Jak zwiększyć bezpieczeństwo bloga WordPress

Jak zwiększyć bezpieczeństwo bloga WordPress

WordPress stanowi najbardziej popularną platformę blogową na świecie. Ponieważ najwięcej ludzi tworzy blogi w oparciu o WordPress, jest on obiektem ataków hakerskich lub działań złośliwych skryptów.

 

Utarło się przekonanie, że atakowane są strony ważne, na przykład strony ważnych firm lub banków. Tymczasem okazuje się, że najczęściej atakowane są zwykłe strony. Po przejęciu kontroli nad stroną hakerzy umieszczają na niej złośliwe oprogramowanie, linki prowadzące do dziwnych stron, przekierowania na niepożądane strony. Dzieje się tak bez wiedzy i zgody właściciela strony. Wielu właścicieli stron traktuje je jako czystą informacje o swojej firmie, z danymi kontaktowymi, mapką dojazdu, informacjami o firmie, i nie zagląda do niej miesiącami. Takie strony, rzadko aktualizowane, najczęściej padają ofiarą ataków. Nierzadko z wierzchu nie ma żadnych niepokojących objawów i nikt nie podejrzewa, że w źródle zostały umieszczone niepożądane linki. Nie znaczy to jednak, że także stroną, która jest odpowiednio aktualizowana i zadbana przez właściciela, nie padnie ofiarą włamania.

 

Po czym poznać, że strona została przejęta lub zainfekowana

 

Prostym sygnałem, że coś jest nie w porządku, będzie zmiana w działaniu strony. Zmiana ta nie ma żadnych wytłumaczalnych przyczyn, jak na przykład konserwacja serwera czy awaria wtyczki.

 

Strona, która do tej pory otwierała się szybko, nagle ładuje się bardzo wolno. Może to oznaczać działanie jakiegoś skryptu, który pochłania zasoby serwera.

Przeglądanie plików strony na serwerze ujawnia pliki, których tam wcześniej nie było. Może się również pojawić nieznany kod  javascript, nieznane linki lub treści w kodzie html motywu. Zdarza się, że strona z pozoru działa normalnie. W innym wypadku strona nie otwiera się, a zamiast niej widzimy biały ekran lub zostajemy przekierowani na inną stronę.

Objawem przejęcia strony jest pojawianie się w panelu WordPressa nowych użytkowników, których tam wcześniej nie było.

 

Przejęcie strony lub zainfekowanie jej złośliwym oprogramowaniem może się przyczynić do utraty widoczności w wyszukiwarkach. Możemy zauważyć, że strona zniknęła z indeksu Google lub jej pozycja znacznie spadła. Sprawdzając pozycję strony wpisując “site:adresstrony.pl” otrzymujemy w wynikach wyszukiwania dziwne podstrony, których wcześniej nie było. Niekiedy strona zostaje zablokowana przez przeglądarkę, gdzie pojawia się komunikat, że strona jest zainfekowana i wejście na nią jest niebezpieczne.

 

Możemy również sprawdzić działanie strony w narzędziach dla webmasterów Google. Otrzymujemy tu powiadomienia o złośliwym oprogramowaniu lub spamie.

 

Drogi włamań

 

Według badań najczęstszą drogą przejęcia kontroli nad stroną jest uzyskanie dostępu do konta hostingowego. Inną drogę stanowią luki w skryptach, głównie motywu i wtyczek. Znacznie mniej włamań zostaje spowodowanych wykryciem przez hakera słabego hasła.

W wielu przypadkach jednak hakerzy nie muszą się wiele natrudzić nad łamaniem haseł. Wielu właścicieli stron nie zadaje sobie trudu nad wymyśleniem trudnych haseł i pozostaje przy hasłach typu “123” lub słowach bardzo łatwych do zapamiętania. Jako login bardzo często używa się słowa “admin”, które hakerzy sprawdzają jako pierwsze.

 

Naprawa zainfekowanej strony

 

Pierwszą rzeczą, którą należy zrobić, jest zmiana wszystkich haseł. Należy zmienić hasło do panelu administracyjnego WordPressa, hasło do bazy danych, oraz hasło do konta hostingowego i konta ftp. Hasła powinny być trudne do złamania czyli długie i zawierające cyfry, duże i małe litery oraz znaki.

 

Kolejną rzeczą będzie zaktualizowanie zarówno samego WordPressa, jak i wtyczek i motywu. Najlepiej usunąć nieużywane lub zbyteczne wtyczki i ograniczyć je do niezbędnego minimum.

 

Bardzo często zdarza się,  że zniknięcie strony (biały ekran) nie zostało spowodowane włamaniem hakerskim lecz wadliwym działaniem jednej z wtyczek. Takie zjawisko występuje najczęściej po aktualizacji WordPressa, gdy jakieś wtyczki nie są dostosowane do najnowszej wersji skryptu. Inna sytuacja występuje wtedy, gdy właściciel strony bez opamiętania instaluje różne wtyczki. Może nastąpić konflikt pomiędzy działaniem różnych wtyczek.

W takim przypadku należy kolejno wyłączać wtyczki aby przekonać się, która z nich jest przyczyną problemu. Jeśli nie mamy dostępu do panelu administracyjnego WordPressa i nie możemy się zalogować, musimy wyłączyć wtyczki z poziomu plików.

