Dezmințirea miturilor privind securitatea găzduirii WordPress

Găzduirea WordPress este complexă. Fiecare site WordPress depinde de un teanc de software și hardware creat de companii și comunități cu standarde și valori greu de înțeles din exterior. Acest lucru dă naștere la neînțelegeri și mituri, mai ales în ceea ce privește securitatea.
În acest articol, ne uităm la unele dintre cele mai pernicioase mituri de găzduire WordPress, cu un accent deosebit pe miturile care duc la greșeli de securitate.

Site-urile mici nu sunt piratate

Mass-media relatează adesea despre breșe semnificative de securitate în care scopul atacatorului pare evident. Victimele stochează gigaocteți de date cu caracter personal care pot fi folosiți pentru furtul de identitate. Multe numere de carduri de credit din magazin, care sunt furate din motive evidente. Unii atacatori sunt angajați în spionaj industrial.
Nimic din toate acestea nu se aplică site-urilor web mai mici, cu câteva conturi de utilizator: nu prea multe date personale utile acolo. Ei stochează rareori numere de card de credit, optând în mod înțelept să folosească un procesor de plăți. Deci, de ce ar investi un criminal efortul de a pirata un site mic?
În primul rând, nu este un efort mare. Cele mai multe hacking-uri sunt automatizate: roboții caută site-uri vulnerabile, compromițându-le cu atacuri preprogramate. Atacatorul își eliberează roboții și așteaptă să apară adresele IP.
În al doilea rând, chiar și un site mic este valoros. Are un public, care poate fi infectat cu malware. Poate fi introdus în rețeaua botnet a atacatorului și folosit pentru a compromite alte site-uri sau pentru a participa la atacuri DDoS. Poate fi folosit pentru spam SEO. Fiecare site web reprezintă un pachet de lățime de bandă, stocare și putere de procesare - toate acestea fiind utile infractorilor.

Dacă funcționează, de ce să faceți upgrade?

Oamenii care nu își petrec viața uitându-se la cod pe un ecran sunt destul de mulțumiți când tehnologia face ceea ce trebuie. Ei pot simți că actualizările, care aduc schimbări, sunt o întrerupere nedorită. WordPress nu este greu de învățat, dar este destul de greu încât gândul la schimbare îi îngrijorează pe unii dintre milioanele de utilizatori.
Oamenii care folosesc WordPress în fiecare zi se obișnuiesc cu el. Ei preferă să evite schimbarea de dragul schimbării și, prin urmare, sunt adesea reticenți în a actualiza. La urma urmei, de ce să modifici ceea ce funcționează.
Răspunsul dezvoltatorului la aceasta este dublu. Software-ul nu stă niciodată pe loc și trebuie să se schimbe pentru a ține pasul cu schimbările din lume. Și, mai important, actualizările remediază erorile care cauzează vulnerabilități de securitate. Un site care nu a fost actualizat de câteva luni este aproape sigur vulnerabil. În secțiunea anterioară, am vorbit despre botnet-uri și hacking automat. Sistemele de management al conținutului nepattchizate sunt pe care acești roboți le caută. În cele din urmă, vor găsi un site nepatchat și va fi spart.

Aș ști dacă a existat o problemă

Cum arată un site web piratat? În cea mai mare parte, arată ca un site web care nu a fost piratat – în special pentru proprietarul său. După cum am discutat, actorii răi încalcă un site web pentru că își doresc datele, resursele, vizitatorii sau potențialul SEO. Dacă proprietarul site-ului află că au fost piratați, actorul rău pierde accesul la acele resurse. Deci, sunt smecheri. Ei încearcă să se ascundă.
Dacă vă uitați cu atenție, este posibil să observați creșteri ale lățimii de bandă sau ale utilizării memoriei. Dacă scanați în mod regulat pentru programe malware, este posibil să găsiți codul lor rău intenționat. Dar dacă utilizați site-ul în mod normal, este puțin probabil să vedeți ceva în neregulă.
Luați ca exemplu spam-ul SEO. Când un site este compromis, linkurile către site-urile pe care atacatorul dorește să le promoveze sunt injectate în conținutul său. Aceste link-uri sunt vizibile pentru Google și ar putea fi vizibile pentru vizitatorii obișnuiți, dar sunt ascunse pentru persoanele conectate pe site.
De aceea, este o idee bună să vă scanați în mod regulat site-ul cu un instrument precum Sucuri sau Wordfence . Ei detectează coduri rău intenționate și vă anunță despre el. Dacă nu scanați, atunci este cel mai probabil să aflați despre un atac atunci când Google începe să vă avertizeze publicul că site-ul dvs. este nesigur.

SSL vă păstrează site-ul în siguranță

Certificatele SSL au două locuri de muncă. Ele criptează datele care călătoresc prin rețea de la un server la un browser și înapoi. Și sunt folosite de browsere pentru a verifica dacă sunt conectate la gazda la care se așteaptă. Asta e tot ce fac certificatele SSL. Sunt un instrument esențial de securitate și confidențialitate, dar nu protejează datele stocate pe serverul site-ului. Nici nu protejează un site de atacatorii care doresc să exploateze vulnerabilități.

Fiecare plugin WordPress este gratuit

Acesta este un mit pernicios care îi determină pe oameni să descarce pluginuri infectate cu malware. Majoritatea pluginurilor WordPress sunt open source sub licență GPL. Când dezvoltatorul distribuie pluginul, ei distribuie și codul sursă. Ei sunt obligați să facă acest lucru prin licență.
Adesea, software-ul open source este gratuit. Nu costă deloc bani de utilizat. WordPress în sine este open source și gratuit. Dar unele programe cu sursă deschisă nu sunt gratuite . Pluginurile WordPress premium sunt în această categorie: sunt open source, dar dezvoltatorul se așteaptă ca utilizatorii să plătească o taxă de licență pentru a utiliza pluginul.
Când utilizatorii plătesc taxa, primesc codul sursă, după cum este necesar. Dar open source nu înseamnă că dezvoltatorul trebuie să ofere tuturor codul sursă - doar persoanele cărora le este distribuit pluginul, oamenii care au plătit. Acest lucru este de obicei greșit înțeles. Este perfect legal să luați codul unei teme premium și să îl oferiți gratuit odată ce ați plătit pentru el, dar acest lucru este descurajat în comunitatea WordPress, din motive evidente.
S-ar putea să vă întrebați ce legătură are asta cu securitatea. Actorii răi știu că oamenii vor să folosească pluginuri premium fără a plăti pentru ele. Deci, ei iau pluginul, adaugă o stropire de malware și îl oferă gratuit. Aceste pluginuri „nulate” sau „pirate” conțin uși din spate și alt cod rău intenționat. Când un utilizator WordPress nebănuit instalează pluginul anulat, acesta oferă controlul asupra site-ului său unui atacator. Instalarea pluginurilor pirat pe site-ul tău este o idee proastă.
Am acoperit cinci mituri comune despre găzduirea WordPress în această postare și sunt multe altele pe care le-am putea include. Dacă doriți să vedeți o postare ulterioară care se scufundă în mai multe mituri despre găzduirea WordPress, anunțați-ne în comentarii.