SPIS TREŚCI:
Bezpieczeństwo WordPressa to nie tylko baza danych, ochrona pliku logowania, spam i inne zagrożenia, które dotyczą każdego CMS’a. Zabezpieczanie aplikacji webowych zaczyna się w naszej głowie, od nawyków, które przenoszą się na nasze zachowania i środowisko, w którym pracujemy. Jeśli ochrona środowiska produkcyjnego zostanie potraktowana poważnie, to automatycznie rośnie poziom bezpieczeństwa aplikacji webowej.
Każdy kto szukał informacji na temat zabezpieczania WordPressa zetknął się z artykułami, w których znalazło się kilkanaście podobnych zaleceń. Rady i podpowiedzi występują w różnych konfiguracjach, ale ochrona środowiska produkcyjnego często traktowana jest po macoszemu.
Wspomnianych zaleceń nie ma zbyt wiele. Bardzo rzadko znajdziemy w takich poradnikach więcej niż 20 punktów – czy to dlatego, ze jest mało do zrobienia? Nie. To wynika z faktu, że gospodarzami WordPressa są przeważnie serwery współdzielone. Taki serwer to właściwie konto klienta, które jest przypisane do określonego folderu na dysku twardym „jakiegoś komputera”.
Decydując się na taki typ hostingu nie mamy wpływu na programy, które „czynią” z komputera serwer. Zostaje nam kontrola naszego konta i panelu admina WordPressa. Oprócz tego, mamy także wpływ na inne czynniki, które są pomijane w poradnikach – a przez nas często ignorowane. To wynika z błędnego przekonania, że strefa zagrożenia zaczyna się na stronie logowania do panelu admina – nic bardziej mylnego.
Sprzęt
Praca znad serwisem WWW na zainfekowanym komputerze, to jak zabieg chirurgiczny zainfekowanymi instrumentami. Wokół komputera zgromadzone są technologie i peryferia podatne na ataki. Komputer łączy się z innymi urządzeniami, na dodatek funkcjonuje w sieci bezprzewodowej – furtek jest dużo, nawet klawiatura bezprzewodowa może stanowić słaby punkt naszego środowiska.
Oczywiście martwienie się klawiaturą powoduje, że zdobywamy nową odznakę: „ultra-paranoik”. No cóż. Nie ma bezpieczeństwa bez paranoi. Paranoja się przydaje, ale może i przeszkadzać. Każdy sam musi wypracować w sobie mechanizm dopasowania poziomu paranoi do sytuacji. Jeśli mamy do czynienia z rzeczami ultra-ważnymi, to lepiej włączyć tryb paranoika i myśleć tak, jakby atakujący chciał uzyskać dostęp do naszych zasobów, dokładnie do naszych.
No dobrze, ale czy faktycznie zainfekowany komputer osobisty może być zagrożeniem dla strony internetowej? Jak najbardziej. Zainfekowanie naszej maszyny może prowadzić do przejęcia haseł, a w konsekwencji do utraty kontroli nad stroną internetową. Zacznijmy jednak od początku, od okna na świat.
Bezpieczeństwo przeglądarki WWW
Przeglądarki są oknem na zagrożenia – dosłownie. Nie chodzi w tym miejscu o budowanie poczucia permanentnego zagrożenia. W końcu da się funkcjonować w Internecie bez większych problemów. Ale podczas pracy nad serwisem WWW warto mieć z tyłu głowy włączone czerwone światełko. Problem z przeglądarkami polega na tym, że Internet opiera się na:
- nieścisłościach,
- błędach implementacji,
- nieprzestrzeganiu wytycznych, zaleceń, specyfikacji,
- odmiennym zachowaniu się przeglądarek i samych serwerów (minęło kilka dekad, a do teraz serwery „nie wypracowały” spójnych odpowiedzi na różne żądania).
Pod powierzchnią wyświetlanej treści, kryje się dużo potencjalnych zagrożeń, które są zogniskowane wokół komunikacji pomiędzy przeglądarką (klientem), a serwerem. Tak. Wszystkie zagrożenia mają podobne korzenie i sięgają kilku dekad wstecz.
Rozszerzenia
Okno na świat możemy częściowo zabezpieczyć dzięki rozszerzeniom blokującym niechcianą treść – głównie reklamy. Tego typu dodatki chronią częściowo przed ordynarnymi atakami na przeglądarkę. Do infekcji dochodzi z reguły po kliknięciu na elemencie strony, który jest powiązany ze szkodliwym skryptem lub załadowanie skryptu po przejściu na stronę WWW. Rozszerzenia pozwalają blokować wyskakujące okienka lub całkowicie wyłączyć obsługę Javascript.