 

Zidentyfikowanie złośliwego oprogramowania wśród plików WordPressa jest bardzo trudne. Plików jest bardzo dużo i nie jesteśmy w stanie ich wszystkich przejrzeć. Warto przejrzeć najważniejsze plik porównując źródło z kodem czystych plików na przykład z paczki instalacyjnej lub z czystej wersji, którą mamy na dysku.

Dobrze jest porównać plik motywu, pliki htaccess i wp-config.php aby sprawdzić czy nie zostały tam dodane jakieś nieznane kody. Warto również przejrzeć katalogi ze zdjęciami oraz katalog wp-includes w poszukiwaniu dziwnych plików, których tam wcześniej nie było.

 

Nawet po przejrzeniu tych miejsc nie jesteśmy w stanie wykryć złośliwego oprogramowania. Nie możemy mieć pewności, że jakieś dodane skrypty nie kryją się pomiędzy plikami WordPressa. Dlatego najlepszym rozwiązaniem będzie skasowanie wszystkich plików i stworzenie strony od nowa lub przegranie czystych plików z dysku.

W tym celu bardzo ważne jest posiadanie kopii zapasowej.

 

Dbanie o bezpieczeństwo strony

Nie tylko przejęcie kontroli nad stroną czy jej zainfekowanie, lecz także jakaś usterka, wadliwe działanie wtyczki, może spowodować takie uszkodzenie WordPressa, że nie odzyskamy możliwości zalogowania się. W takim przypadku możemy stracić całą pracę włożoną w tworzenie strony. Czasem strona jako taka działa poprawnie i z pozoru nic się nie dzieje. Jednak nie mając możliwości logowania, nie możemy niczego na stronie zmienić i w związku z tym jest ona bezużyteczna.

 

Dlatego też bardzo ważne jest posiadanie aktualnej kopii zapasowej. Należy po każdym dodaniu wpisu czy artykułu i przed każdą aktualizacją, pobierać kopię zapasową treści w narzędziach WordPressa. Ponadto od czasu do czasu należy wykonać kopię bazy danych. Bardzo ważne jest posiadana dysku czystej, aktualnej kopii motywu.

 

Całkowite zabezpieczenie się przed przejęciem kontroli nad stroną nie jest możliwe. Możemy jednak przestrzegać pewnych zasad bezpieczeństwa, które utrudniają przejęcie kontroli nad stroną i zmniejszają niebezpieczeństwo ataku.

 

Ważne jest stosowanie długich i trudnych do rozszyfrowania haseł do bazy danych i do panelu WordPressa. Nazwa użytkownika powinna być w miarę możliwości trudna do rozszyfrowania. Zdecydowanie należy unikać loginu “admin”. Ważne jest również aby nazwa bazy danych nie pokrywała się z nazwą użytkownika bazy danych.

 

Istotne znaczenie ma również korzystanie z konta hostingowego dobrej firmy.

Istnieje również sporo wtyczek poprawiających bezpieczeństwo strony na WordPress.
Mimo wielu działań zabezpieczających, nigdy nie mamy stuprocentowej pewności, że nasza strona nie padnie ofiarą ataku lub usterki. Jednak mając kopię zapasową, przynajmniej kopię treści, możemy bez trudu odtworzyć stronę.

responsive_wp_728x90


Profesjonalny Hosting


14 Comments
  1. Świetny wpis! Czy podobne zagrożenia istnieją dla blogów na Bloggerze? Jeśli tak to jak można się zabezpieczyć?

  2. Dlatego ja swoje strony firmowe zleciłem do zaprojektowania bez żadnego systemu CMS, czyli po prostu zwykłe pliki źródłowe bez bazy danych. Efekt jest taki, że problemy z infekowaniem zniknęły, a ja śpię spokojniej i nie potrzebuję programisty co 5 minut. Pozdrawiam.

  3. zgodzę się z tym artykułem, ponieważ wielu ludzi nie zdaje sobie nawet sprawy z tego jak przez drobne wady strony można narobić sobie problemów… sam na swojej firmowej stronie miałem kiedyś hakera i było bardzo poważnie, miałem zabezpieczenia ale mimo to były za słabe, podstawowe. Teraz już wiem co i jak robić żeby takie sytuacje się nie zdarzały. Pozdrawiam serdecznie

  4. Ludzie dzielą się na tych co robią kopie zapasowe i na tych co będą… Backup najważniejsza spraw przy każdej stronie.

  5. Sam dwukrotnie padłem ofiarą ataków hakerskich na malutkim blogu, zanim nauczyłem się poprawnie zabezpieczać WordPressa. Na szczęście hostingodawca za pierwszym razem dysponował kopią zapasową, a za drugim razem dysponowałem już własną, aby w krótkim czasie przywrócić stronę do działania. Pewnie gdybym wcześniej trafił na taki artykuł, jak Pani, nie popełniłbym tych błędów. Ale z drugiej strony – sporo się nauczyłem.

  6. Mieliśmy różne już sytuacje włącznie z DDoS attack czy brute force, przede wszystkim większość stron opartych jest na rozwiązaniach open source, dlatego poza tym co napisała Pani Małgorzata trzeba szczególną uwagę zwracać na aktualizację skryptów jak i wprowadzać dodatkowe uwierzytelnienia logowania, co jakiś czas zmieniać hasła.

    Są też inne metody na zabezpieczenie strony internetowej ale tutaj już warto zwrócić się do firmy informatycznej, która fachowo zabezpieczy stronę przez ewentualnymi atakami na stronę o które na prawdę nie jest ciężko w dzisiejszych czasach.

Leave a reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *