7 mituri de securitate WordPress: complet distruse și dezmințite
Publicat: 2023-10-21În ciuda faptului că este cel mai popular sistem de management al conținutului din lume, miturile despre securitatea platformei WordPress continuă să circule. Datorită naturii sale open-source, utilizatorii fără experiență ar putea să-l considere mai puțin sigur decât un produs comercial. În plus, ei pot fi deranjați de rapoartele despre probleme de securitate WordPress din știri.
Mitul #1: Securitatea este treaba furnizorului dvs. de găzduire
În calitate de începător sau proprietar de site pentru prima dată, ați putea crede că menținerea site-ului dvs. în siguranță este domeniul persoanelor pe care îi plătiți pentru a-l menține online. Și asta este adevărat într-un fel; furnizorul dvs. de găzduire web este într-adevăr prima linie de apărare. Este datoria lor să se asigure că serverul tău web nu este ușor de accesat și să protejeze entitatea fizică pe care se află site-ul tău. Dacă nu o fac, sunt pur și simplu o gazdă proastă.
Securitatea site-ului web este în principal responsabilitatea dvs
Cu toate acestea, în afară de asta, cât de implicat este furnizorul tău de găzduire cu securitatea site-ului tău WordPress depinde într-adevăr de planul tău. Pe o gazdă partajată, o gazdă VPS sau chiar pe un server dedicat, practic închiriați doar spațiul serverului. Ceea ce faci cu el depinde de tine.
Aceasta înseamnă că furnizorul de găzduire nu vă ajută în niciun fel să vă păstrați site-ul WordPress în siguranță. Asta e treaba ta.
Sigur, unii furnizori vor oferi funcții de securitate suplimentare, cum ar fi un firewall sau CDN. De asemenea, își vor monitoriza serverele pentru malware, viruși etc. și vor lua măsuri dacă detectează ceva pe site-ul tău. Cu toate acestea, de multe ori asta înseamnă, de asemenea, că vă dezactivează site-ul și vă solicită să îl remediați. Nu este o soluție ideală, mai ales dacă ești începător.
Găzduirea gestionată poate ajuta
Dacă doriți ca furnizorul dvs. de găzduire să aibă un rol mai activ în siguranța site-ului dvs. WordPress, trebuie să alegeți găzduirea gestionată. Se numește așa pentru că, pe lângă furnizarea de spațiu pe server, un furnizor de găzduire gestionat preia și unele dintre sarcinile de zi cu zi care vin cu rularea unui site web. Securitatea este una dintre ele, la fel ca optimizarea vitezei, actualizările site-ului și asistența de specialitate.
Desigur, acest tip de serviciu costă suplimentar, totuși, de multe ori merită, în funcție de încrederea în propriul nivel de calificare pentru a vă securiza site-ul. Poate oferi multă liniște sufletească.
Cu toate acestea, în general, să risipim acest mit de securitate WordPress odată pentru totdeauna: cu excepția cazului în care face parte din serviciul pe care l-ați rezervat, furnizorul dvs. de găzduire nu este responsabil pentru siguranța site-ului dvs. și pentru a împiedica încălcarea și piratarea acestuia. Această responsabilitate este a ta.
Mitul #2: WordPress în sine este un risc de securitate
Acum, s-ar putea să vă gândiți: „Ok, dacă furnizorul de găzduire nu face asta pentru mine, nu este riscant să mă bazez pe un software gratuit? Cât de bun poate fi ceva ce fac o grămadă de voluntari în timpul liber? În plus, văd că acești oameni Wix îmi spun la televizor că și WordPress nu este sigur.”
Bine, să o abordăm în continuare.
Primul lucru pe care trebuie să-l înțelegi este că nimic conectat la Internet nu este complet sigur. Mii de site-uri web sunt sparte în fiecare zi, de la cel mai mare la cel mai mic. E ca și cum viața, în cele din urmă, există doar diferite niveluri de nesiguranță și ai grijă să faci cât mai puțin probabil să se întâmple ceva rău.
WordPress are măsuri extinse de siguranță
Aici, WordPress nu merge mai rău decât alții. De fapt, de-a lungul anilor, platforma a implementat un sistem robust pentru descoperirea și abordarea problemelor de securitate în produsul de bază.
Există o echipă de securitate dedicată formată din aproximativ 50 de experți, inclusiv dezvoltatori principali, cercetători în securitate și alți profesioniști în securitatea web. Mulți dintre ei lucrează pentru WordPress.com, o companie care are un interes personal în a proteja software-ul pe care se bazează întreaga lor afacere.
