Kwestia bezpieczeństwa w systemach Internetowych jest wielopoziomowa. Pierwszą i najbardziej powszechną jest zachowanie podstawowych norm
Gdy chodzi o bezpieczeństwo, najważniejszy jest prosty przekaz, dlatego też najważniejsze wskazówki dotyczące bezpiecznego korzystania z Internetu, zostały przedstawione poniżej:
- zawsze korzystaj z aktualnego systemu operacyjnego, aktualnej przeglądarki internetowej i aktualnego programu antywirusowego,
- twórz bezpieczne hasła logowania do poczty e-mail i kont w rozmaitych usługach – nie zawieraj w nich oczywistych słów oraz informacji takich jak imię czy data urodzenia i staraj się wymyślać długie hasła,
- nie korzystaj z tego samego hasła na różnych stronach,
- nie loguj się do ważnych usług, korzystając z publicznych hotspotów Wi-Fi (bo one szczególnie są narażone na cyberwłamania),
- podczas logowania dwa razy sprawdź adres WWW strony i upewnij się, że strona logowania ma certyfikat bezpieczeństwa (warto też – jeśli to możliwe – korzystać z weryfikacji dwuetapowej),
- nie podawaj w Internecie żadnych danych i nie udostępniaj żadnych zdjęć, do których dostępu nie powinny uzyskać żadne „strony trzecie”,
- nie wchodź na strony z linków w podejrzanych wiadomościach e-mail i nie otwieraj dodanych do nich załączników uważaj na skrócone adresy URL, które często mogą stanowić pułapkę.
„Wielu internautów ignoruje kwestię bezpieczeństwa swojej cyfrowej tożsamości, ponieważ nie zdają sobie sprawy z zagrożeń lub nie uważają siebie samych za interesujący dla cyberprzestępców cel ataku. W ten sposób przeprowadzenie ataku staje się niezwykle łatwe. Użytkownicy mogą jednak skutecznie chronić się przed atakami w sieci, cyberprześladowaniem i tym podobnymi zagrożeniami stosując się do kilku prostych wskazówek” – podsumował Robert Dziemianko z firmy G DATA, która pomogła ułożyć powyższą listę porad.
Bezpieczne zachowania są podstawą, ale nie stanowią kompletnych wytycznych w sytuacji, gdy sami inicjujemy sytuację stawiającą nas jako ewentualny cel ataku. W momencie, gdy prowadzimy stronę internetową jesteśmy niejako wystawieni na świeczniku. W tym przypadku należy odpowiedzieć sobie na kluczowe pytanie, czy jesteśmy bezpieczni.
Kilka zasad bezpieczeństwa można znaleźć w poniższych materiałach:
Książka: NASTOLATKI WOBEC INTERNETU pod redakcją Macieja Tanasia NASK AKADEMIA
Spis treści
Włamanie na stronę Internetową
Skoro zatem operujemy w ograniczeniu co do WordPress’a to należy podjąć kilka kroków by zabezpieczyć nasz serwer.
Na stronie https://wpscan.com/ zamieszczane są informacje na temat wykrytych luk bezpieczeństwa w strukturach WP i w testowanych wtyczkach.
Czym charakteryzuje się bezpieczny WordPress? – 11 porad
1. Wybierz odpowiedniego dostawcę hostingu.
To nie te czasy, gdzie decyzję na temat hostingu podejmuje się poprzez wpisanie w wyszukiwarkę słowa „hosting” lub frazy „tani hosting”. To, że ktoś wyskoczy w czołówce wyników, nie oznacza, że na 100% jest godny zaufania.
Najlepiej jest spytać się o zdanie innych osób. Odwiedź kilka grup facebookowych, np. WordPress Polska i WordPress PL oraz zadaj pytanie, jednocześnie prosząc o uargumentowanie sugestii.
Otrzymasz kilkanaście do kilkudziesięciu odpowiedzi. Weź pod uwagę najlepiej te, którym nie będą towarzyszyły żadne linki referencyjne (niektórzy mogą polecać daną firmę z uwagi na to, że otrzymują procent od kupna jakiejś usługi – w takiej sytuacji dana rekomendacja siłą rzeczy nie będzie zbytnio obiektywna).
Dobre opinie nie biorą się z powietrza, tym bardziej że masz możliwość podpytania się o różne, istotne dla Ciebie kwestie. Dopiero wtedy, gdy zbierzesz kilka rekomendacji, zapoznaj się ze wszystkimi informacjami zawartymi na stronach internetowych wskazanych firm.
Ważne! Zwróć uwagę na cenę hostingu nie tylko w pierwszym roku, lecz przede wszystkim w kolejnych latach (mowa o cenie przedłużenia usług).
W naszym przypadku – mamy do czynienia z hostingiem przygotowanym przez DASiUS UŚ, niekomercyjnego dostawcę, ale nie zawsze tak będzie. Na tę chwilę ten krok jest poza naszymi rozważaniami.
