Przestań martwić się o swoją stronę!
bezpieczeństwo WordPressa

Bezpieczeństwo WordPressa

Bezpieczeństwo WordPressa to temat niełatwy, ale jednocześnie niesamowicie ważny. Nie raz już przymierzałam się do poruszenia go na blogu, ale zawsze „wyskakiwało” coś innego. Dziś przysłowiowa „czara” się przelała i to – o dziwo! – głównie dzięki kilku grupom na Facebooku.

Bezpieczeństwo WordPressa – czy to w ogóle możliwe?

Mam pytanie do wcześniej urodzonych: pamiętasz swój pierwszy komputer? Ja swój pamiętam. Nie było to nic powalającego na kolana – jakiś składak, na który w 2007 roku było mnie stać z już nie najnowszymi częściami. Pamiętam, jak na bagażniku rowerowym wiozłam go do domu… Pamiętam również, że po wydaniu kasy na komputer nie bardzo było mnie stać na „jedyne słuszne” oprogramowanie i pamiętam, jak kuzyn zaproponował mi pożyczenie „płytek z łindołsem” (o wow!). Dlaczego dziś o tym piszę? Bo dopiero po latach ktoś wytłumaczył mi, dlaczego nie powinnam mieć w domu komputera z nielegalnym oprogramowaniem i wyłączoną opcją automatycznych aktualizacji przy jednoczesnym podłączeniu go do Internetu… Wprawdzie przeniosłam się wtedy na Linuksa, ale jednocześnie dowiedziałam się, że złośliwe programy, czy kod pisane są pod najbardziej popularne rozwiązania.
Dziś – przy nieustannie rosnącej popularności WordPressa – nie dziwi mnie wcale, że zarówno na samego WordPressa, jak na motywy oraz wtyczki do niego pisane są i przeprowadzane ataki.

Bezpieczeństwo WordPressa – co to jest ATAK?

Atak to taki moment, kiedy ktoś próbuje się włamać na cudzą stronę (niezależnie w jakim kraju jest jej serwer, niezależnie też czy jest to wizytówka firmowa, blog, czy sklep internetowy), by uzyskać własne korzyści (niestety zwykła frajda młodych ludzi również bywa taką korzyścią).
Tak się składa, że ja należę do tzw. niedowiarków. Unikam tzw. teorii spiskowych dziejów, nie wierzę pierwszym lepszym opiniom przeczytanym w Internecie, czy zasłyszanym „na mieście”. I do niedawna nie wierzyłam również w ataki. Słyszałam wprawdzie o infekcjach stron rządowych, stron dużych marek, kradzieżach haseł do kont bankowych, mailowych i to potrafiłam zrozumieć, jednak włamanie na mały blog, czy czyjąś wizytówkę? Po co ktoś miałby się tak trudzić?
A jednak…
Gwoździem do trumny mojej niewiary stały się trzy prezentacje na WordCamp 2015 w Krakowie:

  • Mateusz Piaszczak mówił o samym bezpieczeństwie WordPressa,
  • Krzysztof Dróżdż opowiedział o mitach (nie)bezpieczenstwa,
  • Kacper Szurek o bezpieczeństwie wtyczek na przykładzie wykrytych podatności.

 




Jeśli masz chwilę naprawdę warto zobaczyć wszystkie trzy (choć ostatnia jest mocno techniczna). Jeśli nie dziś, to wróć tu. Po prostu je zobacz. Kiedy chcesz, ale zobacz.
Powiedzmy sobie też jedno – nie ma możliwości zabezpieczenia swojego WordPressa raz na zawsze. Niestety. Nie ma. Chciałabym, ale… Nie ma. Jest jednak sposób na to, by zmniejszać ryzyko zaatakowania swojej strony.

Bezpieczeństwo WordPressa – jak o nie zadbać?

Pierwszą i podstawową sprawą jest aktualizacja: aktualizacja samego WordPressa, aktualizacja motywu WordPressa i aktualizacja wtyczek. I właśnie tym się dziś zajmijmy.

