Dawno już nie publikowałam tekstu ściśle związanego z WordPressem. Niedawno wpadła mi w ręce książka Pawła Frankowskiego – WordPress i Joomla! Zabezpieczanie i ratowanie stron www. To dobry pretekst, by do WordPressa wrócić. A bezpieczeństwo bloga często pojawia się w dyskusjach. Jeśli chcecie, abym publikowała więcej podobnych wpisów, dajcie znać w komentarzach.
W kwestii samej książki – obejmuje ona informacje dla użytkowników WordPressa oraz Joomli. Ja od Joomli zaczynałam moją przygodę z internetem i być może dlatego jej nie lubię. Zatem wszystkie części książki poświęcone Joomli ominęłam. Skupiłam się wyłącznie na WordPressie. I nawet nie jest mi przykro.
Książka ma bardzo przejrzystą strukturę, podzielona jest na 6 rozdziałów. W pierwszym znajdziecie ogólne kwestie związane z bezpieczeństwem stron. W drugim dowiecie się, czym jest kopia zapasowa i jak ją poprawnie wykonać. Rozdział 3 to bardziej zaawansowane technicznie kwestie związane z hostingiem czy zabezpieczaniem konkretnych plików. 4 i 5 rozdział to odpowiednio rozdziały poświęcone WordPressowi i Joomli. 6 – ostatni rozdział – omawia krok po kroku, co należy zrobić po włamaniu na stronę.
Rozdział 1. Strony internetowe w obliczu zagrożeń
W tym rozdziale autor omawia rodzaje podatności i dodaje, że większość zagrożeń wynika z błędów ludzkich, których powodem jest lenistwo albo brak wiedzy. Kiedy więc coś nam się wysypie na stronie – nie wińmy w pierwszym odruchu samego WordPressa!
W książce przeczytacie także o hakerach. Ten termin odnosił się kiedyś do osób badających systemy i sieci komputerowe. Byli to ludzie poszukujący luk w systemie. Łamali reguły gry, byli trochę takimi buntownikami. Teraz słowo haker stało się synonimem komputerowego włamywacza i przestępcy. No cóż, czasy się zmieniają…
Paweł Frankowski wskazuje przyczyny powstawania luk:
- stosowanie słabych haseł,
- używanie błędnych ustawień,
- błędy w oprogramowaniu,
- wstrzyknięcie kodu skryptu lub SQL,
- działanie szkodliwego oprogramowania.
Dlaczego włamali się akurat do mnie?
Książka obala mit, że atakowane są tylko duże serwisy. Każdy, nawet najmniejszy blog może stać się ofiarą ataku. Przesłanki włamań mogą być różne. Sprawdzanie umiejętności hakera, chęć umieszczenia reklam, kradzież danych lub rywalizacja biznesowa.
Do włamań zachęca też stosunkowo łatwa dostępność narzędzi hakerskich. Co hakerzy robią z przejętymi stronami? Mogą zrobić, co tylko chcą. Łącznie z usunięciem wszystkich plików. Także kopii zapasowych. Warto więc trzymać je w innym miejscu, a najlepiej w kilku innych miejscach.
Hakerzy wykorzystują dziury, które pojawiają się, kiedy nie aktualizujemy plików WordPressa, wtyczek czy motywów. Mogą pojawiać się także, jeśli trzymamy na serwerze nieaktywne motywy i wtyczki – dlatego zawsze należy je usuwać.
Rozdział 2. Kopia zapasowa
WordPress składa się z 2 kluczowych elementów: plików oraz bazy danych. Nie wystarczy zrobić kopii zapasowej plików. To w bazie danych znajdują się ważne informacje, takie jak dane użytkowników, wpisy z bloga czy zamówienia ze sklepu.
Jeśli masz bazę danych – strukturę plików możesz odtworzyć, bazując na plikach instalacyjnych. O ile oczywiście nie robiłeś zmian w wyglądzie motywu i nie instalowałeś nowych wtyczek, nie dodawałeś zdjęć czy plików. Dobrze jest pobraną kopię zapasową spróbować uruchomić na serwerze lokalnym lub (jak radzi autor) na subdomenie. Jeśli strona działa – mamy pewność, że nasz backup zadziała w razie potrzeby.
Kopię zapasową możemy otrzymać też od firmy hostingowej. Oferta w zakresie backupów powinna być brana pod uwagę przy wyborze firmy. Warto wiedzieć, z czego składa się każdy backup, gdzie jest przechowywany, czy można wykonać kopię ręcznie itp. Jednak autor radzi, by te kopie także sprawdzać.