În plus, echipa se consultă cu echipele de siguranță din alte companii de găzduire și chiar cu sisteme de management al conținutului.
Rolul lor este de a monitoriza în mod activ WordPress pentru vulnerabilități și de a răspunde rapid la orice apare. Dacă ceva raportat este suficient de grav, ei au posibilitatea de a crea și de a expedia un patch imediat. Aceasta se va instala automat pe orice site WordPress mai mare decât versiunea 3.7, cu excepția cazului în care dezactivați în mod special această funcție.
În plus, WordPress vede în general actualizări frecvente, aproximativ două până la trei versiuni majore noi pe an, cu actualizări minore, de întreținere și de securitate între ele. Fiecare vine cu remedieri pentru potențiale probleme de securitate și un proces amplu de testare.
Comunitatea sa este atuul său principal
În plus față de cele de mai sus, este posibil să aveți o imagine greșită despre cum arată cu adevărat acest „grup de voluntari”. Mulți dintre ei sunt angajați ai unor companii de milioane de dolari care folosesc WordPress pentru afacerea lor. În plus, toți au skin în joc pentru a menține în siguranță software-ul pe care își bazează mijloacele de existență.
În general, natura open-source a WordPress face parte din puterea sa. Codul sursă este disponibil gratuit, deschis pentru oricine să inspecteze, precum și să găsească și să raporteze lacune de securitate. Și mulți oameni o fac. Adică, uită-te la numărul de colaboratori pentru WordPress 6.3.
În cele din urmă, există mulți furnizori de găzduire specializați și pluginuri de securitate pentru a îmbunătăți și mai mult siguranța site-urilor WordPress. Ca să nu mai vorbim de miile de postări de blog și tutoriale care îi ajută pe utilizatori să implementeze și măsuri de securitate.
Deci, ce spunem acestui mit de securitate WordPress? Nu este adevarat. Sistemele existente pentru a asigura siguranța și inexpugnabilitatea produsului de bază al WordPress sunt egale cu sau depășesc cele ale entităților comerciale.
Mitul # 3: WordPress este cea mai piratată platformă
Ceva care ar putea contribui la neliniștea dvs. cu privire la utilizarea WordPress sunt statisticile care spun că este cel mai piratat CMS de acolo. Și este adevărat, platforma a fost în știri cu unele probleme de securitate importante în trecut. Adică, uită-te la acest grafic, nu te face să fii sceptic cu privire la utilizarea WordPress pentru ceva serios vreodată?
Luați în considerare dimensiunea WordPress
În acest moment, trebuie să ne referim la unul dintre primele lucruri pe care le-am spus în introducere. WordPress este cel mai popular sistem de management de conținut.
Cât de popular este?
Potrivit W3techs, alimentează mai mult de 43% din toate site-urile web de pe Internet.
În cifre absolute, adică peste 470 de milioane de site-uri. Sunt multe site-uri web. În plus, după cum puteți vedea din graficul de mai sus, niciun alt sistem nu se apropie nici măcar de aceste statistici.
Deci, de ce este WordPress cea mai piratată platformă? Pentru că există mult mai multe site-uri WordPress de piratat.
Gândește-te bine, dacă ai fi cineva care intră pe site-urile altor persoane pentru a câștiga existența, ce sistem ai viza? Cel cu o cantitate nesfârșită de potențiale victime și mai multe șanse ca cineva să lase o ușă laterală deschisă, sau cel în care țintele sunt departe și între ele? Probabil știi răspunsul.
Nucleul WordPress nu este problema
În cele din urmă, dacă te aprofundezi în statistici, vei descoperi rapid că doar un procent foarte mic de hack-uri WordPress reușite se întâmplă datorită WordPress însuși. Și chiar și în acele cazuri, de multe ori pentru că site-ul rulează o versiune învechită.
O mare parte a vulnerabilităților vine prin extensiile WordPress, în special prin pluginuri.
Deci, da, WordPress este într-adevăr cea mai încălcată platformă, că o mare parte din acest mit de securitate este adevărat. Cu toate acestea, motivul din spatele acestuia este mult mai nuanțat.
Mitul #4: Atunci pluginurile WordPress nu sunt sigure
Un observator pasionat (ceea ce cu siguranță ești) ar fi observat că tocmai ne-am aruncat toată cearta sub autobuz acolo sus. Aparent, am recunoscut că pluginurile WordPress sunt o problemă uriașă de securitate.
Deoarece sunt o parte centrală a ecosistemului și experienței WordPress (pentru că toată lumea le folosește pentru a adăuga mai multe funcții site-urilor web), asta trebuie să însemne că nu aveți de ales decât să construiți site-uri web nesigure cu WordPress.