Bezpieczeństwo WordPressa – aktualizacja WordPressa

WordPress to system zarządzania treścią, to znaczy, że jako użytkownik masz swój panel administracyjny, w którym możesz z łatwością dodawać i zmieniać treści na swojej stronie. Od strony serwera WordPress to kilka folderów z plikami z kodem zapisanym w PHP, HTML i CSS.Na szczęście do zwykłego korzystania z WP nie musisz znać ani tych skrótów, ani tych plików, ale warto wiedzieć, że to one, nie żadna magia. Warto też wiedzieć, że co jakiś czas okazuje się, że w WordPressie ktoś znalazł podatność na atak. Co się wtedy dzieje? Praktycznie momentalnie ludzie, którzy rozwijają WordPressa piszą do niego aktualizację. Wtedy właśnie otrzymujesz email z informacją, że twój WordPress został zaktualizowany. Jeśli nie otrzymasz emaila, zobaczysz powiadomienie o aktualizacji w swoim panelu administracyjnym.
Aktualizacje WordPressa dzielą się na dwa rodzaje:

  • duże aktualizacje – okrągła liczba lub liczba z jednym miejscem po przecinku (np. WordPress 4.1); to ważne aktualizacje wprowadzające często szereg ulepszeń w WordPressie oraz łatek w jego kodzie
  • mniejsze aktualizacje – zazwyczaj oznaczone liczbą z dwoma miejscami po przecinku (np. WordPress 4.1.1); to również ważne aktualizacje, bo zawierające głównie łatki dotyczące bezpieczeństwa

Ważna sprawa: ku mojemu wielkiemu zdziwieniu dziś przygotowując ten wpis odkryłam, że miesięcznie w Google pojawia się 480 zapytań na frazę: „jak wyłączyć automatyczne aktualizacje”. Jeśli ty też się nad tym zastanawiasz, to mam nadzieję, że cię przekonałam. Dla swojego bezpieczeństwa nie wyłączaj automatycznych aktualizacji.

Bezpieczeństwo WordPressa – aktualizacja motywów (szablonów, skórek)

Druga istotna kwestia związana z bezpieczeństwem WordPressa to aktualizacja jego motywu. I tak. Motyw to znów pewien zestaw folderów z plikami z kodem. Nie aktualizowany staje się również podatny na ataki. I to niezależnie czy motyw płatny czy darmowy. Zawsze nieaktualizowany obniża bezpieczeństwo twojej strony.
Z motywami wiąże się jeszcze jedna zasada: w swoim WordPressie miej zawsze motyw z którego korzystasz, ewentualnie jego motyw potomny oraz jeden motyw w zapasie (najlepiej domyślny motyw WP). I żadnego więcej. Pozostałe, które sobie instalowałeś/łaś, żeby popróbować, po prostu usuń. Jeśli masz ich więcej, to zadbaj, by wszystkie były aktualne. I ostatnia sprawa. Jeśli motyw jest płatny, to znaczy, że jest płatny. Owszem można go pobrać za darmo, ale zawsze z dopisanymi dodatkami, które sprawią ci później problemy.
O tym, za co i po co płacić twórcom motywów mówił również na WordCamp 2015 Aleksander Kuczek w prezentacji Fair pricing – czyli co naprawdę kupujesz płacąc za szablony i pluginy.


Bezpieczeństwo WordPressa – aktualizacja wtyczek

Z wtyczkami WordPressa jest podobnie, jak z motywami. Po prostu muszą być aktualne. Więc jeśli pojawi ci się informacja w panelu administracyjnym, że masz wtyczki do zaktualizowania – poświęć chwilę i je zaktualizuj. I również ważna kwestia: usuń wszystkie wtyczki, których nie używasz. Po prostu usuń.

