WordPress to najpopularniejsze oprogramowanie służące do tworzenia stron internetowych, stosowane począwszy od małych blogów, poprzez portale informacyjne, a skończywszy na sklepach internetowych. Od ponad 17 lat, gdy została opublikowana jego pierwsza ogólnodostępna wersja, stale umacnia swoją pozycję wśród oprogramowania wykorzystywanego zarówno przez amatorów, jak i profesjonalistów, tworzących strony WWW.
Swoją popularność WordPress zawdzięcza przede wszystkim możliwości łatwej rozbudowy funkcjonalności, poprzez dołączanie niezliczonej ilości dodatków, wydawanych przez mniej lub bardziej profesjonalnych programistów. Niestety, o ile sam kod programu podlega systematycznym aktualizacjom, to nie wszystkie z udostępnionych do niego wtyczek również są rozwijane. Brak aktualizacji dowolnego programu dołączonego do WordPressa może skutkować problemami z bezpieczeństwem całej strony WWW i podatnością na ataki hakerskie.
Co zrobić, aby uchronić się przed czyhającymi na nas tego typu zagrożeniami? Co zrobić, gdy już mamy zbudowaną stronę WWW w oparciu o ten program i obawiamy się, żeby efekt naszej ciężkiej pracy, jaką włożyliśmy w jej stworzenie, nie został zmarnowany? Posiadacze stron internetowych, którzy nie podejmą właściwych kroków, aby zabezpieczyć WordPressa i wszystkie zainstalowane do niego dodatki, mogą przecież w wyniku zaniechań w aktualizacji oprogramowania albo stracić cenne dane, albo też ich strony WWW mogą zostać oznaczane jako potencjalnie niebezpieczne przez wyszukiwarki internetowe i programy antywirusowe.
Chcielibyśmy zatem przedstawić sposoby na wyeliminowanie lub przynajmniej zminimalizowanie większości zagrożeń związanych z atakami hakerskimi na ten popularny program.
WordFence
WordFence jest wtyczką do WordPressa, która zgodnie ze statystykami publikowanymi na stronie wordpress.org została pobrana już ponad 3 miliony razy, co czyni ją jednym z najbardziej popularnych dodatków, jakie dotychczas były wydane dla tego programu. Bardzo wysoka popularność wtyczki przyczynia się do tego, że posiada ona jedną z najbardziej aktualnych baz informacji o potencjalnych zagrożeniach, jakie pojawiają się w związku z jej wykorzystywaniem na milionach serwisów internetowych.
WordFence oferuje takie funkcjonalności jak:
– firewall, który blokuje podejrzany ruch kierowany do naszej strony WWW, zapobiegając większości ataków na naszą stronę,
- skaner bezpieczeństwa, który sprawdza zawartość poszczególnych plików WordPressa i jego dodatków pod kątem obecności podejrzanego kodu malware,
- zabezpieczanie logowania do WordPressa poprzez dwuetapowe uwierzytelnianie 2FA, z zabezpieczeniem za pomocą CAPTCHA przed autologowaniem przez boty,
- blokowanie dostępu z określonych IP, hostów, przeglądarek czy odnośników.
Wszystkie te opcje są dostępne w bezpłatnej wersji wtyczki. Udostępniona jest też za opłatą wersja „Premium”, w której użytkownik zyskuje dostęp do aktualizowanej w czasie rzeczywistym bazy sygnatur do skanera bezpieczeństwa i firewalla, a także uaktualnianej w czasie rzeczywistym bazy adresów IP, z których odnotowano próby włamań. W wersji bezpłatnej otrzymujemy te same sygnatury zabezpieczeń i blokady IP, ale z 30-dniowym opóźnieniem.
