1. Aktualizacje
Regularnie aktualizujcie WordPress, motywy i wtyczki. Aktualizacje często zawierają poprawki bezpieczeństwa, które eliminują rozpoznane luki i dobrze wpływają na ogólną stabilność i wydajność strony internetowej. Dzięki temu funkcjonuje ona płynniej, a ryzyko awarii lub problemów technicznych jest mniejsze.
Oprócz poprawek bezpieczeństwa i błędów, aktualizacje wprowadzają także nowe funkcjonalności, co z kolei może przyciągnąć więcej odwiedzających i zwiększyć zaangażowanie na Waszej stronie.
W przypadku stron budowanych na oprogramowaniu open source typu WordPress, ten krok jest absolutnie niezbędny, a wręcz niepomijalny na comiesięcznej liście zadań do wykonania. Widzieliśmy już mnóstwo stron, które zostały zainfekowane. Podatność znaleziona we wtyczce jest zdecydowanie najczęściej wykorzystywaną przez złośliwe skrypty furtką do wnętrza strony.
2. Kopia zapasowa
Ludzie dzielą się na dwie grupy. Tych, którzy robią na bieżąco backupy i na tych, którzy dopiero zaczną to robić. Jeżeli jesteście w tej drugiej grupie, to nie warto czekać na okoliczności, które zmuszą Was do zmiany. Niestety będą to zazwyczaj nieprzyjemne sytuacje, takie jak awaria i utrata wszystkich danych albo błąd wywołany jakąś zmianą na stronie, który trzeba będzie naprawiać przez kilka godzin.
Regularne tworzenie kopii zapasowych witryny WordPress (w tym bazy danych i plików) pozwoli Wam w razie awarii lub ataku, bez problemu przywrócić stronę do poprzedniego stanu. Dobrze wiedzieć, że takie backupy często dostarcza hosting – warto jednak to sprawdzić i upewnić się, czy Wasz także tak robi. Jeśli chcecie mieć niezależne kopie, możecie wykonać je wtyczką taką jak Updraft Plus i wysłać do dowolnej lokalizacji, aby nie trzymać plików na tym samym serwerze co strony.
3. Formularze kontaktowe
Pamiętajcie również o zabezpieczeniu formularzy kontaktowych mechanizmem eliminującym aktywność botów. Możecie to zrobić m.in. za pomocą reCaptcha i/lub mechanizmu “honeypot”. Jeśli nadal zastanawiacie się, dlaczego warto, to chociażby dlatego, że to właśnie za pośrednictwem formularzy kontaktowych odbywa się część ataków cybernetycznych.
reCaptcha to bezpłatne narzędzie oferowane przez Google, którego celem jest ochrona strony internetowej przed niechcianym ruchem generowanym przez roboty. Ale jak to działa dokładnie? Otóż jest to specyficzny rodzaj testu, który polega na przedstawieniu użytkownikom różnego rodzaju zadań/wyzwań – (jedna z najbardziej popularnych wersji to reCAPTCHA v2, gdzie użytkownik musi zaznaczyć pole „Nie jestem robotem” w celu potwierdzenia, że jest człowiekiem). W przeciwieństwie do botów, ludzie nie powinni mieć z tym i innymi tego rodzaju zadaniami większych problemów, dlatego też dość łatwo można dzięki temu zweryfikować, kiedy mamy do czynienia z człowiekiem, a kiedy z maszyną. Na stronie internetowej możecie ją skonfigurować za pomocą gotowej wtyczki – np. https://wordpress.org/plugins/advanced-google-recaptcha/.
Honeypot to z kolei sprytne rozwiązanie, które dodaje do formularza niewidzialne pole. Boty “nie widzą” formularza tak jak my – widzą po prostu kod HTML i uzupełniają wszystkie pola po kolei. Dlatego też, jeżeli w wysłanym formularzu zostanie uzupełnione ukryte pole, to algorytm wie, że wypełnienie formularza było niepożądane i zakwalifikuje go jako spam.
Zarówno jedno jak i drugie rozwiązanie nie są doskonałe. Dlatego można je ze sobą połączyć lub spróbować bardziej zaawansowanej konfiguracji. Na przykład takiej, jaką opisuje nasz partner CyberFolks na swojej stronie: https://cyberfolks.pl/blog/jak-zabezpieczyc-formularz-przed-spamem/.
Zabezpieczenie formularzy pozwoli Wam pozbyć się również masy niepotrzebnych, spamowych wiadomości. Pamiętajcie jednak, że w przypadku próby włamania przez człowieka opisane powyżej mechanizmy mogą nie wystarczyć, dlatego też rekomendujemy zastosowanie bardziej zaawansowanych rozwiązań.
4. Logowanie
Nie każdy zdaje sobie sprawę z tego, że w tak podstawowej funkcjonalności Waszej strony, również czyha wiele niebezpieczeństw. Możemy zrobić kilka rzeczy, aby to ryzyko zminimalizować:
- używajcie silnych, unikatowych haseł dla wszystkich kont zarejestrowanych na stronie;
- dodatkowo możecie rozważyć włącznie uwierzytelnienia dwuetapowego – podczas próby logowania, użytkownik zostanie poproszony o zatwierdzenie logowania w innym kanale komunikacyjnym – na przykład za pomocą aplikacji uwierzytelniającej. Nawet gdy uda się złamać hasło, pozostanie jeszcze potwierdzenie logowania, bez którego nikt się do środka strony nie dostanie;
- w niektórych sytuacjach można rozważyć zablokowanie logowania do strony z adresu IP innego niż wskazany na białej liście;
- zmieńcie domyślny link do strony logowania. W Worpdressie jest to zawsze adresstrony.pl/wp-login.php, co pozwala szybko uzyskać dostęp do strony logowania większości stron zbudowanych na WordPress. Ten adres można jednak prosto zmienić i utrudnić zadanie botom;
- możecie wprowadzić także limit logowań – jeżeli użytkownik podejmie kilka nieudanych prób logowania, zostanie zablokowany na jakiś czas.
5. Wtyczki i motywy
Korzystajcie tylko z renomowanych i na bieżąco aktualizowanych wtyczek. Usuwajcie niepotrzebne motywy, wtyczki, a także nieaktywnych użytkowników. Jeśli i tak już ich nie potrzebujecie, to po co zostawiać furtkę dla potencjalnego włamywacza?
6. Bezpieczne hostowanie
Na serwerze stosujcie separację katalogów. Zadbajcie o trudne hasła i ograniczcie rozdawanie dostępów. Hosting jest najważniejszym miejscem w Waszym systemie, bo z jego poziomu możecie zrobić ze stroną wszystko. Kontrolujcie jakie aplikacje i pliki macie na serwerze. Nawet jeżeli Wasza strona będzie zabezpieczona w 110%, ale obok na serwerze będzie ustawiona stara i zapomniana wersja testowa, to niestety za jej pośrednictwem można narobić sporo szkód.
7. Firewall
Zainstalujcie lub skonfigurujcie firewall na serwerze. Zablokujecie dzięki temu podejrzane żądania i ataki typu brute force (polegające na wielokrotnych próbach zalogowania się do witryny przy użyciu różnych kombinacji haseł). Chcąc się uchronić przed tego typu atakami, możecie użyć także wtyczki ograniczające próby logowania, jak np. Limit Login Attempts Reloaded czy zastosować dwuetapowe uwierzytelnianie, o którym wspominaliśmy już wcześniej.
8. Regularne audyty bezpieczeństwa
Przeprowadzajcie regularne audyty bezpieczeństwa witryny WordPress. Pomogą Wam one w identyfikacji i usunięciu ewentualnych luk w zabezpieczeniach. Ponadto dobrym rozwiązaniem, jest także korzystanie z różnego rodzaju wtyczek monitorujących, które poinformują Was o nietypowych działaniach czy próbach włamania.
9. CDN
W celu zabezpieczenia swojego WordPressa korzystajcie także z Content Delivery Network. Czym jest tzw. CDN? Najprościej rzecz ujmując, to sieć serwerów rozmieszczonych w różnych lokalizacjach geograficznych, które współpracują, aby maksymalnie przyspieszyć dostęp do treści, takich jak strony internetowe, multimedia, pliki do pobrania, aplikacje i inne dane.
CDN działa poprzez przechowywanie kopii treści w różnych punktach na świecie. Dzięki temu rozwiązaniu strony wczytują się szybciej bez względu na to, gdzie w danym momencie znajdują się jej użytkownicy. CDN Infrastructure może nie tylko poprawić wydajność Twojej strony i lepiej pozycjonować ją w wynikach wyszukiwania. Dodatkowym atutem tego rozwiązania jest to, że działa ono jak ochronna tarcza dla stron WWW, blokując zagrożenia zewnętrzne, takie jak złośliwe boty czy ataki DDoS.
Bezpieczeństwo Waszego WordPressa w Waszych rękach!
Jak widać dbanie o bezpieczeństwo WordPressa wymaga nie tylko chęci, ale także regularnych działań. Warto pamiętać, że żadne środki nie są w stanie zagwarantować 100% bezpieczeństwa, jednak stosowanie się do powyższych praktyk może znacząco zmniejszyć ryzyko wystąpienia nieprzyjemnych sytuacji, takich jak na przykład włamanie i utrata danych. Świadomość zagrożeń, regularne aktualizacje oraz odpowiednie zabezpieczenia techniczne to podstawy, dzięki którym Wasza strona internetowa może czuć się bezpieczna!
