7 mitów dotyczących bezpieczeństwa WordPressa: całkowicie obalone i obalone
Opublikowany: 2023-10-21Mimo, że jest to najpopularniejszy system zarządzania treścią na świecie, wciąż krążą mity na temat bezpieczeństwa platformy WordPress. Ze względu na charakter oprogramowania typu open source niedoświadczeni użytkownicy mogą postrzegać go jako mniej bezpieczny niż produkt komercyjny. Ponadto mogą być wytrąceni z równowagi doniesieniami o problemach z bezpieczeństwem WordPressa w wiadomościach.
Mit nr 1: Bezpieczeństwo to zadanie Twojego dostawcy usług hostingowych
Jako początkujący lub pierwszy właściciel witryny internetowej możesz pomyśleć, że dbanie o jej bezpieczeństwo to domena osób, którym płacisz za jej utrzymanie w Internecie. I to jest w pewnym sensie prawda; Twój dostawca usług hostingowych jest rzeczywiście pierwszą linią obrony. Ich zadaniem jest upewnienie się, że dostęp do Twojego serwera internetowego nie jest łatwy, i ochrona fizycznego obiektu, na którym znajduje się Twoja witryna. Jeśli tego nie robią, są po prostu złym gospodarzem.
Bezpieczeństwo witryny internetowej to głównie Twoja odpowiedzialność
Jednak poza tym stopień zaangażowania Twojego dostawcy usług hostingowych w bezpieczeństwo Twojej witryny WordPress naprawdę zależy od Twojego planu. Na współdzielonym hoście, hoście VPS, a nawet serwerze dedykowanym, w zasadzie wynajmujesz tylko przestrzeń serwerową. Co z tym zrobisz, zależy od Ciebie.
Oznacza to, że dostawca usług hostingowych nie pomaga Ci w żaden sposób w zapewnieniu bezpieczeństwa Twojej witryny WordPress. To twoja praca.
Jasne, niektórzy dostawcy oferują dodatkowe funkcje bezpieczeństwa, takie jak zapora ogniowa lub CDN. Będą także monitorować swoje serwery pod kątem złośliwego oprogramowania, wirusów itp. i podejmować działania, jeśli wykryją coś w Twojej witrynie. Jednak często oznacza to również, że wyłączają Twoją witrynę i proszą Cię o jej naprawienie. Nie jest to idealne rozwiązanie, szczególnie jeśli jesteś początkujący.
Hosting zarządzany może pomóc
Jeśli chcesz, aby Twój dostawca usług hostingowych odgrywał bardziej aktywną rolę w bezpieczeństwie Twojej witryny WordPress, musisz skorzystać z hostingu zarządzanego. Nazywa się to tak, ponieważ oprócz zapewnienia miejsca na serwerze zarządzany dostawca usług hostingowych przejmuje także niektóre codzienne zadania związane z prowadzeniem strony internetowej. Bezpieczeństwo jest jednym z nich, podobnie jak optymalizacja szybkości, aktualizacje witryny i wsparcie ekspertów.
Oczywiście tego rodzaju usługa kosztuje dodatkowo, jednak często jest tego warta, jeśli masz pewność co do własnego poziomu umiejętności w zakresie zabezpieczenia swojej witryny. Może zapewnić dużo spokoju ducha.
Jednak ogólnie rzecz biorąc, rozwiejmy raz na zawsze ten mit dotyczący bezpieczeństwa WordPressa: jeśli nie jest to część zarezerwowanej usługi, Twój dostawca usług hostingowych nie jest odpowiedzialny za bezpieczeństwo Twojej witryny i zapobieganie jej naruszeniom i włamaniom. Ta odpowiedzialność należy do Ciebie.
Mit nr 2: WordPress sam w sobie stanowi zagrożenie dla bezpieczeństwa
Teraz możesz pomyśleć: „OK, jeśli dostawca usług hostingowych nie zrobi tego za mnie, czy nie jest ryzykowne poleganie na darmowym oprogramowaniu? Jak dobre może być coś, co grupa wolontariuszy tworzy w wolnym czasie? Poza tym widzę, jak ludzie z Wix mówią mi w telewizji, że WordPress też nie jest bezpieczny.”
