Konta hostingowe WordPress są wyposażone w mechanizm kontrolujący środowisko Twojej strony internetowej pod kątem luk w powłoce bezpieczeństwa zarówno samego WordPressa jak i jego komponentów (wtyczki i motywy). Oznacza to, że jeśli na Twojej stronie jest wtyczka, motyw czy sam WordPress w wersji „X” i w tej wersji wykryto podatności na zagrożenia, wówczas zostaniesz o tym powiadomiony.
Informacje o podatności będą doststępne zarówno w Panelu konta hostingowego, jak również zostanie do Ciebie wysłany automatyczny mail (upewnij się czy automatyczne powiadomienia nie wpadają Ci do spamu). Mail w treści może mieć np. taki zapis:
Podatność na zagrożenia
twojadomena.pl WordPress Elementor plugin <= 3.16.4 - Contributor+ Cross Site Scripting (XSS) vulnerability
Już z samego tego komunikatu można wyczytać, że na stronie masz zainstalowaną wtyczkę Elementora w wersji 3.16.4 lub starszej, która to wersja jest podatna na zagrożenia.
Co z tym zrobić? #
W takiej sytuacji aktualizacja wtyczek, motywu i samego WordPressa w większości przypadków wystarcza. Twórcy dobrych rozszerzeń szybko wypuszczają aktualizacje swoich produktów, które łatają wykrytą lukę.
Zacznijmy jednak od zerknięcia na panel konta hostingowego. Gdy zalogujesz się i przejdziesz do narzędzi WordPress, zobaczysz komunikat dotyczący bezpieczeństwa i informujący Cię o konieczności naprawy luk bezpieczeństwa, jak poniżej:
Kliknij w link „Napraw luki bezpieczeństwa„. W ten sposób przejdziesz na podstronę ze szczegółowymi informacjami, przyjrzyjmy się temu jak to może wyglądać:
Na powyższym przykładzie Mamy informację o podatnościach wtyczek jakie mamy zainstalowane. To All in One Migration, a także Elementor. W przypadku All in One mamy jedną podatność, ale w przypadku Elementora jest ich więcej. Na zrzucie widać trzy, ale w rzeczywistości jest ich 5 (nie chciałem wstawiać zbyt dużego obrazka). Przy każdej podatności mamy informację, w której wersji wtyczki została ona wyeliminowana:
Zkolei nad listą podatności, w nagłówku z informacją o wtyczce widoczne są także dwa przyciski: Zaktualizuj do wersji 3.17.3 lub Dezaktywuj. MOżesz więc jednym kliknięciem przeprowadzić aktualizację wtyczki do jej najnowszej wersji, która jest wolna od tych podatności lub możesz wtyczkę wyłączyć, np. jeśli straciłeś do niej zaufanie, jest mało istotna lub gdy jej twórcy nie zrobili nic żeby lukę załatać.
Po aktualizacji wtyczek problemy zostaną naprawione.
Warto monitorować stan wtyczek, a nasz hosting WordPress pomaga Ci w tym zadaniu. Gdybyś nie miał takich narzędzi prawdopodobnie żyłbyś w nieświadomości, aż któregoś dnia ktoś zrobiłby użytek z podatności. To może boleć. Inną metodą jest prewencja, czyli w miarę regularne aktualizacje WordPressa i jego komponentów. Dobrze gdyby ta czynność weszła Ci w krew 🙂