Dlaczego ktoś miałby się włamać na Twoją stronę?
Posiadasz stronę wizytówką firmy, na której przedstawiasz swoją ofertę, umieszczasz dane kontaktowe i kilka zdjęć. Nie jesteś wielką korporacją ani nawet średniej wielkości przedsiębiorstwem. Nie podejrzewasz, że ktoś mógłby się włamać na Twoją stronę, bo niby po co ktoś miałby to robić? Zmartwię Cię – to tak nie działa. Atak hakerski wcale nie musi być wymierzony bezpośrednio w Ciebie czy w Twoją firmę. Często dokonywany jest przez roboty (tzw. boty) krążące w Internecie – a więc w przestrzeni, w której znajduje się Twoja strona. Niezależnie od wielkości Twojej firmy i stopnia zaawansowania Twojej strony internetowej – w każdej chwili może znaleźć się na niej bot, który zaprogramowany jest tylko po to, aby wyszukać luki w systemie bezpieczeństwa i dostać się do niej. Jeśli atak zakończy się sukcesem, na Twojej stronie może zostać umieszczony niepożądany kod, który umożliwi np. umieszczanie na niej niechcianych reklam, zdjęć czy inne ingerowanie w struktury strony, przekierowanie Twojej strony na inną stronę, implementację złośliwego kodu (tzw. malware), który może infekować kolejne strony (np. umieszczone na tym samym serwerze). Hakerzy skanują tysiące stron dziennie, szukając ich słabych punktów. Czy da się zapobiec włamaniu?
Jak zabezpieczyć stronę w WordPressie?
Nie ma metody, która w 100% uchroniłaby naszą stronę przed atakiem hakerskim. Niebezpieczeństwo istnieje zawsze – niezależnie od tego, co zrobimy. Możemy jedynie nieco utrudnić hakerom zadanie. To jednak całkiem skuteczne rozwiązanie, ponieważ tworzone przez nich boty na ogół szukają stron, do których łatwo będzie im się dostać. Jeśli podejmiemy pewne działania zabezpieczające, możemy skutecznie uchronić się przed atakiem.
Istnieje wiele różnych metod na zwiększenie poziomu bezpieczeństwa strony stworzonej w WordPressie. Niektóre z nich wymagają zaawansowanych działań i profesjonalnej wiedzy, inne jest w stanie wykonać nawet laik. To, co może (i powinien!) zrobić każdy właściciel strony internetowej to:
1. Regularne aktualizacje systemu, motywów i wtyczek.
To jeden z najważniejszych punktów w kontekście zabezpieczania strony internetowej przed atakami hakerskimi, często bagatelizowany przez właścicieli stron. Mimo, że WordPress wyświetla na czerwono alerty w kokpicie – niektórzy konsekwentnie je ignorują. Tymczasem aktualizacje naprawiają luki w bezpieczeństwie – jeśli ich nie wykonasz, boty próbujące dostać się na Twoją stronę będą miały bardzo ułatwione zadanie. Kolejnym plusem wykonywania regularnych aktualizacji jest mniejsze ryzyko, że spowodują one niepoprawne działanie strony. Im rzadziej wykonujesz aktualizacje, tym bardziej prawdopodobne, że ,,rozsypią” Ci stronę.
Jak dokonać aktualizacji?
WordPress po zalogowaniu do panelu administracyjnego informuje o bieżących aktualizacjach do wykonania. Wystarczy wybrać opcję ,,Aktualizacje” z menu po lewej stronie, a następnie zaznaczyć dany motyw lub wtyczkę z pojawiającej się listy. Przed wykonaniem aktualizacji warto zrobić kopię zapasową strony, a same wtyczki aktualizować pojedynczo – wtedy w razie problemów łatwiej zdiagnozujemy, co je spowodowało. Całą operację potwierdzamy wybraniem przycisku „Zaktualizuj wtyczki”.
2. Usunięcie nieużywanych motywów i wtyczek.
Wyłączone motywy lub wtyczki są kuszącymi celami dla hakerów – to, że są nieaktywne nie oznacza bowiem, że przez ich skrypty nie da się dostać do Twojej strony. Nie są one aktualizowane, a więc posiadają luki bezpieczeństwa, które mogą zostać wykorzystane do włamania.
Jak usunąć nieużywane motywy?
W kokpicie WordPressa z menu po lewej stronie należy wybrać opcję ,,Wygląd”, a następnie ,,Motywy”. Kolejny krok to wejście w ,,Szczegóły motywu”, gdzie w prawym dolnym rogu znajdziemy opcję ,,Usuń”. Należy pamiętać, aby nie usunąć motywu tzw. „rodzica” (nadrzędnego) w przypadku używania motywu potomnego.
