Jak zabezpieczyć stronę WordPress i sklep przed cyberatakiem?

Setki tysięcy stron i sklepów internetowych jest oparte na popularnym CMS WordPress. W czasie pandemii ilość tych stron zwiększyła się jeszcze bardziej a to za sprawą oczywiście przeniesienia pracy w tryb online. Wraz ze wzrostem nowych stron zwiększyło się również ryzyko cyberataków.

W jednym z wcześniejszych artykułów pt. Czy Twoje hasło jest hacker-friendly? Powiedzieliśmy Wam o tym jak tworzyć silne hasła, by nie paść łatwym łupem hakerów oraz jakie techniki łamania haseł oni wykorzystują.

Jeżeli jeszcze nie czytaliście tego wpisu, to zachęcamy Was do nadrobienia zaległości ponieważ znajdują się tam ważne wskazówki, które poruszymy również w tym wpisie.

Czy WordPress jest bezpieczny?

Odpowiedź to tak i nie, kwestia bezpieczeństwa strony lub sklepu zależy tylko i wyłącznie od Was. Bezpieczeństwo polega na jak największym wyeliminowaniu ryzyka a postępując zgodnie z naszymi praktykami wzmocnicie bezpieczeństwo swojej witryny.

W jaki sposób hakerzy łamią zabezpieczenia witryny?

We wcześniej wspomnianym wpisie przedstawiliśmy metody jakimi hakerzy łamią hasła użytkowników. Jeden z nich również pojawił się w kontekście stron internetowych:

  • Brute Force Attacks – wykorzystując tę technikę haker automatyzuje oprogramowanie tak, by w jak najkrótszym czasie stworzyć i wypróbować jak najwięcej kombinacji . Tą techniką można wygenerować aż 350 miliardów nazw użytkownika oraz haseł na sekundę aż do momentu trafienia w prawidłowe.
    Ważne: hasło poniżej 12 znaków jest bardziej podatne na złamanie. 
  • Malware – czyli złośliwe oprogramowanie, które zostaje wgrane w pliki witryny w celu utworzenia nieautoryzowanych przekierowań lub umożliwienia dostępu do konta hostingowego.
  • Cross-Site Scripting – znacie te wyskakujące na niektórych stronach okna informujące o wygranej iphone’a lub kilku tysięcy złotych? Jest to właśnie umieszczenie kodu w treści atakowanej strony a następnie zwabienie użytkownika/gościa do wykonania niepożądanych czynności.
  • SQL Injections – jeżeli baza danych na Waszej witrynie będzie niezabezpieczona, haker za pomocą iniekcji MySQL przejmie kontrolę nad całą bazą danych.
  • Luki w kodzie PHP – przechowywanie nieużywanych/nieaktualizowanych wtyczek/motywów sprawia, że są one bardziej podatne na różnego rodzaju “wstrzyknięcia” złośliwego kodu na Wasz serwer.

Aby uniknąć ataku na stronie:

1. Włącz weryfikację dwuetapową – samo hasło i login nie jest wystarczające. Dobrą wtyczką, ławą w instalacji jest WP Google Authenticator plugin.
2. Ogranicz możliwości logowania – tym sposobem zmniejszysz ryzyko ataku metodą Brute Force. Wtyczka Limit Login Attempts Reloaded zablokuje adres IP, który przez X prób przekroczył dopuszczalną ilość zalogowań.
3. Zmień adres URL do logowania – większość stron jest domyślnie skatalogowana na wp-admin albo wp-login.php. Nie trzeba być hakerem, żeby sprawdzić z którego katalogu następuje logowanie. Jednak jeżeli jeszcze do tego macie domyślną nazwę użytkownika i hasło – cóż, wszystko może się wydarzyć. Wtyczka The iThemes security plugin dodatkowo zabezpieczy stronę przed Brute Force, który celuje w domyślne katalogi.
4. Stosuj silne hasła – na temat metod łamania haseł jak i sposobów na ich tworzenie przeczytacie w naszym wcześniejszym wpisie. Jest to zbyt szeroka tematyka by zawrzeć ją w jednym punkcie 😉
5. Rób porządki w motywach i pluginach – często instalujemy kilka wtyczek zamiast jednej, która posiada funkcje tych kilku razem wziętych. Pamiętaj: mniej znaczy więcej. Starannie zweryfikujcie, które z wyłączonych wtyczek można usunąć, a te które są aktywne sumiennie aktualizuj. Tak samo postąp z motywami.
6. Aktualizuj WordPress – informacje o aktualizacjach są wyświetlane nie tylko w kokpicie ale i wysyłane mailowo. Zawsze powinniście jak najszybciej stosować aktualizacje zarówno WordPressa jak i wtyczek/motywów, aby witryna WordPress była bezpieczna.
7. Dodaj wtyczkę bezpieczeństwa –  warto zabezpieczyć swoją stronę dodatkowo wtyczkami bezpieczeństwa są to np.: All In One, Jetpack czy Sucuri. 

Zawsze twórz plan B

Pomimo zastosowania się do wszystkich naszych porad, ryzyko cyberataku wciąż jest. Mniejsze ale jest. Dlatego warto mieć utworzone kopie zapasowe. Są one odporne na awarie i w każdej chwili możecie przywrócić swojej stronie życie. Warto jednak ustawić automatyczne tworzenie kopii, mogą być one codzienne, co dwa dni, co tydzień itd. Wtedy jeżeli nie wykryjesz od razu ataku na stronę, powrót do zapisu sprzed kilku dni wciąż będzie dla Ciebie możliwy – oczywiście ustal też czas przechowywania kopii.

Mamy nadzieję, że po tym artykule będziecie już wiedzieli jak dbać o swoją witrynę. Jeżeli Waszą stroną opiekuje się agencja, której zleciliście również jej budowę – zapewne nad tym czuwa. Jednak warto to zweryfikować czy jest to zawarte w usłudze, za którą płacicie.