W Nowy Rok 2022 wchodzimy z ekscytującą nowością na kontach hostingu WordPress, która poinformuje Cię o niebezpiecznych zasobach Twojej strony. Mówiąc prościej, gdy wtyczka, motyw czy sam WordPress są w wersji zawierającej luki powłoki bezpieczeństwa, które stanowią dla Twojej witryny zagrożenie, dowiesz się o tym, aby móc odpowiednio szybko zareagować! Niesamowite, prawda? Zacznijmy jednak od początku.

O co chodzi z tym bezpieczeństwem?

Może słyszałeś, że komuś, kiedyś, ktoś… włamał się na stronę… lub sam doświadczyłeś przykrego w skutkach ataku. Nie ma znaczenia czy to był WordPress czy jakikolwiek inny system CMS. Jeśli tak, to zapewne niepokoi Cię fakt, że Twoja strona może w pewnym momencie doświadczyć czegoś podobnego raz jeszcze, a jeśli nie to warto uświadomić sobie fakt, że takie sytuacje nie są wcale rzadkością.

Jak to jest z tymi atakami w rzeczywistości?

  • W skali globalnej w 2021 roku codziennie włamywano się na 30 000 stron internetowych.
  • 64% firm na świecie doświadczyło co najmniej jednej formy cyberataku.
  • W samym marcu 2021 roku zgłoszono 20 milionów naruszonych rekordów baz danych, a są to dane niedoszacowane ponieważ bazują na zgłoszeniach internautów, a przecież nie wszyscy zgłaszają.
  • Co 39 sekund, gdzieś w sieci pojawia się nowy atak.

Wymieniać dalej? Sam widzisz, że to poważny problem wokół którego nie można przejść obojętnie uważając, że inni mieli po prostu pecha, a mnie nikt nie ruszy. Są atakowane zarówno strony prywatne jak i biznesowe, choć strony firmowe są częściej na celowniku.

Co powinieneś zrobić?

Przede wszystkim zdaj sobie sprawę z zagrożeń i potraktuj je poważnie. Potem na bieżąco dbaj o swoją stronę, czyli aktualizuj motywy, wtyczki i samego WordPressa. Wiele takich aktualizacji eliminuje wykryte luki, których pozostawienie jest często bardzo niebezpieczne. Dbaj również o hasła, bo aż 63% wszystkich przypadków naruszenia danych jest wynikiem kompromitacji nazw użytkowników i haseł (Źródło: ID Agent).

Statystyki dotyczące cyberataków ujawniają, że brak szkoleń z zakresu bezpieczeństwa cybernetycznego wśród pracowników powoduje, że używają oni słabych i przewidywalnych haseł, takich jak „12345”, „QWERTY” itp.

Z kolei w swoich badaniach firma Microsoft stwierdziła, że 73% osób korzystających z Internetu używa zduplikowanych haseł na różnych platformach, narażając się w ten sposób na potencjalne naruszenie danych. Jak to wygląda u Ciebie?

To przerażające dane i liczę, że uświadomią Ci skalę problemu, dzięki czemu Twój projekt będzie od dziś znacznie bezpieczniejszy 🙂

Jeśli interesują Cię dodatkowe informacje z tym związane zajrzyj to artykułu Bezpieczeństwo WordPress.

Mocne wsparcie po stronie hostingu

Każdy szanujący siebie i swoich Klientów dostawca hostingu zapewnia przynajmniej podstawową ochronę po stronie serwera, np. antywirus i firewall z funkcją automatycznej blokady adresów IP z których pojawiają się wielokrotne nieudane próby logowania się do usług hostingu, np. do poczty, na konto FTP, SSH itp.

