CityHost.UA
  • Русский
  • Українська
  • English
  • Deutsch

  • Kijów

    (044)3-777-4-88

  • Kyivstar

    (096) 365-38-58

  • Lifecell

    (093) 170-17-68

  • Vodafone

    (066) 922-59-58
Pomoc i wsparcie

Jak zabezpieczyć stronę na WordPressie i nie stać się ofiarą luk w otwartym kodzie

 5699
05.06.2023
article

 

 

W świecie internetu ciągle trzeba wybierać między komfortem a bezpieczeństwem. Proste hasło łatwiej zapamiętać — ale łatwo je złamać; instalowanie programów pobranych z internetu jest wygodne, ale można przy tym dostać nieprzyjemną «niespodziankę», na którą się nie nastawialiśmy.

Tak samo jest z WordPressem — to niezwykle wygodny system zarządzania treścią (CMS), który ułatwia życie webmasterom. Nie trzeba już pisać kodu samodzielnie — wystarczy kupić hosting i domenę dla strony, zainstalować CMS (teraz można to zrobić w kilka kliknięć) i zbudować zasób internetowy za pomocą kreatora. Ale… Nie wiesz, kto wyprodukował «części», jak odpowiedzialnie pracował i czy nie wbudował tam kilka interesujących funkcji, oprócz tych, które są Ci potrzebne.

W odległej przeszłości, w czasach pierwszych komputerów, wszyscy mieli znajomego faceta, który przychodził, narzekał «instalują sobie wszystko» i bez końca czyścił spowolniony komputer z wirusów. W rzeczywistości, wszyscy możemy być takim facetem dla naszego WordPressa. Ochrona Wordpressa — to nie takie trudne zadanie.

Przeczytaj także: Czym jest robots.txt i jak skonfigurować robots.txt dla WordPress

Czym jest Wordpress i dlaczego jest podatny na ataki

Wordpress — to system zarządzania treścią z otwartym kodem. Ma pewną liczbę podstawowych funkcji domyślnie, a także trzy gotowe motywy (szablony strony). Jednak chętni mogą wydawać swoje wtyczki (aplikacje, które wykonują określone funkcje na stronach) i motywy (szablony).

Te wtyczki i motywy można pobierać ze sklepu i instalować. Istnieją również w internecie — na przykład można wpisać w Google zapytanie o szablony wordpress i uzyskać mnóstwo linków. W ten sposób, chociaż silnik napisany jest w języku PHP, nie trzeba go znać, aby stworzyć prostą stronę. Strona na Wordpressie będzie wyglądać profesjonalnie i schludnie, nawet jeśli nie była tworzona przez projektanta ani programistę.

Wtyczki Wordpressa robią wszystko — poprawiają SEO, zbierają statystyki, poprawiają strukturę strony, integrują narzędzia płatnicze, wbudowują filmy, ikony mediów społecznościowych, fora, chmury tagów. W zasadzie, wszystko to można robić, nawet nie otwierając edytora kodu strony lub korzystając z niego w minimalnym stopniu. Bardzo wiele wtyczek i motywów jest darmowych lub warunkowo darmowych.

Ale każda taka wtyczka — to pliki z kodem, które są instalowane na stronie i uzyskują do niej dostęp. Nikt nie może zagwarantować, że wśród użytecznego kodu, który poprawia wygląd i funkcjonalność strony, nie ukryty jest fragment złośliwego — ten sam wirus.

Przeczytaj także: Wirusy na stronie — jak je znaleźć i zabezpieczyć się przed zarażeniem

Luki w Wordpressie – skąd się biorą i jakie zagrożenia niosą dla strony

Kiedy ładujemy i uruchamiamy motyw lub wtyczkę, nie wiemy, co dokładnie uruchamiamy. Niewiele osób zajrzy do kodu, aby to sprawdzić. A może być napisany w taki sposób, że hakerzy będą w stanie znaleźć lukę i wprowadzić swoje poprawki, włamać się do Wordpressa i wykorzystać stronę do nieuczciwych celów. Na przykład, problemy pojawiają się z powodu niepoprawnie zapisanej filtracji danych — kiedy do bazy danych, zawierającej wrażliwe informacje, trafia coś, czego tam nie powinno być. Wtedy hakerzy mogą przeprowadzić tzw. «iniekcję», wbudowując złośliwy kod. Istnieje wiele słabych punktów, przez które można stosunkowo łatwo włamać się do strony na Wordpressie.