Oh, nu, spart!
Problema cu pluginurile
Desigur, și aici trebuie să fii mai nuanțat.
Da, evident că există o problemă cu pluginurile WordPress. Sunt un punct de intrare comun în site-uri web.
Cu toate acestea, pentru a pune acest lucru în perspectivă, mai întâi trebuie să vă uitați la numărul mare de plugin-uri care există. Doar depozitul WordPress are aproximativ 60.000. În plus, există multe altele disponibile din alte magazine de pe web.
Cu toate acestea, ceea ce este un atu al ecosistemului WordPress poate fi și o răspundere. Autorii acestor plugin-uri au diferite niveluri de calificare și nu toate plugin-urile sunt întreținute și actualizate în mod activ. Prin urmare, ele pot avea diferite niveluri de calitate și securitate a codului.
Comunitatea WordPress este conștientă de acest lucru și face tot posibilul să răspundă la această problemă. Au existat cazuri în care pluginurile cu probleme cunoscute au fost eliminate din directorul de pluginuri. În plus, avem oameni care lucrează la un verificator de pluginuri similar cu pluginul de verificare a temei pentru a crește calitatea generală a pluginurilor WordPress.
Deci, prima regulă care să respingă acest risc de securitate este să vă asigurați că utilizați pluginuri care a) provin din surse de renume și b) primesc asistență și întreținere activă.
Nu este vorba doar despre pluginuri, ci despre modul în care le utilizați
Cu toate acestea, pluginurile în sine sunt doar o parte a ecuației. În multe cazuri, problema este la fel de mult despre modul în care oamenii le folosesc pe site-urile lor. În același raport menționat mai sus, se mai spune că 36% dintre site-urile piratate aveau un plugin învechit.
Așadar, la fel ca și în cazul nucleului WordPress, nu este neapărat software-ul care este problema, deoarece problemele de securitate sunt într-adevăr remediate, ci utilizatorii nu aplică acele remedieri.
În plus, există adesea o problemă cu numărul de pluginuri. După cum reiese din cele de mai sus, extensiile prezintă un anumit risc cu ele. Prin urmare, cu cât aveți mai multe dintre ele, cu atât introduceți mai multe uși laterale potențiale site-ului dvs.
Soluția: instalați doar câte plugin-uri aveți nevoie pentru a finaliza treaba. Dacă nu utilizați în mod activ un plugin, ștergeți-l. Nu-l lăsați pe site-ul dvs. web unde nu face altceva decât să îmbătrânească și să ofere potențial un risc de securitate.
Mitul #5: Site-ul tău nu este o țintă, nimănui nu-i pasă de el
Acesta este un clasic printre miturile securității site-ului web, chiar și în afara WordPress. Mulți oameni, în special cei care conduc site-uri web de hobby sau mici, nu cred că oferă o țintă suficient de profitabilă pentru ca un hacker să se intereseze să o atace. Adică, dacă postați doar poze cu hamsterul dvs. de companie, ce ar putea obține cineva dacă vă încălca site-ul?
Hackingul nu este personal
Sunt două lucruri pe care trebuie să le înțelegi aici. În primul rând, hacking-ul de site-uri web nu seamănă cu ceea ce vezi în filme. Nu există o persoană în hanoraș care să stea în fața unui laptop care să vă aleagă manual site-ul și apoi să-și petreacă manual timpul căutând modalități de acces.
Nu, marea majoritate a atacurilor au loc automat. Există o armată de roboți automatizați care scanează în mod constant web-ul pentru vulnerabilități cunoscute în site-uri web și, dacă găsesc unul, profită de el. De cele mai multe ori ești pur și simplu o victimă a oportunității.
Preluarea site-ului dvs. nu este cu adevărat scopul
În al doilea rând, piratarea unui site web adesea nu înseamnă furtul de date financiare sau alte informații sensibile. În cele mai multe cazuri, hackerii încearcă pur și simplu să preia părți ale site-ului dvs. pentru a-l folosi în propriul câștig:
- Recrutați-l ca parte a unei rețele bot pentru a-l folosi în lucruri precum atacurile DDoS
- Trimiteți spam de pe serverul dvs. de e-mail
- Răspândiți programe malware pe computerele vizitatorilor dvs
- Postați link-uri către site-uri web înșelătoare pe site-ul dvs
Unii oameni o fac pur și simplu pentru a vă deteriora site-ul și a-și dovedi abilitățile.
