Jak zabezpieczyć witrynę WordPress
Jak zabezpieczyć witrynę WordPress? WordPress jest głównym udziałowcem w obszarze oprogramowania do tworzenia stron internetowych. Nie jest już tylko platformą do publikowania treści, ale przekształciła się w złożony ekosystem narzędzi, wtyczek i motywów innych firm. Wszystko to jest świetne i doskonale sprawdza się w przypadku małych i średnich firm, handlu elektronicznego, a nawet przedsiębiorstw. WordPress jako open source pozwala współtwórcom i programistom modyfikować i korzystać z platformy, jak im się podoba.
Niestety, ten model działa również na korzyść znanych hakerów, którzy manipulują kodem open source, aby przeprowadzić rzeczywisty atak odpowiedni dla pożądanego celu lub użyć witryny ofiary do zaatakowania innych witryn. Dlatego ważne jest, aby zapoznać się z następującymi typowymi lukami w zabezpieczeniach, aby móc je wcześnie zidentyfikować i złagodzić. Zatem Jak zabezpieczyć witrynę WordPress przed różnymi atakami?
Ataki DDoS
DDoS to skrót od Distributed Denial of Service. Jest to podobne do ataku DoS, ale zamiast tylko jednego hosta uderzającego w witrynę ofiary, setki i tysiące zainfekowanych witryn wysyłają tysiące żądań na sekundę do jednego celu przeciążając zasoby serwera i czyniąc go bezużytecznym dla rzeczywistych odwiedzających.
Atak DDoS nie jest atakiem penetrującym. Jest zwykle wykonywany przez tysiące już zhakowanych witryn znanych jako botnety. Te zhakowane witryny są pod kontrolą hakera, który może sparaliżować witrynę ofiary, wysyłając tysiące jednoczesnych żądań. DDoS nie zawsze robi hałas, czasami dyskretnie uderza w serwer, aby zmarnować jego zasoby i zwiększyć straty finansowe.
Ataki Bruteforce
Ataki Bruteforce są bardzo powszechne w witrynach WordPress. Większość prób ma na celu złamanie hasła wp-admin, które znajduje się w tym samym miejscu dla większości witryny, tj. …../wp-admin. Aby wypróbować różne kombinacje, hakerzy używają wyspecjalizowanych botów, aby zacząć uderzać w adres URL słowami i wyrażeniami ze słownika, aby odgadnąć właściwą nazwę użytkownika i hasło.
Twój serwer zostaje dotknięty, gdy podejmuje się tysiące prób odgadnięcia nazwy użytkownika i hasła, co ostatecznie spowalnia Twoją witrynę i obciąża zasoby serwera. Po udanym uzyskaniu dostępu do witryny hakerzy mogą po cichu wdrożyć złośliwy skrypt, zmienić dane logowania, ukraść dane lub po prostu zamknąć całą witrynę!
Atak między witrynami (XSPA)
W przypadku ataków typu Cross-Site Port Attacks (XSPA) haker wstrzykuje złośliwy skrypt, aby pobrać informacje o portach TCP i adresach IP. Dzięki XSPA napastnicy mogą wykorzystać funkcje, takie jak XMLRPC (omówione później), które nie są prawidłowo obsługiwane w większości witryn WordPress, i użyć funkcji pingback, aby opublikować na docelowej stronie internetowej, która zwraca adres IP.
Skrypty między witrynami (XSS)
Cross-Site Scripting to atak penetrujący, w którym haker wstrzykuje złośliwe skrypty, wykorzystując luki w systemie, które umożliwiają wprowadzenie złośliwych danych za pośrednictwem formularza użytkownika bez sprawdzania poprawności lub kodowania. Złośliwy skrypt może uzyskać dostęp do wszelkich plików cookie, tokenów sesji lub innych poufnych informacji przechowywanych przez przeglądarkę i używanych przez witrynę, ponieważ uważa, że skrypt pochodzi z zaufanego źródła.
