Bezpieczna strona internetowa WordPress - jak zapewnić maksymalne bezpieczeństwo stronie www?

Bezpieczeństwo strony internetowej - dlaczego jest ważne?

Bezpieczna strona internetowa to strona odporna na ataki złośliwego oprogramowania jak również na działania hakerskie.

Co grozi nam w wypadku niezabezpieczonej strony internetowej?

Złośliwe oprogramowanie może:

• zniszczyć naszą stronę internetową
• przejąć wrażliwe dane
• wykorzystywać zasoby naszego serwera
• spowodować, że nasz serwer trafi na czarną listę antyspamową (wirusy wykorzystują nasze zasoby - serwer, domenę do rozsyłki swojego spamu)

Żeby się przed tym obronić, najpierw warto sobie uzmysłowić, co możemy kontrolować, a nad czym nie mamy pełnej kontroli jeśli chodzi o zapewnienie bezpieczeństwa naszej strony i naszych danych.

Podstawowe obszary niosące ze sobą zagrożenie dla strony internetowej:

1. sieć zewnętrzna - czyli cała infrastuktura, która umożliwia ruch na naszej stronie znajdująca się poza naszym serwerem
2. użytkownicy wraz ze swoim sprzętem i oprogramowaniem mający bezpośredni dostęp do naszej strony
3. serwer internetowy (hosting) wraz z usługami towarzyszącymi (np. cdn)
4. aplikacja czyli strona internetowa

1. Sieć zewnętrzna

Nad tym obszarem nie mamy kontroli. Musimy się po prostu pogodzić z faktem, że internet nie jest naszą własnością.

2. Użytkownicy

Wirus znajdujący się na urządzeniu użytkownika z bezpośrednim dostępem do strony (np. do panelu administracyjnego cms-a lub do serwera ftp) może w łatwy sposób zainfekować stronę internetową. Innym zagrożeniem jest kradzież hasła przez złośliwe oprogramowanie.

Co tutaj możemy zrobić, aby zminimalizować ryzyko infekcji?

• używamy bezpiecznego urządzenia (komputer osobisty, telefon) z zainstalowanym i aktualnym programem antywirusowym
• korzystamy z bezpiecznego otoczenia sieciowego (nie używamy wrażliwych danych - loginy, hasła w sieci publicznej wifi)
• nie udostępniamy wrażliwych danych offline (karteczki itp)
• zachowujemy ostrożność w pracy online (podejrzane emaile, pliki, programy, linki itp)

W przypadku bardzo wrażliwych danych trzeba koniecznie opracować politykę bezpieczeństwa dotyczącą korzystania ze strony. Jeżeli to możliwe to minimalizujemy ilość dostępów do strony, w najlepszym wypadku taki dostęp posiada fizycznie jedna osoba. Im więcej osób posiada bezpośredni dostęp do strony/serwera tym większe ryzyko infekcji spowodowanie nieostrożnością czy też zwykłą niewiedzą użytkowników.

3. Hosting

Usługa hostingu może być połączona ze świadczeniem usług, które zwiększają bezpieczeństwo naszej strony. W grę wchodzą tutaj takie usługi jak skaner antywirusowy, bieżący monitoring podejrzanych działań, zapora sieciowa.

Warto tutaj wspomnieć o WAF - web application firewall. Jest to tak jakby filtr pomiędzy światem zewnętrznym a naszą stroną internetową. Ma za zadanie ochronić stronę internetową przed złośliwym ruchem (spam, boty, ataki DDoS ITP) i próbami ataku. Przy okazji ograniczenie złośliwego ruchu sprawia, że zasoby sprzętowe mogą być bardziej efektywnie wykorzystane na obsługę samej aplikacji.

Następny ciekawy temat to usługi CDN. Sama usługa CDN (Content Delivery Network) ma w sobie pierwotny cel dostarczania danych z komputerów będących najbliżej użytkownika (w ten sposób zwiększając szybkość ładowania się strony). Przy okazji dobrze służy to też bezpieczeństwu, ponieważ nr ip naszego serwera jest w pewien sposób ukryty utrudniając tym samym ataki. Dodatkowo wiele z tych usług oferuje również szereg rozwiązań zwiększających bezpieczeństwo (firewall)

W sieci dostępnych jest wiele serwisów, które "przepuszczając" ruch do naszej strony filtrują i blokują podejrzane działania. Jeżeli nasz hosting nie zapewnia takich funkcjonalności - warto się nimi zainteresować lub ... zmienić hosting.

Strona internetowa

Najbezpieczniejszym typem strony internetowej jest strona statyczna (nie generowana dynamicznie). Dzisiaj to już jednak rzadkość - w praktyce taka strona jest bardzo niewygodna jeśli chodzi o jej edycję i rozwój.

Wśród strony dynamicznie generowanych możemy wyróżnić strony oparte o autorskie systemy cms lub ogólnodostępne (WordPress, Joomla, Drupal itp). Ze względu na otwarty kod i jego dostępność bardziej narażone na ataki są strony oparte o znane platformy, aczkolwiek nie jest to regułą - słabo zbudowany autorski cms będzie równie mocno, jeśli nie bardziej ze względu na brak aktualizacji, podatny na zagrożenia.

Jak to wygląda w temacie WordPress-a, który jest obecnie najpopularniejszą platformą do budowy stron internetowych?

3. Czy strona internetowa WordPress może być bezpieczna?

Złośliwe boty (programy) i hakerzy w pierwszej kolejności atakują strony słabo zabezpieczone. 90% skutecznych ataków na strony internetowe oparte o otwarty cms w 2018 roku dotyczyło stron opartych o oprogramowanie WordPress (https://sucuri.net/reports/2018-hacked-website-report/) Ta wartość odzwierciedla też popularność WordPressa który jest obecnie najpopularniejszym oprogramowaniem tego typu na świecie.

