Jak zabezpieczyć WordPress- 7 najczęstszych błędów
WordPress to jeden z najpopularniejszych CMS-ów na świecie. W ciągu ostatnich lat bardzo się rozwinął. Niestety wraz z jego popularnością stał się także głównym obiektem ataku hakerów. Według zgromadzonych danych 90% wszystkich ataków hakerskich na strony internetowe dotyczy właśnie tych zbudowanych na WordPress. Jak zabezpieczyć WordPress, a raczej jakich błędów uniknąć robiąc to- dowiesz się z artykułu.
1. Domyślne dane konta admina
Podczas pierwszej instalacji WordPressa na serwerze należy podać dane logowania admina. Jeśli owo konto nazywa się po prostu „admin”, Twoja strona jest znacznie bardziej narażona na ataki.
W efekcie takiej decyzji hakerzy mają o połowę mniej pracy. Jedyne, co im pozostaje, to złamanie hasła. Aby zabezpieczyć Wordpressa, stwórz nowe konto z uprawnieniami administratora. Zaloguj się tym nowym kontem, a następnie zmień uprawnienia poprzedniego konta „admin” lub całkowicie je usuń.
Powyższy błąd prowadzi nas także do kolejnego:
2. Podatność na brutalne ataki
Tzw. brute force attack określają praktykę, podczas której haker za pomocą oprogramowania wpisuje różne kombinacje nazw użytkowników oraz haseł. W rezultacie po pewnym czasie uda mu się znaleźć właściwe połączenie nazwy użytkownika oraz hasła. Tego typu atak wykorzystuje najprostszy sposób na dostanie się do Twojej witryny – stronę logowania.
WordPress domyślnie nie ogranicza liczby prób logowania, przez co boty mogą wykorzystywać metodę brutalnego ataku aż do skutku. Nawet jeżeli się on nie powiedzie, nadal może spowodować chaos na serwerze, gdyż liczne próby logowania go przeciążą. Co gorsza, niektórzy dostawcy hostingu mogą wtedy zawiesić Twoje konto z racji przeciążeń – jest to prawdopodobny scenariusz zwłaszcza w przypadku hostingu współdzielonego.
Jak zabezpieczyć Wordpress w tym przypadku? Ogranicz liczbę prób logowania oraz ustal trudne do rozszyfrowania nazwy użytkowników i hasła.
3. Domyślne prefiksy związane z tabelami baz danych
Instalując WordPress, masz możliwość wybrania prefiksu, jaki będzie określał tabele gromadzące dane. Większość początkujących osób wybierze tutaj domyślny prefiks „wp_”. Jest to duża luka w bezpieczeństwie strony, gdyż oszczędza hakerom wiele pracy. W rezultacie będą mogli domyślnie nakierowywać swoje działania na pliki opisane właśnie tym przedrostkiem. W ten sposób mogą uzyskać informacje m.in. na temat użytkowników strony. Aby naprawić ten błąd, zamień po prostu prefiks „wp_” na inny. Będzie do dobre zabezpieczenie WordPressa przed włamaniem.
4. Wstrzyknięcia SQL
Tego typu atak ma miejsce wtedy, gdy haker uzyskuje dostęp do Twojej bazy danych WordPress MySQL. Poprzez wstrzyknięcia różnego kodu, atakujący może tworzyć nowe konta administratorów lub dodawać nowe dane do istniejących baz danych – na przykład linki do złośliwych stron internetowych.
Jak zabezpieczyć WordPress przed tym działaniem? Kontroluj oraz filtruj kanały, przez które wprowadzane są informacje na stronie. Dobrze jest sprawdzać kod na każdej podstronie, a zwłaszcza tam, gdzie dochodzi do łączenia contentu i komend z treściami, które mogą pochodzić od innych użytkowników (np. komentarze).
5. Wyciek plików z ważnymi informacjami
Niektóre raporty podają, że niemal każda strona posiada przynajmniej jeden plik z wrażliwymi danymi, który jest dostępny dla każdego w sieci. Jak do tego dochodzi? Często powodem jest po prostu tworzenie kopii zapasowych owych plików.
Czasami wykonanie edycji pliku na serwerze lub innych czynności administracyjnych może nieumyślnie pozostawić kopie zapasowe, które nie są odpowiednio zabezpieczone. Pliki te stanowią poważne zagrożenie, ponieważ są łatwym celem dla hakerów.
6. Instalowanie szablonów i pluginów z podejrzanych źródeł
Czasami nieumyślnie możemy pomóc hakerom dostać się do naszej strony. Niestety często dzieje się tak w rezultacie instalowania darmowych szablonów oraz pluginów z niezweryfikowanych źródeł.
Pewien test wykazał, że wiele z darmowych szablonów dostępnych w sieci posiada liczne exploity, złośliwe fragmenty kodu oraz wiele innych problemów. Z tego powodu najlepszym zabezpieczeniem WordPressa jest instalacja szablonów bezpośrednio od WordPress. Jeśli nabywasz je z innych źródeł, dokładnie sprawdź reputację dostawcy.
7. Cross-Site Scripting (XSS)
Tego typu ataki to jedne z najczęściej spotykanych w sieci.
Ich podstawowy mechanizm wygląda tak:
- Atakujący znajduje sposób, aby ofiara załadowała strony z niebezpiecznymi skryptami JavaScript.
- Owe skrypty są ładowane bez wiedzy odwiedzającego, a następnie wykorzystuje się je do kradzieży danych z ich przeglądarek.
Przykładem pomyślnego wykonania takiego ataku może być przejęty formularz. Dla nic niepodejrzewającego odwiedzającego znajduje się on na Twojej stronie. Jeśli jednak wpisze tam swoje dane, zostaną one skradzione.
Rozwiązaniem jest tutaj stworzenie odpowiedniej white listy, dzięki której Twoja strona będzie pozwalała na przetwarzanie zapytań pochodzących jedynie z godnych zaufania źródeł. Dobrze jest także korzystać z oprogramowania web application firewall.
Podsumowanie
Teraz już wiesz, jak zabezpieczyć WordPress i uchronić się przed atakami hakerskimi. Pamiętaj jednak, że hakerzy wciąż znajduje coraz to nowsze i bardziej kreatywne sposoby na zainfekowanie Twojej strony, dlatego regularna kontrola bezpieczeństwa jest podstawą dobrze funkcjonującej strony www.