Bezpieczeństwo strony postawionej na WordPress – raport i wnioski co trzeba zrobić

28 sierpnia 2023 | Po godzinach - Wszystkie wpisy, WordPress | 0 komentarzy

Firma sucuri.net, której pracownicy w 2022 roku oczyścili ponad 43 000 witryn opublikowała raport z którego można wyciągnąć ciekawe wnioski, kilka liczb:

– 8% witryn na WordPress zostało zhakowanych przez słabe hasło.

– 4,7 miliona stron postawionych na WordPress zostało zhakowanych w roku.

– Co najmniej 13 000 stron www na WordPress dziennie jest zhakowanych.

– 36% stron posiadało co najmniej jeden dziurawy plugin lub motyw.

– 32% witryn miało złośliwe konta użytkownika z uprawnieniami administracyjnymi.

– najczęściej wykrytymi pluginami z lukami bezpieczeństwa były Contact Form 7 (27,44%), Freemius Library (20,85%) oraz WooCommerce (14,51%).

Ilustrację do tego wpisu wygenerowała AI, a tytuł obrazka to: Przez tą stronę internetową tylko boli mnie głowa…

Ale proszę pani, chwila! Głowa wcale nie musi boleć, proszę przeczytać artykuł 🙂

blank

WordPress to nie badziewie proszę pani/pana, bo tu kłania się statystyka!

Zacznę od końca, czyli od tych wielkich liczb, które mogą, powinny i chyba robią wrażenie, prawda? Dziennie 13 000 witryn internetowych pada ofiarą hakerów. Wychodzi, że co niecałe 7 sekund jakaś witryna WordPress jest właśnie zarażona w mniej lub bardziej paskudny sposób.

Ktoś mógłby pomyśleć – ja pierdziulę, a ić pan z tym WordPress’em, to musi jakieś badziewie jest…
Niestety to nie jest kwestia badziewia, tu może kłaniać się statystyka, serio serio 🙂

Jeśli zbierzemy razem kilka danych, to statyski będą zawierały dość spore, robiące wrażenie liczby.

Należy połączyć ze sobą fakty:

1. WordPress zdobył uznanie rodzaju człowieczego, bo jest przyjazny, przez co od kilku już lat dominująca większość stron internetowych na naszej planecie działa na WordPress’ie.

Ilościowo jest to 810 milionów, co stanowi 43% wszystkich stron internetowych. A jeśli spojrzymy pod kątem systemów CMS, to okazuje się, że WordPress ma jeszcze większy udział, ponieważ napędza ponad 63% stron postawionych na CMS (czyli takich z panelem do edycji online). Najbliższy konkurent ma 10 razy mniej stron.

2. Dziury to cena otwartego kodu i wielkiej rzeszy twórców, którzy osobno dziergają różne dodatki w stylu większych i mniejszych pluginów, motywów, funkcji.
Niektóre pluginy są bardzo zaawansowanymi aplikacjami, jak choć ten od sklepu internetowego WooCommerce.

3. Ludzie nie robią systematycznych aktualizacji ponieważ są zabiegani. Mniejsza tych nie dbających o aktualizacje nie robi ich z powodu niedoinformowania, a jeszcze inni, a jest ich najmniej, nie robią z lenistwa…

Podstawa to systematyczne aktualizacje WordPress’a, pluginów i motywu

Każde tego typu zestawienia nasuwają jeden wniosek – podstawa bezpieczeństwa strony internetowej to bieżące aktualizacje WordPress’a, pluginów oraz motywu. To jest wręcz fundament podstaw.
Z powyższego raportu rzuca się także w oczy fakt, który nie każdy dostrzega, że bardzo popularne pluginy bywają zawirusowane.

To nie jest kwestia słabej jakości pluginu od jakiegoś początkującego dewelopera. Widziałem już przypadki z bardzo znanymi pluginami od cache, nawet od płatności elektronicznych, a co dopiero tam wspominając o dziurawych motywach. To jest wręcz chleb powszedni.

