Szeroko rozumiane problemy z bezpieczeństwem to prawdziwa zmora. Wg badań przeprowadzonych przez Cyberfolks, 49.5% osób, które tworzą strony na WordPressWordPress to najczęściej wybierany CMS na świecie. W oparciu o niego powstała niemal połowa istniejących stron internetowych. WordPress jest doceniany przez użytkowników ze względu na prostotę, intuicyjność i łatwość zarządzania. Ze względu na charakter open source, WordPress może być rozwijany i udoskonalany na potrzeby konkretnych, indywidualnych projektów. Jak zacząć korzystać z WordPressa? Aby rozpocząć przygodę z WordPressem, najpierw potrzebujesz hostingu dla WordPress. Hosting zapewnia miejsce na serwerze, gdzie będą przechowywane wszystkie pliki...Czym jest WordPress? doświadczyła minimum jednego ataku na swój serwis . Dlatego, projektując bezpieczny hosting dla WordPress od początku myśleliśmy o jak najskuteczniejszym zabezpieczeniu przed atakami.

Mechanizmy bezpieczeństwa hostingu dla WordPress

Większość ankietowanych użytkowników (79%) wyrażała oczekiwanie, że firma hostingowa wdroży dodatkowe mechanizmy, wspierające bezpieczeństwo po stronie serwera. Mimo, że za bezpieczeństwo aplikacji w największym stopniu odpowiada jej twórca, a mnogość motywów i wtyczek jest ogromna - spróbowaliśmy podjąć to wyzwanie. Zagadnienia związane z bezpieczeństwem, które rozwiązujemy dzięki naszemu hostingowi dla WordPress, można podzielić na kilka kategorii.

KategoriaNasza odpowiedź
Ataki na stronę logowaniaMechanizm WAF - web application firewall - wykrywa podejrzane żądania http i blokuje wrogie IP w locie. Dzieje się tak np. podczas prób wielokrotnego "zgadywania" hasła metodą brute force. Audytujemy hasła użytkowników WordPress i to także tych założonych wcześniej. Sprawdzamy, czy strona logowania jest dostępna łatwo i bez ograniczeń.
Ataki DDoSŁatwe podpięcie pod CloudFlare. Zaawansowane mechanizmy filtrowania ruchu w data center.
Przywracanie skutków zmanipulowania treściBackup baz co 6 godzin. Backup plików co 24 godz. Kopie w trybie 7 dni i 4 tygodnie, dostępny jest zatem backup maks. do 28 dni wstecz.
Rozprzestrzenianie infekcjiSeparacja domen. W razie zaatakowania jednej strony - pozostałe nie stają się automatycznie łatwym celem atakującego.
Trywialne hasłaSprawdzamy podatność hasła do bazy oraz haseł użytkowników - na złamanie, porównując je z bazą ok. 20 tysięcy haseł o wysokiej podatności, opracowaną na podstawie publikacji niebezpiecznik.pl, Symantec oraz innych serwisów, zajmujących się zagadnieniami bezpieczeństwa informacji.
Ataki przez XMLRPCSprawdzamy, czy RPC jest dostępne.
Łatwe ataki przez nadmierne uprawnienia do plików/folderówSprawdzamy, czy uprawnienia CHMOD są odpowiednie.
Wersje PHPSprawdzamy, czy strona wykonuje się w oparciu o odpowiednią wersję PHP.
Wersje WordPressSprawdzamy, czy Twój WordPress jest aktualny, analizując rdzeń, wtyczki, tłumaczenia oraz motywy. Weryfikujemy, czy włączyłeś aktualizacje automatyczne odpowiednimi wpisami.
Nazwy użytkownikówSprawdzamy, czy masz użytkownika "administrator" - od niego zazwyczaj zaczyna się atakowanie... ale na tym nie koniec - sprawdzimy też dziesiątki innych nazw użytkowników o podniesionej podatności na włamanie - np. admin, root etc.
Poufność transmisjiHosting dla WordPress w Linuxpl umożliwia łatwe stosowanie certyfikatów SSL Let's Encrypt, a jeśli chcesz poprawić wiarygodność strony - skorzystaj z promocji na certyfikaty komercyjne, które oferujemy w wyjątkowo atrakcyjnych cenach.

A co z wtyczkami?

Wtyczki zaprojektowane jako narzędzia ułatwiające wzmacnianie bezpieczeństwa WordPress są popularne. Zdania na ich temat są jednak mocno podzielone. Zaawansowani użytkownicy i developerzy często rekomendują rezygnację z wtyczek na rzecz samodzielnego dokonania kilku modyfikacji, które niewielkim nakładem pracy potrafią znacznie ograniczyć ryzyko, że Twoja strona padnie ofiarą hackerskiego ataku.

