Bezpieczeństwo firmowej strony internetowej. Co musisz wiedzieć o bezpieczeństwie WordPressa
Szacuję się, że około 40% stron internetowych wykorzystuje ten właśnie system. Powodu tak dużej popularności tego rozwiązania można doszukiwać się w wielu aspektach. Na sukces systemu składają się takie elementy jak licencja open source, wszechstronność . Omawiany system zarządzania treścią daje swoim użytkownikom szeroki wachlarz możliwości. Niestety poza licznymi korzyściami i udogodnieniami tak popularnego rozwiązania musimy liczyć się z ciemną stroną popularności. Przez szerokie zastosowanie narzędzia, wordpress jest też popularnym celem hackerów. W ramach sprawozdania chciałbym przybliżyć najczęstsze metody ataków na strony internetowe oraz przedstawić najlepsze praktyki w zakresie zabezpieczenia swojej strony i danych przechowywanych w swoich bazach.
Atak poprzez wtyczki i motywy
Strona internetowa z budowana z wykorzystanie wordpressa posiada trzy główne elementy składowe: instalacja główna wordpressa, motywy i wtyczki. Każdy z tych elementów może nieść za sobą poza nieocenioną pomocą pewne zagrożenia.
Sam trzon wordpressa jest rozwijany przez grono specjalistów, a jego aktualizacje odbywają się systematycznie zapewniając możliwie najwyższy poziom bezpieczeństwa. Wykorzystywanie motywów czy wtyczek o zewnętrznych dostawców otwiera jednak nową przestrzeń, którą hacker może wykorzystać przeciwko nam.
Jak zabezpieczyć się przed atakami w tej przestrzeni?
W obliczu zagrożeń w Internecie nigdy nie jesteśmy całkowicie bezradni, istenieje wiele dobrych praktyk minimalizujące ryzyko ataków. Myśląc o wyborze wtyczki do wykorzystania na naszej stronie, należy wziąć pod uwagę pewne kwestie już na etapie wyboru wtyczki. Należy unikać pobierania dodatków z nieznanych źródeł ani takich które są już nie utrzymywane, czyli ich aktualizacje nie są już przeprowadzane. Przy tak szybkim rozwoju technologii możemy być pewni, że rozwiązania pozostawione bez opieki i aktualizacji z czasem na pewno będą wiązały się z ryzykiem luki bezpieczeństwa.
Przy wyborze wtyczki wewnątrz wordpressa należ zwrócić uwagę na datę ostatniej aktualizacji i jej popularność. Dodatkowo przed jej pobraniem warto zapoznać się z jej opisem i zweryfikować jej twórcę. Czy właściciel wtyczki jest też producentem innych narzędzi? Czy istnieje on już dłużej na rynku i jaka jest jego opinia w internecie. Podobnie sprawa wygląda z motywami dla stron internetowych. Po zainstalowaniu wtyczki kluczowe dla bezpieczeństwa będzie zadbanie o regularne aktualizacje zainstalowanych dodatków. Czasem kuszące wydawać się mogą darmowe pakiety wersji premium udostępniane na zewnętrznych stronach. Korzystanie z takich rozwiązań niesie za sobą ryzyko pobrania zainfekowanego lub zmodyfikowanego narzędzia, które zostawia furkę dla hackera.
Luki bezpieczeństwa w kodzie wordpressa
Poza wtyczkami i motywami, sam trzon wordpressa także może zawierać luki bezpieczeństwa. W tej przestrzeni kluczowa będzie aktualizacja systemu. Grono specjalistów czuwa nad tym, aby regularnie publikować poprawki bezpieczeństwa i udostępniać je w aktualizacjach. Nic nam po nich, jeśli samodzielnie nie zaktualizujemy własnej strony
Na wykresie kołowym powyżej widzimy udział konkretnych wersji wordpressa na rynku w 2023 roku. Wynika z tego, że mniej niż połowa instalacji wordpress jest regularnie aktualizowana. To właśnie brak aktualizacji jest jednym z głównych zagrożeń. Tak jak wspomniałem w poprzednim punkcie, podstawową metodą zabezpieczenia swojej strony jest regularna aktualizacja wordpressa do najnowszej wersji.
Załamanie dostępu do panelu administratora
Najczęściej spotykaną próbą ataku na strony internetową jest atak Brute Force. Jest to metoda polegająca na odgadnięciu danych dostępowych do panelu administratora. Ze względu na to, że domyślnie każdy wordpress posiada panel logowania pod jednym adresem tj. adres-domeny.pl/wp-admin próba dostania się do wnętrza strony jest wyjątkowo kusząca. Gdy hacker trafi na stronę logowania następnym sposobem jest próba odgadnięcia danych dostępowych w celu dostania się do zasobów strony i przejęcia nad nią kontroli. Taki atak odbywa się w sposób zautomatyzowany. Właśnie w tej sytuacji możemy zauważyć jak ważne jest stosowanie silnych haseł. Boty wykorzystywane do łamania haseł mogą tego dokonać niemal natychmiast jeśli nasze hasło jest zbyt słabe. Najbezpieczniejszymi hasłami będą długie ciągi różnych typów znaków. Jako ciekawy przykład wpływu konstrukcji hasła na czas jego odgadnięcia przytoczę tu wyniki analizy przeprowadzonej w serwisie security.org dla następujących haseł :haslo, haslo123, LepSzEhasl0, Fvwm2H2@9UY3EBP
Poza używanie silnych haseł istnieje jeszcze kilka popularnych metod zabezpieczenia się przed tego typem ataków. W pierwszym kroku, możemy ukryć stronę logowania przed botami szukającymi strony /wp-admin/. W tym celu możemy skorzystać z wtyczki WPS Hide Login
Hosting jako luka bezpieczeństwa
Problem ten zostawiłem na koniec ze względu na relatywne mniej dotkliwe konsekwencje. Mowa tu o hostingu współdzielonym, czyli takim na którym kilka stron internetowych jest przechowywana pod jednym adresem IP. Właśnie korzystanie z jednego adresu IP niesie za sobą ryzyko sytuacji, w którem nasz „sąsiad” trafi na czarną listę, również twoja strona może odczuć konsekwencje tego zjawiska.