Bezpieczeństwo strony postawionej na WordPress – raport i wnioski co trzeba zrobić

28 sierpnia 2023 | Po godzinach - Wszystkie wpisy, WordPress | 0 komentarzy

Firma sucuri.net, której pracownicy w 2022 roku oczyścili ponad 43 000 witryn opublikowała raport z którego można wyciągnąć ciekawe wnioski, kilka liczb:

– 8% witryn na WordPress zostało zhakowanych przez słabe hasło.

– 4,7 miliona stron postawionych na WordPress zostało zhakowanych w roku.

– Co najmniej 13 000 stron www na WordPress dziennie jest zhakowanych.

– 36% stron posiadało co najmniej jeden dziurawy plugin lub motyw.

– 32% witryn miało złośliwe konta użytkownika z uprawnieniami administracyjnymi.

– najczęściej wykrytymi pluginami z lukami bezpieczeństwa były Contact Form 7 (27,44%), Freemius Library (20,85%) oraz WooCommerce (14,51%).

Ilustrację do tego wpisu wygenerowała AI, a tytuł obrazka to: Przez tą stronę internetową tylko boli mnie głowa…

Ale proszę pani, chwila! Głowa wcale nie musi boleć, proszę przeczytać artykuł 🙂

blank

WordPress to nie badziewie proszę pani/pana, bo tu kłania się statystyka!

Zacznę od końca, czyli od tych wielkich liczb, które mogą, powinny i chyba robią wrażenie, prawda? Dziennie 13 000 witryn internetowych pada ofiarą hakerów. Wychodzi, że co niecałe 7 sekund jakaś witryna WordPress jest właśnie zarażona w mniej lub bardziej paskudny sposób.

Ktoś mógłby pomyśleć – ja pierdziulę, a ić pan z tym WordPress’em, to musi jakieś badziewie jest…
Niestety to nie jest kwestia badziewia, tu może kłaniać się statystyka, serio serio 🙂

Jeśli zbierzemy razem kilka danych, to statyski będą zawierały dość spore, robiące wrażenie liczby.

Należy połączyć ze sobą fakty:

1. WordPress zdobył uznanie rodzaju człowieczego, bo jest przyjazny, przez co od kilku już lat dominująca większość stron internetowych na naszej planecie działa na WordPress’ie.

Ilościowo jest to 810 milionów, co stanowi 43% wszystkich stron internetowych. A jeśli spojrzymy pod kątem systemów CMS, to okazuje się, że WordPress ma jeszcze większy udział, ponieważ napędza ponad 63% stron postawionych na CMS (czyli takich z panelem do edycji online). Najbliższy konkurent ma 10 razy mniej stron.

2. Dziury to cena otwartego kodu i wielkiej rzeszy twórców, którzy osobno dziergają różne dodatki w stylu większych i mniejszych pluginów, motywów, funkcji.
Niektóre pluginy są bardzo zaawansowanymi aplikacjami, jak choć ten od sklepu internetowego WooCommerce.

3. Ludzie nie robią systematycznych aktualizacji ponieważ są zabiegani. Mniejsza tych nie dbających o aktualizacje nie robi ich z powodu niedoinformowania, a jeszcze inni, a jest ich najmniej, nie robią z lenistwa…

Podstawa to systematyczne aktualizacje WordPress’a, pluginów i motywu

Każde tego typu zestawienia nasuwają jeden wniosek – podstawa bezpieczeństwa strony internetowej to bieżące aktualizacje WordPress’a, pluginów oraz motywu. To jest wręcz fundament podstaw.
Z powyższego raportu rzuca się także w oczy fakt, który nie każdy dostrzega, że bardzo popularne pluginy bywają zawirusowane.

To nie jest kwestia słabej jakości pluginu od jakiegoś początkującego dewelopera. Widziałem już przypadki z bardzo znanymi pluginami od cache, nawet od płatności elektronicznych, a co dopiero tam wspominając o dziurawych motywach. To jest wręcz chleb powszedni.

A święta zasada informatyki przypomina…

Z nieaktualnymi wersjami pluginów i motywów bezpośredni związek mają nieaktywne pluginy i motywy. To jest różnica – nieaktualne, a nieaktywne.

Czasami u klientów na stronach obserwuję sporą listę pluginów, a bywa, że trafiam też na „zbieraczy” motywów.
W większości są to wyłączone pluginy, ale co z tego, jeśli najczęściej nie są one zaktualizowane. Nawet jeśli raz na jakiś czas je zaktualizujesz, to możesz nie zdążyć na czas.

Ktoś powie – przecież można włączyć automatyczne aktualizacje. Ale nie zawsze ktoś je włącza, poza tym są sytuacje, gdy nie ma wykupionej licencji, która na to pozwala.

Takie pluginy prędzej czy później stanowią niewypał, który tylko czeka na chętnego z zewnątrz.
Tu kłania się święta zasada informatyki 😉 co jest zbędne, tego nie trzymamy. Czemu? Bo to jest potencjalna dziura w bezpieczeństwie.

Ochrona konta administratora

Kolejna rzecz to zabezpieczenia konta administracyjnych.

Hakerzy z regóły zakładają nieautoryzowane konta admina wykorzystując luki bezpieczeństwa w pluginach, lecz warto zabezpieczyć wszystko co się da, czyli maksymalnie zabezpieczyć stronę internetową.