Złośliwy kod może:

  • zawierać wirusy i inne złośliwe oprogramowanie;

  • resetować hasło administratora i uzyskiwać dostęp do informacji;

  • sprzyjać phishingowi – i to już bezpośrednio doprowadzi do utraty pieniędzy i reputacji, jeśli chodzi o sklep internetowy;

  • automatycznie przekierowywać na jakieś strony, zwiększać wyświetlenia;

  • wykorzystywać zasoby strony do organizacji ataków DDoS, wbudowując w nią odpowiednie wirusy, i wiele innych.

Dla zrozumienia: tylko w ciągu jednego tygodnia w kwietniu 2023 roku zidentyfikowano 70-80 luk w motywach i wtyczkach, które dotyczyły stron na Wordpressie w liczbie kilku milionów.

Ostatnio odkryte luki w Wordpressie

Luki w Wordpressie są regularnie wykrywane. Oto wiadomość z thehackernews.com z 6 maja — niewinna wtyczka do tworzenia niestandardowych pól na stronach Wordpress zawierała luki prowadzące do refleksyjnego ataku XSS. To typ ataku, który polega na rozsyłaniu złośliwego kodu do użytkowników, po czym ich przeglądarka wykonuje nieautoryzowane działania, na przykład hakerzy mogą kraść poufne informacje. Atak refleksyjny wymaga, aby użytkownik przeszedł przez link, który wygląda na wiarygodny. Dlatego próbują go rozsyłać e-mailem lub wbudowywać na stronach normalnych witryn — w tym również za pomocą luk w wtyczkach Wordpress.

A oto popularna wtyczka Essential Addons dla Elementora zawiera lukę CVE-2023-32243, która pozwala hakerowi zresetować hasło i przejąć stronę.

Luka samego silnika była wykorzystywana przez innych hakerów, którzy zarażali strony swoim złośliwym kodem i przekierowywali użytkowników na inne, oszukańcze strony, aby zwiększać wyświetlenia reklam w Google Ads. Takie wyświetlenia przynoszą pieniądze, więc korzyść jest oczywista. O tym pisze Itc.ua.

Słowem, bezpieczeństwo strony na Wordpressie to ważna kwestia, dlatego przejdźmy do praktycznych kroków, które pomogą uratować Twoją stronę przed kłopotami.

Przeczytaj także: Gdzie przechowywana jest baza danych w WordPress

Skanery luk: korzystamy z usług online do sprawdzania strony

Ponieważ strona na Wordpressie domyślnie będzie miała luki, dziwne byłoby nie nauczyć się ich wykrywać. Istnieje wiele usług, zarówno darmowych, jak i z dodatkowymi funkcjami za określoną opłatą. 

Luki w Wordpressie są poszukiwane:

  • Hacker Target WordPress Security Scan testuje całą stronę, zaczynając od określenia CMS strony, motywów, wtyczek, potrzeby aktualizacji, problemów z kontami użytkowników;

Jak znaleźć luki w Wordpressie — Hacker Target WordPress Security Scan

  • Scanurl pokaże reputację strony w sieci: czy przejdzie Google Safe Browsing, czy ma negatywne oceny, w szczególności w WebTrust, czy ktoś oznaczył ją jako niebezpieczną;

  • Sucuri Website Malware i Security Scanner. O firmie Sucuri mówiliśmy właśnie w kontekście poszukiwania luk, a oto jej produkt — wyszukuje wszystkie skrypty na stronie (przyda się tym, którzy znają się na skryptach i zobaczą te, których nie instalowali), problemy z zaporą, obecność strony na czarnych listach itp.;

  • UpGuard nie tylko skanuje, ale wydaje wyniki w formie grywalizowanej. Będzie szukał zarówno złośliwego kodu, jak i problemów z ochroną antywirusową, i wiele więcej.

Ochrona Wordpressa będzie bardziej niezawodna, jeśli wybranym skanerem będziesz korzystać przynajmniej raz w miesiącu.