W porządku, zajmijmy się tym następnym.
Pierwszą rzeczą, którą musisz zrozumieć, jest to, że nic podłączonego do Internetu nie jest całkowicie bezpieczne. Każdego dnia tysiące stron internetowych, od tych największych do najmniejszych, ulega atakom hakerów. To jak w życiu, w końcu są różne poziomy niepewności i starania się, aby było jak najmniej prawdopodobne, aby wydarzyło się coś złego.
WordPress ma rozbudowane środki bezpieczeństwa
Tutaj WordPress nie radzi sobie gorzej niż inne. W rzeczywistości na przestrzeni lat platforma wdrożyła solidny system wykrywania i rozwiązywania problemów związanych z bezpieczeństwem produktu podstawowego.
Istnieje specjalny zespół ds. bezpieczeństwa, składający się z około 50 ekspertów, w tym wiodących programistów, badaczy bezpieczeństwa i innych specjalistów ds. bezpieczeństwa sieci. Wielu z nich pracuje dla WordPress.com, firmy, która ma żywotny interes w zabezpieczaniu oprogramowania, na którym opiera się cała ich firma.
Ponadto zespół konsultuje się z zespołami ds. bezpieczeństwa innych firm hostingowych, a nawet z systemami zarządzania treścią.
Ich rolą jest aktywne monitorowanie WordPressa pod kątem luk w zabezpieczeniach i szybkie reagowanie na wszelkie pojawiające się informacje. Jeśli cokolwiek zostanie zgłoszone jest wystarczająco poważne, mają możliwość stworzenia i natychmiastowej wysyłki łatki. Zostanie to automatycznie zainstalowane na dowolnej witrynie WordPress w wersji wyższej niż 3.7, chyba że specjalnie wyłączysz tę funkcję.
Poza tym WordPress ogólnie widzi częste aktualizacje, około dwóch do trzech nowych głównych wersji rocznie z drobnymi aktualizacjami konserwacyjnymi i zabezpieczeniami pomiędzy nimi. Każdy z nich zawiera poprawki potencjalnych problemów związanych z bezpieczeństwem i obszerny proces testowania.
Społeczność jest jego głównym atutem
Oprócz tego możesz mieć błędny obraz tego, jak naprawdę wygląda ta „grupa wolontariuszy”. Wielu z nich to pracownicy milionowych firm korzystających z WordPressa w swojej firmie. Ponadto wszyscy mają skórkę w grze, dzięki której oprogramowanie, na którym opierają swoje życie, jest bezpieczne.
Ogólnie rzecz biorąc, charakter open source WordPressa jest częścią jego siły. Kod źródłowy jest ogólnodostępny i każdy może go sprawdzić, a także znaleźć i zgłosić luki w zabezpieczeniach. I wiele osób tak robi. To znaczy, spójrz tylko na liczbę współpracowników WordPressa 6.3.
Wreszcie, istnieje wielu wyspecjalizowanych dostawców usług hostingowych i wtyczek zabezpieczających, które jeszcze bardziej poprawiają bezpieczeństwo witryn WordPress. Nie wspominając o tysiącach postów na blogach i samouczków, które pomagają użytkownikom we wdrażaniu środków bezpieczeństwa.
Co więc powiemy na ten mit o bezpieczeństwie WordPressa? To nie prawda. Istniejące systemy zapewniające bezpieczeństwo i odporność podstawowego produktu WordPress są równe lub przewyższają systemy podmiotów komercyjnych.
Mit nr 3: WordPress to najczęściej atakowana platforma
Coś, co może przyczynić się do Twojego niepokoju związanego z korzystaniem z WordPressa, to statystyki, które mówią, że jest to najczęściej hackowany CMS na rynku. I to prawda, w przeszłości o platformie było głośno w związku z pewnymi poważnymi problemami związanymi z bezpieczeństwem. To znaczy, spójrz tylko na ten wykres, czy nie budzi on sceptycyzmu wobec używania WordPressa do czegokolwiek poważnego?
