Bezpieczeństwo WordPress – Podstawy

Wy też nie lubicie, gdy wasza strona wyświetla reklamy niebieskich tabletek, bądź przekierowuje na strony związane z hazardem bądź niemieckim porno? Ja też tego nie lubię, bardzo nie lubię. Co zrobić by do takiej sytuacji nie dopuścić? Poniżej dowiecie się, jak zadbać o bezpieczeństwo strony opartej na WordPress i co zrobić, by odzyskać kontrole nad własną stroną, gdy ta już została zainfekowana.  

WordPress a hakerzy z Turcji

Pomysł na ten wpis pojawił się w mojej głowie, gdy uczestniczyłem w pewnych warsztatach z tematyki mniej technicznej. Był na niej jeden z moich znajomych – Wojtku pozdrawiam. Wojtek zapytał, co poradziłbym mu na sytuację, w której jego 2 strony są ciągle atakowane i infekowane przez hakerów z Turcji i jak tym atakom zapobiec.

Wtedy, ze względu na małą ilość czasu, odpowiedziałem mu, że kopia strony, że trudne hasła do panelu i ftp, że jakaś dodatkowa wtyczka do ochrony… W dzisiejszym wpisie przedstawię takie właśnie podstawy ze zwiększania poziomu bezpieczeństwa WordPress. Mam nadzieję, że Wojtek (i nie tylko), znajdzie trochę przydatnych dla siebie informacji.

Jak rozpoznać atak na stronę WordPress?

Jeśli naszej strony nie zaatakował „haker dżentelmen” i nie wystawił tylko w kilku dyskretnych lików pozycjonujących inne strony, powinniśmy dość szybko zorientować się o ataku. Wchodząc na stronę przeglądarka podpowie nam, że z naszą stroną jest coś nie tak. Jeśli mamy podpięte Narzędzia dla Webmasterów od Google, również otrzymamy stosowną wiadomość na email. Taką wiadomość powinniśmy także otrzymać od naszego dostawcy hostingu, jeśli nasza strona próbuje zarażać inne strony, lub z naszego konta wysyła niechciane wiadomości.

1. Przeglądarka wyrzuca komunikat o zainfekowanej stronie przy wejściu na nią.
2. Otrzymujemy od naszej firmy hostingowej informacje, że nasza strona złapała coś złośliwego lub rozsyła spam z naszego konta.
3. Otrzymujemy informacje z Google Search Console o zainfekowaniu naszej witryny.
4. Strona drastycznie spada w wynikach wyszukiwania lub całkowicie wypada z indeksu, np. Google.
5. Nasi czytelnicy skarżą się, że ich antywirus ostrzega ich przed wejściem na naszą stronę.
6. Zauważamy, że mamy nowe, dziwne podstrony, np. reklamujące hazard, leki na potencję czy branżę filmów dla dorosłych.
7. Strona została przekierowana na inną witrynę, bądź w ogóle się nic nie wyświetla (biała strona).
8. Po wejściu na stronę pojawia się komunikat o próbie instalacji, np. jakiejś wtyczki do przeglądarki.
9. Zauważyliśmy, że dodano nowych użytkowników w panelu WordPress bez naszej wiedzy.
10. Zauważyliśmy /dostajemy powiadomienie o znacznym wykorzystaniu zasobów serwera / transferu, bez zwiększenia odwiedzających naszą stronę.

Co robi nasz zainfekowany WordPress?

Zazwyczaj nie atakuje naszej strony bezpośrednio jakaś osoba, tylko automatyczne skrypty. Skrypty te próbują przejąć kontrolę nad stroną i zazwyczaj wykorzystać ją do niecnych celów lub czasami po prostu zniszczyć. Często nasza strona przestaje działać, choć nie to było intencją atakującego. Po prostu skrypt który zaatakował naszą stronę, jest napisany kiepsko i zawiera błędy, bądź wkleja swój kod nie do tych plików, czy w nie tych miejscach w pliku. Powoduje to często wyświetlanie pustej, białej strony, bądź  wyświetlenie tylko części strony, np. brakuje stopki. Jeśli jednak strona zostanie „poprawnie” zainfekowana, może przysporzyć nam kłopotów m.in. w postaci:

1. Wysyła niechciane wiadomości email (SPAM) z naszego konta hostingowego.
2. Na naszej stronie pojawiły się niechciane linki SEO do serwisów o niezbyt ciekawej reputacji – pozycjonujemy naprawdę trudne branże!
3. Trafiliśmy na internetowego wandala, który dla zabawy usunął / zniszczył naszą stronę.
4. Strona przekierowuje na inną stronę zawierającą zazwyczaj dużo reklam, stronę z branży porno bądź z hazardem.
5. Strona przekierowuje na inną witrynę, zawierającą złośliwe oprogramowanie, które próbuje zainstalować się na naszym komputerze.
6. Lub też nasza strona została „wyposażona” w złośliwe oprogramowanie, które próbuje zainstalować odwiedzającym.
7. Strona próbuje wyłudzić dane od użytkowników, np. podszywając się pod stronę banku czy popularnych serwisów społecznościowych.