Złośliwe skrypty: motywy i wtyczki
Motywy i wtyczki są bardzo kuszące w użyciu, ale często stają się głównym powodem naruszenia bezpieczeństwa w WordPressie. Dzieje się tak, gdy programiści nie aktualizują ich, aby pasowały do najnowszych aktualizacji zabezpieczeń. Innym razem właściciele witryn nie aktualizują się do nowszej wersji z obawy, że mogą doprowadzić do uszkodzenia witryny. Wszystkie te działania wywołują czerwone flagi i dają hakerom możliwość wykorzystania luk w przestarzałym motywie lub wtyczce.
Jak zabezpieczyć witrynę WordPress?
Aby chronić witrynę WordPress, potrzebujesz wyrafinowanego i wielowarstwowego mechanizmu bezpieczeństwa. Krótko mówiąc, potrzebujesz bezpiecznego ogrodzenia wokół wszystkiego, co bezpośrednio lub pośrednio dotyka Twojej witryny, jej zasobów i bazy danych. Dla większości firm wdrożenie i zarządzanie takim ogrodzeniem ochronnym wokół całej infrastruktury jest zarówno skomplikowane technicznie, jak i wymagające dużej ilości zasobów.
Politykę tworzenia kopii zapasowych
Zdecydowanie zaleca się wykonywanie częstych kopii zapasowych witryny WordPress. Służą jako zabezpieczenie w deszczowe dni i skracają czas przestoju w przypadku cyberataku. Jeśli Twoja witryna WordPress jest hostowana z zarządzanym hostingiem WordPress to Twoje kopie zapasowe są w pełni zautomatyzowane. Możesz skonfigurować automatyczne zasady tworzenia kopii zapasowych, takie jak interwały tworzenia kopii zapasowych i przechowywanie, zgodnie ze swoimi wymaganiami.
Alternatywnie możesz również użyć wtyczki do tworzenia kopii zapasowych witryny WordPress. Wtyczki te umożliwiają przechowywanie kopii zapasowych zarówno w usługach w chmurze, takich jak DropBox, Amazon S3 itp., jak i pobieranie ich lokalnie na komputerze. Podobnie możesz użyć tych wtyczek do przywrócenia kopii zapasowych za pośrednictwem FTP lub usług w chmurze.
Niektóre z popularnych wtyczek do tworzenia kopii zapasowych WordPress to: UpdraftPlus, BlogVault.
Szyfrowane połączenie za pomocą certyfikatu SSL
To kolejny bardzo ważny element zabezpieczenia Twojej witryny WordPress i zwiększenia jej wiarygodności. SSL zabezpiecza komunikację między klientem a serwerem i szyfruje poufne dane, dzięki czemu tylko zweryfikowany zasób z ważnym kluczem publicznym może je odszyfrować — uniemożliwiając podsłuchiwanie danych. Używa protokołu HTTPS do utworzenia bezpiecznego tunelu między przeglądarką użytkownika a witryną WordPress, za pośrednictwem którego udostępniane są unikalne klucze używane do szyfrowania i deszyfrowania danych.
Aby wdrożyć HTTPS, potrzebujesz certyfikatu SSL, który może kosztować od 80 do 250 USD. Na szczęście dostępne jest również darmowe rozwiązanie dzięki Let’s Encrypt. Jest to organizacja non-profit, która umożliwia stronom internetowym korzystanie z certyfikatów SSL za darmo.
Cloudflare dla bezpieczeństwa
Cloudflare to renomowana platforma oferująca szeroką gamę narzędzi i usług zapewniających wydajność i bezpieczeństwo. Oferuje zaawansowaną, ale łatwą w konfiguracji funkcję zapory, która chroni Twoją witrynę WordPress przed zewnętrznym złośliwym ruchem. Na przykład możesz utworzyć regułę wewnątrz zapory Cloudflare, aby zezwolić tylko adresom IP z białej listy na dostęp do adresu URL logowania wp. To znacznie ogranicza próby Bruteforce. Filtruje również ruch przychodzący, aby chronić Twoją witrynę przed atakami DDoS. Darmowa wersja Cloudflare umożliwia wykonanie wszystkich powyższych czynności. Aby uzyskać dodatkowe funkcje, potrzebujesz usług premium Cloudflare.
