Bezpieczeństwo stron www oraz sklepów internetowych opartych o systemy zarządzania treścią, w tym o popularny CMS WordPress – jest jednym z najważniejszych aspektów, o który należy dbać po uruchomieniu serwisu. Aby uniknąć poważnych problemów, które mogą doprowadzić do utraty danych lub dostępu do strony, warto zrozumieć najważniejsze zagrożenia i sposoby zabezpieczeń.
Wszyscy kochają WordPress'a
Portal W3techs na bazie danych statystycznych z 1 lutego 2023 roku podał że aż 43,2% wszystkich stron internetowych zostało zbudowanych przy użyciu WordPress’a. Z kolei biorąc pod uwagę tylko serwisy internetowe posiadające znane systemy do zarządzania treścią (CMS) udział WordPressa wzrasta aż do około 63,3%. Na drugim miejscu pod względem popularności jest komercyjny system zarządzania treści Shopify z niecałymi 4% udziału w rynku. To właśnie głównie z powodu ogromnej popularności tego systemu od 2015 roku w agencji ORTH Multimedia zaczęliśmy się specjalizować w budowie rozwiązań opartych głównie o systemy WordPress.
Duża popularność systemu WordPress przynosi wiele zalet:
– CMS rozwijany przez miliony użytkowników jest elastyczny, szybko ulega rozbudowie i aktualizacjom reagującym na pojawiające się zagrożenia [tzw. podatność]
– Tak popularny CMS posiada wiele tzw. rozwiązań 3rd party, pozwalających na rozbudowę przez zewnętrzne aplikacje, integracje z innymi systemami i unifikację wymiany danych
– Popularność WordPressa często przyspiesza też wdrożenie samych klientów, którzy wcześniej mogli mieć już styczność z obsługą systemu na innych stronach lub prowadząc bloga
– WordPress wyewoluował w elastyczny i zoptymalizowany framework, który może służyć do rozbudowy w kierunku wielu innych zastosowań niż proste strony – jak e-commerce, gry, galerie, prezentacje, systemy B2B, platformy dropshippingowe czy wewnętrzne systemy wymiany informacji i CRM.
– WordPress to także ogromna liczba aktualizacji i udoskonaleń stworzonych przez społeczność, która doprowadziła do tego, że jest on dobrze zoptymalizowanym systemem pod względem kodowym oraz przyjaznym dla działań SEO/SEM.
Popularność systemu WordPress to jednak oprócz zalet także szereg zagrożeń – wynikających bezpośrednio z tego, że w Internecie znajduje się właśnie tak wiele instancji tego systemu. Przy działających milionach stron na WP – liczba stron które nie są systematycznie aktualizowane i optymalizowane – jest statystycznie większa niż w przypadku mniej popularnych CMSów – a to sprawia, że twórcy złośliwych skryptów i oprogramowania mającego na celu infekcję serwisów – często wybiera właśnie ten najpopularniejszy system zarządzania treścią. Właśnie dlatego tak ważne jest utrzymywanie swojego sklepu lub strony internetowej w dobrej kondycji.
W agencji ORTH Multimedia, zawsze zalecamy naszym klientom wykonywanie okresowej, pełnej aktualizacji swoich sklepów, poprzedzonej pełnym backupem plików FTP oraz bazy danych. Aktualizacja frameworka oraz wszystkich modułów funkcjonalnych pozwala stale utrzymywać serwis lub sklep w dobrym stanie, dostosowywać go okresowo do zmieniających się warunków – np. wersji interpretera PHP, lub bibliotek serwera – a przede wszystkim pozwala na zachowanie bezpieczeństwa serwisu i nienarażanie go na luki i podatności spowodowane przestarzałymi rozwiązaniami. W ramach oferowanych przez nas usług dokonujemy dla klientów takich okresowych modernizacji, każdorazowo wiążących się testami zgodności zaktualizowanych skryptów w celu wykluczenia powstawania ewentualnych konfliktów.
Siła tkwi w Twoim haśle
Jednym z najczęstszych zagrożeń dla stron internetowych i sklepów internetowych jest nieautoryzowany dostęp do panelu logowania WordPress. Atakujący wykorzystują brute force attack, czyli wielokrotne próby logowania, aby odgadnąć poprawne hasło. Aby temu zapobiec, warto stosować silne hasła, które są trudne do odgadnięcia, a także korzystać z autoryzacji dwuskładnikowej. W przypadku autoryzacji dwuskładnikowej, po wprowadzeniu loginu i hasła, użytkownik musi wprowadzić dodatkowy kod, który zostanie mu przesłany na telefon lub e-mail.
Przy tworzeniu haseł zawsze należy pamiętać o kilku zasadach i dobrych praktykach znacznie utrudniających tzw. “włamania siłowe”:
- Hasło powinno zawierać przynajmniej osiem znaków.
- Hasło powinno zawierać duże i małe litery, cyfry oraz znaki specjalne. Na przykład, dTDQFdnz$Ut4.
- Nie używaj popularnych słów i kombinacji znaków. Na przykład: password, admin, abcd, qwerty,1234567.
- Nie używaj informacji osobistych, które w łatwy sposób można znaleźć. Na przykład: imienia lub nazwiska, daty urodzenia.