Deci, ține cont de asta. Nu este vorba despre tine. Este pur și simplu să fii o țintă care poate fi exploatată și ar trebui să faci tot posibilul pentru a evita asta.
Mitul #6: Folosirea parolelor puternice vă va menține site-ul în siguranță
Folosirea informațiilor de conectare securizate este cu siguranță o parte a securității WordPress, asta nu este un mit. Există multe moduri în care parolele slabe și numele de utilizator pot reveni să te muște:
- Atacurile cu forță brută – Înseamnă că un program încearcă aleatoriu diferite combinații de nume de utilizator și parolă până când ceva funcționează.
- Umplutura de acreditări – Aceasta este similară cu atacurile cu forță brută, totuși, mai direcționată. În acest caz, un hacker folosește acreditări care au fost deja compromise, de exemplu, dezvăluite într-un alt atac cibernetic. Acest atac se bazează pe faptul că mulți oameni își refolosesc numele de utilizator și parolele.
Dacă nu crezi că acest lucru poate fi atât de rău, iată un infografic care îți arată cât de repede pot sparge, în medie, hackerii parola în funcție de complexitatea acesteia.
Prin urmare, parolele puternice vă ajută să vă protejați site-ul. Atunci de ce apare acest punct într-o listă de mituri de securitate WordPress?
Pentru că parolele puternice singure nu vor face acest lucru. Securitatea site-ului web este un puzzle din care sunt doar o piesă. Dacă neglijezi restul, lași în continuare căi importante deschise atacatorilor să-ți violeze site-ul.
În plus, parolele sunt doar începutul. Pentru a vă bloca cu adevărat pagina de autentificare, vă recomandăm să limitați încercările de conectare, să utilizați autentificarea cu mai mulți factori și să luați în considerare un firewall. În plus, acreditările puternice nu contează doar pe site, ci și pentru tot ceea ce are legătură cu acesta, cum ar fi conturile dvs. de găzduire și FTP.
Mitul #7: Pur și simplu instalați un plugin de securitate, treaba gata
O mulțime de începători, care nu știu prea multe despre securitatea WordPress, se bazează pe pluginuri pentru a-și păstra site-ul în siguranță. Și pluginurile de securitate WordPress precum WordFence, MalCare sau Sucuri sunt o mană divină pentru asta. Sunt atât de utile în a ajuta utilizatorii fără experiență să își întărească site-ul împotriva atacatorilor cu doar câteva clicuri.
Cu toate acestea, din nou, aceasta nu este o modalitate sigură de a vă păstra site-ul în siguranță. Zona de influență pentru aceste plugin-uri are limitele ei, ele pot într-adevăr doar bloca site-ul în sine, dar nu au putere asupra mediului său mai larg.
Dacă site-ul dvs. se află pe un server nesecurizat sau contul dvs. de găzduire este încălcat printr-o parolă slabă, pluginul dvs. de securitate va fi neputincios să vă apere site-ul împotriva acestuia. Deci, din nou, pluginurile de securitate WordPress în sine nu sunt un mit, doar că nu pot face treaba singure.
Mitul final: Securitatea WordPress este complicată
Ideea că este dificil să vă păstrați site-ul WordPress în siguranță este un alt mit care îi împiedică pe oameni să-și înceapă propriul lor site. Deși acesta este un subiect important, nu este nici știință rachetă. În cele din urmă, cea mai mare parte a securității site-ului se rezumă la respectarea câtorva bune practici:
- Utilizați un furnizor de găzduire adecvat, alegeți găzduire gestionată dacă doriți asistență cu securitatea
- Păstrați WordPress și toate pluginurile și temele actualizate
- Aveți doar un minim de extensii pe site-ul dvs., dezactivați și ștergeți ceea ce nu utilizați în mod activ și asigurați-vă că ceea ce aveți pe site este bine întreținut
- Asigurați-vă că datele dvs. de conectare sunt puternice și păstrați-le în siguranță, îmbunătățiți securitatea limitând încercările de conectare și prin autentificarea cu mai mulți factori
- Faceți în mod regulat copii de rezervă pentru site-ul dvs. pentru a putea reveni la o versiune anterioară
- Utilizați pluginuri de securitate WordPress pentru asistență, dar luați în considerare și părțile asupra cărora nu au control
Cu acestea, probabilitatea ca site-ul tău să se întâmple ceva ar trebui să fie mult redusă, chiar dacă nu poate fi niciodată zero.
Despre ce mit de securitate WordPress auziți în mod regulat sau la care ați folosit pentru a vă abona? Spune-ne în comentarii!