A święta zasada informatyki przypomina…

Z nieaktualnymi wersjami pluginów i motywów bezpośredni związek mają nieaktywne pluginy i motywy. To jest różnica – nieaktualne, a nieaktywne.

Czasami u klientów na stronach obserwuję sporą listę pluginów, a bywa, że trafiam też na „zbieraczy” motywów.
W większości są to wyłączone pluginy, ale co z tego, jeśli najczęściej nie są one zaktualizowane. Nawet jeśli raz na jakiś czas je zaktualizujesz, to możesz nie zdążyć na czas.

Ktoś powie – przecież można włączyć automatyczne aktualizacje. Ale nie zawsze ktoś je włącza, poza tym są sytuacje, gdy nie ma wykupionej licencji, która na to pozwala.

Takie pluginy prędzej czy później stanowią niewypał, który tylko czeka na chętnego z zewnątrz.
Tu kłania się święta zasada informatyki 😉 co jest zbędne, tego nie trzymamy. Czemu? Bo to jest potencjalna dziura w bezpieczeństwie.

Ochrona konta administratora

Kolejna rzecz to zabezpieczenia konta administracyjnych.

Hakerzy z regóły zakładają nieautoryzowane konta admina wykorzystując luki bezpieczeństwa w pluginach, lecz warto zabezpieczyć wszystko co się da, czyli maksymalnie zabezpieczyć stronę internetową.

Lista obejmuje sprawy:
– dość skomplikowane hasło,
– unikalna nazwa użytkownika zamiast admin lub tym podobnych,
– ograniczenie ilości błędnych logowań, czyli blokadę po przykładowo 10 razach.
– wyłączenie XML-RPC, bo w dominującej większości przypadków jest on zbędny.

Dodatkowe czynności podnoszące bezpieczeństwo strony www

Dodatkowo warto wykorzystać specjalistyczne pluginy, które wzmacniają bezpieczeństwo, na przykład Wordfence.
Ale sam plugin nic nie da, potrzebna jest jego konfiguracja oraz aktualizacja tak jego, jak i całego ekosystemu naszej witryny internetowej.
Czemu? Bo jeśli dziura w jakimś innym pluginie pozwala na utworzenie konta administatora, to Wordfence nic nie pomoże.

Warto też wspomnieć, że pomocne może okazać się wdrożenie automatycznej kopi bezpieczeństwa, aby przynajmniej zawartość bazy danych była wysyłana z dala od serwera. Sporadycznie, ale zdarza się, że fakt zawirusowania strony zostanie wykryty po dłuższym czasie, a firmy hostingowe trzymają kopie najczęściej od 2 do 4 tygodni. W takiej sytuacji może się okazać, że w kopii bezpieczeństwa strony pliki są już zawirusowane.

Na koniec ostatnie straszące liczby

Jeśli szukasz kogoś od zabezpieczenia strony internetowej zapraszam do kontaktu, możesz też zapoznać się z treścią oferty na aktualizacje WordPress. Pomogę w oczyszczeniu strony lub w jej przygotowaniu na atak, bo ten jest nieunikniony. Na koniec jeszcze jedna statystyka, lekko strasząca.
Strony postawione na WordPress są atakowane średnio ponad 90 000 razy na minutę! 97% ataków robią boty, czyli mniej lub bardziej złożone programy.

Warto maksymalnie dobrze przygotować się, ponieważ liczby te będą tylko rosły. Dlaczego? Bo WordPress ma się dobrze, a Internet to już jest nasza codzienność, będzie tylko przybywać naszej aktywności w sieci.

