327 ataki na panel administracyjny dziennie!

 

 

Aktualizuj się!

Za bezpieczeństwo mojego bloga odpowiadają wbudowane systemy WordPress’a oraz 2 wtyczki. Pierwsze czego dokonałem to włączenie automatycznych aktualizacji aplikacji. WordPress komunikuje się z każdą zainstalowaną instancją i doskonale wie, kiedy została wydana nowa wersja. W celu włączenia tego ficzera wystarczy dokonać bardzo proces zmiany w naszym pliku konfiguracyjnym. Zmieniamy w pliku konfiguracyjnym dwie linijki:

define( 'AUTOMATIC_UPDATER_DISABLED', false );
define( 'WP_AUTO_UPDATE_CORE', true );

 

Akismet do boju!

Kolejna operacja to instalacja wtyczki Akismet która w wariancie podstawowym jest za darmo. Wtyczka ta uchroni nas przed spamem w komentarzach, atakami kierowanymi w naszych odbiorców (np. linki i ogłoszenia w komentarzach) lub modyfikacją kodu strony poprzez wstawienie znaczników HTML/JS w kod komentarza.

Przykłady ataków:

 

All In One WP Security

Ostatnią rzeczą jaką możemy zrobić w domowym zaciszu to zainstalować wtyczkę jaką jest np.: All In One WP Security. Wtyczka ułatwia administrowanie naszą stroną, oraz zabezpiecza nas przed wieloma znanymi i często stosowanymi technikami atakowania WordPressa. Wtyczka techniką punkową weryfikuje jak bezpieczny jest nasz blog. Dostajemy punkty za elementy takie jak:

  • włączenie autobackupu bazy danych
  • usunięcie metadanych o silniku strony
  • zmianę domyśnego prefiksu tabel w bazie danych

Co najważniejsze dla zwykłego użytkownika, wszystkie te zmiany dokonujemy kilkoma kliknięciami z poziomu panelu konfiguracyjnego!

 

Przeklinanie się przez opcję i włączenie najbardziej niezbędnych funkcjonalności podniesie poziom bezpieczeństwa naszej strony. Ponad 140 punktów to całkiem dobry wynik. Żyłowanie do maksymalnych 420 punktów powinni przeprowadzić użytkownicy dużych stron firmowych lub naprawdę sporych rozmiarów portali.

 

Przedstawione kroki zabezpieczenia Twojej strony umożliwią Ci spokojny sen przed standardowymi ataki celowanymi w silnik WordPressa. Nie zabezpieczą Cię jednak przed innymi, celowanymi prosto w Twój serwis atakami, jednak żeby tak się stało musisz prowadzić naprawdę dużą stronę – no i nie będzie to już wisiało na Twojej głowie 🙂

Jeżeli chcesz być na bieżąco z nowymi dziurami w WP zapraszam do śledzenia strony https://wpvulndb.com/

Kasztelan Paweł

Programista samouk, zakochany w ZF i Laravel, szerzący opinię że PHP + JS + HTML + CSS to są języki w których może zostać stworzona aplikacja równie dobra, a nawet lepsza od twardego klienta.