Szeroko rozumiane problemy z bezpieczeństwem to prawdziwa zmora. Wg badań przeprowadzonych przez Cyberfolks, 49.5% osób, które tworzą strony na WordPress doświadczyła minimum jednego ataku na swój serwis . Dlatego, projektując bezpieczny hosting WordPress od początku myśleliśmy o jak najskuteczniejszym zabezpieczeniu przed atakami.
Mechanizmy bezpieczeństwa hostingu WordPress
Większość ankietowanych użytkowników (79%) wyrażała oczekiwanie, że firma hostingowa wdroży dodatkowe mechanizmy, wspierające bezpieczeństwo po stronie serwera. Mimo, że za bezpieczeństwo aplikacji w największym stopniu odpowiada jej twórca, a mnogość motywów i wtyczek jest ogromna – spróbowaliśmy podjąć to wyzwanie. Zagadnienia związane z bezpieczeństwem, które rozwiązujemy dzięki naszemu hostingowi WordPress, można podzielić na kilka kategorii.
Kategoria | Nasza odpowiedź |
---|---|
Ataki na stronę logowania | Mechanizm WAF – web application firewall – wykrywa podejrzane żądania http i blokuje wrogie IP w locie. Dzieje się tak np. podczas prób wielokrotnego „zgadywania” hasła metodą brute force. Audytujemy hasła użytkowników WordPress i to także tych założonych wcześniej. Sprawdzamy, czy strona logowania jest dostępna łatwo i bez ograniczeń. |
Ataki DDoS | Łatwe podpięcie pod CloudFlare. Zaawansowane mechanizmy filtrowania ruchu w data center. |
Przywracanie skutków zmanipulowania treści | Backup baz co 6 godzin. Backup plików co 24 godz. Kopie w trybie 7 dni i 4 tygodnie, dostępny jest zatem backup maks. do 28 dni wstecz. |
Rozprzestrzenianie infekcji | Separacja domen. W razie zaatakowania jednej strony – pozostałe nie stają się automatycznie łatwym celem atakującego. |
Trywialne hasła | Sprawdzamy podatność hasła do bazy oraz haseł użytkowników – na złamanie, porównując je z bazą ok. 20 tysięcy haseł o wysokiej podatności, opracowaną na podstawie publikacji niebezpiecznik.pl, Symantec oraz innych serwisów, zajmujących się zagadnieniami bezpieczeństwa informacji. |
Ataki przez XMLRPC | Sprawdzamy, czy RPC jest dostępne. |
Łatwe ataki przez nadmierne uprawnienia do plików/folderów | Sprawdzamy, czy uprawnienia CHMOD są odpowiednie. |
Wersje PHP | Sprawdzamy, czy strona wykonuje się w oparciu o odpowiednią wersję PHP. |
Wersje WordPress | Sprawdzamy, czy Twój WordPress jest aktualny, analizując rdzeń, wtyczki, tłumaczenia oraz motywy. Weryfikujemy, czy włączyłeś aktualizacje automatyczne odpowiednimi wpisami. |
Nazwy użytkowników | Sprawdzamy, czy masz użytkownika „administrator” – od niego zazwyczaj zaczyna się atakowanie… ale na tym nie koniec – sprawdzimy też dziesiątki innych nazw użytkowników o podniesionej podatności na włamanie – np. admin, root etc. |
Poufność transmisji | Hosting WordPress w Linuxpl umożliwia łatwe stosowanie certyfikatów SSL Let’s Encrypt, a jeśli chcesz poprawić wiarygodność strony – skorzystaj z promocji na certyfikaty komercyjne, które oferujemy w wyjątkowo atrakcyjnych cenach. |
A co z wtyczkami?
Wtyczki zaprojektowane jako narzędzia ułatwiające wzmacnianie bezpieczeństwa WordPress są popularne. Zdania na ich temat są jednak mocno podzielone. Zaawansowani użytkownicy i developerzy często rekomendują rezygnację z wtyczek na rzecz samodzielnego dokonania kilku modyfikacji, które niewielkim nakładem pracy potrafią znacznie ograniczyć ryzyko, że Twoja strona padnie ofiarą hackerskiego ataku.
Z drugiej strony jednak – użytkownik początkujący nie jest w stanie samodzielnie dokonać edycji podstawowych plików, jak np. .htaccess (w tym pliku znajdują się dyrektywy sterujące pracą serwera www, które, odpowiednio zastosowane, mogą znacznie poprawić bezpieczeństwo strony). Ci, którzy będą chcieli – mogą zainstalować na hostingu jedną z popularnych wtyczek i będzie ona działać. Zwracamy jednak uwagę, iż developerzy często podnoszą zarzut, iż wtyczka jest oprogramowaniem instalowanym w folderze /wp-contents/ i często sama staje się źródłem podatności.
Dlatego zaprojektowaliśmy Audyt Bezpieczeństwa – niezależną aplikację, pozwalającą sprawdzić krytyczne punkty Twojej strony.