2. Rób kopie zapasowe.
Firmy hostingowe robią kopie zapasowe we własnym zakresie. Niekiedy wystarczy się do nich zwrócić, by poprosić o przywrócenie stanu strony z określonego dnia (lub nawet godziny, jeśli jest taka możliwość).
Jednak nikt nie broni nam wykonywać kopii zapasowych również na własną rękę, prawda?
Najlepiej jest je przeprowadzać przed ważniejszymi zmianami oraz tuż po ich wprowadzeniu. Nie mówiąc już o kopiach cyklicznych, wykonywanych po prostu rutynowo.
W wielu przypadkach nie zajmuje to wiele czasu, a potrafi uratować skórę.
W przypadku naszego hostingu nie mamy dostępu do mechanizmu automatycznych back-up’ów. Stąd więc dobrze samemu zadbać o odpowiednią wtyczkę umożliwiającą nam utworzenie kopii zapasowych np. All-in-One WP Migration.
3. Zrezygnuj z domyślnego prefiksu tabel w bazie danych.
Bezpieczny WordPress charakteryzuje się minimalizowaniem niektórych działań domyślnych, które mogą zostać wykorzystane przeciwko właścicielowi strony.
Podczas instalacji WordPressa należy podać tzw. prefiks tabel w bazie danych. Niezależnie od tego, czy jesteś nieco bardziej zaawansowanym użytkownikiem i wiesz, o czym piszę, czy też jesteś zupełnym laikiem, dobrze jest nie stosować się do domyślnej propozycji.
Tabele domyślnie mają prefiks w postaci „wp_”. Równie dobrze możesz zastosować prefiks w stylu „wp_9W1p_” czy też „wp_t7I3_” – po prostu wstawiając do niego kilka dodatkowych znaków. Strona będzie działać absolutnie normalnie, a taki krok zmniejszy ryzyko ataku typu SQL injection.
Obecnie system został dla Was przygotowany i zastosowane zostały standardowe ustawienia co do konfiguracji tabel w bazie danych. Nic nie stoi na przeszkodzie, aby dopełnić tej porady w momencie instalacji nowego CMS na nowym, już prywatnym hostingu w chwili, gdy stwierdzicie, że ten moment nadszedł by się usamodzielnić.
4. Ustal dodatkowe hasło dla strony logowania.
W panelu swojego hostingu zapewne masz narzędzie w rodzaju „Menedżera plików”.
Za jego pośrednictwem możesz np. nadać wymóg podania loginu i hasła dla dowolnego folderu. Możesz to uczynić dla folderu o nazwie „wp-admin”.
Dodaje to kolejną warstwę „loginowo-hasłową” w trakcie logowania się do WordPressa. Przebrnięcie przez nią zajmie Ci za każdym razem jedynie chwilę, a może stanowić utrudnienie dla osoby o nieczystych intencjach.
Niestety, na tę chwilę nie macie dostępu do tego mechanizmu, Tym niemniej mogliście zobaczyć jak on działa w okresie, gdy moja strona uczelniana została zaatakowana poprzez hackerów.
5. Instaluj jedynie sprawdzone wtyczki.
Podstawowa zasada charakteryzująca bezpieczny WordPress to korzystanie wyłącznie ze sprawdzonych wtyczek.
Stawiaj tylko na te pluginy, które cieszą się dobrą opinią, są cyklicznie aktualizowane i wykorzystuje je wiele osób bez większych problemów.
Unikaj instalowania wtyczek z jakichś niesprawdzonych źródeł, gdyż może być w nich zawarty potencjalnie niebezpieczny kod.
6. Pobieraj motywy jedynie z oryginalnych źródeł.
W kwestii motywów sprawa ma się tak samo, jak ze wtyczkami.
Znamy przypadki, w których strony internetowe zostały zainfekowane z powodu instalowania tzw. nulled motywów. O czym mowa?
Przypuśćmy, że dany motyw kosztuje kilkadziesiąt dolarów. Taką cenę ustalił za niego jego twórca. Jednak niektórym osobom nie chce się za to płacić i wolą poszukać tego motywu na innych portalach w nadziei na to, że ktoś go udostępnia bezpłatnie. W przypadku znanych motywów istnieje na to dość spora szansa.
Jednak postawmy sprawę jasno – nie ma osób, które robią to za darmo. Motywy nulled niemal zawsze mają zmodyfikowany kod w stosunku do oryginału. Są naszpikowane złośliwym kodem, który prędzej czy później spowoduje np. przechwycenie strony internetowej przez jakiegoś hakera. Ogółem następstw takiego działania jest cała masa, wszystkie sprowadzają się do bardzo szkodliwych skutków.
Reasumując, chęć zaoszczędzenia kilkudziesięciu dolarów zazwyczaj może skończyć się utratą znacznie większej ilości budżetu, który będzie trzeba przeznaczyć na odwirusowanie strony. Nie wspominając o straconym czasie oraz szeregu innych, pobocznych szkód.