Jak często robić kopie? Im więcej zmian na stronie, dodawanych nowych treści – tym częściej. Przy rzadkich modyfikacjach – wystarczy raz w tygodniu. Często aktualizowany blog tematyczny – co kilka dni, głównie bazę danych. Raz w miesiącu całość. Podobnie sklepy internetowe.
Rozdział 3. Pierwsza linia obrony
Moim zdaniem rozdział skierowany do bardziej zaawansowanych użytkowników. Poznasz tam m.in. metody zabezpieczenia strony przed brute force attack w pliku .htaccess. Są jednak także bardziej ogólne informacje, np. jak wybrać bezpieczny hosting i jakie powinno być silne hasło. Autor wspomina też o kwestii, o której wielu z nas zapomina. Bezpieczeństwo komputera czy domowej sieci jest również istotne w kontekście bezpieczeństwa strony.
Znajdziesz tutaj także kilka słów o certyfikacie SSL. Jest to narzędzie, którego zadaniem jest zapewnienie ochrony stronom internetowym oraz zachowanie poufności danych. Strony zabezpieczone certyfikatem zaczynają się od https:// a nie http://.
Stosowanie protokołu SSL pozwala na:
- szyfrowanie danych przesyłanym między serwerem a przeglądarką
- weryfikację tożsamości serwera i klienta
Istnieje kilka metod pozyskania certyfikatu. Można np. kupić go od firmy hostingowej, która udostępnia serwer. Są też oczywiście darmowe odpowiedniki, jak letsencrypt.org. SSL to temat na topie, ponieważ niebawem przeglądarki będą ostrzegały przed wchodzeniem na strony nieposiadające certyfikatu. Postaram się niebawem napisać na blogu więcej na ten temat.
Rozdział 4. Jak zabezpieczyć WordPressa
Kim są główni winowajcy ataków na strony? Według autora książki za najbardziej spektakularnymi wpadkami nie stoi sam CMS, ale użytkownicy i wtyczki firm trzecich. Bezpieczny blog na WordPressie zależy więc w dużej części od nas samych.
Możemy je sobie zapewnić poprzez tzw. utwardzanie systemu (hardening). Są to czynności zmierzające do optymalizacji działania i poprawy stanu zabezpieczeń. Utwardzanie jest procesem ciągłym. W kwestii bezpieczeństwa należy się bowiem wciąż doszkalać – tak samo robią w końcu hakerzy!
Z tego rozdziału dowiesz się o zalecanych ustawieniach serwera, o tym, żeby nie instalować wtyczek i motywów z podejrzanych miejsc. Przed każdą aktualizacją pamiętaj o utworzeniu kopii zapasowej. Możesz ukryć wersję WordPressa, zmienić ścieżkę logowania lub zainstalować wtyczkę chroniącą zaplecze.
W książce jest jedno zdanie, z którego wyjątkowo się cieszę, ponieważ zawsze je powtarzam. Chociaż moi bardziej zaawansowani technicznie koledzy nie do końca się ze mną zgadzają. Oto ono: Mniej (wtyczek, motywów) znaczy bezpieczniej. Według mnie warto przed zainstalowaniem wtyczki poczytać o niej więcej, poznać opinie, sprawdzić, kiedy była aktualizowana itp. Nie instalować niczego na wariata.
Rozdział 6. Czyszczenie strony po włamaniu
W tym rozdziale dowiesz się, jak rozpoznać, że strona została zaatakowana (zazwyczaj właściciel dowiaduje się ostatni). Następnie omówione są po kolei kroki, które należy wykonać. Dowiesz się też, jak wyłączyć szkodliwą wtyczkę ręcznie, gdy nie masz dostępu do panelu admina.
Podsumowanie
Według mnie książka skierowana jest do średnio-zaawansowanego użytkownika WordPressa, który umie pracować na plikach PHP czy w bazie danych. Napisana jest jednak dość przystępnym językiem, co czyni z niej przyjemną lekturę. Na pewno polecam ją każdemu, kto chce wiedzieć więcej na temat WordPressa.
Mniej zaawansowanym użytkownikom polecam mój krótki wpis na blogu na temat bezpieczeństwa.
[related_posts_by_tax posts_per_page=”3″ columns=”3″ format=”thumbnails” image_size=”medium”]