- Wymyśl algorytm tworzenia haseł. Na przykład, weź słowo lub frazę i zastąp niektóre znaki znakami specjalnymi lub cyframi, np. $TЯo№g P@Ѕsω0Rδ lub użyj sprawdzonego generatora haseł oferowanego przez zaufane źródło - np. producenta oprogramowania antywirusowego
- Nie wysyłaj haseł do nikogo. Nie zapisuj haseł w miejscu łatwo dostępnym. Używaj menedżera haseł lub wbudowanego magazynu haseł w swojej przeglądarce. Używaj różnych haseł dla każdego konta. Jeśli używasz tych samych haseł dla każdego konta, wszystkie dane mogą być zagrożone jednocześnie.
Atak Zombie DDoS
Kolejnym zagrożeniem jest atak DDoS, który może spowodować wyłączenie strony internetowej na kilka godzin lub dni. W przypadku WordPress, istnieje kilka rozwiązań, które mogą pomóc w ochronie przed takimi atakami. Jednym z najskuteczniejszych rozwiązań jest zastosowanie usług CDN (Content Delivery Network), które rozproszą ruch na wiele serwerów, co zmniejszy obciążenie na głównym serwerze. Ponadto, istnieją wtyczki, takie jak Wordfence, które pozwalają na monitorowanie ruchu i wykrycie potencjalnych ataków oraz jednoczesne blokowanie ataków DDoS w momencie wykrycia zwiększonej intensywności ataków z określonych miejsc w sieci.
Wordfence w wersji podstawowej to rozwiązanie które instalujemy we wszystkich tworzonych przez naszą agencję serwisach i sklepach – nawet tych najmniejszych. System w czasie rzeczywistym sprawdza zgodność repozytorium danej wersji WordPress i w momencie zauważenia zmiany w jakimkolwiek z plików źródłowych systemu alarmuje zdarzenie wysyłając raport bezpośrednio do administratora. Dodatkowo Wordfence stale śledzi wersje użytych rozwiązań w serwisie i informuje jeśli którakolwiek wtyczka wymaga aktualizacji lub alarmuje jeśli dane rozwiązanie zgłoszone zostało w międzynarodowej bazie jako źródło podatności na ataki.
System bezpieczeństwa, który natywnie stosujemy w naszych realizacjach pozwala także na wdrożenie weryfikacji dwuskładnikowej, oraz pełny monitoring działań wszystkich użytkowników z uprawnieniami administratora, którzy poruszają się po zapleczu WordPress. Jesteśmy w stanie monitorować adresy IP, kraje ataków, dokonywać okresowych skanów systemu plików oraz szybko reagować na pojawiające się, ewentualne zagrożenia.
Ja to tu tylko zostawię...
Kolejnym ważnym zagrożeniem jest atak typu SQL injection. Atakujący wykorzystują specjalnie skonstruowane zapytania SQL, aby uzyskać dostęp do bazy danych i wyciągnąć z niej informacje. Aby uniknąć takiego ataku, należy regularnie aktualizować WordPress i wszystkie wtyczki – o czym wspominaliśmy wcześniej, korzystać z wtyczek zabezpieczających przed atakami SQL injection, a także stosować filtrowanie danych wprowadzanych przez użytkowników.
Innym zagrożeniem podobnym do iniekcji bazodanowej jest atak typu Cross-Site Scripting (XSS), który pozwala na wstrzyknięcie złośliwego kodu na stronę. Jedyną metodą aby unikać tego typu ataków jest regularna aktualizacja swojego systemu CMS i dbanie o jego dobrostan. Często używane kilka lat wcześniej wtyczki zostają porzucone przez autorów i mimo braku istniejącej aktualizacji – nadal mogą być bardzo podatne na ataki. Usuwanie przestarzałych rozwiązań i zastępowanie ich nowymi lub unifikacja kilku rozwiązań za pomocą nowych bardziej elastycznych skryptów to także element wdrożeń jakie oferujemy naszym klientom w ramach okresowej aktualizacji ich serwisów.
Podsumowanie
Bezpieczeństwo stron internetowych oraz sklepów internetowych opartych o system zarządzania treścią WordPress jest kluczowym aspektem, który należy brać pod uwagę. Popularność WordPressa jest zarówno jego zaletą jak i zagrożeniem. Aby zminimalizować ryzyko ataków i zagrożeń, należy regularnie aktualizować WordPress oraz wtyczki, a także korzystać z wtyczek zabezpieczających przed atakami typu Wordfence. Większość naszych klientów dla których budowaliśmy sklepy internetowe, serwisy i rozwiązania e-commerce – jest zazwyczaj w stałym kontakcie z naszą agencją. Opiekujemy się ponad setką instancji WordPress, wykonując okresowe prace konserwacyjne, aktualizacyjne i rozbudowujące ten wyjątkowy system zarządzania treścią.
Zachowanie “prawidłowej higieny” sklepu internetowego lub strony www opartej o WordPress, chroni klientów przed nieprzewidzianymi kosztami związanymi z naprawą serwisu po ewentualnym włamaniu na zaplecze lub po zautomatyzowanej iniekcji kodu, która docelowo może prowadzić do utraty danych.
Skontaktuj się z nami i zapytaj czy Twoja strona lub sklep spełnia normy bezpieczeństwa, oraz czy jest zgodna z obecnymi standardami webowymi. Chętnie doradzimy i podpowiemy jakie kroki przedsięwziąć aby podnieść bezpieczeństwo Twojego serwisu.