Utrzymanie bezpieczeństwa w systemach opartych o WordPress

Łukasz Stusio

Specjalista SEO

Opublikowane: 6 października, 2021
Kategoria:
5
(6)

WordPress to system bardzo popularny, co czyni go szczególnie interesującym dla hakerów. Opiera się na nim ok. 40% wszystkich stron, dlatego opłaca się go atakować. W przypadku sukcesu w ramach jednej witryny, istnieje bowiem duże prawdopodobieństwo, że ta sama metoda zadziała również na innych. Biorąc pod uwagę zagrożenie, warto przygotować się na potencjalny atak i zadbać o bezpieczeństwo swojego WordPressa.

Jak bronić się przed atakami brute force?

Atak oparty na nieutoryzowanym logowaniu nazywany jest brute force. Z grubsza polega on na tym, że atakujący podaje wiele haseł lub fraz w nadziei, że w końcu odgadnie prawidłową kombinację. Tym samym, atakujący systematycznie sprawdza wszystkie możliwe loginy i hasła, dopóki nie znajdzie właściwych.

1. Zmień domyślny login do panelu admina

Domyślny adres to */wp-admin lub */wp-login.php. Nie zmieniając go, praktycznie podajesz na tacy broń potencjalnemu atakującemu.

Uwaga! Zmiana na /admin1 nie podniesie poziomu bezpieczeństwa.

2. Używaj złożonych, długich haseł

Za bezpieczeństwem stoi matematyka. Rzuć tylko okiem na zestawienie z Don’t Be Cracked: The Math Behind Good Online Passwords:

Kombinacja dwunastu małych i wielkich liter ze znakami specjalnymi i liczbami w haśle to w przypadku ataków typu brute force przeszło 15 milionów lat zgadywania!

3. Ściągnij managera haseł

Dzięki managerowi haseł nie musisz zapamiętywać długich i złożonych haseł dla różnych kont. Wystarczy, że nauczysz się wyłącznie jednego – tego do managera haseł. Link do aktualnego przeglądu najlepszych programów tego typu: The Best Password Managers for 2021

4. Dwustopniowa weryfikacja

Aktywuj ją, jeśli tylko możesz. Stanowi dobre zabezpieczenie, ponieważ wymusza potwierdzenie logowania na innym, niezależnym urządzeniu (np. poprzez SMS na telefon). Dwustopniową weryfikację wprowadza coraz więcej aplikacji, np. GitHub.

5. Opóźnij ponowne logowanie

Chociaż o 0,1 sekundy! Użytkownik tego nie odczuje, natomiast takie spowolnienie będzie uciążliwe dla atakującego.

6. Wymuś walidację captcha po wielokrotnie nieudanych próbach logowania

Choć stosunkowo łatwa dla użytkownika, captcha stanowi znaczące utrudnienie dla atakującego, spowalniając atak brute force do stopnia, w którym traci on sens.

7. Zablokuj konto

System można ustawić tak, aby blokował się po dowolnej liczbie nieudanych prób logowania. Jako skrajny przykład takiego rozwiązania można przywołać iPhone, który po dziesięciu nieudanych próbach czyści swoją zawartość.

8. Odświeżaj i dywersyfikuj hasła

Niektórzy (np. niebezpiecznik.pl) stoją na stanowisku, że zmiana haseł daje relatywnie niewiele. Natomiast większość zgadza się, że dywersyfikacja (czyli ustawianie różnych haseł dla różnych kont) zapobiega łańcuchowi włamów w przypadku ujawnienia jednego dostępu.

9. Monitoruj anomalie

Obserowanie anomalii pozwala na zamknięcie podejrzanego konta, zablokowanie adresu IP, kontakt z użytkownikiem i/lub kontrolowane śledzenie aktywności atakującego.

10. Automatycznie wylogowywuj nieaktywnych użytkowników

To prosty zabieg głównie stosowany przez strony bankowe. Po określonym czasie nieaktywności (np. 10 minutach) zostajesz wylogowany z systemu, co zapobiega nieautoryzowanym wejściom.

11. Zablokuj egzekwowanie funkcji PHP dla niezaufanych folderów

Tylko niektóre foldery WordPressa egzekwują funkcje PHP. Jeśli próbuje robić to jakiś inny element, zachowaj czujność. Podczas ataków hakerzy często tworzą własne foldery zawierające kod PHP lub wstrzykują go w już istniejące, które normalnie się nim nie posługują.

Uwaga! Blokowanie funkji PHP dla niezaufanych folderów stanowi bardziej zaawansowaną metodę ochrony WordPressa i jest znane jako Complex WordPress Hardening Methods. Pamiętaj, że wdrożenie jej wymaga odpowiedniej wiedzy programistcyznej.

12. Wyłącz edytor motywu w panelu admina

Hakerzy dostają się do panelu admina przede wszystkim przez edytor motywu. Za jego pomocą wstrzykują SQL, SEO Spam i bardzo popularny Japanese SEO Spam (implementację znaków kanji). Oprócz tego często edytują pluginy i motyw.

13. Zmień sposób przechowywania danych na metodę szyfrowaną

WordPress magazynuje dane do logowania, aby nie trzeba było podawać ich za każdym razem. Może to robić w formie stringów (informacje jako zwykły tekst) lub zapisów szyfrowanych. Pewnie już domyślasz się, że te drugie znacząco podnoszą bezpieczeństwo.