Skanuj w poszukiwaniu złośliwego oprogramowania
Złośliwe oprogramowanie jest bardzo częstym problemem w witrynach WordPress. Istnieją różne furtki, przez które wstrzykiwane są złośliwe skrypty. Jest to poważny problem bezpieczeństwa. Możesz użyć na swoim serwerze wtyczki zabezpieczającej, która może przeskanować Twoją witrynę pod kątem złośliwego oprogramowania. Pamiętaj, że te wtyczki są dobre tylko dla ruchu, który już dotarł do Twojej witryny.
Ogranicz próby logowania
Strona logowania do WordPressa jest wrażliwą stroną i jest najczęściej celem ataków Bruteforce. Prostym sposobem ochrony przed takimi atakami jest ograniczenie liczby prób logowania i zablokowanie tego adresu IP na pewien czas. Większość wtyczek bezpieczeństwa WordPress oferuje tę funkcję.
Dodaj uwierzytelnianie dwuskładnikowe
Kolejny sposób na zabezpieczenie loginu WordPress. Możesz połączyć funkcję ograniczonego logowania z uwierzytelnianiem dwuskładnikowym. Wszystko czego potrzebujesz to wtyczka, która weryfikuje użytkownika na dwóch różnych platformach przed pomyślnym zalogowaniem. Wdrożenie 2FA jest dość proste. Wszystko czego potrzebujesz to wtyczka, a do wyboru jest wiele opcji, w tym wtyczka Google Authenticator.
Zablokuj dostęp do wp-admin
Wp-admin to obszar operacyjny Twojej witryny WordPress i zawsze ważne jest dodanie warstwy bezpieczeństwa, aby chronić ją przed złymi ludźmi. Ta metoda polega na zmodyfikowaniu pliku .htaccess, więc upewnij się, że wiesz co robisz. Wszystko, czego potrzebujesz, to adres IP, któremu chcesz zezwolić na logowanie, reguła zabroni wszystkim innym adresom IP dostępu do obszaru wp-admin. Aby to zrobić, pobierz plik .htaccess przez FTP lub Menedżera plików.
Prawdopodobnie zobaczysz plik .htaccess jako:
<Pliki wp-login.php>
Zamów Odmów, Zezwól
Odmowa od wszystkich
Zezwól od x.x.x.x
</Pliki>
Wyłącz edycję plików
Inną bardzo przydatną metodą jest ochrona witryny WordPress przed wszelkimi możliwymi wewnętrznymi złośliwymi działaniami. Wyłączenie funkcji edycji plików uniemożliwia nieautoryzowanym użytkownikom modyfikowanie motywów i plików wtyczek. Aby to zrobić, musisz uzyskać dostęp do pliku wp-config.php. Ponownie, jest to wrażliwy plik, więc przed wprowadzeniem jakichkolwiek zmian upewnij się, że go rozumiesz.
Po pobraniu pliku wyszukaj „definiuj („DISALLOW_FILE_EDIT”)” i ustaw go na true.
define(’DISALLOW_FILE_EDIT’, true);
Częste aktualizacje: rdzeń, motywy, wtyczki
Najlepsza metoda jak zabezpieczyć witrynę WordPress to systematyczna aktualizacja samego WordPressa, motywu i wtyczek jest niezbędna dla bezpiecznej witryny WordPress. Jeśli używasz wtyczki lub motywu, który nie jest już wspierany przez jego twórców, zamiast korzystać z przestarzałej wersji, poszukaj lepszych alternatyw — istnieją dosłownie tysiące motywów i wtyczek.
