WordPress pojawił się jako darmowy CMS (Content Management System – system zarządzania treścią) dla wszystkich. Z czasem został rozbudowany do współczesnej postaci i obecnie jest najpopularniejszym systemem CMS na świecie. Szacuje się, że korzysta z niego nawet połowa wszystkich serwisów internetowych na świecie. Jako najbardziej popularny jest też najczęściej atakowany przez hakerów.
Open Source – zaleta i wada
Kod źródłowy WordPressa jest otwarty i z jednej strony stanowi to jego ogromną zaletę, bowiem może być dowolnie rozwijany i modyfikowany, w zależności od potrzeb użytkownika. Z drugiej strony jednak, ponieważ każdy ma nieograniczony dostęp do kodu, może dowiedzieć się o regułach bezpieczeństwa, procesie logowania i autoryzacji użytkowników, implementacji funkcji PHP, itp. Hakerzy z łatwością wychwytują niedociągnięcia i luki, które zostały niezauważone przez autorów kolejnych wersji WordPressa i testujących je użytkowników. Wykorzystują je w procesie tworzenia botów. Są to automatyczne rozwiązania do lokalizacji stron internetowych, podatnych na włamanie i kradzież zasobów.
Mimo wszystko WordPress pozostaje bardzo dobrym systemem CMS. Trzeba jedynie odpowiednio go ochraniać, aby działał poprawnie, był bezpieczny i przynosił oczekiwane korzyści użytkownikowi.
Jeżeli nastąpił atak
Jeżeli nasz WordPress został zainfekowany lub zaatakowany w inny sposób, przede wszystkim nie należy wpadać w panikę. Nie jest tak, że atak hakerski był skierowany celowo w naszą stronę (niezwykle rzadko ataki są celowane). Boty, które buszują po sieci, nie szukają konkretnych stron internetowych, a niezaktualizowanych wersji WordPressa. A co może się stać, jeżeli trafią?
- Przekierowanie użytkownika. Wchodzący na naszą stronę zostanie przekierowany na inną, z reguły coś reklamującą lub sprzedającą. Reakcją użytkownika jest najczęściej odejście od nas, przez co tracimy wiarygodność
- Black hat SEO – pod tym mianem kryje się wykorzystanie naszego WordPressa do publikacji niepożądanych linków, co może obniżyć naszą pozycję w Google
- Wykorzystanie naszego WordPressa (i hostingu) do rozsyłania mailingów, co grozi umieszczeniem naszego IP na listach spamowych, a w konsekwencji np. zablokowaniem maili firmowych
- Zdiagnozowanie infekcji przez boty Google, co może skutkować nawet wyindeksowaniem naszej strony
- Podmiana treści. Niektóre boty hakerskie posiadają funkcję modyfikacji treści i grafiki w celu późniejszego wykorzystania do swoich celów
- Kradzież danych osobowych użytkowników. Od ubiegłego roku obowiązuje rozporządzenie RODO, którego naruszenie grozi bardzo dotkliwymi karami finansowymi. Trzeba o tym pamiętać i dbać o aktualizację WordPressa.
Jak chronić WordPress?
Zmiana nazwy głównego użytkownika konta to pierwsza czynność, którą powinniśmy wykonać. Domyślna nazwa to „Admin” i jeżeli przy niej pozostaniemy, haker będzie mieć o połowę mniej „pracy”, gdyż do złamania będzie miał jedynie hasło. Najprościej jest utworzyć nowe konto o innej nazwie. Następnie przelogowujemy się na to konto i zmieniamy uprawnienia, ewentualnie całkowicie usuwamy konto „Admin”, przeniósłszy wcześniej przypisane do niego wpisy na nowe konto.
Login i hasło. Na poprawę bezpieczeństwa przy logowaniu ma wpływ zamiana loginu na adres e-mail. Najlepiej ustalić taki adres specjalnie i jedynie w celu logowania do WordPress. Można to przeprowadzić z użyciem wtyczki WP email login.
Hasło do logowania powinno być unikatowe i silne. Aby spełniało te warunki, musi zawierać małe i wielkie litery, cyfry i znaki specjalne. Jego długość to minimum 8 znaków, im dłuższe tym lepsze. Należy go używać wyłącznie do logowania się w WordPress, nigdzie więcej. Ustalając hasło, należy unikać ciągu znaków, występujących po sobie na klawiaturze (qwerty, 12345), również w odwrotnej kolejności i po skosie (5tgb%TGB). Nie może być to słowo, a tym bardziej imię nasze lub kogoś z naszych bliskich.
Wyłączenie rejestracji użytkowników. Jeżeli nie ma takiej potrzeby, nie warto rejestrować użytkowników odwiedzających nasz serwis. Jeżeli zależy nam, aby komentarze nie były całkowicie anonimowe, można użyć wtyczki do komentowania (np. Facebook), natomiast możliwość rejestracji użytkowników wyłącza się w ustawieniach WordPress następująco: Ustawienia => Ogólne => Członkostwo i odznaczamy pole Każdy może się zarejestrować.
Ograniczenie prób logowania. Zapobiega to atakom tzw. Brute Force, polegających na wielokrotnych próbach logowania za pomocą coraz to nowych haseł. Można ustawić limit prób logowania z jednego adresu IP do np. trzech, po czym adres ten zostaje zablokowany na określony czas.
I najważniejsze, o czym była już mowa: bieżąca aktualizacja WordPress. Jest to najprostszy sposób na uniknięcie ataku botów i utrzymanie odpowiedniego poziomu bezpieczeństwa.
Autor: Konrad Bielawski, specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.