Audyt bezpieczeństwa WordPress
To autorskie rozwiązanie, które nie pozostawia groźnych plików w Twojej instalacji. Aby skorzystać z audytu w ramach pakietu hostingowego WordPress, wystarczy zalogować się do panelu i kliknąć opcję „Wykonaj audyt”.
Nasz serwer zajmuje się całą resztą. Odpowiednie oprogramowanie jest wykonywane na serwerze w taki sposób, że w Twojej przestrzeni pozostaje jedynie statyczny plik wynikowy typu .html, nie zawierający żadnych formularzy, a jedynie prezentujący wynik działania audytu. Dzięki takiemu rozwiązaniu nie jest tworzona żadna dodatkowa warstwa podatności, tak jak dzieje się to w przypadku klasycznych wtyczek.
Audyt strony sprawdza 22 elementy, na które naszym zdaniem warto zwrócić uwagę, kiedy prowadzisz stronę na WordPress.
O co chodzi z tymi hasłami?
To tylko jeden z elementów bezpieczeństwa, ale opiszemy je poniżej jako przykład zastosowania audytu, dostępnego bezpłatnie w kontach hostingu WordPress. Hasła do WordPress’a możemy podzielić na 2 główne kategorie: hasła do bazy oraz hasła użytkowników. Oba rodzaje haseł są przez nas sprawdzane.
Utworzyliśmy bazę haseł o wysokiej podatności na „odgadnięcie”. Bazę tę opracowaliśmy na podstawie publikacji serwisów specjalizujących się w zagadnieniach bezpieczeństwa. Ze względów wydajnościowych – z tej bazy wybieramy 20 tysięcy najbardziej „niebezpiecznych” haseł do sprawdzenia połączenia z bazą i około 2 tysięcy do sprawdzenia haseł użytkowników. Sprawdzamy każdego użytkownika w Twojej instalacji i dla każdego z nich sprawdzamy, czy posługuje się trywialnym hasłem.
Ale, ale… co to znaczy „hasło trywialne”? Przykładowe hasła, jakie można znaleźć w publikacjach niebezpiecznik.pl albo symantec.com to hasła związane z popularnymi słowami, jak „admin”, „root”, „hasło”, imionami , sportem oraz wulgaryzmami. Do klasyki należą hasła typu „1234”, „qwerty”, „123qwe” i inne, wynikające z naciskania kolejnych klawiszy klawiatury w jednej linii, po przekątnej itp. Wreszcie – jeśli w haśle ma wystąpić liczba – bardzo dużo użytkowników umieszcza liczbę na końcu, stąd do haseł o podniesionej podatności będzie należeć np. „Adam1”. Mimo, że zawiera wielką literę i cyfrę – jest to hasło, które stosunkowo łatwo odgadnąć.
Dzięki audytowi szybko sprawdzisz, czy użytkownicy zarejestrowani w Twoim WordPress posługują się właśnie tego rodzaju hasłami. Jeśli znajdziemy takiego użytkownika – wskażemy Ci jego login, abyś łatwo mógł podjąć dalsze kroki w celu poprawienia takiego hasła.
Chcesz w łatwy sposób stworzyć bezpieczne, silne hasło? Skorzystaj z naszego generatora haseł – kilka chwil i masz hasło nie do złamania!
Jak wykonać audyt?
- Po zalogowaniu do panelu Direct Admin wybierasz Audyt Bezpieczeństwa.
- Audyt wykonuje się ok. 5-10 sekund
- Otrzymujesz link do statycznego pliku z wynikami – klikasz i otwierasz w przeglądarce.
Audyt nie zostawia w Twojej instalacji żadnego pliku wykonywalnego, który mógłby powodować dalsze podatności. W razie pytań dotyczących konfiguracji WordPress – zapraszamy, nasz zespół chętnie pomoże we włączeniu opisanych funkcji.
Mam hosting wordpress, ale nie widzę opcji audytu bezpieczeństwa w panelu.
Paweł audyt bezpieczeństwa znajduje się w Direct Adminie w sekcji Zaawansowane opcje pod linkiem 'Test zabezpieczeń WordPress’.
Nie widze tej opcji niestety
https://www.screencast.com/t/j900woSdwdT
napisałem do supportu i udało się uaktywnić tą opcję 🙂
Trochę mało informacji.. 😉
Polecam swoje artykuły:
http://mojeprogramy.com/zabezpieczenie-wordpress
http://mojeprogramy.com/blokwanie-zakresow-ip
– All In One WP Security – jak dla mnie jest bardzo dobry (własne ustawienia)
http://mojeprogramy.com/jak-zabezpieczyc-strone-przed-botami
– też pomoże
Dodatkowo ja wyłączam:
– auto-aktualizacje (bo mogą napsuć)
– wtyczki / motyw / WP – ręcznie co jakiś czas uwaktualniam
– kopie są robione na Dropboxa i inny FTP + raz na np. 3 miesiące „ręcznie”
I jak dotąd z ponad 50 stron przez 5 lat jedna (z mojej winy) została „lekko” zainfekowana
Dużo z tego pomoże rozwiąże wtyczka bezpieczeństwa w wordpresie ale wiadomo że dobry hosting też jest bardzo ważny i jego zabezpieczenia.