Lista obejmuje sprawy:
– dość skomplikowane hasło,
– unikalna nazwa użytkownika zamiast admin lub tym podobnych,
– ograniczenie ilości błędnych logowań, czyli blokadę po przykładowo 10 razach.
– wyłączenie XML-RPC, bo w dominującej większości przypadków jest on zbędny.

Dodatkowe czynności podnoszące bezpieczeństwo strony www

Dodatkowo warto wykorzystać specjalistyczne pluginy, które wzmacniają bezpieczeństwo, na przykład Wordfence.
Ale sam plugin nic nie da, potrzebna jest jego konfiguracja oraz aktualizacja tak jego, jak i całego ekosystemu naszej witryny internetowej.
Czemu? Bo jeśli dziura w jakimś innym pluginie pozwala na utworzenie konta administatora, to Wordfence nic nie pomoże.

Warto też wspomnieć, że pomocne może okazać się wdrożenie automatycznej kopi bezpieczeństwa, aby przynajmniej zawartość bazy danych była wysyłana z dala od serwera. Sporadycznie, ale zdarza się, że fakt zawirusowania strony zostanie wykryty po dłuższym czasie, a firmy hostingowe trzymają kopie najczęściej od 2 do 4 tygodni. W takiej sytuacji może się okazać, że w kopii bezpieczeństwa strony pliki są już zawirusowane.

Na koniec ostatnie straszące liczby

Jeśli szukasz kogoś od zabezpieczenia strony internetowej zapraszam do kontaktu, możesz też zapoznać się z treścią oferty na aktualizacje WordPress. Pomogę w oczyszczeniu strony lub w jej przygotowaniu na atak, bo ten jest nieunikniony. Na koniec jeszcze jedna statystyka, lekko strasząca.
Strony postawione na WordPress są atakowane średnio ponad 90 000 razy na minutę! 97% ataków robią boty, czyli mniej lub bardziej złożone programy.

Warto maksymalnie dobrze przygotować się, ponieważ liczby te będą tylko rosły. Dlaczego? Bo WordPress ma się dobrze, a Internet to już jest nasza codzienność, będzie tylko przybywać naszej aktywności w sieci.

Autor tekstu:

Autor tekstu:

Tomasz Bartosiewicz - Ojciec dyrektor

Ojciec bo pełni funkcję taty dla dwójki cudownych dusz, a dyrektor, bo jest szefem w ITB Vega 😉
Co mnie kręci: świat technologii oraz jak można go użytecznie wykorzystywać, maratony w basenie, wędrówki po starych górach, robienie zdjęć.
Mieszkam i pracuję w Bydgoszczy, ale wykonuję sporo prac zdalnych. Jeśli szukasz kogoś do stworzenia strony internetowej lub do jej aktualizacji, zadzwoń, z przyjemnością porozmawiam o Twoich potrzebach
507 96 11 46

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Po godzinach

Wyszukiwarka Bing + AI = Coś niespotykanego!

Wyszukiwarka Bing + AI = Coś niespotykanego!

Jest taki tort, który zwie się wyszukiwarki internetowe. Microsoft chciał chapnąć z niego większy kawałek. Zapewne firma widziała okazję na zmniejszenie dominacji Google. Na początku roku, bo to jakoś w lutym było, Microsoft ogłosił uruchomienie ChatGPT w swojej wyszukiwarce Bing. Oczywiście wszystko dostępne tylko we własnej przeglądarce Edge. Upłynęło kilka miesięcy, można ocenić skutki – co wyszło z tego połączenia?

Google potwierdza – Jakość treści ma kluczowe znaczenie w SEO

Google potwierdza – Jakość treści ma kluczowe znaczenie w SEO

Jak wynika z niedawnej dyskusji pomiędzy Johnem Muellerem i Garym Illyesem z zespołu Google Search Relations, jakość to krytyczny czynnik wpływający na niemal każdy aspekt wyszukiwania. Podczas niedawnego podcastu „Search Off the Record” oboje zagłębili się w rolę jakości we wszystkim, od indeksowania po ranking stron internetowych w wynikach szukania.

ChatGPT chory na demencję starczą?

ChatGPT chory na demencję starczą?

Z różnych stron świata użytkownicy ChatGPT donoszą o coraz gorszej jakości generowanych przez sztuczną inteligencję odpowiedzi. Wygląda to dosłownie tak, jakby AI po prostu głupiało. To jakby człowiek w pierwszym stadium otępienia starczego. Każdy, kto ma dość częstą sposobność do korzystania z ChatGPT mógł zauważyć tą słabnącą jakość odpowiedzi.

WordPress & AI

WordPress & AI

Sztuczna inteligencja wchodzi wszędzie gdzie się da. Wręcz pcha się, choć w sumie lepsze określenie to, że jest popychana, bo to ludzie ją wpychają. Powstały już generatory stron oparte o AI, gdzie określasz swój biznes, a automatyczny kreator w bardzo krótkim czasie przygotuje całą stronę. WordPress, jako najpopularniejszy na naszej planecie system CMS także ma dodatki AI.

ChatGPT tak łatwo nie wygryzie programistów

ChatGPT tak łatwo nie wygryzie programistów

Odkąd rozpoczął się wielki szał na sztuczne inteligencje, który zainicjował ChatGPT zaczęto straszyć utratą miejsc pracy, w tym także dla programistów. Bo przecież te sztuczne inteligencje to modele językowe „doskonale” wykorzystujące języki, zwłaszcza o tak restrykcyjnej konstrukcji, jak języki programowania.