Rozważ rozmiar WordPressa
W tym miejscu musimy wrócić do jednej z pierwszych rzeczy, które powiedzieliśmy we wstępie. WordPress to najpopularniejszy na rynku system zarządzania treścią.
Jak bardzo jest popularny?
Według W3techs obsługuje on ponad 43% wszystkich stron internetowych w Internecie.
W liczbach bezwzględnych jest to ponad 470 milionów witryn. To dużo stron internetowych. Ponadto, jak widać na powyższym wykresie, żaden inny system nie jest nawet blisko tych statystyk.
Dlaczego więc WordPress jest najczęściej hackowaną platformą? Ponieważ istnieje o wiele więcej witryn WordPress do zhakowania.
Pomyśl o tym, gdybyś był osobą, która w celach zarobkowych włamuje się na strony internetowe innych osób, na który system byś się zdecydował? Tę z nieskończoną liczbą potencjalnych ofiar i większym prawdopodobieństwem, że ktoś zostawi otwarte boczne drzwi, czy tę, w której cele są daleko i pomiędzy? Prawdopodobnie znasz odpowiedź.
Rdzeń WordPressa nie jest problemem
Wreszcie, jeśli zagłębisz się w statystyki, szybko odkryjesz, że tylko bardzo niewielki procent udanych hacków do WordPressa ma miejsce dzięki samemu WordPressowi. Nawet w takich przypadkach, często dlatego, że witryna ma nieaktualną wersję.
Ogromna część luk pochodzi z rozszerzeń WordPress, w szczególności z wtyczek.
Zatem tak, WordPress jest rzeczywiście najczęściej naruszaną platformą i wiele z tego mitu dotyczącego bezpieczeństwa jest prawdą. Jednak przyczyna tego jest znacznie bardziej zniuansowana.
Mit nr 4: Zatem wtyczki WordPress nie są bezpieczne
Uważny obserwator (którym z pewnością jesteś) mógłby zauważyć, że właśnie wrzuciliśmy całą naszą kłótnię pod autobus tam na górze. Najwyraźniej przyznaliśmy, że wtyczki WordPress stanowią ogromny problem bezpieczeństwa.
Ponieważ stanowią one centralną część ekosystemu i doświadczenia WordPressa (ponieważ wszyscy ich używają do dodawania większej liczby funkcji do stron internetowych), musi to oznaczać, że nie masz innego wyjścia, jak tylko budować niebezpieczne witryny za pomocą WordPress.
O nie, złapany!
Problem z wtyczkami
Oczywiście i tutaj trzeba zachować więcej niuansów.
Tak, oczywiście istnieje problem z wtyczkami WordPress. Stanowią częsty punkt wejścia na strony internetowe.
Aby jednak spojrzeć na to z innej perspektywy, najpierw musisz przyjrzeć się samej liczbie istniejących wtyczek. Samo repozytorium WordPressa ma około 60 000. Ponadto w innych sklepach w Internecie dostępnych jest wiele innych produktów.
Jednak to, co jest atutem ekosystemu WordPress, może być również obciążeniem. Autorzy tych wtyczek mają różne poziomy umiejętności i nie wszystkie wtyczki są aktywnie utrzymywane i aktualizowane. Dlatego mogą mieć różne poziomy jakości i bezpieczeństwa kodu.
Społeczność WordPressa jest tego świadoma i stara się reagować na ten problem. Zdarzały się przypadki, gdy wtyczki ze znanymi problemami zostały usunięte z katalogu wtyczek. Ponadto mamy ludzi pracujących nad narzędziem do sprawdzania wtyczek podobnym do wtyczki Theme check, aby zwiększyć ogólną jakość wtyczek WordPress.
Zatem pierwszą zasadą, która pozwala odeprzeć to zagrożenie bezpieczeństwa, jest upewnienie się, że korzystasz z wtyczek, które a) pochodzą z renomowanych źródeł oraz b) otrzymują aktywne wsparcie i konserwację.
Nie chodzi tylko o wtyczki, ale o to, jak z nich korzystasz
Jednak same wtyczki to tylko jedna część równania. W wielu przypadkach problem dotyczy w takim samym stopniu sposobu, w jaki ludzie korzystają z nich w swoich witrynach. W tym samym raporcie, o którym mowa powyżej, podano również, że 36% zaatakowanych witryn miało przestarzałą wtyczkę.
