Kilka faktów, które MUSISZ znać jeśli decydujesz się na WordPressa...

Jeśli poniższe jest dla Ciebie zbyt skomplikowane, zrezygnuj (na moment) z Wordpressa albo zatrudnij profesjonalnego administratora, który przeprowadzić wdrożenie i będzie przeprowadzał aktualizacje.
  1. Praktycznie każdy szablon i każda wtyczka jest pisania przez firmę niezależną od twórców Wordpressa dla AKTUALNEJ lub wcześniejszej wersji Wordpressa
  2. Wczytki i szablony są pisane za pomocą języka programowania PHP
  3. Wtyczki i szablony mają luki umożliwiające wykonanie złośliwego kodu na serwerze - albo autor był niedbały/niedouczony, albo korzysta z popularnej biblioteki, która ma lukę, o której nikt nie wiedział.
  4. Niektóre funkcje PHP pozwalają przejąć całkowitą kontrolę nad Wordpressem i bazą danych MySQL np. eval() pozwala wykonać dowolny kod PHP. Jeśli wtyczka jest źle napisana, haker może odczytać np. wszystkie parametry konfiguracyjnego Twojego wordpressa, połączyć się z bazą, pobrać dane z bazy, zmodyfikować ją itd.
  5. Niektóre funkcje PHP pozwalają przejąć kontrolę nad całym serwerem - np. exec, z którego korzystają niektóre wtyczki. Oznacza to, że przez taką funkcję można skompromitować nie tylko Wordpressa, ale też wszystko co masz na serwerze - jeśli nie jest dobrze zabezpieczony.
  6. Niektóre wtyczki generują pliki cache i zdarzały się (i będą zdarzały) wtyczki, które pozwalają jako plik kache utworzyć plik php, który Twój serwer wykona dając hakerowi dostęp do Twojego Wordpressa albo całego serwera - zależnie od poziomu zabezpieczeń.
  7. Nie wszyscy autorzy wtyczek aktualizują swoje wtyczki po aktualizacji Wordpressa
  8. Aktualizacja Wordpress’a, która zwiększa bezpieczeństwo czasami psuje działanie wtyczek.
  9. Aktualizacja wtyczki czasami psuje działanie innych wtyczek albo całego Wordpressa, jeśli ma inną wersję niż ten, dla którego napisano wtyczkę.
  10. Aktualizacje wtyczek czasami tworzą nowe luki umożliwiające wykonanie złośliwego kodu.
  11. Wtyczki i sam Wordpress to kod otwarty, który analizować może każdy - i robi to wielu hakerów, bo atak na źle skonfigurowanego Wordpressa, to jeden z najłatwiejszych sposobów na wykradanie danych.
  12. Ponieważ źle skonfigurowany/zarządzany Wordpress jest łatwym celem ataku, każda instalacja WP codziennie jest poddawana zautomatyzowanym atakom obciążając Twój serwer - część tych ataków można odciąć mądrze konfigurując serwer.
  13. Ponieważ twórcy Wordpressa stawiają na maksymalną wygodę, wdrożyli wiele rozwiązań, które stwarzają poważne ryzyko w rękach niedoświadczonego webmastera - np. automatyczne aktualizacje czy możliwość edycji plików php z poziomu skryptów PHP.

Co to wszystko oznacza?

Jeśli nie jesteś programistą albo nie zatrudniasz na stałe programisty, Worpdress, którego zainstalujesz, po kilku/kilkunastu miesiącach będzie prawdopodobnie miał już poważną lukę:
  • z powodu niezaktualizowania Wordpressa z powodu niekompatybilności z potrzebnymi Ci wtyczkami/szablonem
  • z powodu niezaktualizowania wtyczki/szablonu z powodu niekompatybilności z Wordpressem, innymi wtyczkami
  • z powodu zaktualizowania wtyczki/Wordpressa do wersji z luką i niezareagowanie na kolejną aktualizację lukę usuwającą,
Ta luka może pozwolić zautomatyzowanym narzędziom hakerów do przejęcia kontroli/zaszyfrowania/wyczyszczenia Twojego Wordpressa.

Decydując się na Worpdressa:

  • postaw Wordpressa na specjalistycznym, zarządzanym hostingu dedykowanym dla Wordpress - 40-150 zł/mc na start i regularnie opłacaj kontrole bezpieczeństwa nowo zaktualizowanych/zainstalowanych wtyczek i szablonów.
  • albo:
    • umieść go na innym serwerze (innej maszynie fizycznej lub wirtualnej) niż pozostałe krytyczne dane/systemu, zwłaszcza jeśli nie wiesz jak profesjonalnie zabezpieczyć serwer,
    • automatycznie twórz kopie zapasowe POZA tym serwerem,
  • profesjonalnie zabezpiecz serwer zmieniając jego konfigurację, a nie za pomocą wtyczek i ustawień Wordpressa - odpowiednia konfiguracja serwera i PHP potrafi zablokować wykonywanie złośliwego kodu nawet jeśli wtyczka jest dziurawa.
  • postaw samoduplikującą się kopię Wordpress’a na lokalnej albo najsłabszej możliwie maszynie, na której w pierwszej kolejności będziesz instalował aktualizacje i sprawdzał czy wszystko działa.
  • zrezygnuj z wtyczek/szablonów, które używają niebezpiecznych funkcji typu eval czy exec (i nie tylko) albo sprawdzaj w takich wtyczkach/szablonach sposób walidacji danych wprowadzanych do tych funkcji.
Jeszcze raz. NIE zniechęcam Cię do Wordpressa. 
 
Musisz tylko zrozumieć, że instalując jakikolwiek kod PHP na źle skonfigurowanym serwerze, wystawiasz ten serwer i wszystkie znajdujące się na nim dane na poważne ryzyko. A Wordpress ze względu na fakt, że zasila +30% stron internetowych, jest najpopularniejszym celem ataków hakerów.
 
Niektóre firmy hostingowe - zwłaszcza oferujące wirtualne serwery (VPSy) i współdzielony (shared) hosting - wprowadzają sporo zabezpieczeń przed atakiem na sam serwer. Większość VPSów i serwerów dedykowanych jednak nie jest poprawnie zabezpieczona, bo przeznaczone są dla profesjonalnych administratorów, którzy zrobią to samemu.
 
Firmy hostingowe (poza tymi, które zarządzają odpłatnie instalacjami Wordpressa), nie zabezpiecza samego Wordpressa przed atakiem na Wordpressa. To musisz zrobić we własnym zakresie i NIE powinieneś polegać tylko na wtyczkach.
 
Podsumowująć. Wordpress jest najtańszym sposobem aby mieć dowolnie rozbudowaną, wyglądającą i skomplikowaną stronę… jeśli jesteś programistą, webmasterem i administratorem serwerów. W każdym innym przypadku to co zaoszczędzisz na narzędziu, wydasz na specjalistów…

"Ale ja mam od dawna Wordpressa i nie wdrażałem tych zabezpieczeń"

... powiedział człowiek, który nie zapina pasów bezpieczeństwa i na razie nie miał wypadku.
 
Teraz przynajmniej wiesz, czego używasz. Od Ciebie zależy decyzja, czy Ci to pasuje.

Zmodyfikowano 2019-07-11

Tematy
Top