Blokery reklamowe mają swoją niechlubną historię. Jest to związane przynajmniej z dwoma zjawiskami: sprzedaż danych podmiotom trzecim, oraz białe listy reklamodawców, którzy są pomijani w procesie blokowania. Jednak z naszej perspektywy te kontrowersje są mało istotne. Na marginesie chciałbym tylko dodać, ze warto wykluczyć z blokowania własną domenę – szczególnie podczas pracy nad stroną WWW.
Instalując rozszerzenie także warto zachować czujność. Przypadki zainfekowanych wersji rozszerzeń publikowanych na oficjalnych stronach sklepów nie są już niczym nowym. Podobna przygoda spotkała popularnego AdBlock Plus; według portalu Engadget „ofiarą” zmodyfikowanej wersji mogło paść nawet 37 tyś osób. I jak tu nie ulegać paranoi…
Z drugiej strony najnowsze zjawisko z dziedziny „nieskończonej kreatywności”, to umieszczanie w banerach reklamowych skryptów do kopania krypto walut. W konsekwencji jeśli nie zablokujemy takiej „reklamy”, to nasz sprzęt będzie służył górnikom do wydobywania cyfrowej waluty.
BHP klikania
Bezpieczeństwo przeglądarki to także rozważne poruszanie się po Internecie i świadome klikanie. Za nim cokolwiek klikniemy w nowym dla nas otoczeniu, można sprawdzić podgląd odnośnika, który powinien pojawić się w oknie przeglądarki po jego wskazaniu. Taki sposób nie jest gwarantem bezpieczeństwa, ale możemy dzięki temu wykryć, co bardziej ordynarne różnice między tym, gdzie chcemy się dostać, a gdzie kieruje nas odnośnik.
Czy antywirus jest konieczny?
Jesteśmy z automatu przyzwyczajeni do myśli, że musimy mieść antywirusa i, że antywirus jest bezpieczny. Obydwa założenia są błędne. Po pierwsze, większość zagrożeń w dzisiejszym świecie płynie z okna naszej przeglądarki, te zagrożenia działają inaczej, niż popularne w mediach wirusy i konie trojańskie. Wiele zagrożeń nie jest wykrywana przez antywirusy z powodu ich sposobu działania.
Po drugie, antywirus to oprogramowanie podatne na ataki, na dodatek działające w chmurze, a to czyni z nich łakomy kąsek dla atakujących. Dla dociekliwych polecam rozpoznanie tematu antywirusa Kaspersky w kontekście operacji rosyjskich i izraelskich „specjalistów od bezpieczeństwa”.
W tym miejscu nie staram się przekonać do usunięcia antywirusa z urządzenia. Zależy mi na tym, aby nie postrzegać go jako aplikacji w 100% zaufanej i zwalniającej nas z ostrożności: „jestem bezpieczny bo mam antywirusa”. Antywirus to tylko kawałek kodu, który może, ale nie musi przysłużyć się naszemu bezpieczeństwu. Ten składnik naszej ochrony jest o wiele mniej istotny, niż nasza uwaga, oraz roztropność.
Praca z programami
Programy możemy pobierać z różnych źródeł. Źródła są mniej i bardziej zaufane, ale nie istnieje w 100% bezpieczne – nawet strona producenta, o czym przypomina wpadka wydawcy popularnego programu CCleaner. Tutaj, podobnie jak w przypadku antywirusa, nie chodzi o to, aby zrezygnować z instalacji programów. Chodzi o to, aby mieć świadomość, że nie ma „świętych krów”. Dlatego podczas pracy z programami warto wypracować kilka pożytecznych nawyków.
Czy naprawdę potrzebuję kolejnej apki?
Instalujemy tylko te programy, które są nam niezbędne. Naprawdę, nie ma żadnego powodu, aby na naszym urządzeniu rezydowały zasoby, z których nie korzystamy. Nie instalujmy też aplikacji w przypływie natchnienia. Sprawdźmy czy faktycznie aplikacja spełni nasze oczekiwania, poczytajmy recenzje, znajdźmy opinie, poszukajmy w serwisie YouTube.
Programy z czeluści Internetu
Jesteśmy tak zbudowani, że z automatu klikamy na największy i kolorowy przycisk znajdujący się na stronie WWW. Jeśli taki zauważymy, to automatycznie powinna wzrosnąć nasza uwaga. Poszukajmy pod przyciskiem informacji drobną czcionką, być może znajdzie się tam „uczciwe” ostrzeżenie, że pobierany program zawiera w sobie dodatkowe „produkty”. Postarajmy się poszukać na stronie WWW dodatkowego i niepozornego przycisku, który umożliwia ściągnięcie aplikacji. W tym miejscu pomijam już kwestię legalności źródeł – chyba każdy jest świadom zagrożeń.