14. Aktualizuj oprogramowanie

WordPress jest aktualizowany mniej więcej co 4 miesiące. Jako, że instalacja update’ów nie jest zautomatyzowana, staraj się o nich nie zapominać. Przegapienie kilku z nich może spowodować kolizję (np. z pluginami). Ciężko wówczas poradzić sobie z własną stroną. Z punktu widzenia tego artykułu najważniejsza sprawą jest jednak to, że nieaktualizowany WordPress wiąże się z większym ryzykiem skutecznego ataku!

15. Zdefiniuj role użytkowników panelu admina strony

Domyślnie WordPress ma sześć ról dla użytkowników, możesz jednak zdefiniować własne nazwy i zakresy uprawnień. Takie rozwiązanie zabezpiecza przed działaniami osób bez odpowiednich kompetencji.

16. Przeterminowane motywy i pluginy to też problem dla bezpieczeństwa

Twoja strona na WordPressie składa się z wielu pluginów i wybranego motywu. Choć każdy z nich jest oddzielnym programem, zwykle starają się ze sobą współpracować i nie wchodzić w kolizje. Aby działały poprawnie i nie tworzyły luk w bezpieczeństwie, należy je regularnie aktualizować.

17. Złośliwe oprogramowanie

Malware (od angielskich słów „malicious” i „software”) to oprogramowanie, które działa w sposób niepożądany. Najczęściej dociera do witryny poprzez wgranie nieautoryzowanych pluginów i motywów lub zaniedbanie ich aktualizacji. Rozwiązaniem tego problemu są pochodzące ze sprawdzonych źródeł pluginy dotyczące bezpieczeństwa, np. bardzo popularny Wordfence.

18. Wstrzykiwanie SQL

To już klasyk wśród włamów. Gdy atak tego typu się powiedzie, haker zyskuje możliwość tworzenia nowych kont, dodawania nieautoryzowanej zawartości (w tym linków!), a nawet wysyłania, edytowania i usuwania danych. Aby przeciwdziałać zagrożeniu, należy przede wszystkim wyłączyć możliwość przesyłu znaków specjalnych, które są używane do pisania kodu. I znowu – z pomocą przychodzą pluginy, które dbają o walidację formularzy pod kątem poprawności i bezpieczeństwa.

19. Search Engine Optimization Spam

SEO Spam celuje w najlepiej rankujące strony witryny, zapełniając je spamowymi frazami kluczowymi, które bardzo ciężko wypromować, wstrzykując pop-upy oraz umieszczając linki przekierowujące na inne strony.

Przykład ataku typu SEO Spam polegający na przekierowanianiu wyników w SERP

20. Cross-Site Scripting (XSS)

XSS to atak na funkcjonalność strony, który polega na umieszczeniu szkodliwego kodu w backendzie. Efektem takiego działania może być chociażby podmiana formularza kontaktowego i kradzież danych użytkowników. Główną furtkę dla Cross-Site Scriptingu stanowią nieaktualizowane pluginy i szablony.

20. DoS & DDoS

Celem ataku typu DoS jest zablokowanie dostępu do strony użytkownikom oraz adminom poprzez zalanie serwera wzmożonym ruchem. Jeśli na danym serwerze hostowanych jest więcej witryn, atak dotyczy ich wszystkich.

DDoS polega mniej więcej na tym samym, co DoS, różni się jednak skalą zaangażowanych zasobów. Przeprowadza go wiele zsynchronizowanych maszyn, które formują się w botneta, dodatkowo ukrywając źródło spamowego ruchu. Tym samym DDoS jest bardziej szkodliwy i uciążliwy.

Jeśli chcesz zabezpieczyć się przed atakami tego rodzaju, nie oszczędzaj na dostawcy serwera. Wybierając go, kieruj się jakością i bezpieczeństwem, a nie ceną.

21. Phishing

Jak sama nazwa wskazuje, jest to łowienie nieuważnych użytkowników na przynętę (najczęściej link w niemoderowanym komentarzu). Skuteczną ochronę przed phishingiem stanowi bazująca na uczeniu maszynowym ReCaptcha, która rozpoznaje schematy postowania i automatycznie odfiltrowuje szkodliwe komentarze.

22. Hotlinking grafik

Polega na osadzaniu Twoich treści, zwłaszcza graficznych, na innej stronie. Zabezpieczenie stanowią pluginy dodające znak wodny do publikowanych przez Ciebie treści wizualnych.

Mimo wymienionych zagrożeń, pamiętaj, że WordPress nie jest złą czy choćby ryzykowną platformą. Wręcz przeciwnie, stał się tak popularny wśród hakerów z powodu licznych zalet. Pamiętaj o aktualizacjach i zasadach bezpieczeństwa zawartych w tym artykule, a ryzyko przejęcia Twojej witryny spadnie diametralnie.

Zapisz się na newsletter i otrzymuj informacje o nowych artykułach na naszym blogu.

Spodobał Ci się ten wpis?

Kliknij na gwiazdki, aby dodać ocenę.

Średnia ocena 5 / 5. Liczba głosów 6

Bądź pierwszy!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?