W Nowy Rok 2022 wchodzimy z ekscytującą nowością na kontach hostingu WordPress, która poinformuje Cię o niebezpiecznych zasobach Twojej strony. Mówiąc prościej, gdy wtyczka, motyw czy sam WordPress są w wersji zawierającej luki powłoki bezpieczeństwa, które stanowią dla Twojej witryny zagrożenie, dowiesz się o tym, aby móc odpowiednio szybko zareagować! Niesamowite, prawda? Zacznijmy jednak od początku.
O co chodzi z tym bezpieczeństwem?
Może słyszałeś, że komuś, kiedyś, ktoś… włamał się na stronę… lub sam doświadczyłeś przykrego w skutkach ataku. Nie ma znaczenia czy to był WordPress czy jakikolwiek inny system CMS. Jeśli tak, to zapewne niepokoi Cię fakt, że Twoja strona może w pewnym momencie doświadczyć czegoś podobnego raz jeszcze, a jeśli nie to warto uświadomić sobie fakt, że takie sytuacje nie są wcale rzadkością.
Jak to jest z tymi atakami w rzeczywistości?
- W skali globalnej w 2021 roku codziennie włamywano się na 30 000 stron internetowych.
- 64% firm na świecie doświadczyło co najmniej jednej formy cyberataku.
- W samym marcu 2021 roku zgłoszono 20 milionów naruszonych rekordów baz danych, a są to dane niedoszacowane ponieważ bazują na zgłoszeniach internautów, a przecież nie wszyscy zgłaszają.
- Co 39 sekund, gdzieś w sieci pojawia się nowy atak.
Wymieniać dalej? Sam widzisz, że to poważny problem wokół którego nie można przejść obojętnie uważając, że inni mieli po prostu pecha, a mnie nikt nie ruszy. Są atakowane zarówno strony prywatne jak i biznesowe, choć strony firmowe są częściej na celowniku.
Co powinieneś zrobić?
Przede wszystkim zdaj sobie sprawę z zagrożeń i potraktuj je poważnie. Potem na bieżąco dbaj o swoją stronę, czyli aktualizuj motywy, wtyczki i samego WordPressa. Wiele takich aktualizacji eliminuje wykryte luki, których pozostawienie jest często bardzo niebezpieczne. Dbaj również o hasła, bo aż 63% wszystkich przypadków naruszenia danych jest wynikiem kompromitacji nazw użytkowników i haseł (Źródło: ID Agent).
Statystyki dotyczące cyberataków ujawniają, że brak szkoleń z zakresu bezpieczeństwa cybernetycznego wśród pracowników powoduje, że używają oni słabych i przewidywalnych haseł, takich jak “12345”, “QWERTY” itp.
Z kolei w swoich badaniach firma Microsoft stwierdziła, że 73% osób korzystających z Internetu używa zduplikowanych haseł na różnych platformach, narażając się w ten sposób na potencjalne naruszenie danych. Jak to wygląda u Ciebie?
To przerażające dane i liczę, że uświadomią Ci skalę problemu, dzięki czemu Twój projekt będzie od dziś znacznie bezpieczniejszy 🙂
Jeśli interesują Cię dodatkowe informacje z tym związane zajrzyj to artykułu Bezpieczeństwo WordPress.
Mocne wsparcie po stronie hostingu
Każdy szanujący siebie i swoich Klientów dostawca hostingu zapewnia przynajmniej podstawową ochronę po stronie serwera, np. antywirus i firewall z funkcją automatycznej blokady adresów IP z których pojawiają się wielokrotne nieudane próby logowania się do usług hostingu, np. do poczty, na konto FTP, SSH itp.
Hosting WordPress idzie znacznie dalej zapewniając:
- Przetwarzanie złośliwego oprogramowania w czasie rzeczywistym
- Skanowanie złośliwego oprogramowania w trybie zaplanowanym lub na żądanie
- Zautomatyzowane czyszczenie złośliwego oprogramowania
- Zapobieganie atakom Brute-Force na kontach (FTP, SSH, SMTP, Panelu Hostingowego i WordPress)
- Ochrona przed atakami internetowymi
- Ochrona L7 DoS
- Patchowanie przestarzałego/niebezpiecznego oprogramowania
- Proactive Defense, to funkcja oparta na proaktywnym podejściu do bezpieczeństwa. Zatrzymuje niebezpieczne oprogramowanie zanim jakikolwiek złośliwy kod lub skrypt zostanie wykonany. Żadne ukryte lub zakamuflowane złośliwe oprogramowanie nie dostanie się na serwer.
- Zarządzanie reputacją domeny
- audyty i wdrażanie kluczowych środków bezpieczeństwa WordPress
- wykrywanie i informowanie o niebezpiecznych zasobach WordPress, np. nieaktualna wtyczka umożliwiająca skuteczny atak.
- i więcej
I na tej ostatniej lub jak wolisz przedostatniej pozycji na liście teraz się skupimy, ponieważ to kolejny, nowy element mający za zadanie lepiej zadbać o Twoją stronę WordPress.
