WordPress jest zdecydowanie najpopularniejszym sposobem na stworzenie strony internetowej. Ta ogromna popularność ma niestety efekt uboczny. WordPress jest poligonem do „zabawy” dla hakerów na całym świecie. Teraz zastanawiasz się, czy WordPress jest wystarczająco bezpieczny, aby poradzić sobie z tymi atakami…

Po pierwsze – zła wiadomość: co roku hakowane są setki tysięcy stron na WordPress. Brzmi fatalnie, prawda? Cóż… nie bardzo, ponieważ są też dobre strony.

Hakerzy włamują się dzięki lukom bezpieczeństwa w przestarzałych wersjach WordPress. Większość stron WordPress zostaje zhakowana z powodu problemów takich jak brak aktualizacji, stare wersje wtyczek, szablonów lub używanie prostych i łatwych haseł.

W związku z tym odpowiedź na pytanie „czy WordPress jest bezpieczny?” wymaga pewnego doprecyzowania. Aby to zrobić, omówimy kilka różnych kwestii:

Jak strony WordPress są hakowane?

Wiesz już, że wiele stron WordPress jest zhakowanych każdego roku. Ale… jak to się dzieje? Czy to globalny problem z WordPress? Czy może wynika to z innych działań? Oto dlaczego większość witryn WordPress zostaje zhakowanych, zgodnie z danymi, które mamy od Sucuri.

1. Nieaktualny WordPress

Oto zaskakujące dane z raportu Hacked Website Trend Report z 2018 roku. Ze wszystkich zhakowanych stron WordPress, na które spojrzała Sucuri, 36,7% używało przestarzałego WordPress’a w momencie zdarzenia.

19 sucuri 2018 hacked report outdated platforms 2 - Czy WordPress jest bezpieczny?

Od razu widać dość bliski związek między atakiem hakera a używaniem przestarzałego oprogramowania.

Cytując WPScan Vulnerability Database, ~74% znanych luk w zabezpieczeniach znajduje się w rdzeniu WordPress. Starszy WordPress oznacza problemy.

Niestety tylko 45% stron na WordPress korzysta z najnowszej wersji. Stąd całe mnóstwo stron, które są nadal niepotrzebnie zagrożone shakowaniem.

przestazaly wordpress - Czy WordPress jest bezpieczny?

Wniosek: Zespół ds. Bezpieczeństwa WordPress wykonuje świetną robotę, szybko rozwiązując problemy w oprogramowaniu WordPress. Jeśli niezwłocznie zastosujesz wszystkie aktualizacje zabezpieczeń, jest bardzo mało prawdopodobne, że Twoja strona napotka jakiekolwiek problemy z powodu luk w zabezpieczeniach. Ale jeśli tego nie zrobisz, ryzykujesz, gdy exploit zostanie znaleziony.

2. Nieaktualne Wtyczki i Szablony

Jedną z rzeczy, którą użytkownicy kochają w WordPress, jest oszałamiająca liczba dostępnych wtyczek i motywów. Pisząc to, w repozytorium WordPress znajduje się ponad 54 000, a tysiące dodatkowych płatnych wtyczek jest rozrzucona po Internecie.

wtyczki wordpress - Czy WordPress jest bezpieczny?

Chociaż wszystkie te opcje świetnie nadają się do ulepszenia funkcjonalności naszej strony, to każde rozszerzenie stanowi nową potencjalną lukę w bezpieczeństwie dla złośliwego hakera. I chociaż większość programistów WordPress wykonuje dobrą robotę, przestrzegając standardów kodu i łatając wszelkie luki, gdy tylko zostaną poznane, wciąż istnieje kilka potencjalnych problemów:

  • Gdy wtyczka lub motyw ma lukę, może ona zostać niezauważona, ponieważ twórca wtyczki lub motywu nie ma takich zasobów jak ekipa z WordPress
  • Deweloper przestał pracować nad rozszerzeniem, ale ludzie nadal go używają.
  • Deweloper szybko usuwa problem, ale ludzie po prostu nie aktualizują.

Zatem, jak duża jest skala tych problemów?

Cóż, w ankiecie przeprowadzonej przez Wordfence wśród właścicieli shakowanych stron, ponad 60% z nich, którzy wiedzieli, w jaki sposób włamał się haker, przypisało to usterce wtyczki lub motywu.

hacked website how compromised - Czy WordPress jest bezpieczny?

Wniosek: motywy i wtyczki dla WordPress mogą być okazją dla złośliwych hakerów. Postępując zgodnie z dobrymi praktykami, można te ryzyko w dużym stopniu ograniczyć. Aktualizuj rozszerzenia oraz szablony niezwłocznie. Instaluj wyłącznie rozszerzenia oraz szablony z renomowanych źródeł.

3. Zagrożone dane logowania do WordPress, FTP lub Hosting

Ok, prawdę mówiąc, nie jesto to wina WordPress’a. Ale spory procent włamań pochodzi od hakerów, którzy zdobywają dane logowania do WordPress lub dane logowania do hostingu lub kont FTP.

W tej samej ankiecie Wordfence ataki typu „brute force” stanowiły około 16% zhakowanych witryn, a kradzieże haseł do kont hostingu i FTP miały niewielką, ale istotną pozycję w statystykach.