Zatem, podobnie jak w przypadku rdzenia WordPressa, niekoniecznie problemem jest oprogramowanie, ponieważ problemy z bezpieczeństwem rzeczywiście są naprawiane, ale użytkownicy nie stosują tych poprawek.
Poza tym często pojawia się problem z liczbą wtyczek. Jak wynika z powyższego, rozszerzenia niosą ze sobą pewne ryzyko. Dlatego im więcej ich masz, tym więcej potencjalnych bocznych drzwi wprowadzisz do swojej witryny.
Rozwiązanie: zainstaluj tylko tyle wtyczek, ile potrzebujesz, aby wykonać zadanie. Jeżeli nie korzystasz aktywnie z wtyczki, usuń ją. Nie pozwól, aby pozostawał w Twojej witrynie, gdzie nie robi nic innego, jak tylko się starzeje i potencjalnie stwarza zagrożenie bezpieczeństwa.
Mit nr 5: Twoja witryna nie jest celem i nikogo to nie obchodzi
Ten jest klasykiem wśród mitów dotyczących bezpieczeństwa stron internetowych, nawet poza WordPressem. Wiele osób, szczególnie tych, które prowadzą hobbystycznie lub małe witryny internetowe, uważa, że nie stanowią one wystarczająco dochodowego celu, aby haker był zainteresowany atakiem. To znaczy, jeśli publikujesz tylko zdjęcia swojego chomika, co ktoś może zyskać włamując się na Twoją witrynę?
Hakowanie nie jest sprawą osobistą
Musisz tu zrozumieć dwie rzeczy. Po pierwsze, hakowanie witryn internetowych w niczym nie przypomina tego, co można zobaczyć na filmach. Nie ma osoby w bluzie z kapturem siedzącej przed laptopem, która ręcznie wybiera Twoją witrynę, a następnie spędza czas ręcznie, szukając do niej sposobów.
Nie, zdecydowana większość ataków następuje automatycznie. Istnieje armia zautomatyzowanych botów, które stale skanują sieć w poszukiwaniu znanych luk w zabezpieczeniach witryn internetowych i jeśli je znajdą, wykorzystują je. W większości przypadków jesteś po prostu ofiarą okazji.
Przejęcie witryny nie jest tak naprawdę celem
Po drugie, włamanie na stronę internetową często nie polega na kradzieży danych finansowych lub innych wrażliwych informacji. W większości przypadków hakerzy próbują po prostu przejąć części Twojej witryny, aby wykorzystać ją do własnych celów:
- Zrekrutuj go jako część botnetu, aby wykorzystać go do takich celów, jak ataki DDoS
- Wysyłaj spam ze swojego serwera pocztowego
- Rozprzestrzeniaj złośliwe oprogramowanie na komputery odwiedzających
- Publikuj linki do oszukańczych witryn w swojej witrynie
Niektórzy ludzie robią to również po prostu, aby zniszczyć Twoją witrynę i udowodnić swoje umiejętności.
Więc miej to na uwadze. Tu nie chodzi o ciebie. Chodzi po prostu o bycie celem, który można wykorzystać i powinieneś zrobić wszystko, co w Twojej mocy, aby tego uniknąć.
Mit nr 6: Używanie silnych haseł zapewni bezpieczeństwo Twojej witryny
Korzystanie z bezpiecznych danych logowania jest zdecydowanie częścią bezpieczeństwa WordPressa i nie jest to mit. Słabe hasła i nazwy użytkowników mogą Cię ugryźć na wiele sposobów:
- Ataki brutalnej siły — oznaczają, że program losowo wypróbowuje różne kombinacje nazwy użytkownika i hasła, dopóki coś nie zadziała.
- Upychanie poświadczeń – jest to podobne do ataków brute-force, jednak jest bardziej ukierunkowane. W tym przypadku haker wykorzystuje dane uwierzytelniające, które zostały już naruszone, np. ujawnione w innym cyberataku. Atak ten opiera się na fakcie, że wiele osób ponownie wykorzystuje swoje nazwy użytkownika i hasła.
