Obalanie mitów dotyczących bezpieczeństwa hostingu WordPress

Hosting WordPress jest złożony. Każda witryna WordPress zależy od stosu oprogramowania i sprzętu stworzonego przez firmy i społeczności, których standardy i wartości są trudne do zrozumienia z zewnątrz. Rodzi to nieporozumienia i mity, zwłaszcza jeśli chodzi o bezpieczeństwo.
W tym artykule przyjrzymy się niektórym z najbardziej szkodliwych mitów dotyczących hostingu WordPressa, ze szczególnym uwzględnieniem mitów, które prowadzą do błędów bezpieczeństwa.

Małe witryny nie padają ofiarą hakerów

Media często donoszą o poważnych naruszeniach bezpieczeństwa, w których cel atakującego wydaje się oczywisty. Ofiary przechowują gigabajty danych osobowych, które można wykorzystać do kradzieży tożsamości. Wiele przechowuje numery kart kredytowych, które są kradzione z oczywistych powodów. Niektórzy napastnicy zajmują się szpiegostwem przemysłowym.
Nie dotyczy to mniejszych witryn z garstką kont użytkowników: nie ma tam zbyt wielu przydatnych danych osobowych. Rzadko przechowują numery kart kredytowych, mądrze decydując się na użycie procesora płatności. Dlaczego więc przestępca miałby zainwestować wysiłek w zhakowanie małej witryny?
Po pierwsze, nie wymaga to dużego wysiłku. Większość hakerów jest zautomatyzowana: boty przeczesują sieć w poszukiwaniu podatnych na ataki witryn, narażając je na wcześniej zaprogramowane ataki. Atakujący uwalnia swoje boty i czeka na przybycie adresów IP.
Po drugie, nawet niewielka strona jest cenna. Ma publiczność, która może zostać zainfekowana złośliwym oprogramowaniem. Można go przeciągnąć do botnetu atakującego i wykorzystać do zhakowania innych witryn lub wzięcia udziału w atakach DDoS. Może być używany do spamu SEO. Każda witryna internetowa reprezentuje pakiet przepustowości, pamięci masowej i mocy obliczeniowej — z których wszystkie są przydatne dla przestępców.

Jeśli to działa, po co aktualizować?

Ludzie, którzy nie spędzają życia na wpatrywaniu się w kod na ekranie, są całkiem zadowoleni, gdy technologia robi to, co powinna. Mogą czuć, że aktualizacje, które przynoszą zmiany, są niepożądanym zakłóceniem. WordPress nie jest trudny do nauczenia, ale jest na tyle trudny, że myśl o zmianie niepokoi niektóre z jego milionów użytkowników.
Osoby, które na co dzień korzystają z WordPressa, przyzwyczajają się do niego. Wolą unikać zmian ze względu na zmianę, dlatego często niechętnie aktualizują. W końcu po co zmieniać to, co działa.
Odpowiedź dewelopera na to jest dwojaka. Oprogramowanie nigdy nie stoi w miejscu i musi się zmieniać, aby nadążyć za zmianami na świecie. Co ważniejsze, aktualizacje naprawiają błędy, które powodują luki w zabezpieczeniach. Witryna, która nie była aktualizowana od kilku miesięcy, jest prawie na pewno podatna na ataki. W poprzedniej sekcji mówiliśmy o botnetach i automatycznym hakowaniu. Boty poszukują niezałatanych systemów zarządzania treścią. W końcu znajdą niezałataną witrynę, która zostanie zhakowana.