W jaki sposób atakowana jest strona oparta na WordPressie?

Osoby czy skrypty atakujące strony stworzone na platformie WordPress najczęściej wykorzystują podatności i luki bezpieczeństwa we:

1. Wtyczkach.
2. Motywach.
3. Starszych, niezaktualizowanych wersjach WordPress.
4. Łatwych do odgadnięcia hasłach.
5. Słabo zabezpieczonych firmach hostingowych.
6. Komputerze z nieaktualnym systemem operacyjnym oraz niezaktualizowanym antywirusem.

W jaki sposób zwiększyć bezpieczeństwo WordPress?

Nie możemy zabezpieczyć naszej strony w 100% przed zainfekowaniem bądź przejęciem przez jakiegoś zdolnego i zmotywowanego hakera. Niemniej możemy znacznie zmniejszyć ryzyko związane z zainfekowaniem naszej strony. Poniżej znajdziecie kilka prostych sposobów jak zwiększyć bezpieczeństwo strony opartej na WordPressie:

1. Kopia zapasowa!!! Osoby zajmujące się WordPressem dzielą się na te, które robią kopie i na te, które kopie będą robić.
2. Aktualizujcie proszę WordPressa! Szczególnie poprawki bezpieczeństwa w ramach głównej wersji.
3. Aktualizujcie proszę motywy oraz wszystkie zainstalowane wtyczki, także te wyłączone.
4. Używajcie skomplikowanych haseł i nietypowych loginów.
5. Dbajcie o porządek pod maską – nie używacie motywu czy wtyczki – odinstalujcie je!
6. Korzystajcie z zaufanych hostingów dla swojej strony.
7. Logujcie się do WordPressa z zaufanego komputera, z zaktualizowanym systemem i antywirusem.
8. Nie ustawiajcie zapamiętywania haseł do logowania się, zarówno w przeglądarce, a także w kliencie FTP!
9. Zablokujcie wielokrotne próby logowania, np. przy pomocy wtyczki poprawiającej bezpieczeństwo.

Wtyczki zwiększające bezpieczeństwo WordPress

W oficjalnym repozytorium WordPress znajduje się kilka wtyczek, pomagających zabezpieczyć naszą stronę opartą na WordPress. Wtyczki te zazwyczaj zawierają kilka(naście) opcji miej lub bardziej zaawansowanych które pomogą nam chronić naszą stronę. Poniżej kilka przykładów takich wtyczek:

1. All In One WP Security & Firewall
2. Wordfence Security
3. iThemes Security (dawniej Better WP Security)
4. Sucuri Security
5. Anti-Malware Security and Brute-Force Firewall

Myślę, że moja strona została zainfekowana… Co teraz?

Tylko bez paniki… Wszystko da się naprawić, jeśli tylko robiłeś regularnie kopie zapasową ;). Poza tym warto:

1. Przeskanować stronę za pomocą którejś z powyższych wtyczek czy stron zewnętrznych jak virustotal.com czy isithacked.com.
2. Skanujemy swój komputer w poszukiwaniu wirusów i niechcianych programów wyciągających hasła z przeglądarek czy klientów FTP.
3. Sprawdzamy swojego dostawcę hostingu, czy aby cały jego biznes nie został zhakowany. Jeśli tak, warto rozejrzeć się za innym hostingiem.
4. Tworzymy kopie zapasową zainfekowanej strony(pliki + baza danych). Przyda się by, ustalić co, jak i gdzie, lub jeśli nie mieliśmy kopii w ogóle.
5. Zmieniamy wszystkie hasła: do WordPressa, do konta FTP, do bazy danych, do konta hostingowego.
6. Jeśli potrafimy szukamy i usuwamy złośliwy kod z naszej strony i łatamy dziury w zabezpieczeniach.
7. Jeśli nie potrafimy, usuwamy wszystkie pliki i bazę danych i instalujemy nową, czystą wersję WordPressa, motywy i wtyczki, importujemy treści i wgrywamy multimedia – opcja pracochłonna, ale bardzo skuteczna i czasami to jedyne rozwiązanie.

Powyższy wpis to tylko podstawowe zasady związane z bezpieczeństwem WordPressa. W kolejnych wpisach z kategorii bezpieczeństwa postaram się rozwinąć wymienione tu w punktach informacje o zwiększeniu bezpieczeństwa strony stworzonej za pomocą WordPress.

Zdjęcie: Duy Nguyen on Unsplash