Automatyczne wykrywanie niebezpiecznych zasobów WordPress
Standardowo gdy którakolwiek z wtyczek, motywów lub sam WordPress zawierają lukę bezpieczeństwa, dowiesz się o tym wówczas, gdy na bieżąco śledzisz informacje z tym związane na zewnętrznych portalach lub masz zainstalowaną wtyczkę typu WordFence, która jest w stanie wychwycić takie zagrożenia.
Mając jednak hosting WordPress nie ma potrzeby jej instalowania z uwagi na wysoki poziom zabezpieczeń jakie masz w standardzie. Szkoda obciążać WordPressa 🙂
Zobacz w jaki sposób zostaniesz poinformowany, gdy hosting wykryje podatną na ataki wtyczkę.
Przede wszystkim w panelu konta zobaczysz wyróżnioną informację o znalezionych lukach – jak poniżej na zrzucie ekranu:
W momencie gdy klikniesz w link “Napraw luki bezpieczeństwa” przejdziesz do bardziej szczegółowych informacji:
Zostały wykryte dwie wtyczki, które umożliwiają atak. Fathom Analytics w wersji 3.0.4 i Loco Translate w wersji 2.5.3.
W sekcji Podatności można przeczytać, że pierwsza z nich to podatność na atak XSS, który zazwyczaj kończy się wstrzyknięciem kodu JS do naszej strony. Druga wtyczka czyli Loco Translate używana do tłumaczeń motywów i wtyczek na różne języki pozwala w wersji 2.5.3 na wstrzyknięcie kodu PHP, co jest znacznie niebezpieczniejsze!
Idąc dalej widać informację o tym, która wersja wtyczki została pozbawiona tej luki oraz link do szczegółów z punktacją CVSS 3.0, co pozwala jednym rzutem oka stwierdzić jak niebezpieczna może okazać się luka.
Masz dwie możliwości wyeliminowania problemu. Możesz wtyczkę zaktualizować lub wyłączyć. Pamiętaj jednak że wyłączenie wtyczki nie zawsze eliminuje problem. Jeśli chcesz wtyczkę wyłączyć sugeruję ją w kolejnym kroku usunąć, a wrócić do niej gdy pojawi się aktualizacja z poprawką błędów.
Jak widzisz sen może być spokojniejszy mając takie narzędzie na podorędziu, narzędzie które nie obciąża Twojej strony i nie wymaga instalacji dodatkowych wtyczek. Im ich więcej tym robi się mniej bezpiecznie 😀
Poziom wyżej
Wkrótce zostaną wprowadzone dodatkowe pakiety związane z opieką nad stronami WordPress. Na razie nie zdradzę szczegółów, ale znajdzie się tam możliwość dodatkowej kontroli podatnych na ataki zasobów z automatycznym łataniem luk. Mówiąc prościej wtyczka podatna na atak nie zostanie zaktualizowana z automatu, żeby nie ryzykować niekontrolowanej aktualizacji, ale zostanie załatana, co z miejsca uniemożliwi atakującym wykorzystanie luki.
Poniżej zrzut ekranu tej samej przykładowej strony co powyżej. Również jak widać problem został wykryty we wtyczce Loco Translate, ale w tym wypadku luka została automatycznie załatana 🙂
To oczywiście nie zwalnia Cię z aktualizacji niebezpiecznej wtyczki natomiast daje Ci większe poczucie bezpieczeństwa i więcej czasu na reakcję, np. gdy jesteś na urlopie i chcesz się odciąć od Internetu na 2 tygodnie 🙂
Szybkie pytania i odpowiedzi
Jak działa automatyczne wykrywanie podatnych na ataki zasobów strony WordPress
Nie musisz używać do tego celu wtyczek, które niepotrzebnie obciążają WordPressa i dodatkowo zwiększają ryzyko wystąpienia nowych zagrożeń (im więcej wtyczek tym więcej potencjalnych luk). Wykorzystaj narzędzia dostępne na Hostingu WordPress i ciesz się spokojem ducha. Twoja strona jest codziennie skanowana w poszukiwaniu wrażliwych zasobów. Niezwłocznie otrzymasz powiadomienie o znalezionych lukach i jednym prostym kliknięciem rozwiążesz problem 🙂
W jaki sposób hosting WP chroni moja stronę WordPress
To spora lista, którą znajdziesz w tym artykule, m.in. ochrona w czasie rzeczywistym przed złośliwym oprogramowaniem, monitorowanie kluczowych środków bezpieczeństwa strony WordPress i ich wdrażanie jednym kliknięciem, automatyczne wykrywanie podatnych na ataki zasobów strony (wtyczki, motywy i sam WordPress) i znacznie więcej. Zachęcam do lektury tej publikacji 🙂
Podsumowanie
Chcę podkreślić raz jeszcze. Bezpieczeństwo jest niezwykle ważnym obszarem funkcjonowania Twojego projektu w sieci. Nie ma znaczenia czy to strona prywatna czy biznesowa, mały blog czy duży sklep. Każda ze stron może zostać zaatakowana, a konsekwencje mogą okazać się dla Ciebie przykre, mogą być także przykre dla osób, które Ci zaufały i odwiedzają Twoją stronę. Nigdy nie lekceważ poziomu bezpieczeństwa w czym pomogą Ci rozwiązania i narzędzia, o których wspomniałem powyżej.