Dbałość o bezpieczeństwo każdej strony internetowej i każdego systemu informatycznego, bez względu na to, czy jest wykorzystywany do celów prywatnych, czy też jest częścią infrastruktury dużych korporacji, stanowi kluczowy element dbałości o ochronę danych, prywatność użytkowników oraz integralność cyfrowych zasobów. W dzisiejszym świecie, gdzie technologia informacyjna przenika niemal każdy aspekt życia codziennego i biznesowego, bezpieczeństwo IT stało się fundamentem zapewniającym nie tylko ochronę przed cyberatakami, malwarem i innymi zagrożeniami cyfrowymi, ale także buduje zaufanie wśród użytkowników i klientów.
WordPress, będąc jednym z najpopularniejszych systemów zarządzania treścią nie jest wyjątkiem i również podlega zasadom związanych z szeroko pojętym bezpieczeństwem cyfrowym. WP mimo swojej intuicyjności i dostępności, wymaga od administratorów nieustannej uwagi i troski o aspekty bezpieczeństwa. Zapewnienie odpowiedniej ochrony strony WordPress, ale dotyczy to dowolnego systemu CMS, nie jest jednorazowym działaniem, ale ciągłym procesem, który obejmuje regularne aktualizacje rdzenia, wtyczek i motywów, stosowanie silnych haseł, a także implementację zaawansowanych rozwiązań takich jak firewall’e aplikacji internetowych (WAF).
WAF jak również ochrona malware chroni Twoja stronę na kontach hostingowych DiDHost, ale takie działania jak aktualizacje WP i jego komponentów czy umiejętny ich dobór to zadania leżące po Twojej stronie. Na szczęście pomagamy Ci w tym jak to tylko możliwe poprzez specjalistyczne narzędzia dostępne w panelu konta hostingowego, a są to m.in.:
- Ochrona przed hotlinkowaniem: Zapobiega wykorzystywaniu obrazów ze strony przez inne witryny, co może nadmiernie obciążać pasmo i uczynić witrynę niedostępną.
- Wyłączenie niepotrzebnych języków skryptowych: Usuwa wsparcie dla języków skryptowych nie wykorzystywanych przez WordPress, takich jak Python czy Perl, blokując tym samym związane z nimi luki bezpieczeństwa.
- Ochrona przed botami: Blokuje boty, które mogą obciążać stronę niechcianymi zapytaniami, powodując nadmierne wykorzystanie zasobów.
- Wyłączenie możliwości edycji plików w panelu administracyjnym WordPress: Zabezpiecza przed możliwością modyfikacji kodu wtyczek i motywów przez panel WordPress, co jest dodatkową warstwą ochrony na wypadek kompromitacji konta administratora.
- Blokada dostępu do wrażliwych plików: Umożliwia zablokowanie dostępu do plików zawierających poufne informacje, takich jak
wp-config.bak
czywp-config.php.swp
. - Blokada skanowania autorów i phishingu identyfikatorów użytkowników: Zapobiega skanowaniu w celu znalezienia nazw użytkowników, w szczególności administratora WordPressa, co może prowadzić do ataków brute-force na stronę logowania.
- Blokada dostępu do plików .htaccess i .htpasswd: Zapobiega atakom wykorzystującym dostęp do tych plików, które mogą być wykorzystane do różnych ataków na stronę.
- Wyłączenie wykonywania plików PHP w katalogach cache: Zabezpiecza przed potencjalnym wykonaniem złośliwego kodu PHP umieszczonego w katalogach cache przez atakującego, co mogłoby skompromitować całą witrynę.
Użytkownicy kont hostingowych DiDHost mają do dyspozycji funkcje umożliwiające automatyczne wykrywanie luk bezpieczeństwa w witrynach opartych na WordPressie. Kluczową funkcją, wprowadzoną jest automatyczne skanowanie podatności, które regularnie przegląda aktywne wtyczki, motywy oraz wersje WordPressa, aby zidentyfikować znane luki bezpieczeństwa. Wykorzystuje do tego informacje dostarczane przez partnerów z Patchstack i WordFence. Po wykryciu podatności w panelu hostingu pojawia się oznaczenie informujące Cię o konieczności podjęcia działań polegających zazwyczaj na przeprowadzeniu aktualizacji np. wtyczki X do wersji w której Twórcy daną podatność wyeliminowali..
Nasz hosting oferuje również inne narzędzia do zabezpieczania i aktualizacji WordPressa, takie jak możliwość sprawdzenia sum kontrolnych WordPressa bezpośrednio z panelu konta hostingowego. Masz także do dyspozycji inteligentne aktualizacje WordPressa, a nawet inteligentne aktualizacje interpretera PHP, które testują stronę na różnych wersjach PHP w celu wykrycia problemów zanim zmiana zostanie wdrożona na stronie produkcyjnej.
Korzystanie z tych funkcji umożliwia utrzymanie wysokiego poziomu bezpieczeństwa witryn WordPress, minimalizując ryzyko wykorzystania przez atakujących znane luki bezpieczeństwa.
Jak to wygląda w panelu konta hostingowego #
Przede wszystkim gdy przejdziesz do zakładki WordPress w panelu konta hostingowego i zobaczysz informację wzywającą do naprawy luk bezpieczeństwa, koniecznie sprawdź szczegóły klikając w link zaznaczony na zrzucie poniżej:
Z lewej strony wysunie się pasek z informacjami na temat podatności, co może wyglądać jak poniżej:
Interpretacja danych #
Patrząc na powyższą tabelę z podatnościami widzimy trzy kolumny: CVSS, Gdzie oraz Jak naprawić.