Jak zabezpieczyć stronę na Wordpressie przed włamaniem — instrukcja krok po kroku

Jak widzimy, włamanie do Wordpressa jest całkiem realne. Ale to nie znaczy, że nie można z niego korzystać. Po pierwsze, gdy ujawniają się luki, deweloperzy wtyczek i motywów tworzą dla nich tzw. patche — kod, który zamyka «słabe miejsce». Po drugie, ryzyko można znacznie zmniejszyć, podejmując środki bezpieczeństwa.

Bezpieczeństwo strony na WordPressie: ochrona panelu administracyjnego

Większość luk, które pozwalają przejąć kontrolę nad stroną, jest skierowana na resetowanie hasła administratora i ustawienie nowego. Aby tego uniknąć:

  • zainstaluj uwierzytelnianie dwuskładnikowe. Tę funkcję oferują niektóre wtyczki zabezpieczeń, takie jak Jetpack, Wordfence. Są też osobne wtyczki specjalnie do tego, w szczególności Google Authenticator. Oferuje on ustawienie drugiego etapu logowania po wprowadzeniu hasła — odpowiedź na pytanie tajne, kod z SMS-a itp.;

Ochrona Wordpressa za pomocą Google Authenticator

  • ogranicz liczbę prób wprowadzenia hasła. Można to zrobić również za pomocą wtyczek — w szczególności Loginizer, Limit Login Attempts. Należy zainstalować jedną z tych wtyczek i wybrać w ustawieniach liczbę prób;

  • twórz oddzielne konta dla redaktorów i menedżerów treści, ograniczając ich prawa do niezbędnych do pracy z treścią.

Przeczytaj także: Jak zabezpieczyć swoje konto w Cityhost w czasach niestabilności informacyjnej

Wybieraj sprawdzone motywy i wtyczki Wordpressa

Wtyczki Wordpressa i motywy są bardzo wygodne w użyciu. Ale ważne jest, aby wybierać te, które mają mniejsze prawdopodobieństwo bycia podatnymi na ataki.

Używaj sprawdzonych wtyczek i motywów. Sama firma Wordpress zaleca zaufanie tym wtyczkom i motywom, które pobierasz z jej sklepu. Lepiej wybierać popularne wtyczki, które są często aktualizowane.

Nie zapominaj aktualizować wtyczek i wersji Wordpressa

Odpowiedzialni deweloperzy zazwyczaj regularnie sprawdzają swoje produkty pod kątem luk w Wordpressie. Kiedy luka zostaje znaleziona, jest naprawiana za pomocą patcha. Aby zabezpieczyć Wordpressa:

  • regularnie aktualizuj wtyczki: jeśli miały lukę, to w kolejnych wersjach prawdopodobnie ją naprawią;

  • regularnie aktualizuj sam system Wordpress: nowe wersje również są bardziej zabezpieczone.

Bezpieczeństwo Wordpressa: zainstaluj specjalne wtyczki zabezpieczeń

Każda wtyczka zabezpieczeń ma swój zestaw funkcji, są różne, więc trzeba wybierać, jak zabezpieczyć Wordpressa. W końcu instalowanie zbyt wielu wtyczek — szkodzi szybkości strony. Niektóre wtyczki skanują samą stronę, inne mogą walczyć tylko z określonymi skutkami włamania — na przykład, nie pozwolą zresetować hasła lub na czas wykonają kopię zapasową strony.

bezpieczeństwo strony na wordpress — wtyczka Sucuri

Oto kilka opcji, z których można skorzystać:

  • Sucuri w wersji darmowej pozwala testować pliki strony, również potrafi chronić przed atakami DDoS, skanować na wirusy, wspierać certyfikat bezpieczeństwa itp.;

  • All in One WP Security & Firewall — zawiera zaporę, jak wynika z nazwy, ale oferuje również wiele wygodnych funkcji do utrudnienia włamania na stronę — blokowanie adresu IP, jeśli hasło było kilka razy wprowadzone niepoprawnie, powiadomienie, gdy jakieś pliki strony są zmieniane, dostęp do panelu administracyjnego tylko w ustalonych godzinach pracy, logowanie odwiedzin, captcha w celu utrudnienia odgadnięcia hasła, czarna lista plików i wiele innych;

