Takiej wtyczki nie instaluj w WordPressie!
To się praktycznie nie zdarza, bym treść newslettera umieszczała publicznie na blogu, ale dziś postanowiłam uczynić wyjątek. Ponieważ dokładnie wczoraj ukazała się informacja o wykrytej poważnej luce bezpieczeństwa w popularnej wtyczce, która teoretycznie powinna wspierać właścicieli stron w ich zabezpieczaniu. Dlaczego na co dzień tak się nie dzieje i jak to wszystko w praktyce działa opisywałam równo dwa tygodnie temu w newsletterze. Skoro więc w niedługim czasie informacje z niego potwierdziła rzeczywistość – publikuję całość również na blogu. Nie zmieniam. Nie edytuję – przy okazji do zapisu i Ciebie zapraszam!
WordPressowy Newsletter
Dziś o jednej wtyczce będzie i kilku innych – jej podobnych
Stawiam cukierki ?? przeciw psikusom, że na 100% trafił_ś już w swojej przygodzie z WordPressem na informację, że co jak co, ale “wtyczka do bezpieczeństwa stron to must have każdej strony internetowej”. Mam rację?
? Bo włamania na strony się zdarzają…
? Bo w Internecie nie jest bezpiecznie…
? Bo WordPress jest dziurawy…
? Bo wtyczki nie są bezpieczne…
? Bo hostingi nie dają odpowiednich zabezpieczeń…
? Bo tylko dzięki niej ochronisz swoją stronę…
? Bo…
No właśnie, co jeszcze usłyszał_aś odnośnie bezpieczeństwa w Internecie i zabezpieczenia swojej strony?
Oczywiście, żeby nie było, że nagle głoszę tu, że wszystkie powyższe zdania są nieprawdziwe. Bynajmniej! Wszystkie (niestety) mają swoje uzasadnienie w faktach.
Nieprawdziwe jest jednak często podawane na nie rozwiązanie: że tzw. “wtyczka do bezpieczeństwa” ochroni Twoją stronę.
Nie ochroni.
I dziś kilka słów o tym, dlaczego i jak to wszystko tak naprawdę działa.
3 najważniejsze powody, dla których nie chcesz jej mieć w kokpicie!
Powodów jest więcej (zainteresowanych zapraszam na WordPressowe spotkania, tam nie raz szeroko je omawiamy), ale dziś trzy. Trzy, które moim zdaniem, są w całym tym temacie kluczowe.
1️⃣ Sama ta wtyczka stanowi tzw. backdoor do Twojej strony.
Ale jak to? – spytasz. Już tłumaczę i opisuję, jak w praktyce to działa.
Każda wtyczka w Twoim WordPressie to (upraszczając nieco) jakiś kod umieszczony na Twoim serwerze.
I teraz ważna informacja – skup się i zapamiętaj: nie istnieje kod, który raz idealnie napisany będzie zawsze bezpieczny. Nope! Nie ma takiej możliwości.
Dlatego każdy kod prędzej, czy później będzie miał swoje tzw” podatności”, czy “luki bezpieczeństwa”. Tak to działa. Technologie się rozwijają, języki programowania się zmieniają, tak naprawdę to jest bardzo dynamiczny ekosystem.
Za to istnieją ludzie, którzy wiedząc o tym, śledzą pojawiające się podatności. Te z kolei, bezpośrednio po ich wykryciu i naprawieniu, opisywane są w konkretnych miejscach w Internecie.
Dodajmy zatem dwa do dwóch.
Jeśli istnieje (a wierz mi – istnieje i to jest ich całkiem sporo!) sobie jakiś człowiek X, który się utrzymuje, albo ma frajdę z tego, że włamuje się na cudze strony, to przecież najprostszym jego działaniem będzie obserwacja.
A co będzie obserwował? No oczywiście, że w świecie WordPressa – najpopularniejsze jego komponenty (wtyczki lub motywy).
I co będzie z tego miał? Otóż wystarczy, by pojawiła się informacja o jednej takiej wtyczce i jej podatności oraz, że wypuszczona zostanie łatka na tę podatność, to nasz człowiek X ma gotowy wzór na wykonanie swojej roboty. I to od razu hurtowo.
I cóż on wtedy robi? Ano siada, w oparciu o te dane pisze skrypcik i puszcza go w świat.
A skrypcik? Kogo złapie tego bęc! Czyli kto nie zdąży z aktualizacją, tego strona ma włamanie. ?
I teraz najważniejsze – co w sytuacji, gdy podatność taka (i cała dalsza historia) będzie dotyczyła tzw. “wtyczki do bezpieczeństwa”..? ?♀️
(O tym szerzej w punkcie 3.)
2️⃣ Jedyne, co tak naprawdę wtyczka taka “robi”, to informuje Cię o tym, ile osób/robotów próbowało się zalogować do Twojego kokpitu.
Ta informacja to częsty argument podnoszony w rozmowach o rzekomej potrzebie tzw. “wtyczek do bezpieczeństwa”.
I fakt. O ile sama wtyczka dobrze działa, to rzeczywiście pokazuje ona te statystyki.
Ale! I znów ważna informacja – zapamiętaj: próby logowania do do WordPressa dzieją się zawsze i do każdego WordPressa. I już. Możesz z góry i ze 101% pewnością założyć, że do Twojego również, bez takiej dodatkowej informacji od wtyczki.
Nie ma za co. ?
I serio, więcej działań, które realnie, mogłyby cokolwiek zabezpieczyć i miałyby wpływ na bezpieczeństwo Twojej strony ta wtyczka NIE DAJE.
3️⃣ Instalując ją tworzysz sobie (i nie daj Boże – swoim Klientom) tylko i wyłącznie ułudę bezpieczeństwa.
W zasadzie wiedząc dwa powyższe – punkt trzeci to już logiczna konsekwencja.
Bo jeśli wierzysz, że wtyczka ta zapewnia bezpieczeństwo Twojej stronie… Ba! Jeszcze widzisz, ile było prób logowania, które się nie powiodły i myślisz sobie, że to dowód, że wtyczka działa, to po prostu śpisz spokojnie.
Niestety tak naprawdę to tylko pozory usypiające Twoją czujność.
Podkreślam raz jeszcze. W rzeczywistości używanie tzw. “wtyczki do bezpieczeństwa” z zabezpieczaniem strony nie ma nic wspólnego.
I dlatego – jeśli tylko masz ją w kokpicie – DZIŚ właśnie ją WYŁĄCZASZ i ODINSTALOWUJESZ. ?
A teraz mięsko, czyli o jakiej dokładnie wtyczce mówimy..?
W repozytorium WordPressa tych popularnych mamy kilka, poniżej zestawienie najczęściej używanych (co iekawe, każda z nich w nazwie używa określenia “Security”):
- Wordfence Security,
- Really Simple Security,
- JetPack – WP Security,
- All-In-One Security,
- Solid Security,
- Security Optimizer,
- Sucuri Security.
No dobrze, a co w zamian?
W zamian temat nie jest tak prosty i możliwy do opisania jednym mailem, ale tak na tu i teraz, podrzucam trzy możliwości, które realnie wpłyną na bezpieczeństwo Twojego WordPressa:
? jeśli nie masz czasu, albo nie czujesz się na siłach działać sam_ – porozmawiajmy: zgłoś się wypełniając formularz, przegadamy sytuację i zobaczymy, czy i jak mogę pomóc,
? przeanalizuj prezentację Krzysztofa Dróżdża i jej zalecenia zastosuj na swojej stronie,
? zapisz się do newslettera – będziesz na bieżąco z takimi informacjami!