Wiedziałbym, gdyby był problem

Jak wygląda zhakowana strona internetowa? W większości wygląda jak witryna, która nie została zhakowana — zwłaszcza dla jej właściciela. Jak już wspomnieliśmy, źli aktorzy włamują się do witryny, ponieważ chcą jej danych, zasobów, odwiedzających lub potencjału SEO. Jeśli właściciel witryny dowie się, że został zhakowany, zły gracz straci dostęp do tych zasobów. Więc są podstępne. Próbują się ukryć.
Jeśli przyjrzysz się uważnie, możesz zauważyć skoki przepustowości lub wykorzystania pamięci. Jeśli regularnie skanujesz w poszukiwaniu złośliwego oprogramowania, możesz znaleźć ich złośliwy kod. Ale jeśli korzystasz z witryny normalnie, prawdopodobnie nie zobaczysz, że coś jest nie w porządku.
Weźmy na przykład spam SEO. Gdy witryna zostanie naruszona, do jej zawartości wstrzykiwane są łącza do witryn, które osoba atakująca chce promować. Te linki są widoczne dla Google i mogą być widoczne dla zwykłych odwiedzających, ale są ukryte przed osobami zalogowanymi w witrynie.
Dlatego dobrym pomysłem jest regularne skanowanie witryny za pomocą narzędzia takiego jak Sucuri lub Wordfence . Wykrywają złośliwy kod i informują o tym. Jeśli nie skanujesz, najprawdopodobniej dowiesz się o ataku, gdy Google zacznie ostrzegać odbiorców, że Twoja witryna jest niebezpieczna.

SSL zapewnia bezpieczeństwo Twojej witryny

Certyfikaty SSL mają dwa zadania. Szyfrują dane przesyłane przez sieć z serwera do przeglądarki iz powrotem. Są one używane przez przeglądarki do sprawdzenia, czy są połączone z hostem, którego oczekują. To wszystko robią certyfikaty SSL. Są niezbędnym narzędziem bezpieczeństwa i prywatności, ale nie chronią danych przechowywanych na serwerze witryny. Nie chronią też witryny przed atakującymi, którzy chcą wykorzystać luki w zabezpieczeniach.

Każda wtyczka WordPress jest darmowa

Jest to zgubny mit, który powoduje, że ludzie pobierają wtyczki zainfekowane złośliwym oprogramowaniem. Większość wtyczek WordPress jest open source na licencji GPL. Kiedy programista rozpowszechnia wtyczkę, dystrybuuje również kod źródłowy. Wymaga tego licencja.
Często oprogramowanie open source jest bezpłatne. Korzystanie z niego nie kosztuje żadnych pieniędzy. Sam WordPress jest oprogramowaniem typu open source i darmowym. Ale niektóre oprogramowanie open source nie jest darmowe . Wtyczki Premium WordPress należą do tej kategorii: są open source, ale programista oczekuje od użytkowników uiszczenia opłaty licencyjnej za korzystanie z wtyczki.
Gdy użytkownicy uiszczają opłatę, otrzymują zgodnie z wymaganiami kod źródłowy. Ale open source nie oznacza, że ​​programista musi dać każdemu kod źródłowy — tylko osoby, którym dystrybuowana jest wtyczka, osoby, które zapłaciły. Jest to często źle rozumiane. Zabranie kodu motywu premium i rozdanie go za darmo po zapłaceniu jest całkowicie legalne, ale w społeczności WordPressa jest to odradzane z oczywistych powodów.
Możesz się zastanawiać, co to ma wspólnego z bezpieczeństwem. Źli aktorzy wiedzą, że ludzie chcą korzystać z wtyczek premium bez płacenia za nie. Więc biorą wtyczkę, dodają trochę złośliwego oprogramowania i rozdają ją za darmo. Te „nulled” lub „pirackie” wtyczki zawierają tylne drzwi i inny złośliwy kod. Gdy niczego niepodejrzewający użytkownik WordPressa instaluje wtyczkę zerową, przekazuje kontrolę nad swoją witryną atakującemu. Instalowanie pirackich wtyczek na swojej stronie to zły pomysł.
W tym poście omówiliśmy pięć popularnych mitów dotyczących hostingu WordPressa, a jest ich o wiele więcej. Jeśli chcesz zobaczyć kolejny post, który zagłębia się w więcej mitów dotyczących hostingu WordPress, daj nam znać w komentarzach.