Hosting WordPress idzie znacznie dalej zapewniając:

  • Przetwarzanie złośliwego oprogramowania w czasie rzeczywistym
  • Skanowanie złośliwego oprogramowania w trybie zaplanowanym lub na żądanie
  • Zautomatyzowane czyszczenie złośliwego oprogramowania
  • Zapobieganie atakom Brute-Force na kontach (FTP, SSH, SMTP, Panelu Hostingowego i WordPress)
  • Ochrona przed atakami internetowymi
  • Ochrona L7 DoS
  • Patchowanie przestarzałego/niebezpiecznego oprogramowania
  • Proactive Defense, to funkcja oparta na proaktywnym podejściu do bezpieczeństwa. Zatrzymuje niebezpieczne oprogramowanie zanim jakikolwiek złośliwy kod lub skrypt zostanie wykonany. Żadne ukryte lub zakamuflowane złośliwe oprogramowanie nie dostanie się na serwer.
  • Zarządzanie reputacją domeny
  • audyty i wdrażanie kluczowych środków bezpieczeństwa WordPress
  • wykrywanie i informowanie o niebezpiecznych zasobach WordPress, np. nieaktualna wtyczka umożliwiająca skuteczny atak.
  • i więcej

I na tej ostatniej lub jak wolisz przedostatniej pozycji na liście teraz się skupimy, ponieważ to kolejny, nowy element mający za zadanie lepiej zadbać o Twoją stronę WordPress.

Automatyczne wykrywanie niebezpiecznych zasobów WordPress

Standardowo gdy którakolwiek z wtyczek, motywów lub sam WordPress zawierają lukę bezpieczeństwa, dowiesz się o tym wówczas, gdy na bieżąco śledzisz informacje z tym związane na zewnętrznych portalach lub masz zainstalowaną wtyczkę typu WordFence, która jest w stanie wychwycić takie zagrożenia.

Mając jednak hosting WordPress nie ma potrzeby jej instalowania z uwagi na wysoki poziom zabezpieczeń jakie masz w standardzie. Szkoda obciążać WordPressa 🙂

Zobacz w jaki sposób zostaniesz poinformowany, gdy hosting wykryje podatną na ataki wtyczkę.

Przede wszystkim w panelu konta zobaczysz wyróżnioną informację o znalezionych lukach – jak poniżej na zrzucie ekranu:

Informacja o wykrytej luce z warstwie bezpieczeństwa WordPress

W momencie gdy klikniesz w link „Napraw luki bezpieczeństwa” przejdziesz do bardziej szczegółowych informacji:

Szczegóły na temat wtyczek wymagających podjęcia działania.

Zostały wykryte dwie wtyczki, które umożliwiają atak. Fathom Analytics w wersji 3.0.4 i Loco Translate w wersji 2.5.3.

W sekcji Podatności można przeczytać, że pierwsza z nich to podatność na atak XSS, który zazwyczaj kończy się wstrzyknięciem kodu JS do naszej strony. Druga wtyczka czyli Loco Translate używana do tłumaczeń motywów i wtyczek na różne języki pozwala w wersji 2.5.3 na wstrzyknięcie kodu PHP, co jest znacznie niebezpieczniejsze!

Idąc dalej widać informację o tym, która wersja wtyczki została pozbawiona tej luki oraz link do szczegółów z punktacją CVSS 3.0, co pozwala jednym rzutem oka stwierdzić jak niebezpieczna może okazać się luka.

Więcej informacji o podatnej wtyczce

Masz dwie możliwości wyeliminowania problemu. Możesz wtyczkę zaktualizować lub wyłączyć. Pamiętaj jednak że wyłączenie wtyczki nie zawsze eliminuje problem. Jeśli chcesz wtyczkę wyłączyć sugeruję ją w kolejnym kroku usunąć, a wrócić do niej gdy pojawi się aktualizacja z poprawką błędów.

