Jak zabezpieczyć WordPressa?
2020-05-28 13:33
Jak zabezpieczyć WordPressa? © fot. mat. prasowe
Przeczytaj także: Hosting, serwery - 90% ludzi popełnia te błędy
Często obserwowanym problemem jest lekceważące podejście właściciela strony do kwestii aktywnej ochrony. Powinna ona być wynikiem opracowania i przestrzegania całego procesu, w ramy którego wchodzi wiele różnych elementów. Tymczasem, bardzo często zakłada się, że wystarczy zainstalować oprogramowanie, nie trzeba robić nic więcej. Efekty takiego podejścia można znaleźć w innym artykule tego poradnika, a setki, tysiące przykładów w Sieci. Inny stereotyp mówi, że historia ujawnionych podatności WordPress jest bardzo długa, więc nie należy mu ufać. Jednak, to już w dużej mierze historia, a obecnie głównym źródłem problemów są wtyczki, a nie sam CMS. Pewna analiza ujawniła, że przynajmniej jedną groźną podatność miała prawie połowa przebadanych wtyczek.W tym artykule postaram się udzielić kilku rad, które mogą pomóc Ci w zabezpieczeniu swojej strony, opartej na WordPressie, w tym e-sklepu w postaci tandemu WordPress + wooCommerce. Znajdziesz tutaj listę rozwiązań, które (…)
Co Ci grozi i jakie mogą być konsekwencje?
Stworzyłeś i rozwijasz swój serwis, podejmujesz wysiłki w celu jego promocji. Niestety, informacja o Twoim przedsięwzięciu rozchodzi się nie tylko wśród potencjalnych użytkowników. Dociera również w miejsca, z których możesz otrzymać cios. I wcale nie muszą to być źli ludzie, najczęściej będzie do automat – oprogramowanie, które ma tylko jeden cel: próbę ataku na każdą stronę, która pojawi się w jego zasięgu. Jakie szkody może przynieść taki ‘miły automacik’ po udanym włamaniu? Ogromne – konsekwencje wizerunkowe, funkcjonalne, jak również prawne lub finansowe. Może na przykład: (…)
Nie nadziej się, nie strzel sobie w kolano!
W wielu poradnikach zaleca się instalację tzw. wtyczki bezpieczeństwa. Przy czym temat jest tyle popularny wśród w miarę świadomych użytkowników, co kontrowersyjny wśród ekspertów bezpieczeństwa. Większość z nich po prostu odradza instalację takich kombajnów.
Osobiście widzę możliwość wykorzystania przynajmniej części możliwości tych wtyczek, ale pod pewnymi – bardzo ważnymi – warunkami, które z kolei są dosyć trudne do spełnienia. Nigdy nie wolno poprzestawać wyłącznie na zaufaniu do takich kombajnów, a wręcz powinieneś je traktować z pełną podejrzliwością. Nie tylko jako jeden z wielu (!) elementów systemu ochrony, ale również jako kolejny ‘punkt zapalny’. Znanych jest sporo przypadków odkrycia tzw. dziur bezpieczeństwa w tego rodzaju rozwiązaniach, więc mogą spowodować jeszcze większy problem, zamiast chronić. Taka wtyczka może być co najwyżej uzupełnieniem szerszego procesu i sama musi być również ściśle kontrolowana. Czyli, jeśli już decydujesz się korzystać z dodatku, to wyłącznie wtedy, gdy jesteś bardzo świadomym technicznie użytkownikiem, masz dużą wiedzę w kwestii zagrożeń i bardzo solidnie będziesz realizował wszystkie etapy procesu kontroli. Natomiast, jeśli tak jest, to po co Ci ta wtyczka? :)
Z takimi dodatkami jest jeszcze jeden problem. Wywołują one u mniej świadomego użytkownika efekt wiary w to, że wtyczka rozwiąże wszystkie problemy, całkowicie zabezpieczy serwis, nie trzeba robić nic innego. W konsekwencji osłabia to czujność osoby zarządzającej witryną i doprowadza do jeszcze gorszych skutków. Pamiętaj więc, że:
- Instalacja wtyczki – kombajnu bezpieczeństwa, de facto zmniejsza jego poziom, naraża na dodatkowe ryzyko oraz osłabia Twoją czujność. Powinieneś pamiętać, że poleganie na informacjach, automatycznie generowanych przez tego typu dodatki, jest niczym innym, jak oszukiwaniem samego siebie. To może być wyłącznie wstępna informacja, jedna z wielu. No i, a może przede wszystkim, generowane i/lub wysyłane przez wtyczkę informacje należy czytać, starać się zrozumieć, wyciągać z nich informacje i reagować.
- Powinieneś jak najszybciej podjąć wszelkie inne, dostępne Ci działania, aby podnieść poziom bezpieczeństwa swojego serwisu. Powinieneś poświęcić możliwie jak najwięcej sił i czasu, aby nauczyć się i wdrożyć własne metody ochrony. Powinieneś wypracować w sobie odruch nieustannego rozwoju w tym zakresie i nigdy nie powinieneś spoczywać na laurach.
- Pamiętaj, że nie istnieje w świecie realnym witryna bezpieczna w 100%. Powinieneś więc określić granicę dopuszczalnych strat i podejmować wszelkie działania, aby poziom bezpieczeństwa witryny możliwie jak najbardziej chronił ją przed przekroczeniem tej granicy.
- W sytuacji, gdy poprzestaniesz jedynie na instalacji wtyczki bezpieczeństwa, musisz mieć pełną świadomość, że nadejdzie kiedyś moment weryfikacji. I wówczas będziesz mógł mieć pretensje wyłącznie do siebie.
Mam nadzieję, że przeczytałeś i wziąłeś sobie do serca powyższe uwagi. Potraktuj je proszę naprawdę poważnie i uważnie. Przecież nie chcesz być kolejną osobą, z rozpaczą w oczach poszukującą pomocy w sytuacji podbramkowej. Kogoś, kto za odpowiednim i niemałym wynagrodzeniem, pomoże odzyskać utracony serwis i/lub dane. Ten etap nigdy nie będzie tani, szybki i zawsze możliwy, więc lepiej minimalizować ryzyko.
Lista działań, które nie tylko możesz, ale powinieneś wykonać:
Poniższe porady zgrupujemy sobie w kilka obszarów, wynikających z naturalnych etapów działania podczas instalacji oraz administracji WordPressem. Oczywiście nie musisz ściśle stosować się do tej kolejności, jeżeli np. jesteś już na innym etapie. Zrób natomiast wszystko, co w Twojej mocy, aby możliwie jak najszybciej, wdrożyć możliwie jak najwięcej z tych rozwiązań. Czym szybciej i czym więcej, tym bardziej zminimalizujesz ryzyko. I jeszcze jedno: (…)
Poradnik powstał dzięki współpracy partnerów:
Servizza.com, LexDigital, prokonsumencki.pl, KuźniaTreści.pl, Anisment.video
Patronat medialny akcji objęli:
Business Woman & Life, eGospodarka.pl, Wykop.pl, Gazeta MSP
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)