Pewnie jak wiele użytkowników WordPress-a słyszeliście lub co gorsza byliście ofiarami ataku hakerskiego na Waszą stronę internetową czy sklep online. W dzisiejszym artykule przedstawię Wam kilka bardzo prostych czynności, które pomogą Wam poprawieniu bezpieczeństwa Waszego serwisu. Zmiany te nie zabezpieczą go w 100%, ale na pewno poprawią jego bezpieczeństwo i miejsca potencjalnego włamu.
Zadbaj o porządek w motywach
Pewnie większość z Was posiada zainstalowane kilka motywów w swoim WordPressie. Pewnie są to szablony, które testowaliście lub były aktywne wcześniej, a potem uruchomiliście nowy motyw i nie zrobiliście porządków. Druga grupa, to osoby, które miały usunięte wszystkie zbędne motywy, ale z kolejnymi aktualizacjami WordPressa nie zwróciły uwagi, że zostały doinstalowane nowe szablony. Czas na zrobienie porządków w zakładce motywy. Każdy szablon, który znajduje się w tej zakładce, a co gorsza nie jest aktualizowany, może zostać punktem włamu na stronę, jeśli hakerzy znajdą jego słaby punkt. W 2017 roku rozpoczęła się duża fala ataków hakerskich. Większość zrzucała winę na WordPressa w wersji 4.7.5, który miał luki bezpieczeństwa – na pewno to również mogło być słabym ogniwem stron internetowych. Wszyscy dokonywali wtedy aktualizacji do wyższe wersji i problem wydawał być się zapomnianym. Ja natomiast zauważyłem inną zależność, która trwa do dnia dzisiejszego. Pomimo aktualizacji WordPressa nawet do wersji 5.3 w dalszym ciągu pojawiały się włamy, a wszystkie strony, które naprawiałem i następnie zabezpieczałem miały wgrane trzy defaultowe motywy: Twenty Sixteen, Twenty Fifteen oraz Twenty Fourteen.
Wykonałem kilka testów, które upewniły mnie w tezie, że powyższe szablony należy jak najszybciej usuwać. Jak wyglądały testy? Był bardzo proste. Na jednej z moich domen, która padła atakiem włamu hakerskiego postanowiłem nie wdrażać pełnego zabezpieczenia, które stosuje u moich klientów, a rozpocząłem testy różnych czynników. Strona, która była raz zhakowana ma tendencje do szybkiego włamu po raz kolejny. I tak się stało. W pierwszym kroku zaktualizowałem wersję WordPressa do nowszej i czekałem na rozwój sytuacji. Dodatkowo sprawdziłem dostępne informacje, czy wszystkie wtyczki w obecnych wersjach nie mają dziur bezpieczeństwa. Wszystko wskazywało, że jest ok. Po kilku dniach włam powtórzył się. Następnym krokiem, była aktualizacja WordPressa (wyszła kolejna wersja) oraz zainstalowanych wtyczek. Po kilku dniach nastąpił kolejny włam na stronę. Po tej sytuacji wprowadziłem kolejne zabezpieczenia – zmieniłem wszystkie dostępy, defaultową ścieżkę logowanie, prefixy w bazie danych, ale nie przyniosło to efektu. Dopiero po usunięciu wyżej wspomnianych szablonów sytuacja się uspokoiła.
Aktualizacja strony, to podstawa
W ostatnim czasie słyszeliśmy wiele o dziurach bezpieczeństwa lub podatnościach (jak to ładnie nazywają twórcy wtyczek) w tak popularnych komponentach jak Contact Form & czy Woocommerce. Pamiętaj, aby wszystkie komponenty były na bieżąco aktualizowane. Zarówno WordPress, jak i wtyczki czy motywy powinny być zawsze w najwyższej dostępnej wersji – pod jednym warunkiem, że twórcy nie popełnili błędu i strona po aktualizacji przestała działać. Wtedy możesz przywrócić kopię bezpieczeństwa, którą powinieneś wykonać przed aktualizacją, a jeśli jej nie wykonałeś, ale działa Ci panel administracyjny, to skorzystaj z wtyczek Downgrade lub WP RollBack, aby przywrócić niższe wersje WordPressa czy wtyczek. Twórcy stron bardzo często lubią grzebać we wtyczkach, aby dopasować ich działanie do Twoich potrzeb i po aktualizacji coś przestaje działać. Jeśli tak właśnie jest w Twoim przypadku, zgłoś się do twórcy strony, aby to naprawił i umożliwił aktualizację komponentów na stronie.
Wtyczek całe mnóstwo
Część użytkowników WordPressa odkryło nowe hobby, którym jest kolekcjonowanie wtyczek w swoim serwisie. Ostrzegam, nie jest to dobre dla Twojej strony! Duża ilość aktywnych wtyczek, nawet na pierwszy rzut oka nie mających wpływ na funkcjonowanie strony, może kolokwialnie “zajechać” szybkość strony i będzie się ona ładowała godzinami. Zawsze miej porządek we wtyczkach, wyłącz wszystkie nieużywane wtyczki, a co więcej, usuń je od razu ze strony. Podobnie jak w przypadku szablonów, tak i w przypadku wtyczek pozostawione na serwerze nie używane wtyczki mogą być miejscem włamu na stronę i Twoje kolekcjonerstwo czy niedbalstwo może spowodować w najlepszym przypadku przywrócenie kopii bezpieczeństwa sprzed kilku dni, a w najgorszym wyciek danych, a to już poważna sprawa, która może kosztować Cię wiele nieprzyjemności i pieniędzy.