Bezpieczeństwo WordPressa – kilka rad na najczęstsze problemy

Zdarza się, że w trakcie aktualizacji coś idzie nie tak. Poniżej kilka rad, jak sobie z w takich sytuacjach radzić:
1. „Kupiłem motyw na Themeforeście (w innym miejscu) i nie mam aktualizacji”. Nieprawda. Masz aktualizacje i otrzymujesz również o nich powiadomienia (jeśli sprawdzasz podany podczas rejestracji email). W swoim koncie na Themeforest zawsze masz aktualizacje motywu do pobrania.
2. „Ktoś robił mi stronę internetową, kupił motyw i mam teraz nieaktualny motyw”. Niestety wiem, że tak się zdarza. Nie wszystkie firmy tworzące strony dbają o swoich klientów. Rozwiązanie zależy od twojej umowy z firmą, ale dąż do tego, by aktualizacje otrzymać (przynajmniej aktualne pliki motywu).
3. „Ktoś robił mi stronę i teraz nie chce wykonać aktualizacji”. W takiej sytuacji również wszystko zależy od twojej umowy z tą firmą. Najczęściej – jeśli nie umówicie się na opiekę nad stroną – po wykonaniu zlecenia stworzenia strony oddaje się ją klientowi i zlecenie na tym się kończy. Warto jednak spytać firmę, z którą współpracowałeś/łaś o kwestię aktualizacji, ponieważ wiele firm oferuje usługę dalszej opieki nad stroną (w tym właśnie przeprowadzanie aktualizacji).
4. „Zaktualizowałem motyw i wszystko na stronie się pozmieniało (kolory itp)”. Niestety to oznacza, że strona nie została wykonana zgodnie z dobrymi praktykami WordPressa. Masz w zasadzie dwa wyjścia: zwrócić się do swojego hostingu i przywrócić ostatni backup, jaki posiadają (zawsze coś to da) lub wprowadzić zmiany w swoim motywie od początku.
5. „Zaktualizowałem motyw i teraz mam białą stronę na mojej domenie” oraz „Zaktualizowałem motyw i nie mogę dostać się do mojego panelu administracyjnego”. Przykra sprawa. Prawdopodobnie kliknąłeś/łaś aktualizację po bardzo dużym czasie (np. z wersji 3.6 na 4.3). Przy takim przeskoku wiele rzeczy może pójść źle.
6. „Zaktualizowałem/łam wtyczki i mam biały ekran”. Cóż. Jeśli masz i korzystasz z klienta FTP zaloguj się na swój serwer i usuń wszystkie foldery z folderu plugins. Powinno zadziałać. Następnie zaloguj się do swojego WordPressa i instaluj wtyczki jedna po drugiej. Tak odkryjesz, która wtyczka ma konflikt z innymi. Jeśli nie wiesz, co to FTP – zleć tą pracę komuś, kto zajmuje się tym zawodowo.
7. „Mam w swoim panelu administracyjnym kilkadziesiąt aktualizacji do wykonania”. Nie pozostaje ci nic innego, jak tylko je wykonać. Przed wykonaniem zrób kopię wszystkiego, co masz na serwerze i do dzieła – wejdź w aktualizacje i aktualizuj.

Uff… Temat nie jest wyczerpany. Doskonale zdaję sobie z tego sprawę. Pewnie będzie to początek kolejnego cyklu na blogu e-kreatywnie, ponieważ temat bezpieczeństwa WordPressa jest naprawdę ważnym tematem. Mam nadzieję jednak, że kiedy spotkasz na grupie Facebookowej (czy gdziekolwiek indziej) informacje typu:

  • „WordPress jest do bani, bo jest podatny na ataki”
  • „Oferuję dwa płatne motywy, które zakupiłam dla Was, do pobrania przy zapisie na newsletter”
  • „Nie musisz kupować motywu, przecież możesz pobrać go z chomika”
  • „Zainstaluj wtyczkę XYZ i będziesz mieć bezpiecznego WordPressa”
  • „Nie trzeba aktualizować motywów, żeby zaktualizować WordPressa”
  • „WordPressa i motywu nie trzeba aktualizować”

będziesz wiedzieć, jak zareagować. Niestety wszystkie powyższe zdania są prawdziwe. Niestety wszystkie spotkałam w grupach na Facebooku. Niestety (o zgrozo!) niektóre z tych zdań pisały osoby, które w swoich firmach tworzą innym strony na WordPressie.

baner postawienia kawy w podziękowaniu

O autorce...

Kasia Aleszczyk

Znana jestem z tego, że pomagam innym zaprzyjaźniać się z WordPressem. Na co dzień uczę również, jak żyć w necie, by przeżyć. Cieszę się, że jesteś i zapraszam częściej!

4 thoughts on “Bezpieczeństwo WordPressa

  1. Chętnie się dowiem o bezpieczeństwie więcej – np. czy są jakieś wtyczki, które mogą zmniejszyć zagrożenie?
    Mój mąż informatyk ciągle mi robi różne backupy;), na wszelki wypadek, bo mówi, że nigdy nic nie wiadomo. Nauczył mnie też, że warto robić aktualizacje, ale przed aktualizacją WP miałam pietra czy wszystko pójdzie gładko. Ale poszło:)
    Dzięki za linki do prezentacji – obejrzę na pewno jak będę mieć chwilę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Sięgnij po więcej!