Bezpieczeństwo WordPress – fakty, mity i informacje
Wśród twórców stron internetowych i programistów można spotkać różne opinie na temat WordPressa. Często dotyczą one bezpieczeństwa wspomnianego systemu zarządzania treścią.
Jednakże w dużej mierze są to opinie osób, które nie mają pojęcia o działaniu i wnętrznościach WordPressa. Zapraszam Cię do zbioru faktów, mitów i kluczowych informacji na temat bezpieczeństwa WordPressa.
Bezpieczeństwo systemu CMS – WordPress
O podstawowych działaniach, jakie możesz wykorzystać do zabezpieczenia swojej strony, wspomniałem w poprzednim wpisie z tej serii. Zacznijmy od samego tematu zabezpieczeń i bezpieczeństwa.
Bezpieczeństwo nie polega na tworzeniu idealnie bezpiecznych systemów. Takie coś jest wręcz niemożliwe do utworzenia i utrzymania.
Bezpieczeństwo to redukcja ryzyka, a nie jego eliminacja. Chodzi o zastosowanie wszystkich odpowiednich środków kontroli dostępnych dla Ciebie, w granicach rozsądku, które ograniczą możliwość zostania zhakowanym.
W tym celu WordPress jest regularnie aktualizowany. Każda aktualizacja zwykle rozwiązuje nowe problemy bezpieczeństwa, które się pojawiają lub mogą się pojawić.
Po co strony www są atakowane / infekowane?
Infekcja czy włamanie na stronę zwykle ma na celu:
- wygenerowanie spamerskich linków
- przekierowanie Twoich użytkowników na inną stronę
- wysyłanie spamu do Ciebie i Twoich użytkowników
- wykorzystanie zasobów serwera do ataków DDoS
- zarażanie kolejnych stron na Twoim serwerze
Jakie elementy mają wpływ na ataki na stronę?
- prosty login i hasło dostępowe do hostingu
- brak separacji stron na serwerze
- stosowanie jednej bazy dla wielu stron www
- udostępnienie dostępu zdalnego do bazy danych
- powielanie danych dostępowych do bazy – db_name = db_user
- powtarzalna nazwa użytkownika bazy danych czy systemu CMS jak “admin” lub administrator
- pobieranie płatnego motywu za darmo z niepewnego źródła
- pobieranie wtyczek z niepewnych źródeł
- dodawanie nieznanego nam kodu do plików wtyczek lub motywów
Higiena – co powinieneś robić na co dzień, by dbać o bezpieczeństwo WordPressa?
Jeśli Twoja strona korzysta z komercjnych wtyczek i komercyjnego motywu, które są bogate w funkcje, to musisz pilnować ich aktualizacji. Bo to ich brak może być potencjalnym problemem.
- aktualizacja wtyczek – 22% ataków na WordPress udaje się przez brak aktualizacji wtyczek
- aktualizacja motywów – 29% ataków na WordPress wynika z podatności motywów
- aktualizacja systemu WordPress – tylko połowa instancji WordPress korzysta z najnowszej wersji systemu
- aktualizacja wersji języka PHP – nieco ponad 54% instancji WP korzysta z PHP w wersji 7.4 i około 8% z wersji 8.x
Kopie bezpieczeństwa strony – po co je robić?
Ludzie dzielą się na dwa typy:
- tych, co robią backup
- tych, co będą robić backup
- Niektórzy mówią jeszcze o takich co “myślą, że robią backupy”.
A ty, do którego grona się zaliczasz? Zacznij robić kopie zapasowe swojej strony, zanim zajdzie potrzeba ich wykorzystania. Bo może być za późno.
Do tego typu operacji możesz wykorzystywać hosting, ale też narzędzia baz danych czy wtyczki WordPressa takie jak:
- Updraft Plus
- BackWPup
W kolejnym wpisie z tej serii omówię sposoby zabezpieczania WordPressa.
Mity na temat bezpieczeństwa WordPressa
- WordPress nie jest bezpiecznym systemem CMS
- Core WordPressa nie jest bezpieczny
- Ukrycie strony logowania / panelu admina zapewni bezpieczeństwo strony www
- Wtyczki bezpieczeństwa są w stanie zabezpieczyć WordPressa w 100%
- WordPress nie wymaga aktualzacji
- WordPress jest łatwy do zhakowania i zawirusowania