Securi
Securi to kolejna wtyczka pozwalająca m.in. na skanowanie strony WWW w poszukiwaniu malware czy zabezpieczenie jej przed potencjalnymi atakami. Według statystyk udostępnianych na stronie wordpress.org, wtyczka ta została pobrana już ponad 700 tysięcy razy, co stawia ją również w czołówce najbardziej popularnych dodatków wykorzystywanych w instalacjach WordPressa.
Wśród jej licznych funkcji można wymienić także:
- monitorowanie podejrzanych aktywności na stronie WWW,
- sprawdzanie integralności kodu strony pod kątem nieautoryzowanych modyfikacji,
- weryfikacja umieszczenia strony na blacklistach takich jak np. Sucuri Labs, Google Safe Browsing, Norton, AVG, Phish Tank, ESET, McAfee Site Advisor, Yandex czy SpamHaus,
- informowanie o potencjalnych nowych zagrożeniach dla strony.
Securi udostępnia także schematyczną pomoc na wypadek, gdyby nasza strona WWW jednak stała się celem skutecznego ataku hakerskiego. Wtyczka została wyposażona w system rejestracji logowań, zarówno tych prawidłowych, jak i nieskutecznych, z błędną nazwą użytkownika lub błędnym hasłem.
W przypadku różnego rodzaju wykrytych zagrożeń wtyczka komunikuje się z administratorem strony poprzez alerty wysyłane e-mailem. Korzystanie z niej jest bezpłatne, chyba że postanowimy jeszcze bardziej podnieść poziom zabezpieczeń i wykorzystać funkcje związane z integracją z Securi Firewall. Nawet jednak bez nich wtyczka doskonale się sprawdza, zapewniając podstawową ochronę strony internetowej przed zagrożeniami i pomoc dla użytkownika w przypadku wystąpienia jakichkolwiek problemów z bezpieczeństwem.
iThemes Security
To, co wyróżnia wtyczkę iThemes Security na tle wcześniej przedstawionych WordFence i Securi, to bardzo przyjazny interfejs, który docenią w szczególności mniej zaawansowani technicznie użytkownicy. Wtyczka iThemes w sposób bardzo przyjazny i prosty pozwala zrozumieć każde z wprowadzanych ustawień, co czyni ją bardzo łatwą w użytkowaniu. W panelu konfiguracyjnym iThemes Security wszystkie dostępne funkcje są zaprezentowane jako oddzielne moduły, z których każdy jest dokładnie opisany. Pozwala to w łatwy sposób aktywować i ustawiać tylko te opcje, z których faktycznie chcemy korzystać.
iThemes Security udostępnia ponad 30 różnych modułów, z których wartymi wymienienia są:
- aktywacja zabezpieczeń „jednym kliknięciem”, dzięki czemu faktycznie poprzez „jedno kliknięcie” użytkownik może uruchomić wszystkie ważniejsze funkcje iThemes Security, a w szczególności autoryzację dwuetapowa 2FA, kopie baz danych czy zabezpieczenie przez atakami typu brute-force,
- moduł nieobecności (Away Module), dzięki któremu panel WordPress stanie się niedostępny przez określony przez użytkownika czas, uniemożliwiając tym samym wprowadzanie zmian za jego pomocą,
- wymuszenie trudnego hasła (Strong Password Enforcement), składającego się z kombinacji znaków specjalnych, cyfr, małych i wielkich liter,
- możliwość logowania bez użycia hasła (Passwordless Logins), co pozwala na wyłączenie korzystania z hasła przy logowaniu, zastępując je wysłaniem każdorazowo do logującego się użytkownika e-maila z linkiem, którego kliknięcie będzie pozwalało na zalogowanie się do panelu zarządzania.
Opisując funkcje dostępne w iThemes Security, nie należy zapominać o „standardowych” opcjach, takich jak skaner strony pod kątem malware czy firewall.
Securi, WordFence, iThemes Security – jak zainstalować te dodatki do naszego skryptu?
