Je vaša WordPress stránka bezpečná?

ByDaniel Schmidt

Vedeli ste, že denne je napadnutých až 110.000 stránok a každú sekundu prebieha až 90.000 útokov?
Celkom vysoké číslo.

Prečo by to niekto robil?

Často nejde o vašu stránku, alebo o váš obsah. Oveľa zaujímavejšie je získať zdarma a hlavne anonymne kontrolu nad webom a použiť ho iný účel:

  • Rozposielanie spamu – z vašej „čistej“ domény odosielať emailom spam.
  • Rozsirovanie vírusov pre návštevníkov vašich stránok.
  • Presmerovanie návštevníkov vašich stránkok na stránku, kde potrebujú dostať návštevnosť za akýmkoľvek účelom.
  • Zisk z predaja uzivátelských údajov vašich klientov.
  • Niekto si potrebuje dokázať, že dokáže nabúrať nejakú stránku, prípadne sa nudí.

Vo vačšine prípadov vašu napadnutú stránku rýchlo odhalia, označia ako napadnutú, označia ako rozosielateľa spam-u a zareaguje Google a výrazne vám zníži SEO hodnotenie, prípadne vás dočasne vylúči z vyhľadávania.

Ako sa veci majú

WordPress je najrozšírenejšia platforma (aktuálne v roku 2019 na nej beží až 34% všetkých stránok). To znamená obrovský počet webov, spravovaných užívateľmi na rôznej úrovni expertízy.

WordPress je dodávaný zdarma ako riešenie základnej funkcionality správy obsahu. Neposkytuje jedno masívne riešenie pre všetky prípady, funkcie. Práve preto je ľahký na inštaláciu, správu a prichádza so základným a známym nastavením. Očakáva sa, že všetko potrebné si užívateľ, vývojár webu doplní podľa potrieb a urobí všetko potrebné.

WordPress je open source platforma, takže každý si tam môže doprogramovať čo chce a meniť čo sa mu zachce. Práve pre dôvod opísaný vyššie. Takže existuje veľký počet doplnkov vytvorených vývojármi na rôznej úrovni expertízy.

Tým že je to platforma, kde sú zdrojové kódy prístupné, sú vývojári, ktorý hľadajú chyby a potenciálne dvierka a zraniteľnosti a opravujú ich a sú vývojári, ktorý ich hľadajú preto, aby ich zneužili. Samozrejme zoznam nájdených chýb je dostupný.

WordPress, témy a doplnky sa vyvíjajú, sú často aktualizované. Tento vývoj reaguje na novinky a trendy a preto sa prispôsobuje užívateľského komfortu, opravujú sa zistené chyby, optimalizuje sa a podobne.

Väčšina útokov sú necielené útoky, kde nejde o vašu stránku, hľadá sa zraniteľný cieľ. Robia ich automatizované roboty. Prechádzajú stránky podobne ako Google a hľadajú známe zraniteľnosti. Na toto je WordPress ideálna platforma, pretože pri nájdení takejto zraniteľnosti je ohrozených veľa stránok. Veľký dosah pri minimálnom úsilí. Rovnako ako v prípade bezpečnosti Windowsu oproti MacOS. Podľa nezávislých testov je MacOS rovnako zraniteľný. Logicky útočník radšej vytvorí vírus, ktorý potenciálne môže zasiahnuť 95% všetkých počítačov.
Otázka: Je wordpress bezpečný?

Je WordPress bezpečný?

Šalamúnska odpoveď znie: „Áno je, ak…“

Keď spojíme uvedené fakty, dostávame obrovský počet stránok, ktoré obsahujú potenciálne dvierka, aby útočník ovládol váš web. Všetky tieto fakty často slúžia ako dôkazy toho, prečo WordPress nie je bezpečné riešenie. Napriek tomu však WordPress je bezpečný, ak sú splnené základné požiadavky.

WordPress musí byť pravidelne aktualizovaný, ak má byť bezpečný.

WordPress-u veria také značky ako eBay, Sony, CNN, Forbes, NY Times. Len si môžeme byť istý, že sa oň starajú tak, ako o každý veľký počítačový systém.