Z drugiej strony jednak - użytkownik początkujący nie jest w stanie samodzielnie dokonać edycji podstawowych plików, jak np. .htaccessPlik .htaccess znany również jako 'Hypertext Access', jest konfiguracyjnym plikiem dla serwerów opartych na Apache. Pozwala on na zarządzanie ustawieniami serwera na poziomie katalogu, bez potrzeby bezpośredniego dostępu do głównego pliku konfiguracyjnego Apache. Nazwa pliku zaczyna się od kropki, co w systemach Unix/Linux oznacza plik ukryty. Plik .htaccess zawiera dyrektywy konfiguracyjne, które regulują różne aspekty działania serwera, takie jak przekierowania, autoryzacja dostępu, kontrola błędów, cache'owanie i reguły przepisywania adresów URL...Czym jest Htaccess? (w tym pliku znajdują się dyrektywy sterujące pracą serwera www, które, odpowiednio zastosowane, mogą znacznie poprawić bezpieczeństwo strony). Ci, którzy będą chcieli - mogą zainstalować na hostingu jedną z popularnych wtyczek i będzie ona działać. Zwracamy jednak uwagę, iż developerzy często podnoszą zarzut, iż wtyczka jest oprogramowaniem instalowanym w folderze /wp-contents/ i często sama staje się źródłem podatności.

Dlatego zaprojektowaliśmy Audyt Bezpieczeństwa - niezależną aplikację, pozwalającą sprawdzić krytyczne punkty Twojej strony.

Audyt bezpieczeństwa WordPress

To autorskie rozwiązanie, które nie pozostawia groźnych plików w Twojej instalacji. Aby skorzystać z audytu w ramach pakietu hostingowego WordPress, wystarczy zalogować się do panelu i kliknąć opcję "Wykonaj audyt".

Nasz serwer zajmuje się całą resztą. Odpowiednie oprogramowanie jest wykonywane na serwerze w taki sposób, że w Twojej przestrzeni pozostaje jedynie statyczny plik wynikowy typu .html, nie zawierający żadnych formularzy, a jedynie prezentujący wynik działania audytu. Dzięki takiemu rozwiązaniu nie jest tworzona żadna dodatkowa warstwa podatności, tak jak dzieje się to w przypadku klasycznych wtyczek.

Audyt strony sprawdza 22 elementy, na które naszym zdaniem warto zwrócić uwagę, kiedy prowadzisz stronę na WordPress.

O co chodzi z tymi hasłami?

To tylko jeden z elementów bezpieczeństwa, ale opiszemy je poniżej jako przykład zastosowania audytu, dostępnego bezpłatnie w kontach hostingu dla WordPress. Hasła do WordPress'a możemy podzielić na 2 główne kategorie: hasła do bazy oraz hasła użytkowników. Oba rodzaje haseł są przez nas sprawdzane.

Utworzyliśmy bazę haseł o wysokiej podatności na "odgadnięcie". Bazę tę opracowaliśmy na podstawie publikacji serwisów specjalizujących się w zagadnieniach bezpieczeństwa. Ze względów wydajnościowych - z tej bazy wybieramy 20 tysięcy najbardziej "niebezpiecznych" haseł do sprawdzenia połączenia z bazą i około 2 tysięcy do sprawdzenia haseł użytkowników. Sprawdzamy każdego użytkownika w Twojej instalacji i dla każdego z nich sprawdzamy, czy posługuje się trywialnym hasłem.

Ale, ale... co to znaczy "hasłoW informatyce, hasło jest to sekretne słowo lub zestaw znaków, które upoważnia użytkownika do uzyskania dostępu do określonych zasobów, takich jak konto użytkownika, system komputerowy, sieć, czy też aplikacja. Hasła są używane w celu zapewnienia poufności i bezpieczeństwa, uniemożliwiając nieautoryzowany dostęp do informacji lub zasobów. Dobre praktyki dotyczące bezpiecznych haseł obejmują: Długość: Im dłuższe hasło, tym trudniejsze do złamania. Zaleca się, aby hasło miało co najmniej 12 znaków. Złożoność: Hasło...Czym jest Hasło? trywialne"? Przykładowe hasła, jakie można znaleźć w publikacjach niebezpiecznik.pl albo symantec.com to hasła związane z popularnymi słowami, jak "admin", "root", "hasło", imionami , sportem oraz wulgaryzmami. Do klasyki należą hasła typu "1234", "qwerty", "123qwe" i inne, wynikające z naciskania kolejnych klawiszy klawiatury w jednej linii, po przekątnej itp. Wreszcie - jeśli w haśle ma wystąpić liczba - bardzo dużo użytkowników umieszcza liczbę na końcu, stąd do haseł o podniesionej podatności będzie należeć np. "Adam1". Mimo, że zawiera wielką literę i cyfrę - jest to hasło, które stosunkowo łatwo odgadnąć.

Dzięki audytowi szybko sprawdzisz, czy użytkownicy zarejestrowani w Twoim WordPress posługują się właśnie tego rodzaju hasłami. Jeśli znajdziemy takiego użytkownika - wskażemy Ci jego login, abyś łatwo mógł podjąć dalsze kroki w celu poprawienia takiego hasła.