Jak usunąć nieużywane wtyczki?
W tym celu po zalogowaniu do WordPressa należy wejść do zakładki ,,Wtyczki”, następnie wybrać ,,Zainstalowane wtyczki” i usunąć te, które są nieaktywne za pomocą przycisku ,,Usuń”. Jeśli posiadamy aktywną wtyczkę, z której nie korzystamy i chcemy ją usunąć, musimy ją najpierw wyłączyć – dopiero po wykonaniu tej czynności pojawi nam się możliwość jej usunięcia.
3. Niestandardowy login i silne hasło.
Niby oczywista sprawa, ale jednak wciąż często lekceważona. Standardowa nazwa użytkownika (np. admin) i proste hasło, to bardzo poważne zagrożenie dla Twojej strony. Hakerzy poradzą sobie z tym bez większego problemu – wystarczy, że użyją specjalnego oprogramowania generującego ich niezliczone kombinacje. Dlatego też zadbaj o nietypową nazwę użytkownika oraz silne hasło. Najlepiej, aby składało się ono co najmniej z 8 znaków, zawierało wielkie i małe litery, cyfry oraz znaki specjalne. Jeśli nie masz pomysłu na mocne hasło, możesz użyć generatora haseł np. LastPass. Warto również regularnie aktualizować swoje hasła.
4. Korzystanie tylko ze sprawdzonych motywów i wtyczek.
Jeżeli tworzysz swoją stronę internetową samodzielnie i nie masz w tym dużego doświadczenia, możesz mieć problem z wyborem optymalnych rozszerzeń. Nie jest to łatwe dla laika tym bardziej, że repozytorium WordPressa jest niezwykle bogate. Dokonując wyboru, warto zwrócić uwagę na ilość aktywnych instalacji, opinie oraz datę ostatniej aktualizacji. Ilość wtyczek należy ograniczyć do niezbędnego minimum – nie tylko ze względów bezpieczeństwa (każda wtyczka to dodatkowa „furtka” do przełamania zabezpieczeń), ale także ze względu na szybkość działania strony (strona przeładowana rozszerzeniami będzie mało wydajna i powolna).
5. Właściwie przypisanie ról poszczególnym użytkownikom strony.
WordPress daje możliwość dodawania większej ilości użytkowników do strony. Jest to często wykorzystywane w sytuacji, kiedy różne osoby wykonują inne zadania na stronie (np. jedna zajmuje się aktualizacjami, a inna tylko dodawaniem wpisów na blogu). Dbając o to, aby przypisać użytkownikom właściwe role, zwiększamy bezpieczeństwo swojej strony. Tym sposobem np. osoba zajmująca się wpisami powinna otrzymać uprawnienia autora, które blokują dostęp do najważniejszych funkcji systemu. W razie udanego ataku hackerskiego na takie konto, niewiele będzie można zdziałać.
6. Instalacja reCAPTCHA.
Jeśli posiadasz na swojej stronie formularz kontaktowy, w którym użytkownicy wpisują swoje dane, warto zabezpieczyć go np. reCAPTCHA, który utrudni pracę botom rozsyłającym spam. Klucze reCAPTCHA do swojej strony możesz wygenerować tutaj.
Jeśli korzystasz z wtyczki Contact Form 7 do tworzenia formularzy wystarczy, że w kokpicie WordPressa przejdziesz do zakładki ,,Kontakt”, a następnie ,,Integracje” i w polu reCAPTCHA wkleisz wygenerowane wcześniej klucze reCAPTCHA do swojej strony.
7. Dobry dostawca hostingowy.
Nie warto na nim oszczędzać ani za niego przepłacać. Są firmy, które bazują na niewiedzy ludzi i windują ceny nieproporcjonalnie wysokie do jakości usług, jakie oferują. Są też takie, które są tanie, ale – jak to zwykle bywa – w parze z niską ceną idzie również niska jakość. Wybór optymalnego hostingu jest bardzo ważny i gwarantuje dobre zabezpieczenie serwerów, regularne, częste tworzenie kopii zapasowych strony, a także dobry support. Wskazówki, jak wybrać dobrego dostawcę hostingowego znajdziesz w osobnym artykule. Klienci Magdali Studio otrzymują profesjonalne doradztwo w tej kwestii wraz z 20% kodami rabatowymi do wybranych firm hostingowych w ramach usługi tworzenia strony internetowej.