Akú úlohu hrá v bezpečnosti hostingová spoločnosť

Hosting monitoruje sieťové aktivity a preto by mal byť schopný zachytiť niektoré druhy útokov. Nemalo by sa ani stať, pokiaľ máte zdieľaný hosting, že napadnutím jednej stránky na zdieľanom hostingu sú ďalšie tiež v ohrození. Hostingy bývajú štandardne zabezpečené, akurát vy neviete ako dobre a vy na to nemáte dosah. Ideálne si zvoliť spoločnosť s dobrými referenciami a skúsenosťami. Pri zdieľanom hostingu je často rozdiel pár euro za rok a to podľa mňa za to stojí.

Ak ste nikdy nenastavovali hosting, tak je možné, napriek tomu, že hosting ponúka možnosť zálohovania, nemáte túto možnosť zapnutú. Často iba ne nejakého objemu dát, niekoľko dní dozadu a pod, ale v niektorých prípadoch by vám to mohlo „zachrániť život“.

Okrem toho na hostingu beží jazyk PHP, ktorý WordPress potrebuje pre svoju činnosť. Ten sa tiež vyvíja, staré verzie prestávajú byť podporované. Na hostingu je vždy možnosť zmeniť verziu PHP. Aktuálne je dostupná verzia 7.3 (september 2019).

Fakty o bezpečnosti web stránok založených na WordPress-e

  • Až 73% inštalácií obsahuje zraniteľnosti, ktoré sa dajú nájsť pomocou bezplatných, automatizovaných služieb.
  • Len 40% stránok je aktualizovaných a beží na poslednej verzii
  • Až 41% stránok bolo napadnutých pre zraniteľnosti hostingu

Hlavné dôvody napadnutia Vašej stránke

  • 8% slabé heslo
  • 60% neaktualizovaná stránka

Čo môžem ako užívateľ urobiť pre bezpečnosť stránky

Čo môžete urobiť pre bezpečnosť svojej stránky?

  • Mať silné heslo
  • Nepoužívať užívateľské mená a heslá admin, user, test,
  • Mať svoju stránku vždy aktuálnu
  • Mať stránku zálohovanú
  • Inštalovať iba spoľahlivé pluginy

Čo by ste mali žiadať od svojho dodávateľa

Dali ste si urobiť stránku a nie ste si istý, či je správne zabezpečená? Opýtajte sa svojho dodávateľa. Nasledujúci zoznam je základ, ale zníži šancu napadnutia minimálne o 90%.

  • Mať nainštalovaný bezpečnostný plugin a aktívny monitoring stránky
  • Obmedziť počet pokusov na prihlásenie
  • Zmeniť odkaz na prihlasovaciu stránku
  • Zmeniť povolenia súborov a to, kto má práva ich editovať
  • inštalovať SSL certifikát

Pravidelná údržba

Nápomocné sú aj nasledovné činnosti, či už ako prevencia, alebo pre následné obnovenie napadnutej stránky

  • Monitorovať zmenené súbory
  • Monitorovať činnosti na stránke
  • Čistenie komentárov od spamu
  • Pravidelné zálohovanie stránky mimo poskytovateľa hostingu.

WordPress je bezpečný systém. Za predpokladu, že ho dobre spravujete. Je to systém ako každý iný veľký počítačový systém. Aj keď vám tam beží niekoľko stránok, treba sa oň starať. Ak vám na ňom beží e-shop, alebo iný systém, na ktorom závisí váš úspech a zdroj príjmov, o to viac. Veľa užívateľov si myslí, že starať sa o obsah je rovnaké, ako starať sa o chod webovej stránky. Myslia si, že web je iba to, čo vidia. Že je to obsah, ktorý sami dokážu spravovať. Že raz hotové je fajn navždy. Ako som vám vysvetlil, nie je to celkom tak.

Ak si nie ste istý, ako máte zabezpečenú vašu stránku, viem vám s tým pomôcť. Buď vám urobiť audit webu a poradiť riešenia, alebo vám ho viem aj zabezpečiť a starať sa vám o vaše stránky.

Môžem pre vás urobiť

[hfe_template id=’26191′]