  • Loginizer blokuje adres użytkownika, z którego hasło zostało wprowadzone niepoprawnie;

  • Jetpack został stworzony przez Wordpress specjalnie do ochrony stron na tym silniku. Skanuje na wirusy i robaki, monitoruje ruch i wszystkie zmiany na stronie, odcina spam. Ponadto, ta wtyczka ma funkcje do optymalizacji strony, zbiera statystyki, oferuje wygodne funkcje do e-mailingu i mediów społecznościowych;

  • Wordfence skanuje pliki strony pod kątem integralności i bezpieczeństwa, monitoruje ruch i informuje o atakach DDoS, a także zapewnia zaporę, która zatrzymuje próby włamania, chroni przed skanowaniem przez hakerów, botnety, złośliwy ruch itp. Ponadto wtyczka pozwala znaleźć na stronie złośliwe i phishingowe linki, jeśli się pojawiły.

Wtyczek zabezpieczeń jest wiele, ale warto szukać popularnych, które są regularnie aktualizowane i oferują więcej funkcji jednocześnie.

Ochrona strony: ogólne porady

Bezpieczeństwo strony na Wordpressie również zależy od przestrzegania ogólnych zasad, które zmniejszają prawdopodobieństwo zarażenia wirusami. Należy zarządzać nią z zaufanego i zabezpieczonego komputera, regularnie skanować komputery całego zespołu. Ponadto warto:

  • na czas robić kopie zapasowe;

  • ustawić dobre, skomplikowane hasło i regularnie je zmieniać;

  • ustawiać unikalne loginy dla wszystkich, którzy pracują ze stroną. Można nawet usunąć konto admin, wcześniej tworząc inne konto z prawami administratora. Można to zrobić przez punkt menu «Użytkownicy» (Users). U każdego użytkownika przy najechaniu pojawia się taka opcja.

Również ważne jest, aby zainstalować na stronie certyfikat SSL i przejść na protokół https. Chodzi o to, że domyślnie wszystkie wymiany danych w internecie są otwarte (protokół http), co pozwala hakerom «wklinać się» między serwerem a przeglądarką użytkownika i kraść wrażliwe informacje lub przekierowywać go. Certyfikat SSL — to swoisty elektroniczny paszport, który pozwala na wymianę danych tylko po tym, jak nawiązało się zaszyfrowane połączenie. Jednocześnie pokazuje, że użytkownik idzie dokładnie tam, gdzie chciał — na tę stronę. Droższe certyfikaty jeszcze pozwalają potwierdzić, że strona internetowa należy do konkretnej firmy. Szczególnie ważne jest posiadanie certyfikatu bezpieczeństwa, jeśli:

  • zbierasz dane osobowe użytkowników;

  • przyjmujesz płatności.

Obecnie coraz więcej stron w sieci przechodzi na zaszyfrowane protokoły, dlatego warto zadbać także o swoje własne.

Sposobów na zabezpieczenie strony na Wordpressie jest zapewne tyle, ile sposobów na jej włamanie. Ale pojawiają się i doskonalą stopniowo, dlatego należy okresowo aktualizować stronę i wszystkie posiadane wtyczki, a także przynajmniej czasami zwracać uwagę na wiadomości dotyczące bezpieczeństwa. To nie jest trudne, chociaż wymaga trochę dyscypliny i uwagi.


Podobał Ci się artykuł? Powiedz o nim znajomym:

Author: Bohdana Haivoronska

Journalist (since 2003), IT copywriter (since 2013), content marketer at Cityhost.ua. Specializes in articles about technology, creation and promotion of sites.

Poprzedni artykuł

ChatGPT-4 jest dostępny w Bing — jak bezpłatnie korzystać ze sztucznej inteligencji w biznesie

Następny artykuł

Jak wybrać serwer VPS dla strony: optymalne parametry i instrukcja dotycząca umieszczania zasobów internetowych
Podobne artykuły
Nasze usługi

Hosting wirtualny

Rejestracja domen

Serwery wirtualne

Serwery

Certyfikaty SSL

Rejestracja znaku towarowego

Usługa SMS

Darmowa usługa Call Back

CityHost

Usługi

2004 - 2025 „CityHost” — profesjonalny
płatny hosting w Ukrainie.