WordPress - jak wspomóc jego bezpieczeństwo

Na temat bezpieczeństwa systemu WordPress można znaleźć wiele informacji. Są tacy, którzy uważają, że ten CMS jest bardzo bezpieczny, a są i tacy, którzy na tym polu z góry wszelkie rozwiązania OpenSource skazują na porażkę.

Oba powyższe podejścia w mojej ocenie są skrajne i nie można ich traktować całkiem poważnie. Prawdą jest że rozwiązania do których kodu źródłowego ma dostęp każdy bez wyjątku są bardziej narażone na ataki (do tego udane ataki), a popularność takich rozwiązań dodatkowo takie ryzyko wynosi na wyższy poziom. Nie oznacza to jednak, że z WordPress'a, który obie te cech (otwarty kod i duża popularność) posiada nie można korzystać w bezpieczny sposób. Oczywiście, że można ale wymaga to od właściciela strony działającej na tym rozwiązaniu odrobiny zaangażowania. Na pewno nie można raz postawionej strony pozostawić na miesiące czy nawet lata bez opieki technicznej, która m.in. polega na bieżącym aktualizowaniu zarówno głównego skryptu jak i wykorzystywanych rozszerzeń. To bezwzględnie konieczność i obowiązek każdego właściciela strony działającej na bazie CMS-a WordPress jak również dowolnego innego rozwiązania OpenSource. Jeśli przyjmiemy, że dbamy o bieżące aktualizacje, to ryzyko przykrej niespodzianki znacznie minimalizujemy choć w żadnym wypadku nie jest to gwarantem 100% bezpieczeństwa. Oprócz ewentualnych luk w samych skryptach czai się na nas wiele innych zagrożeń jak np. możliwość przechwycenia/kradzieży danych do konta FTP np. za pośrednictwem infekcji komputera/ów, z których dokonywane są połączenia itp… Brak czujności na tym polu także naraża nas na problemy.

Dla tych dla których zapewnienie stronie wysokiego poziomu bezpieczeństwa jest tematem kluczowym podpowiemy, że istnieją rozwiązania, które pomagają monitorować i wyłapywać potencjalne lub istniejące problemy. Dzięki nim stopień naszego zaangażowania możemy znacznie zredukować, bo analizy związane ze strona wykonywać będą za nas automatyczne mechanizmy, które w razie potrzeby powiadomią nas o problemie.

WebsiteDefender WordPress Security Plugin, to jedno z narzędzi, które pomaga chronić naszą instalację WordPress. Co potrafi?

• Usunie komunikaty błędów ze strony logowania.
• Usunie komunikaty informujące o zainstalowanej wersji WordPress'a zarówno na frontendzie jak i w backendzie.
• Usunie informacje o dostępnych aktualizacjach głównego skryptu, pluginów i motywów dla innych użytkowników (poza administratorem).
• Wyłączy raportowanie błędów bazy danych, a także skryptów PHP.
• Doda generator silnych haseł czego możesz użyć do ochrony przed atakimi typu brute force.
• Udostępni narzędzie umożliwiające zmianę domyślnego prefiksu tabel w bazie danych.
• Plus kilka innych funkcjonalności.

Wtyczkę można pobrać tutaj: http://wordpress.org/extend/plugins/websitedefender-wordpress-security/

Dodatkowo można zintegrować ten dodatek z kolejną usługą polegającą na cyklicznym skanowaniu naszej strony. Skaner dostępny jest w dwóch wersjach: darmowej i płatnej. W opcji bezpłatnej skaner raz w miesiącu sprawdzi naszą stronę pod kątem występujących na niej zagrożeń, a ponadto sprawdzimy m.in:

• Ważność certyfikatu SSL.
• Niedziałające linki.
• Czy DNS nie został zhakowany.
• Czy domena przypadkiem nie wygasła (nie testowaliśmy tego jednak na domenach .pl).
• Wykryje problemy z plikiem .htaccess.
• Problematyczną konfigurację PHP.
• Sprawdzi czy strona nie trafiła na czarną listę prowadzoną przez Google lub do baz danych zagrożeń typu malware/SPAM.

W przypadku samego WordPressa darmowa wersja skanera powiadomi nas także o:

• Tym, że wykryto iż komunikujemy się z bazą korzystając z użytkownika root.
• Mamy niezalecane ustawienia praw dostępu do ważnych katalogów i plików.
• Występują błędy z połączeniami do bazy danych.
• I o kilku innych potencjalnych lub występujących problemach, na które warto zwrócić uwagę.

Z kolei wersja płatna, której koszt to w obecnej chwili niecałe 100 dolarów czyli ponad 300 zł / rok daje nam już o wiele więcej. Przede wszystkim nasza instalacja WordPress jest skanowana nie raz na miesiąc ale codziennie co pozwala na bardzo szybkie wykrycie problemu dając nam możliwość równie szybkiej reakcji. Ponadto:

• System sprawdzi naszą stronę pod kątem występowania na niej odnośników typu Malware.
• Wykryje backdoors i trojany.
• Wykryje exploity.
• Wykona backup strony przechowywany na serwerach Amazonu.
• Wykryje wtyczki jakich używamy, a które stanowią zagrożenie dla naszej strony.
• Powiadomi o modyfikacjach bazy danych, a także o wstrzykiwaniu do niej kodu.
• Powiadomi o ładowaniu pluginów i motywów.
• Wykryje pliki wykonywalne w katalogu instalacji WordPress.
• I otrzymamy sporo innych informacji.

Pod poniższym adresem można porównać czym dokładnie różni się wersja bezpłatna od wersji płatnej i co oba rozwiązania dokładnie oferują:
http://www.websitedefender.com/websitedefender-features/

Zachęcam do przyjrzenia się temu skanerowi zwłaszcza, że wszelkie działania mające na celu podniesienie bezpieczeństwa strony WWW są istotne nie tylko dla samego właściciela takiej strony, ale również dla innych użytkowników sieci internet. Im mniej złamanych stron tym lepiej dla wszystkich.

Podobne rozwiązanie, choć nie koncentrujące się na konkretnym systemie CMS znaleźć można także u nas na platformie o12. Profesjonalny skaner SiteLock jaki proponujemy potrafi m.in sprawować dzienną kontrolę nad tym co mamy na koncie FTP, wyłapywać zmiany w plikach i niebezpieczne oprogramowanie a nawet automatycznie je usuwać. Jeśli interesują Cię szczegóły zajrzyj tutaj. Zerknij też na naszego Facebooka. Umiesciliśmy tam kod rabatowy, który obniża koszt usługi aż o 70%! Kod będzie ważny jeszcze przez 1 dzień od publikacji tego artykułu.