Samo oprogramowanie WordPress jest wbrew powszechnej opinii zbudowane całkiem dobrze jeśli chodzi o utrzymanie bezpieczeństwa. Natomiast zewzględu na to, że jest to oprogramowanie otwarte i współpracuje z wieloma dodatkami (pluginy, tematy) oraz ze względu na swoją powszechność - sytuacja wygląda tak jak wygląda czyli jest słabo.

Niezabezpieczony WordPress wcześniej lub później padnie ofiarą ataku, który w mniejszym lub większym stopniu zniszczy dane, często bezpowrotnie.

Na szczęście na polu samej strony internetowej opartej o WordPress-a możemy zrobić bardzo dużo, aby zwiększyć poziom jej bezpieczeństwa.

Działania zwiększające poziom bezpieczeństwa stron www opartych o oprogramowanie WordPress

Działania zwiększające bezpieczeństwo strony internetowej opartej o WordPress możemy podzielić na cztery główne obszary:

• Prewencja czyli działania mające na celu niedopuszczenie do ataków
• Monitoring - ciągłe monitorowanie podejrzanych działań (zmiany plików, zmiany w bazie danych, nieuprawnione próby logowania itp) i odpowiednie reagowanie
• Skanowanie - szukanie znanych (znajdujących się w bazie) rodzajów złośliwego oprogramowania i niedopuszczanie do ich dalszej aktywności.
• Naprawianie - czyszczenie i przywracanie poprzedniego stanu zasobów z jak najmniejszymi stratami.

Z raportu wpscan.org wynika, że 52% ataków jest dokonanych za pomocą pluginów, 11% za pomocą tematów, 37% ma związek z rdzennym oprogramowaniem WordPress.

Bazując na tym możemy określić szereg działań zwiększających bezpieczeństwo stron WordPress

Podstawowe działania dotyczące WordPress-a:

• regularna aktualizacja oprogramowania (core czyli samego silnika WordPress, jak również wszystkich dodatków - pluginów i tematów)
• używanie mocnego hasła
• tworzenie aktualnych kopii strony internetowej (aby można było ją szybko przywrócić po ewentualnej infekcji). Uwaga! Największy sens mają z oczywistych względów kopie robione na zupełnie innym urządzeniu (innym serwerze)
• uruchomienie protokołu https (certyfikat SSL)
• używanie tylko zaufanych dodatków (pluginy, tematy) z pewnych źródeł

Następne działania dotyczące stron WordPress:

• zastosowanie oprogramowania antyspamowego (komentarze) lub wyłączenie komentarzy jeśli ich nie używamy
• usuwanie zbędnych pluginów, minimalizacja ilości dodatków
• zmiana domyślnego użytkownika (usunięcie admin i dodanie nowego z uprawnieniami admina) Uwaga! nie używamy popularnych typu admin, administrator, owner it
• deaktywacja pingbacks i trackbacks w panelu WordPress-a (umożliwiają ataki DDoS)

Zaawansowane działania zwiększające bezpieczeństwo WordPress:

• zmiana adresu logowania
• dodatkowe zabezpieczenie przy logowaniu (ataki Brute Force)
• limitowanie nieudanych prób logowania (ataki Brute Force)
• autoamtyczna blokada IP (ataki Brute Force)
• zmiana prefixu dla tabel w bazie danych z domyślnego wp_ na inny (w pliku wp-config.php)
• ukrywanie wersji wordpress
• zabezpieczenie baz danych przed atakami (SQL injections)
• monitorowanie zmian w bazie danych
• monitorowanie ruchu w czasie rzeczywistym
• zastosowanie zapory ogniowej (Firewall) za pomocą plików .htaccess
• codzienny skaner antywirusowy
• IP blocking - blokowanie ruchu z określonych źródeł
• zmieniamy ścieżki i uprawnienia w pliku .htaccess do krytycznych zasobów
• blokowanie PHP w katalogu upload (z możliwością zapisu)
• blokada możliwości edycji i zapisu plików z wyłączeniem użytkownika
• optymalne ustawienia PHP (plik php.ini)
• zabezpieczenie wszelkiego typu formularzy (formularze kontaktowe, formularze do komentarzy, logowania, rejestracji, wysyłki postów itp). 99% ataków i spamu jest dokonywanych za pomocą botów automatycznie wykorzystujących formularze!
• zablokowanie nieautoryzowanego dostępu do folderów. W szczególności interesują nas foldery [root], [master htaccess], [backups], wp-admin, plugins (folder pluginów), uploads (przechowujące wgrane pliki). Foldery mogą mieć ustawiony wolny dostęp jedynie dla wybranych kryteriów (nazwa domeny, numer ip serwera, publiczny nr ip klienta)
• ustawienie w folderze uploads możliwości wgrywania tylko bezpiecznych formatów (np. jpg, png).

Podsumowanie

Jeżeli wykorzystamy całą wiedzę na temat zapewnienia bezpieczeństwa stron internetowych zbudowanych w oparciu o WordPress to ryzyko infekcji takiej strony będzie minimalne. Wiele z tych tematów możemy "załatwić" za pomocą specjalnego oprogramowania (np. Sucuri, Wordfence, Bullet Proof Security).

Jeżeli chciałbyś, abyśmy zbudowali dla Ciebie szybką, bezpieczną stronę internetową - zapraszamy do kontaktu.