- CVSS „Common Vulnerability Scoring System” to metryka która jest otwartym standardem służącym do oceny ciężkości zagrożeń bezpieczeństwa w systemach informatycznych. Skala CVSS ma zakres od 0 do 10, gdzie wyższe wartości oznaczają większe ryzyko lub większy wpływ podatności na system. Liczba podana przy każdej podatności, jak na przykład 8.5 dla wtyczki WordPress Elementor, to wynik CVSS wskazujący na poziom ryzyka związanego z tą konkretną podatnością. Im wyższy wynik, tym poważniejsze potencjalne konsekwencje związane z podatnością i większa pilność wymagana do podjęcia działań zaradczych, takich jak aktualizacja lub dezaktywacja wtyczki.
- Gdzie to informacja na temat tego czy podatność dotyczy wtyczki, motywu czy może rdzenia WordPressa.
- I w końcu Jak naprawić, to informacja o tym co można zrobić aby wyeliminować podatność. W naszym przykładzie przy każdej z wymienionych wtyczek mamy dwie opcje do wyboru: aktualizacja wtyczki do wersji, która nie ma już tej podatności lub wyłączenie wtyczki (jej dezaktywacja).
Oprócz opisu podatności i daty wykrycia, każdy wpis zawiera również źródło tej informacji, które w tym przypadku jest oznaczone jako pochodzące z Patchstack i WordFence. Patchstack to platforma monitorowania bezpieczeństwa, która specjalizuje się w śledzeniu podatności w aplikacjach internetowych, w tym wtyczkach i motywach WordPressa. Informacje o źródle są ważne, ponieważ pozwalają na weryfikację danych i śledzenie dodatkowych szczegółów bezpośrednio u ich twórców lub w bazie danych, gdzie pierwotnie zostały zgłoszone. WordFence to z kolei usługa (wtyczka dla WP także), która specjalizuje się w ochronie WordPressa.
Podatności WordPress #
Być może wchodząc do listy luk bezpieczeństwa zobaczysz coś takiego:
Na zrzucie ekranu widoczne są informacje o podatnościach rdzenia WordPressa (Trzon), każda z nich ma przypisaną ocenę ryzyka według wspomnianej już skali CVSS oraz krótki opis problemu:
- WordPress Core – Informational – All known Versions – Weak Hashing Algorithm (Ocena CVSS: 5.9): Tutaj mowa o starym, słabym algorytmie hashowania MD5 używanym przez wszystkie wersje WordPressa do hashowania haseł. Brak dostępnych aktualizacji, co wskazuje w tym konkretnym przypadku, że jest to problem informacyjny i niewiele możesz z nim zrobić. Być może kiedyś doczekamy się innego, silniejszego algorytmu i wówczas ten komunikat zniknie.
- WordPress Core – All Known Versions – Cleartext Storage of wp_signups.activation_key (Ocena CVSS: 5.3): Ta podatność odnosi się do przechowywania kluczy aktywacyjnych w czystym tekście w bazie danych WordPressa. Podobnie jak w pierwszym przypadku, nie ma dostępnych aktualizacji i jest to problem informacyjny którego rozwiązania być może kiedyś się doczekamy.
- WordPress Core All Versions – Unauthenticated Blind Server-Side Request Forgery vulnerability (Ocena CVSS: 4): Podatność którą odkryli Simon Scannell i Thomas Chauchefoin, może pozwolić atakującemu na wysyłanie nieautoryzowanych żądań z serwera, na którym działa WordPress, do innych systemów, potencjalnie umożliwiając dostęp do infrastruktury sieciowej, która jest normalnie chroniona przez firewalle i nie jest dostępna z zewnątrz. W szczególności, luka ta może być wykorzystywana do wewnętrznych ataków SSRF, które mogą obejmować omijanie kontroli dostępu, wykonywanie złośliwych żądań wewnątrz sieci, czy wydobycie wrażliwych informacji.
Korzystając ze środków bezpieczeństwa WordPress na koncie hostingowym DiDHost w prost sposób można zminimalizować tę podatność przez aktywację dwóch środków bezpieczeństwa:
Podsumowanie #
W świetle dynamicznie rozwijającego się krajobrazu cyberzagrożeń, zarówno osoby zarządzające witrynami WordPress, jak i użytkownicy, muszą pozostać czujni i proaktywni. Regularne aktualizacje, ścisłe monitorowanie bezpieczeństwa i szybkie reagowanie na nowo odkryte podatności to kluczowe kroki w utrzymaniu integralności i bezpieczeństwa stron internetowych.
Niezależnie od tego, czy jesteś deweloperem, blogerem czy prowadzisz biznes online, bezpieczeństwo cyfrowe powinno być na szczycie listy priorytetów. Pamiętaj, że cyfrowy świat to nie tylko przestrzeń pełna możliwości, ale także zagrożeń, które mogą mieć realne konsekwencje w rzeczywistym świecie. Dlatego też wszyscy powinniśmy nieustannie się edukować, wdrażać najlepsze praktyki i świadomie korzystać z dostępnych narzędzi, takich ja te dostępne na Hostingu WordPress DiDHost.