Jeśli nie wierzysz, że może być aż tak źle, oto infografika pokazująca, jak szybko hakerzy mogą złamać Twoje hasło ze względu na jego złożoność.
Dlatego silne hasła pomagają chronić Twoją witrynę. Dlaczego więc ten punkt pojawia się na liście mitów dotyczących bezpieczeństwa WordPressa?
Ponieważ same silne hasła tego nie zrobią. Bezpieczeństwo stron internetowych to zagadka, której są tylko jednym elementem. Jeśli zaniedbujesz resztę, nadal pozostawiasz atakującym otwarte możliwości włamania się na Twoją witrynę.
Poza tym hasła to dopiero początek. Aby naprawdę zablokować stronę logowania, najlepiej ograniczyć próby logowania, zastosować uwierzytelnianie wieloskładnikowe i rozważyć zaporę sieciową. Ponadto silne referencje mają znaczenie nie tylko w samej witrynie, ale także we wszystkim, co jest z nią powiązane, np. w hostingu i kontach FTP.
Mit nr 7: Wystarczy zainstalować wtyczkę zabezpieczającą i gotowe
Wielu początkujących, którzy nie wiedzą zbyt wiele o bezpieczeństwie WordPressa, polega na wtyczkach, aby zapewnić bezpieczeństwo swojej witryny. A wtyczki zabezpieczające WordPress, takie jak WordFence, MalCare lub Sucuri, są do tego wybawieniem. Są bardzo pomocni, pomagając niedoświadczonym użytkownikom w zabezpieczeniu witryny przed atakującymi za pomocą zaledwie kilku kliknięć.
Jednak ponownie nie jest to pewny sposób na zapewnienie bezpieczeństwa witryny. Obszar wpływu tych wtyczek jest ograniczony. W rzeczywistości mogą one jedynie zablokować samą witrynę, ale nie mają żadnej władzy nad jej większym środowiskiem.
Jeśli Twoja witryna znajduje się na niezabezpieczonym serwerze lub Twoje konto hostingowe zostanie naruszone poprzez słabe hasło, wtyczka zabezpieczająca nie będzie w stanie obronić Twojej witryny przed tym. Powtarzam więc, że wtyczki zabezpieczające WordPress same w sobie nie są mitem, po prostu nie mogą same wykonać tego zadania.
Ostatni mit: bezpieczeństwo WordPressa jest skomplikowane
Pogląd, że utrzymanie bezpieczeństwa witryny WordPress jest trudne, to kolejny mit, który powstrzymuje ludzi przed założeniem własnej. Chociaż jest to ważny temat, nie jest to również nauka o rakietach. Ostatecznie większość zabezpieczeń stron internetowych sprowadza się do przestrzegania kilku najlepszych praktyk:
- Skorzystaj z usług odpowiedniego dostawcy usług hostingowych, wybierz hosting zarządzany, jeśli potrzebujesz pomocy w zakresie bezpieczeństwa
- Aktualizuj WordPress oraz wszystkie wtyczki i motywy
- Miej w swojej witrynie tylko absolutne minimum rozszerzeń, wyłącz i usuń to, czego aktywnie nie używasz, i upewnij się, że to, co masz w witrynie, jest dobrze utrzymane
- Upewnij się, że Twoje dane logowania są mocne i chroń je, zwiększ bezpieczeństwo, ograniczając próby logowania i uwierzytelniając wieloskładnikowo
- Regularnie twórz kopie zapasowe swojej witryny, aby móc przywrócić wcześniejszą wersję
- Skorzystaj z wtyczek zabezpieczających WordPress, aby uzyskać pomoc, ale weź także pod uwagę części, nad którymi nie mają kontroli
Dzięki temu prawdopodobieństwo, że cokolwiek stanie się z Twoją witryną, powinno zostać znacznie zmniejszone, nawet jeśli nigdy nie będzie wynosić zero.
O jakim micie dotyczącym bezpieczeństwa WordPressa regularnie słyszysz lub który subskrybowałeś? Daj nam znać w komentarzach!