Jak pokazuje poniższy wykres, WordPress jest najbardziej popularnym systemem CMS na świecie. W połączeniu z wieloma wtyczkami rozszerzającymi jego funkcjonalność takimi jak np. WooCommerce, tworzy potężne narzędzie, dostarczające ogromną wartość dla wielu przedsiębiorców, a także zwykłych użytkowników chcących posiadać własną stronę internetową.
Dlaczego w takim razie przejmować się bezpieczeństwem WordPress? Jako najbardziej popularny CMS, do którego powstaje najwięcej wtyczek i templatek, a każdy może stworzyć i dodać do niego swoje własne rozszerzenie, najbardziej przyciąga uwagę włamywaczy.
Przykłady (nie)bezpieczeństwa WordPress
💀 krytyczna luka w zabezpieczeniach wtyczki Essential Addons do Elementora umożliwiająca zresetowanie hasła dowolnego użytkownika (np. Administratora)
[żródło: https://bitdefender.pl/luka-w-zabezpieczeniach-wordpress/]
💀 krytyczna luka we wtyczce do WooCommerce Payments umożliwiająca przejęcie kontroli nad sklepem poprzez podszycie się pod uprzywilejowanego użytkownika (np. Administratora)
[żródło: https://bitdefender.pl/masowy-cyberatak-na-krytyczna-luke-w-zabezpieczeniach-wtyczki-wordpress/]
💀 krytyczna luka we wtyczce „Royal Elementor Addons and Templates” umożliwiająca atakującym przesłanie dowolnego pliku na serwer (tym plikiem może być np. wirus typu backdoor, czyli tzw. tylna furtka umożliwiająca dostanie się na serwer bez konieczności posiadania konta użytkownika)
💀 luka we wtyczce „All-in-One WP Migration” umożliwiająca nieautoryzowany dostęp do WordPress
[żródło: https://www.computerworld.pl/news/Luka-w-zabezpieczeniach-WordPress,446360.html]
To tylko kilka przykładów…
Na jakie zagrożenia jesteś narażony jeśli nie zabezpieczysz swojej strony albo sklepu?
Poniżej kilka konkretnych przykładów:
👾 kradzież danych klientów
👾 wykorzystanie skradzionych danych do ataków mających na celu wyłudzenie pieniędzy (phishing)
👾 wysyłanie spamu z Twojej strony internetowej
👾 wykorzystanie zhakowanej strony do dalszych zmasowanych ataków np. na instytucje rządowe
👾 utrata danych
👾 utrata klientów z powodu nie działającej poprawnie strony
👾 utrata reputacji Twojego biznesu
👾 straty finansowe
W jaki sposób włamywacze dostają się na Twoją stronę www?
Najczęstsze i główne przyczyny włamań to:
- luki bezpieczeństwa we wtyczkach i templatkach
- brak aktualizacji WordPressa do najnowszej wersji
- słabe hasła użytkowników
- brak ograniczenia liczby prób nieudanego logowania
- zbyt szerokie uprawnienia do newralgicznych plików i katalogów na serwerze
- hosting bez separacji domen
- stara wersja oprogramowania na hostingu np. PHP
- niezabezpieczona strona pozwalająca na wykorzystanie automatycznych skanerów bezpieczeństwa WordPress np. WPscan
Jak możesz się zabezpieczyć?
Jest na to wiele sposobów, niektóre z nich to:
🛡️ ograniczenie dostępu do panelu logowania tylko dla uprawnionych użytkowników (np. w pliku .htaccess)
🛡️ ograniczenie liczby prób logowania do panelu administratora
🛡️ regularne aktualizacje wtyczek, szablonów i WordPressa
🛡️ usunięcie nieużywanych wtyczek i szablonów
🛡️ przeniesienie Twojej strony / sklepu na bezpieczny hosting (zamiast tani i niebezpieczny albo drogi i niebezpieczny)
🛡️ wykonywanie backupów niezależnie od Twojego usługodawcy hostingu… (np. wtyczki Duplicator, BackWPup)
I na koniec…
Bezpieczeństwo to proces, który trwa i nigdy się nie kończy.
Wdrożenie zabezpieczeń jest jak ubezpieczenie, może się nigdy nie przydać, ale lepiej je mieć, niż później żałować.
Dodaj komentarz