Autor tekstu:

Autor tekstu:

Tomasz Bartosiewicz - Ojciec dyrektor

Ojciec bo pełni funkcję taty dla dwójki cudownych dusz, a dyrektor, bo jest szefem w ITB Vega 😉
Co mnie kręci: świat technologii oraz jak można go użytecznie wykorzystywać, maratony w basenie, wędrówki po starych górach, robienie zdjęć.
Mieszkam i pracuję w Bydgoszczy, ale wykonuję sporo prac zdalnych. Jeśli szukasz kogoś do stworzenia strony internetowej lub do jej aktualizacji, zadzwoń, z przyjemnością porozmawiam o Twoich potrzebach
507 96 11 46

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Po godzinach

Empatia człowieka VS empatia sztucznej inteligencji

Empatia człowieka VS empatia sztucznej inteligencji

Dziś podczas pracy przy kodzie ChatGPT znowu zaczął mnie przepraszać za swoje pomyłki i tak mi się skojarzyło, jakie to AI jest kulturalne i nie ma przerostu ego. Jakiś czas temu wpadły mi w oko badania dotyczące poczucia empatii u swojego rozmówcy. Niestety nie pamiętam gdzie to wyczytałem, a chodziło o eksperyment, podczas którego grupę badanych osób skierowano na wywiad lekarski online. Część z lekarzy to byli ludzie z krwi i kości, a część AI wymodelowana pod tego typu działania. Badani oczywiście nie wiedzieli z kim mają do czynienia, a na koniec otrzymali ankietę do wypełnienia, w której były pytania również o empatię.

Wielkie zmiany w pozycjonowaniu stron internetowych

Wielkie zmiany w pozycjonowaniu stron internetowych

Można to śmiało nazwać rewolucją, a zbliża się ona wielkimi krokami. Niektórzy spece od SEO zaczynają to zauważać i czasami gdzieś w sieci można spotkać ciekawe analizy. Wynika z nich, że strony www, którymi się opiekują piszący, przyciągają duży ruch, który jest niewspółmiernie wielki do środków jakie włożono w linkowanie. I to jest najbardziej zaskakujące, ten stosunek działań do efektów, zwłaszcza pod kątem linkowania.

Ghost in the Machine, IBM NorthPole, zasobożerność procesów myślowych i kreatywność sztucznej inteligencji

Ghost in the Machine, IBM NorthPole, zasobożerność procesów myślowych i kreatywność sztucznej inteligencji

Tytuł wpisu to zbiór tematów, które przy niedzieli mnie naszyły, a że pod czaszką kipi kreatywność, to pozwalam jej się wydostać przy pomocy klawiatury. A i że kocham muzykę wszelkiej maści, to dziś się też podzielę pewnym smacznym kąskiem, który idealnie pasuje do mojego pisania o sztucznej inteligencji i jej zagrożeniach wynikających z jej rozwoju, bo i o tym też wspomnę.

Przyszłość WordPress, czyli najpopularniejszego systemu CMS na planecie Ziemia

Przyszłość WordPress, czyli najpopularniejszego systemu CMS na planecie Ziemia

Zastanawiasz się może nad przyszłością WordPress’a? Pewnie nie. No chyba, że twój biznes oparty jest o tworzenie lub obsługę stron internetowych i czasami sprawdzasz czy twoje narzędzia mają potencjał w przyszłości. Albo może jesteś amatorem, który dzierga strony wieczorowo i sprawdzasz czy ten WordPress jeszcze długo pociągnie. A może ktoś Ci stawia stronę na WordPress’ie i chcesz dowiedzieć się czy długo ona podziała? Jeśli zastanawiasz się nad przyszłością WordPress’a to zapraszam do lektury.

CSS before i after dla Google są za ścianą

CSS before i after dla Google są za ścianą

Na oficjalnym profilu Google na platformie X pojawił się wpis „Zalecamy, aby nie dodawać znaczących treści ani symboli za pomocą pseudoelementów CSS ::before i ::after”. Spece z Google stwierdzają, że takie treści nie mogą być wykorzystywane do indeksowania stron. Jako ciekawostkę można dodać, że nie jest to zmiana w działaniu wyszukiwarki Google. Została ona po prostu wspomniana w dokumentacji.