7. Aktualizuj wszystko na bieżąco.
Bezpieczny WordPress to aktualizowany WordPress.
Rdzeń WordPressa, wtyczki, motywy – wszystkie komponenty raz na jakiś czas otrzymują aktualizacje.
Czerwone kółeczko z liczbą w środku, znajdujące się po lewej stronie w panelu administracyjnym nie jest tam wyłącznie dla ozdoby. Skoro dostępna jest aktualizacja, oznacza to, że wprowadzono nowe funkcje lub też zmodyfikowano jakiś element. Sporo zmian powodowanych jest także chęcią zwiększenia bezpieczeństwa.
Zatem jeśli jakaś aktualizacja będzie dostępna, nie wahaj się. Sprawdź tylko, czy nie zawiera ona jakichś bugów (w tym celu przejrzyj np. fora internetowe skojarzone z danym dodatkiem). Jeśli wszystko będzie w porządku, śmiało aktualizuj.
Wyjątkiem jest jedynie sytuacja, w której kod wtyczki czy też motywu były ręcznie modyfikowane. W takim przypadku zastosowanie aktualizacji sprawi, że wszystkie Twoje zmiany będą nadpisane.
Dlatego też modyfikowanie oryginalnego kodu „na żywca” jest wysoce niepoprawnym działaniem, gdyż blokuje Cię przed dokonywaniem jakichkolwiek aktualizacji takiego dodatku.
8. Dodaj certyfikat SSL.
Bezpieczny WordPress charakteryzuje się także występowaniem certyfikatu SSL na stronie opartej o ten właśnie system CMS.
Obecnie wszyscy dostawcy usług hostingowych zapewniają takie certyfikaty, zatem wykup oraz zainstaluj takowy na własnej stronie.
Zazwyczaj kosztują one kilkadziesiąt złotych rocznie (istnieje także darmowy certyfikat Let’s Encrypt), a podnoszą poziom bezpieczeństwa na linii użytkownik – serwer.
Let’s Encrypt jest składnikiem dodawanym w ramach hostingu uczelnianego poprzez DASiUS.
9. Rozważ uwierzytelnianie dwuskładnikowe.
Uwierzytelnianie dwuskładnikowe zwane także uwierzytelnianiem dwuetapowym – jak sama nazwa wskazuje – wprowadza dodatkowy etap do logowania.
Polega to na tym, że podczas próby wejścia do panelu administracyjnego osoba chcąca się zalogować musi przejść przez jeszcze jedną „bramkę”. Może ona polegać np. na wpisaniu kodu otrzymanego SMS-em lub zeskanowaniu kodu QR.
Google Authenticator i Two Factor Authentication – sprawdź opisy tych wtyczek w celu poznania większej ilości informacji na ich temat.
10. Stosuj jedynie trudne loginy i hasła.
Na sam koniec najbardziej trywialna porada, lecz mimo wszystko bardzo istotna.
Nigdy, przenigdy nie stosuj kombinacji w rodzaju login: admin i hasło: admin. Nie korzystaj wyłącznie z samych liter (lub z samych cyfr), nie stosuj ciągów w postaci „abcde” czy też „qwerty”.
Hasła i loginy muszą być trudne do wpadnięcia na nie, nie mogą też wykorzystywać jakichś jasnych do odkrycia schematów czy też wzorów.
11. Ukryj swój WordPress
Każdy CMS ma swój standardowy układ plików i katalogów. Dlatego też hakerzy wiedzą gdzie szukać potencjalnie narażonych na atak plików (niezaktualizowane komponenty ze znanymi podatnościami na włamanie). Dlatego też dobrze jest ukryć swą instancję WordPress’a poprzez zmianę tych standardowych struktur na inne, tak aby dla obcych nasz system stał się nieznanym labiryntem. Umożliwiają to wtyczki bezpieczeństwa podmieniające standardowe nazwy plików i katalogów na spersonalizowane. Wymagają jednak chociaż minimalnego skonfigurowania i zabezpieczenia wejścia awaryjnego dla właściciela witryny. Taką wtyczką jest np.: WP Hide lub WPS Hide.
Bezpieczny WordPress – dlaczego warto o to dbać?
Tak jak wspomniałem na początku tego tekstu, niekiedy trzymanie się kilku drobnych nawyków potrafi znacznie zwiększyć poziom bezpieczeństwa strony.
Zazwyczaj przeznacza się na nie mało czasu, podczas gdy ostatecznie mogą zaoszczędzić go całą masę – nie wspominając już o pieniądzach.
W 2019 roku WordPressa używało:
34% stron internetowych wszystkich stron internetowych na naszym globie
400 milionów użytkowników przeglądających sieć oraz strony www.
28% wszystkich sklepów internetowych w branży e-commerce.
Bądźcie bezpieczni, zabezpieczajcie się 😉