8. Certyfikat SSL.
To element, który bezwzględnie powinien znaleźć się na każdej stronie internetowej. Wpływa on nie tylko na bezpieczeństwo strony i danych jej użytkowników, ale także na SEO oraz zwiększenie jej wiarygodności. Większość firm hostingowych oferuje bezpłatny certyfikat SSL w ramach usługi hostingowej, który w zupełności spełnia swoje zadanie w przypadku wizytówkowych stron firmowych.
9. Regularne kopie zapasowe strony
Firmy hostingowe oferują wykonywanie kopii zapasowych strony często raz na 24 godziny. Warto jednak tworzyć również własne kopie bezpieczeństwa zwłaszcza zaraz po wprowadzeniu ważnych zmian na stronie www lub przed wykonaniem aktualizacji sytemu, motywów i rozszerzeń (na wypadek wystąpienia problemów). Możesz wykorzystać do tego np. wtyczkę WPVivid Backup, która umożliwia przeprowadzenie tego procesu w łatwy sposób. W przypadku problemów ze stroną można również bezproblemowo za jej pomocą przywrócić stronę do poprzedniej wersji.
10. Aktualna wersja PHP.
Zaleca się używanie najnowszej lub przedostatniej dostępnej wersji PHP dla strony – wpływa to korzystnie nie tylko na jej bezpieczeństwo, ale także na szybkość jej działania.
11. Wyłączenie możliwości rejestracji użytkowników.
Jeżeli posiadasz stronę www, na której nie korzystasz z tej funkcjonalności, warto ją wyłączyć. Zabezpieczy to przed tworzeniem nowych kont przez hakerów. W tym celu wystarczy zalogować się do panelu administracyjnego WordPressa, wybrać opcję ,,Ustawienia”, a następnie w zakładce ,,Ogólne” odznaczyć opcję ,,Każdy może się zarejestrować” w sekcji ,,Członkostwo”.
12. Wyłączenie możliwości komentowania.
Jeżeli nie korzystamy z opcji dodawania komentarzy na stronie www – wyłączmy ją.
Aby to zrobić wystarczy wejść w ,,Ustawienia” w panelu administracyjnym WordPressa, wybrać sekcję ,,Dyskusja” i odznaczyć opcję ,,Zezwól na komentowanie nowych artykułów” w sekcji ,,Domyślne ustawienia wpisów”.
W przypadku już istniejących publikacji zmian należy dokonać bezpośrednio we wpisach, w sekcji ,,Dyskusja”, odznaczając opcję ,,Zezwól na komentarze”. Warto to samo zrobić również z trackbackami i pingbackami.
13. Włączenie uwierzytelniania dwustopniowego.
To dodatkowy poziom zabezpieczenia podczas logowania, który będzie wymagał – poza hasłem – podania specjalnego kodu przychodzącego na Twój telefon. Polecam wykorzystać do tego celu wtyczkę Two Factor Authentication. Wymaga ona również instalacji i konfiguracji aplikacji Google Authenticator (dostępnej dla Androida i IOS) na Twoim smartfonie.
14. Instalacja wtyczek bezpieczeństwa.
Możemy skorzystać również ze sprawdzonych rozszerzeń zwiększających bezpieczeństwo strony takich, jak np. Sucuri Security, Wordfence Security, Jetpack Security itp. Niektóre z nich nawet w wersji bezpłatnej oferują zaawansowane funkcje. Należy jednak pamiętać, że każda dodatkowa wtyczka na stronie – także wtyczka bezpieczeństwa – obciąża stronę oraz otwiera kolejną furtkę do ataku (nawet wtyczki bezpieczeństwa posiadają luki, które mogą zostać wykorzystane przez hakerów).
Niezależnie od tego, czy prowadzisz bloga, stronę firmową czy sklep internetowy, priorytetem powinno być dla Ciebie zadbanie o bezpieczeństwo swojej witryny. Do najczęstszych przyczyn zwiększających zagrożenie strony www należą słabe hasła, a także nieaktualne wersje systemu, motywów i wtyczek powodujące braki niezbędnych poprawek bezpieczeństwa.
Powinieneś mieć świadomość, że strona stworzona w WordPressie nie jest bezobsługowa i wymaga od Ciebie podejmowania regularnych działań, które zwiększają jej bezpieczeństwo. Jeśli nie masz na nie czasu, powinieneś zlecić komuś opiekę nad swoją stroną. Pozwoli to uchronić Cię przed negatywnymi konsekwencjami włamania się na Twoją stronę www.