Instalacja bezpłatnych wersji pluginów Securi, WordFence i iThemes Security nie różni się od sposobu instalacji każdej innej, oficjalnie dostępnej wtyczki dla skryptu WordPress. Jedynie wersje płatne nie są dostępne do automatycznej instalacji z poziomu wyszukiwarki wtyczek i konieczne jest „ręczne” zainstalowanie zakupionego przez nas dodatku.
Proces instalacji wtyczek rozpoczyna się po zalogowaniu się do Panelu Administratora WordPress poprzez wybranie z menu po lewej stronie opcji Wtyczki > Dodaj wtyczki. W kolejnym kroku należy wyszukać interesującą nas wtyczkę, podając jej nazwę i uruchomić jej automatyczną instalację. Po zakończeniu procesu automatycznej instalacji trzeba aktywować wtyczkę (przycisk Aktywuj). Dzięki tym kilku prostym krokom będziemy mogli od teraz cieszyć się bardziej bezpieczną wersją skryptu WordPress, odporną na większość potencjalnych zagrożeń.
Czy sama wtyczka wystarczy?
Wbrew wrażeniu, które można byłoby odnieść po wcześniejszym opisie, WordPress sam w sobie jest dość bezpiecznym narzędziem. Określenie „dość bezpieczny” odnosi się tu głównie do kwestii otwartego kodu, który każdy może prześledzić, aby odnaleźć w nim ewentualne zagrożenia i je wyeliminować. Program nie zaskoczy nas żadnym „nieprzewidywalnym” zachowaniem, o ile wykorzystujemy wersję oficjalną, pobraną ze strony wordpress.org. Dodatkowe uruchomienie wtyczek, takich jak WordFence, Securi czy iThemes Security, będzie właściwym krokiem, który pozwoli nam na stosowanie na przykład bezpiecznego, dwuetapowego logowania czy rejestracji wszystkich podejrzanych zdarzeń, dotyczących naszej strony WWW.
Niemniej ważnym elementem w całej tej układance jest również korzystanie z bezpiecznego serwera hostingowego posiadającego zabezpieczenia w postaci systemu DDoS, firewalla aplikacyjnego WAF oraz systemu wykrywania i zapobiegania włamaniom, Intrusion Prevention System (IPS). Dzięki nim próby ataków na Twoją stronę WWW zostaną zidentyfikowane i zablokowane jeszcze zanim nastąpi połączenie z Twoim serwerem.
Wśród polskich firm świadczących usługi hostingowe na tle technologicznym wyróżnia się nazwa.pl, która w przeciwieństwie do innych dostawców zapewnia kompleksową ochronę wraz z aktywny system wykrywania i zapobiegania włamaniom, IPS. System ten w czasie kilku mikrosekund skanuje każde zapytanie przychodzące do setek tysięcy serwisów utrzymywanych przez spółkę, wykrywając nie tylko ataki, ale również próby skanowania chronionych stron WWW pod kątem występujących błędów w oprogramowaniu. To, co dla systemu WAF chroniącego pojedynczą stronę WWW wydaje się tylko przypadkowym błędem logowania, dla systemu IPS stanowi już pierwszą informację o potencjalnym zagrożeniu. Gdy takie zdarzenie powtórzy się na kolejnych serwisach chronionych przez IPS, następuje blokada adresu IP hakera. I warto tutaj dodać, że jeszcze przed tym, jak zacznie on atakować którykolwiek ze skanowanych serwisów WWW.
Nie ma złotego środka, aby zapewnić bezpieczeństwo swojej strony WWW. Stosowanie jednak wielopoziomowych zabezpieczeń, począwszy od filtrów DDoS, systemów wykrywania i zapobiegania włamaniom IPS, firewalla aplikacyjnego WAF oraz dodatkowych wtyczek do WordPressa, wymienionych powyżej, powinno zabezpieczyć Twój serwis w wystarczającym stopniu. Pamiętaj jednak również o regularnym wykonywaniu aktualizacji WordPressa i wszystkich zainstalowanym dodatków.