Firma sucuri.net, której pracownicy w 2022 roku oczyścili ponad 43 000 witryn opublikowała raport z którego można wyciągnąć ciekawe wnioski, kilka liczb:
– 8% witryn na WordPress zostało zhakowanych przez słabe hasło.
– 4,7 miliona stron postawionych na WordPress zostało zhakowanych w roku.
– Co najmniej 13 000 stron www na WordPress dziennie jest zhakowanych.
– 36% stron posiadało co najmniej jeden dziurawy plugin lub motyw.
– 32% witryn miało złośliwe konta użytkownika z uprawnieniami administracyjnymi.
– najczęściej wykrytymi pluginami z lukami bezpieczeństwa były Contact Form 7 (27,44%), Freemius Library (20,85%) oraz WooCommerce (14,51%).
Ilustrację do tego wpisu wygenerowała AI, a tytuł obrazka to: Przez tą stronę internetową tylko boli mnie głowa…
Ale proszę pani, chwila! Głowa wcale nie musi boleć, proszę przeczytać artykuł 🙂
WordPress to nie badziewie proszę pani/pana, bo tu kłania się statystyka!
Zacznę od końca, czyli od tych wielkich liczb, które mogą, powinny i chyba robią wrażenie, prawda? Dziennie 13 000 witryn internetowych pada ofiarą hakerów. Wychodzi, że co niecałe 7 sekund jakaś witryna WordPress jest właśnie zarażona w mniej lub bardziej paskudny sposób.
Ktoś mógłby pomyśleć – ja pierdziulę, a ić pan z tym WordPress’em, to musi jakieś badziewie jest…
Niestety to nie jest kwestia badziewia, tu może kłaniać się statystyka, serio serio 🙂
Jeśli zbierzemy razem kilka danych, to statyski będą zawierały dość spore, robiące wrażenie liczby.
Należy połączyć ze sobą fakty:
1. WordPress zdobył uznanie rodzaju człowieczego, bo jest przyjazny, przez co od kilku już lat dominująca większość stron internetowych na naszej planecie działa na WordPress’ie.
Ilościowo jest to 810 milionów, co stanowi 43% wszystkich stron internetowych. A jeśli spojrzymy pod kątem systemów CMS, to okazuje się, że WordPress ma jeszcze większy udział, ponieważ napędza ponad 63% stron postawionych na CMS (czyli takich z panelem do edycji online). Najbliższy konkurent ma 10 razy mniej stron.
2. Dziury to cena otwartego kodu i wielkiej rzeszy twórców, którzy osobno dziergają różne dodatki w stylu większych i mniejszych pluginów, motywów, funkcji.
Niektóre pluginy są bardzo zaawansowanymi aplikacjami, jak choć ten od sklepu internetowego WooCommerce.
3. Ludzie nie robią systematycznych aktualizacji ponieważ są zabiegani. Mniejsza tych nie dbających o aktualizacje nie robi ich z powodu niedoinformowania, a jeszcze inni, a jest ich najmniej, nie robią z lenistwa…
Podstawa to systematyczne aktualizacje WordPress’a, pluginów i motywu
Każde tego typu zestawienia nasuwają jeden wniosek – podstawa bezpieczeństwa strony internetowej to bieżące aktualizacje WordPress’a, pluginów oraz motywu. To jest wręcz fundament podstaw.
Z powyższego raportu rzuca się także w oczy fakt, który nie każdy dostrzega, że bardzo popularne pluginy bywają zawirusowane.
To nie jest kwestia słabej jakości pluginu od jakiegoś początkującego dewelopera. Widziałem już przypadki z bardzo znanymi pluginami od cache, nawet od płatności elektronicznych, a co dopiero tam wspominając o dziurawych motywach. To jest wręcz chleb powszedni.
A święta zasada informatyki przypomina…
Z nieaktualnymi wersjami pluginów i motywów bezpośredni związek mają nieaktywne pluginy i motywy. To jest różnica – nieaktualne, a nieaktywne.
Czasami u klientów na stronach obserwuję sporą listę pluginów, a bywa, że trafiam też na „zbieraczy” motywów.
W większości są to wyłączone pluginy, ale co z tego, jeśli najczęściej nie są one zaktualizowane. Nawet jeśli raz na jakiś czas je zaktualizujesz, to możesz nie zdążyć na czas.
Ktoś powie – przecież można włączyć automatyczne aktualizacje. Ale nie zawsze ktoś je włącza, poza tym są sytuacje, gdy nie ma wykupionej licencji, która na to pozwala.
Takie pluginy prędzej czy później stanowią niewypał, który tylko czeka na chętnego z zewnątrz.
Tu kłania się święta zasada informatyki 😉 co jest zbędne, tego nie trzymamy. Czemu? Bo to jest potencjalna dziura w bezpieczeństwie.
Ochrona konta administratora
Kolejna rzecz to zabezpieczenia konta administracyjnych.
Hakerzy z regóły zakładają nieautoryzowane konta admina wykorzystując luki bezpieczeństwa w pluginach, lecz warto zabezpieczyć wszystko co się da, czyli maksymalnie zabezpieczyć stronę internetową.
Lista obejmuje sprawy:
– dość skomplikowane hasło,
– unikalna nazwa użytkownika zamiast admin lub tym podobnych,
– ograniczenie ilości błędnych logowań, czyli blokadę po przykładowo 10 razach.
– wyłączenie XML-RPC, bo w dominującej większości przypadków jest on zbędny.
Dodatkowe czynności podnoszące bezpieczeństwo strony www
Dodatkowo warto wykorzystać specjalistyczne pluginy, które wzmacniają bezpieczeństwo, na przykład Wordfence.
Ale sam plugin nic nie da, potrzebna jest jego konfiguracja oraz aktualizacja tak jego, jak i całego ekosystemu naszej witryny internetowej.
Czemu? Bo jeśli dziura w jakimś innym pluginie pozwala na utworzenie konta administatora, to Wordfence nic nie pomoże.
Warto też wspomnieć, że pomocne może okazać się wdrożenie automatycznej kopi bezpieczeństwa, aby przynajmniej zawartość bazy danych była wysyłana z dala od serwera. Sporadycznie, ale zdarza się, że fakt zawirusowania strony zostanie wykryty po dłuższym czasie, a firmy hostingowe trzymają kopie najczęściej od 2 do 4 tygodni. W takiej sytuacji może się okazać, że w kopii bezpieczeństwa strony pliki są już zawirusowane.
Na koniec ostatnie straszące liczby
Jeśli szukasz kogoś od zabezpieczenia strony internetowej zapraszam do kontaktu, możesz też zapoznać się z treścią oferty na aktualizacje WordPress. Pomogę w oczyszczeniu strony lub w jej przygotowaniu na atak, bo ten jest nieunikniony. Na koniec jeszcze jedna statystyka, lekko strasząca.
Strony postawione na WordPress są atakowane średnio ponad 90 000 razy na minutę! 97% ataków robią boty, czyli mniej lub bardziej złożone programy.
Warto maksymalnie dobrze przygotować się, ponieważ liczby te będą tylko rosły. Dlaczego? Bo WordPress ma się dobrze, a Internet to już jest nasza codzienność, będzie tylko przybywać naszej aktywności w sieci.
0 komentarzy