Spis treści

Aktualizacja oprogramowania CMS WordPress

Pierwszą kwestią, będącą zarówno zaletą jak i wadą, są aktualizacje WordPress.

Jest to zaleta z tego powodu, że nad poprawnością działania CMS, jego bezpieczeństwem oraz regularnymi aktualizacjami, stoi sztab ludzi — zarówno społeczność użytkowników jak i główny zespół WordPress. Dzięki temu luki bezpieczeństwa są szybko wykrywane oraz neutralizowane.

Wadą natomiast jest to, że w wielu przypadkach nieświadomi użytkownicy nie dokonują aktualizacji podstawowego oprogramowania swojej strony WordPress, jakim jest sam CMS.

Powodem takiego stanu rzeczy może być niewiedza, lenistwo bądź brak możliwości aktualizacji związany z niekompatybilnością wykorzystywanego szablonu, bądź wtyczek (o czym za chwilę).

Korzystając z aktualizacji, znacząco zwiększamy bezpieczeństwo WordPressa. Pomijając je, sprawiamy, że nasza strona staje się bardziej podatna na ataki.

Zalecam zatem wykorzystać mechanizm umożliwiający automatyczne aktualizacje w tle dla wydań zabezpieczeń. Pamiętaj jednak, aby korzystać z niego tylko wtedy, gdy masz 100% pewność, że aktualizacje WordPressa nie będą miały wpływu na używany szablon i wtyczki.

Skoro jesteśmy już przy kwestii szablonów...

Aktualizacja motywu do WordPressa

W przeciągu kilkunastu lat doświadczenia w pracy dla naszych Klientów na palcach jednej ręki mógłbym policzyć ilość stron opartych o WordPress, w których dbano o aktualizacje szablonu.

Także i tutaj są różne powody takiego stanu rzeczy.

Najczęściej, tak jak w przypadku aktualizacji samego WordPressa, jest to nieświadomość użytkownika o potrzebie takich aktualizacji.

Często jednak jest to problem powstały przez to, że szablon, na którym stworzona jest strona internetowa, jest tzw. gotowcem pobranym z Internetu. Sporo stron internetowych tworzonych na takich szablonach ma ten sam problem — zawierają moduły, które są zmodyfikowane (np. aby dostosować go w kwestii kodu pod wymagania użytkownika). Nieumiejętna modyfikacja (bez wykorzystania tzw. szablonu dziecka (Child Theme) sprawia, że aktualizacja takiego szablonu, niweluje wszelkie wprowadzone w nim zmiany.

Kolejną kwestią jest pozostawianie w ramach naszego WordPressa szablonów preinstalowanych z każdą aktualizacją (np. TwentyTwenty itp.). W związku z tym, że znajdują się w każdej instalacji WordPress, są jednym z pierwszych celów ataku.

Dlatego też jeśli używamy jednego z preinstalowanych, podstawowych szablonów to bezwzględnie powinniśmy zadbać o jego aktualizację, co również wzmocni bezpieczeństwo. Dodatkowo powinniśmy usunąć wszystkie szablony, których nie używamy.

Problemem gotowych szablonów są również dostarczane z nimi wtyczki — często bez licencji, co znacząco utrudnia proces aktualizacji.

Aktualizacja wtyczek

Wtyczki są kolejną fantastyczną częścią WordPressa, ale jednocześnie stanowią prawdziwą kulę u nogi.

Moim zdaniem powinniśmy ich używać w jak najmniejszej ilości. Dlaczego?

Otóż niewątpliwą zaletą wtyczek WordPress jest ich mnogość i różnorodność. Bez większego problemu znajdziemy dziesiątki wtyczek zwiększających możliwości WordPressa. Ale czy tak naprawdę jest to takie dobre rozwiązanie?

Każda kolejna zainstalowana wtyczka to potencjalny pakiet problemów. Warto sprawdzić, czy autorem wtyczki jest firma, czy osoba prywatna z nikłym portfolio. Im większa firma bądź większa liczba wtyczek stworzona przez danego autora (co możemy sprawdzić, korzystając np. ze strony autora), tym większa pewność, że poświęcili oni wystarczającą ilość czasu na ich zabezpieczenie.

Wtyczki mogą stanowić problemy związane z:

Głównymi problemami z wtyczkami to:

  • dziury bezpieczeństwa — każda wtyczka to kolejne potencjalne źródło ataków,
  • brak wsparcia i aktualizacji — autorzy często porzucają rozwój swoich wtyczek, przez co stają się one niekompatybilne z nowymi wersjami WordPressa i z czasem coraz bardziej podatne na ataki. Może to skutecznie zablokować możliwość aktualizacji zarówno samego systemu WordPress jak i motywu.

Kwestią dyskusyjną jest również bezpieczeństwo wtyczek i motywów pochodzących z nieoficjalnych źródeł. Zawsze korzystajmy z oficjalnego repozytorium lub polegajmy na oficjalnej stronie twórcy wtyczki.

Dlatego tak ważne jest, aby używać jak najmniejszej liczby dodatkowych wtyczek, a te, których używamy, powinny być na bieżąco aktualizowane przez ich twórców. Nieaktualne wtyczki znacząco obniżają bezpieczeństwo strony.