Jak widzisz sen może być spokojniejszy mając takie narzędzie na podorędziu, narzędzie które nie obciąża Twojej strony i nie wymaga instalacji dodatkowych wtyczek. Im ich więcej tym robi się mniej bezpiecznie 😀

Poziom wyżej

Wkrótce zostaną wprowadzone dodatkowe pakiety związane z opieką nad stronami WordPress. Na razie nie zdradzę szczegółów, ale znajdzie się tam możliwość dodatkowej kontroli podatnych na ataki zasobów z automatycznym łataniem luk. Mówiąc prościej wtyczka podatna na atak nie zostanie zaktualizowana z automatu, żeby nie ryzykować niekontrolowanej aktualizacji, ale zostanie załatana, co z miejsca uniemożliwi atakującym wykorzystanie luki.

Poniżej zrzut ekranu tej samej przykładowej strony co powyżej. Również jak widać problem został wykryty we wtyczce Loco Translate, ale w tym wypadku luka została automatycznie załatana 🙂

Możliwość załatania luk w sposób automatyczny

To oczywiście nie zwalnia Cię z aktualizacji niebezpiecznej wtyczki natomiast daje Ci większe poczucie bezpieczeństwa i więcej czasu na reakcję, np. gdy jesteś na urlopie i chcesz się odciąć od Internetu na 2 tygodnie 🙂

Szybkie pytania i odpowiedzi

Jak działa automatyczne wykrywanie podatnych na ataki zasobów strony WordPress

Nie musisz używać do tego celu wtyczek, które niepotrzebnie obciążają WordPressa i dodatkowo zwiększają ryzyko wystąpienia nowych zagrożeń (im więcej wtyczek tym więcej potencjalnych luk). Wykorzystaj narzędzia dostępne na Hostingu WordPress i ciesz się spokojem ducha. Twoja strona jest codziennie skanowana w poszukiwaniu wrażliwych zasobów. Niezwłocznie otrzymasz powiadomienie o znalezionych lukach i jednym prostym kliknięciem rozwiążesz problem 🙂

W jaki sposób hosting WP chroni moja stronę WordPress

To spora lista, którą znajdziesz w tym artykule, m.in. ochrona w czasie rzeczywistym przed złośliwym oprogramowaniem, monitorowanie kluczowych środków bezpieczeństwa strony WordPress i ich wdrażanie jednym kliknięciem, automatyczne wykrywanie podatnych na ataki zasobów strony (wtyczki, motywy i sam WordPress) i znacznie więcej. Zachęcam do lektury tej publikacji 🙂

Podsumowanie

Chcę podkreślić raz jeszcze. Bezpieczeństwo jest niezwykle ważnym obszarem funkcjonowania Twojego projektu w sieci. Nie ma znaczenia czy to strona prywatna czy biznesowa, mały blog czy duży sklep. Każda ze stron może zostać zaatakowana, a konsekwencje mogą okazać się dla Ciebie przykre, mogą być także przykre dla osób, które Ci zaufały i odwiedzają Twoją stronę. Nigdy nie lekceważ poziomu bezpieczeństwa w czym pomogą Ci rozwiązania i narzędzia, o których wspomniałem powyżej.

Udostępnij

Zobacz również

LoginID

LoginID czyli bezpieczne logowanie WordPress

Bezpieczeństwo jest sporym zmartwieniem dla każdego twórcy stron internetowych, a przynajmniej tego, który zdaje sobie sprawę z faktu, że bezpieczeństwo zależy przede wszystkim od niego.

WordPress zmiana domeny

WordPress zmiana domeny

Domena, to adres Twojej strony internetowej i jednocześnie jej unikalny identyfikator, który jako ludzie jesteśmy w stanie szybko zapamiętać. Zdarza się jednak, że pierwotny wybór

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Polecane Oferty LifeTime!

Studiocart

Kreator lejków sprzedażowych pozwalający skutecznie skalować Twój biznes online.

Meta Box Lifetime
Meta Box

Dodawaj własne rodzaje treści, pola i taksonomie do WordPressa.

Virusdie - Lifetime
Virusdie

Rewelacyjne narzędzie chroniące stronę WWW przed atakami, a także narzędzie...

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *