Kiedy WordPress nie jest bezpieczny?

Często możemy usłyszeć o tym, że zhakowana została strona jakiejś znanej marki, poczytnej gazety czy innej firmy. Wiele z tych stron działa na fundamencie WordPressa, ponieważ bez wątpienia jest to jeden z najbardziej popularnych sposobów na stworzenie strony internetowej. Duża popularność niesie jednak za sobą pewne skutki uboczne, jakimi są częste ataki ze strony hakerów. Czy zatem WordPress jest bezpiecznym narzędziem do prowadzenia stron internetowych? Oczywiście na odpowiedź składa się kilka czynników, które przybliżę Wam w dalszej części artykułu.

 

W jaki sposób strony WordPress są hakowane?

 

Skoro wiemy już, że mnóstwo stron działających na podstawach WordPressa jest hakowanych każdego roku, to warto zastanowić się nad tym, w jaki sposób do tego dochodzi. 

 

Przestarzałe oprogramowanie

Przede wszystkim do najważniejszych i najczęstszych przyczyn ataków na strony działające w oparciu o WordPress jest korzystanie z jego nieaktualnej wersji. Jeśli przyjrzymy się danym z raportu Hacked Website Trend Report z 2018 roku, to dostrzec możemy bardzo interesującą tendencję. Mianowicie, aż 36,7% wszystkich zhakowanych stron, które zostały uwzględnione w badaniach, korzystało z przestarzałej wersji WordPressa.

Niestety obecnie tylko około 45% stron działających na WordPressie korzysta z najnowszej wersji oprogramowania. Zatem około 55% wszystkich stron jest narażone na ataki hakerskie tylko i wyłącznie z powodu starej wersji oprogramowania.

Rozwiązanie tego problemu jest bardzo proste. Wystarczy na bieżąco kontrolować kolejne aktualizacje oprogramowania WordPress i niezwłocznie jest stosować, aby mieć większą pewność, że ataki hakerskie nie będą na grozić. Zespół ds. Bezpieczeństwa WordPress wszystkie znalezione luki, które umożliwiają hakerom ataki, stale wychwytują i usuwają, wprowadzając nowe wersje oprogramowania. 

 

Nieaktualne wtyczki i szablony

Popularność i niezwykle różnorodna gama wtyczek to jeden z wielu plusów WordPressa. Jednak każde kolejne rozszerzenie stanowi dodatkową lukę w bezpieczeństwie tego oprogramowania.

Mimo że wielu twórców wtyczek i motywów przestrzega standardów kodu i naprawia na bieżąco wszystkie niedociągnięcia, nie są oni w stanie w tak dokładny sposób sprawdzić swoich nakładek, ponieważ nie dysponują takimi zasobami, jak ekipa WordPressa. 

Nawet jeśli deweloperom uda się usunąć problem, to użytkownicy nie sprawdzają aktualizacji zainstalowanych już wtyczek i motywów, przez co narażają się na ataki hakerskie, które są znacznie bardziej prawdopodobne w przypadku nieaktualnych i wybrakowanych wersji danych rozszerzeń.

Często zdarza się też, że dany twórca przestaje rozwijać swoje rozszerzenie, i podobnie jak w przypadku nieaktualnego oprogramowania WordPress, a nieaktualne wtyczki i szablony są idealnym siedliskiem dla hakerów.

Skala problemu rozszerzeń do WordPressa jest naprawdę duża. W ankiecie przeprowadzonej przez Wordfence wśród właścicieli zhakowanych stron WordPress aż 60% ankietowanych przypisało atak hakerski usterkom wtyczek lub szablonów.

Aby zapobiec atakom hakerskim w związku z wtyczkami i szablonami, musimy pamiętać, aby je na bieżąco aktualizować, a także korzystać z tych z wiarygodnych źródeł.

 

Zagrożone dane do logowania

Może wydawać się to dość oczywiste, jednak nadal wielu z nas zapomina o zastosowaniu bezpiecznych danych do logowania do naszej strony WordPress. Nawet najlepiej chronione strony, gdzie zastosujemy najnowsze aktualizacje, wtyczki i motywy ze sprawdzonych źródeł, a niezabezpieczone odpowiednim hasłem i loginem staną się łatwym celem dla hakerów.
Dlatego pamiętajmy, aby nie używać regularnych ciągów liter i znaków. Najlepiej zastosować dłuższą sekwencję z ulubionej książki czy piosenki i niektóre znaki podmienić na znaki specjalne. Im mniej regularne dane hasło, tym lepiej.

 

Jak sprawić, aby strona WordPress była bezpieczna?

 

Na samym początku warto wspomnieć, że żadne z podanych poniżej rozwiązań nie zapewni nam 100-procentowego bezpieczeństwa, ale znacznie je zwiększy. Niewielkim wysiłkiem możemy sprawić, że nie będziemy musieli się martwić o bezpieczeństwo naszej strony.

 

Tworzenie kopii bezpieczeństwa 

Brak kopii bezpieczeństwa często przyczynia się do utraty ważnych dla nas danych. Jeśli regularnie będziemy ją stosować, zwłaszcza podczas wprowadzania dużych modyfikacji do naszej strony, np. aktualizacji wtyczek, dodawania lub usuwania podstrony, zmiany znacznej części treści, nie będziemy musieli się obawiać niemożnością przywrócenia najświeższej wersji w momencie wystąpienia awarii.

 

Aktualizacja oprogramowania

Tak jak wspomniałem wyżej, nieaktualizowanie oprogramowania WordPressa i wszelkich wtyczek czy motywów bardzo często przyczynia się do naruszenia bariery ochronnej naszej strony. Sytuacja wygląda bardzo podobnie w przypadku oprogramowania już dłużej nierozwijanego, ponieważ stare wersje różnych rozwiązań mają znacznie więcej luk znanym hakerom aniżeli nowsze aktualizacje.
Aktualizacji wtyczek możemy dokonać z panelu administracyjnego WordPressa, wersje i ustawienia PHP zaś znaleźć można w odpowiednim panelu do zarządzania usługami hostingowymi.
Warto również pamiętać, aby nie aktualizować wszystkich wtyczek naraz. Może nam to przysporzyć wiele kłopotów, kiedy okaże się, że jedna z kilkudziesięciu wtyczek ma awarię. W takiej sytuacji nie jesteśmy w stanie szybko stwierdzić, która z nich jest wadliwa. Dlatego też istotne jest aktualizowanie wtyczek pojedynczo.

 

Kto odpowiada za bezpieczeństwo stron WordPress?

 

Za zwalczanie wszelkich problemów dotyczących WordPressa odpowiada Zespół ds. Bezpieczeństwa  WordPress. Mimo tego wkład w bezpieczeństwo stron opartych na WordPressie mają także indywidualni współpracownicy i programiści z całego świata.
Na Zespół Bezpieczeństwa WordPress składa się pięćdziesięciu ekspertów, w tym najlepsi programiści i badacze bezpieczeństwa. Zespół ten na bieżąco konsultuje się z badaczami bezpieczeństwa z firm hostingowych.

 

Czy WordPress jest bezpiecznym programem do prowadzenia stron internetowych, jeśli przestrzegamy niezbędnych wytycznych?

 

Trzeba przyznać, że żaden system zarządzania treścią nie jest w stanie zapewnić nam stuprocentowego bezpieczeństwa. WordPress również nie będzie bezpiecznym oprogramowaniem, jeśli właściciele stron nie będą przestrzegać podstawowych wytycznych zapewniających bezpieczeństwo.
Nie musicie się martwić, jeśli regularnie aktualizujecie swojego WordPressa i wszelkie wtyczki i motywy z nim powiązane. Ponadto warto pamiętać o korzystaniu jedynie z tych rozszerzeń, które pochodzą od renomowanych programistów. Atak hakerów nie będzie Wam straszny, kiedy będziecie używać silnych haseł, a najlepiej, jeśli będziecie stosować uwierzytelnianie dwupoziomowe, jeśli jest ono możliwe. Nie korzystajcie z frazy „admin” jako swojej nazwy użytkownika. Jego zastosowanie zmniejsza bezpieczeństwo Waszej strony. Ponadto komunikowanie się z witryną WordPress najlepiej szyfrować za pomocą certyfikatu TLS (HTTPS). I co najważniejsze, zapewnij swojemu komputerowi odpowiedni program chroniący przed wirusami.