Domyślne ustawienia WordPressa — prefix wp_, ukrycie wersji WordPress, admin jako podstawowe konto administracyjne i hasło

Tworząc stronę, wiele osób popełnia podstawowe błędy podczas instalacji, które obniżają bezpieczeństwo naszej witryny WordPress.

Pierwszym z nich jest pozostawienie predefiniowanego prefixu dla tabel bazy danych. Hakerzy doskonale wiedzą, że większość instalacji WordPress będzie w bazie MySQL posiadać tabele o prefixie wp_, a co za tym idzie, znają pełną strukturę naszej bazy MySQL.

Kolejnym krytycznym błędem, przez który nasza strona WordPress traci na bezpieczeństwie, są łatwe hasła dostępowe, które bez większych problemów można złamać atakami typu brute force. Ustawienie loginu administratora np. jako „admin” czy „administrator” ułatwia nieautoryzowany dostęp do całej strony.

Ważnym aspektem bezpieczeństwa jest adres logowania do panelu administracyjnego. Możemy zabezpieczyć go za pomocą filtrowania adresu IP, bądź jego zmiany. Sprawi to, że panel administracyjny w WordPressie dostępny będzie tylko dla wybranych adresów IP oraz dla osób znających dokładny adres URL do niego.

Ukrycie wersji w kodzie źródłowym strony WordPress również może utrudnić pracę potencjalnym atakującym.

Dobrym pomysłem jest również zablokowanie możliwości tworzenia kont użytkowników WordPress. Niestety w przypadku sklepów taka opcja nie jest możliwa.

O tym jak poprawić i zabezpieczyć stronę WordPress (oraz wiele więcej) możesz przeczytać na naszym blogu: 12 porad jak zabezpieczyć WordPress przed wirusami?

Nie zapominajmy o wykonywaniu kopii zapasowych

Ludzie dzielą się na dwie grupy. Na tych, którzy zaczęli tworzenie kopii zapasowych oraz tych, którzy dopiero zaczną je tworzyć.

Bardzo ważną kwestią w sprawie bezpieczeństwa WordPress jest nawyk tworzenia kopii zapasowych. Wiele renomowanych firm hostingowych w standardzie oferuje tworzenie takich kopii już na poziomie serwera.

Zalecam również własnoręczne tworzenie kopii zapasowej, a nie tylko pozostawianie tej sprawy po stronie serwera. Mamy wtedy pewność, że dysponujemy backup'em, który może uratować naszą stronę.

W większości przypadków kopia zapasowa zawiera nie tylko treści dostępne na stronie, ale również wszystkie media (takie jak grafiki, zdjęcia, dokumenty czy filmy), wtyczki oraz kopię bazy danych.

Dzięki tak wykonanej kopii mamy możliwość szybkiego przywrócenia strony WordPress w przypadku ataku lub błędów w bazie danych.

Rola dostawcy hostingu

Hosting również nie jest bez znaczenia i wpływa na bezpieczeństwo WordPressa.

Największy problem powstaje w przypadku hostingu współdzielonego. W takim przypadku kilka lub kilkadziesiąt stron internetowych znajduje się na jednym i tym samym serwerze, a nawet koncie. Oznacza to, że zainfekowanie jednej strony może mieć negatywny wpływ na wszystkie inne strony obecne na serwerze.

Warto sprawdzić, czy hosting, którego używamy, pozwala na odseparowanie katalogów różnych domen od siebie.

Zawsze używaj najnowszej wersji WordPress, wtyczek i motywów

Podsumowując rozważania o bezpieczeństwie WordPressa, musimy być świadomi tego, że zarówno sam WordPress, jak i motywy oraz wtyczki wymagają aktualizacji. W dużej mierze od tego zależy, w jakim stopniu nasze strony WordPress są bezpieczne.

Strona z poprawną konfigurację podstawową, aktualizowana na bieżąco, posiadająca profesjonalny motyw i używająca minimalnej liczby wtyczek będzie dużo bardziej bezpieczna, niż kilkuletna, nieaktualizowana i mówiąc kolokwialnie — zaśmiecona strona.

Profesjonalna opieka nad Twoją stroną na WordPressie

Zdaję sobie sprawę z tego, że dbanie o wszystkie poruszone kwestie jest czasochłonne i wymaga (w pewnych sytuacjach) sporej wiedzy dotyczącej WordPressa.

Jeśli nie chcesz lub nie możesz samodzielnie dbać o bezpieczeństwo swojej strony, możesz powierzyć to zadanie profesjonalistom.

Skorzystaj z naszej usługi opieki nad stroną WordPress, a będziesz miał pewność, że Twoja strona jest zawsze aktualna, zabezpieczona i monitorowana pod kątem ewentualnych zagrożeń.

Skontaktuj się z naszą agencją, by dowiedzieć się więcej o tej usłudze.

Zadbaj o bezpieczeństwo Twojej strony na WordPress'ie!

Powierz opiekę nad stroną Agencji KS, a my dopilnujemy, by była zawsze aktualna i zabezpieczona przed zagrożeniami.

Skontaktuj się z nami!

Podsumowanie

To, w jakim stopniu uznamy, że WordPress jest bezpiecznym lub niebezpiecznym systemem, zależy w głównej mierze od podjętych przez nas działań w kwestii jego ochrony. Znana maksyma „jak dbasz, tak masz” ma zastosowanie także i tutaj — w kwestii bezpieczeństwa WordPress.