Jak wykonać audyt?

  1. Po zalogowaniu do panelu Direct Admin wybierasz Audyt Bezpieczeństwa.
  2. Audyt wykonuje się ok. 5-10 sekund
  3. Otrzymujesz link do statycznego pliku z wynikami - klikasz i otwierasz w przeglądarce.

Audyt nie zostawia w Twojej instalacji żadnego pliku wykonywalnego, który mógłby powodować dalsze podatności. W razie pytań dotyczących konfiguracji WordPress – zapraszamy, nasz zespół chętnie pomoże we włączeniu opisanych funkcji.

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

6 odpowiedzi do "Bezpieczeństwo WordPress"

  1. Paweł pisze:

    Mam hosting wordpress, ale nie widzę opcji audytu bezpieczeństwa w panelu.

  2. Magdalena Paciorek pisze:

    Paweł audyt bezpieczeństwa znajduje się w Direct Adminie w sekcji Zaawansowane opcje pod linkiem 'Test zabezpieczeń WordPress’.

  3. paweł pisze:

    napisałem do supportu i udało się uaktywnić tą opcję 🙂

  4. Trochę mało informacji.. 😉

    Polecam swoje artykuły:
    http://mojeprogramy.com/zabezpieczenie-wordpress
    http://mojeprogramy.com/blokwanie-zakresow-ip
    – All In One WP Security – jak dla mnie jest bardzo dobry (własne ustawienia)
    http://mojeprogramy.com/jak-zabezpieczyc-strone-przed-botami
    – też pomoże

    Dodatkowo ja wyłączam:
    – auto-aktualizacje (bo mogą napsuć)
    – wtyczki / motyw / WP – ręcznie co jakiś czas uwaktualniam
    – kopie są robione na Dropboxa i inny FTP + raz na np. 3 miesiące „ręcznie”

    I jak dotąd z ponad 50 stron przez 5 lat jedna (z mojej winy) została „lekko” zainfekowana

  5. infomiasto.eu pisze:

    Dużo z tego pomoże rozwiąże wtyczka bezpieczeństwa w wordpresie ale wiadomo że dobry hosting też jest bardzo ważny i jego zabezpieczenia.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?

Przeglądaj wg dat
  • Przeglądaj wg dat
  • luty 2025
  • styczeń 2025
  • grudzień 2024
  • listopad 2024
  • październik 2024
  • wrzesień 2024
  • sierpień 2024
  • lipiec 2024
  • czerwiec 2024
  • maj 2024
  • kwiecień 2024
  • marzec 2024
  • luty 2024
  • styczeń 2024
  • grudzień 2023
  • listopad 2023
  • październik 2023
  • wrzesień 2023
  • sierpień 2023
  • lipiec 2023
  • czerwiec 2023
  • maj 2023
  • kwiecień 2023
  • marzec 2023
  • luty 2023
  • styczeń 2023
  • grudzień 2022
  • listopad 2022
  • październik 2022
  • wrzesień 2022
  • sierpień 2022
  • lipiec 2022
  • czerwiec 2022
  • maj 2022
  • kwiecień 2022
  • marzec 2022
  • luty 2022
  • styczeń 2022
  • grudzień 2021
  • listopad 2021
  • październik 2021
  • wrzesień 2021
  • sierpień 2021
  • lipiec 2021
  • czerwiec 2021
  • maj 2021
  • kwiecień 2021
  • marzec 2021
  • luty 2021
  • styczeń 2021
  • grudzień 2020
  • listopad 2020
  • październik 2020
  • wrzesień 2020
  • sierpień 2020
  • lipiec 2020
  • czerwiec 2020
  • maj 2020
  • kwiecień 2020
  • marzec 2020
  • luty 2020
  • styczeń 2020
  • grudzień 2019
  • listopad 2019
  • październik 2019
  • wrzesień 2019
  • sierpień 2019
  • lipiec 2019
  • czerwiec 2019
  • maj 2019
  • kwiecień 2019
  • marzec 2019
  • styczeń 2019
  • grudzień 2018
  • listopad 2018
  • październik 2018
  • sierpień 2018
  • lipiec 2018
  • maj 2018
  • kwiecień 2018
  • marzec 2018
  • styczeń 2018
  • grudzień 2017
  • październik 2017
  • czerwiec 2017
  • kwiecień 2017
  • marzec 2017
  • luty 2017
  • styczeń 2017
  • grudzień 2016
  • listopad 2016
  • październik 2016
  • wrzesień 2016
  • sierpień 2016
  • lipiec 2016
  • czerwiec 2016
  • maj 2016
  • kwiecień 2016
  • marzec 2016
  • lipiec 2015
  • maj 2015
  • grudzień 2014
  • sierpień 2014
  • lipiec 2014
  • czerwiec 2014
  • kwiecień 2014