Najzwyczajniej na świecie, jeżeli haker dostanie w przenośni „klucz do drzwi”, to nie ma znaczenia już, w jaki sposób zabezpieczasz stronę WordPress.

WordPress w rzeczywistości wykonuje świetną robotę, automatycznie generując bezpieczne hasła, ale to do użytkowników nadal należy bezpieczeństwo tych haseł, a także używanie silnych haseł do hostingu i FTP.

Wniosek: Podjęcie podstawowych kroków w celu zabezpieczenia danych do logowania na konta może zapobiec tragedii. Używaj silne hasła dla wszystkich kont WordPress i ogranicz liczbę prób logowania, aby zapobiec atakom „brute force” (Serwer.io w standardzie wymusza silne hasła i zabezpiecza Twoje strony przed atakami ?).

4. Stara technologia i słaby hosting

Istotne jest nie tylko to, co dzieje się na Twojej stronie WordPress, ale także środowisko hostingowe i używane technologie. Na przykład, mimo że PHP 7 oferuje wiele ulepszeń bezpieczeństwa w stosunku do PHP 5, tylko ~ 61% stron WordPress używa PHP 7 lub nowszego. Na czas pisania artykułu, najnowszą wersją jest PHP 7.3 (tą wersję powinien Twój hosting mieć w standardzie), jak widzisz tylko 10.5% stron WordPress z niej korzysta.

wordpress php - Czy WordPress jest bezpieczny?

Wsparcie bezpieczeństwa PHP 5.6 oficjalnie wygasło pod koniec 2018 roku. A wcześniejsze wersje PHP 5 nie miały wsparcia bezpieczeństwa od lat. Co więcej, wsparcie dla PHP 7.1 wygasa pod koniec 2019 roku, a po statystykach widać, że mnóstwo stron WordPress nie zaczęło jeszcze nawet używać tej wersji.

Oznacza to, że korzystanie ze hostingu korzystającego z PHP 7.1 lub niższego wkrótce stanie się dla Ciebie potencjalnym zagrożeniem na luki w zabezpieczeniach PHP.

Oprócz zapewnienia dostępu do najnowszych technologii, korzystanie z bezpiecznego hostingu WordPress może również pomóc w automatycznym złagodzeniu wielu innych potencjalnych luk w zabezpieczeniach dzięki:

  • Zaporze sieciowych aplikacji (firewall)
  • Automatycznym zarządzaniu bezpieczeństwa WordPress
  • Silnych hasłach i dodatkowemu uwierzytelnianiu
  • Automatycznych kopiach bezpieczeństwa

Wniosek: Korzystanie z bezpiecznego hostingu i najnowszych technologii, takich jak PHP 7.3, pomaga dodatkowo zapewnić bezpieczeństwo witryny WordPress.

Kto jest odpowiedzialny za zapewnienie bezpieczeństwa WordPress?

Teraz możesz się zastanawiać, kto jest odpowiedzialny za zwalczanie wszystkich powyższych problemów?

Oficjalnie odpowiedzialność ta spoczywa na Zespole ds. Bezpieczeństwa WordPress (aczkolwiek indywidualni współpracownicy i programiści z całego świata również odgrywają ogromną rolę w zapewnieniu bezpieczeństwa WordPress).

Zespół bezpieczeństwa WordPress to „50 ekspertów, w tym wiodący programiści i badacze bezpieczeństwa”. Około połowa z tych ekspertów pracuje w Automattic. Inni pracują nad bezpieczeństwem sieci. Zespół konsultuje się również z badaczami bezpieczeństwa i firmami hostingowymi.

Czy WordPress jest bezpieczny, jeśli przestrzegasz najlepszych praktyk?

Jeżeli spojrzysz na wszystkie powyższe dane i fakty, zobaczysz ogólny trend.

Chociaż żaden system zarządzania treścią nie jest w 100% bezpieczny, WordPress ma wysokiej jakości poziom bezpieczeństwa, a większość włamań jest bezpośrednim efektem właścicieli stron, którzy nie przestrzegają podstawowych najlepszych praktyk bezpieczeństwa.

Jeśli robisz rzeczy takie jak …

  • Aktualizujesz swojego WordPress’a, wtyczki i motywy.
  • Mądrze wybierasz wtyczki i motywy (od renomowanych programistów)
  • Jeśli masz wybór między FTP a SFTP, zawsze używasz SFTP.
  • Używasz silnych haseł do WordPress, a także do swojego konta hostingowego i SFTP (i uwierzytelniania dwu-poziomowe, jeśli jest dostępne).
  • Nie używasz „admin” dla swojej nazwy użytkownika.
  • Chronisz swój komputer przed wirusami.
  • Używasz certyfikatu TLS (HTTPS), aby cała komunikacja z witryną WordPress (np. Logowanie do pulpitu nawigacyjnego) była szyfrowana. Serwer.io zapewnia bezpłatne certyfikaty HTTPS!
  • Używasz kluczy SSH. Zapewnia to bezpieczniejszy sposób logowania do serwera i eliminuje potrzebę hasła.
  • Masz hosting z bezpiecznym środowiskiem i korzystasz z najnowszych technologii, takich jak PHP 7+.

… to WordPress jest bezpieczny, a Twoja strona powinna pozostać wolna od hacków zarówno teraz, jak i w przyszłości. Jeśli jesteś klientem Serwer.io, nie musisz się również martwić.