Instalowanie programu z „prezentami”
Podczas instalacji przycisk „Next” traktowany jest jak przeszkoda w osiągnięciu celu. Rzadko zwraca się uwagę na wyświetlane komunikaty. Nie popełniajmy takiego błędu. Każdą kartę instalatora należy uważnie przeczytać, szczególnie informacje obok pól, które są domyślnie zaznaczone. Często praktyką jest dodawanie do instalatorów składników, które po zainstalowaniu modyfikują wyszukiwarkę i bardzo ciężko je usunąć z systemu.
Instalacja programów z turbodoładowaniem
Instalacja wszelakiej maści przyśpieszaczy i czyścicieli systemów operacyjnych to ryzykowne zajęcie. Po pierwsze nie wiemy do końca, co taki program robi. Po drugie, jeśli potrzebujemy takiej aplikacji, tzn. że mamy złe nawyki. Zastanówmy się nad tym, dlaczego spada kondycja naszego systemu? Być może instalujemy zbyt dużo programów; być może podczas instalacji nie zwracamy uwagi na to, co jest wyświetlane w poszczególnych kartach instalatora; być może odwiedzamy zbyt mroczne zakątki Internetu? Nic nie dzieje się bez naszego udziału.
Nasze zasoby i tajemnice
Ochrona zasobów, czyli najważniejszych danych: haseł, plików, katalogów, nośników danych, urządzeń mobilnych i wszystkiego tego, co podłączamy do Internetu. W tym przypadku chodzi o fizyczną i programową ochronę. Chrońmy nasze dane przed zniszczeniem, a także przed głupimi błędami, jak pozostawienie urządzenia w miejscu publicznym.
Zdaję sobie sprawę z poziomu ogólności tego typu porad. Ale to właśnie najgłupsze błędy wynikają z rzeczy oczywistych. Niech za przykład posłuży epizod z udostępnianiem kluczy uwierzytelniających przez niektórych developerów w serwisie Github. Publikowane projekty zawierały w sobie dane dostępowe do usług w chmurze. Ktoś wpadł na pomysł napisania skryptu, które te dane z serwisu wyławiał. Następnie wykorzystując konta „hojnych” developerów uruchamiano w chmurze potężne instancje serwerowe – no kto by przypuszczał…
Peryferia
Jeśli chcemy wykorzystać klawiaturę bezprzewodową, to poszukajmy takiego urządzenia, które silnie szyfruje transmisję danych. Nie ma powodu, dla którego w eterze mają być dostępne niezaszyfrowane informacje dotyczące projektów, nad którymi pracujemy (a także hasła, loginy do kont bankowych i innych usług).
Ostrożnie obchodźmy się z nośnikami danych z niepewnych źródeł. Lubimy członków naszej rodziny, przyjaciół i kolegów. Ale nasi najbliżsi nie są zobligowani do pilnowania naszego interesu. Zastanówmy się dwa razy przed włożeniem pendrive cioci do komputera wykorzystywanego w pracy. Do takich sytuacji lepiej przygotować tanie, zapasowe uprzędzenie, które możemy traktować jak poligon doświadczalny.
Konto administratora systemu
W tym przypadku nie chodzi o panel admina systemu WordPress tylko system Windows. Jeśli nie korzystamy z uprawnień administratora systemu to najlepiej utworzyć nowe konto użytkownika i wykorzystywać je do regularnej pracy. Uprawnienia administratora są rzadko potrzebne w codziennej pracy, a te uprawnienia są wysokie, lepiej nie kusić losu.
Ochrona środowiska produkcyjnego – podsumowanie
Niestety zagrożeń jest dużo, co wynika z ogromnej liczby zmiennych jakie nas otaczają w kontekście branży IT. Nie da się opisać wszystkich, lektura byłaby opasła i nikt by tego nie zapamiętał. O wiele lepszym podejściem jest świadomość obszarów, w których funkcjonują zagrożenia, oraz praca nad naszymi przyzwyczajeniami.
Przypomnijmy sobie historię z developerami i Githubem. Siła nawyku i pośpiech powoduje, że popełniamy głupie błędy. Jeśli się spieszymy, to nie jesteśmy w stanie wykorzystać naszej wyobraźni, po prostu nie ma na to czasu. A tymczasem wystarczy zastosować klasyczny krok w tył, i kilka głębokich wdechów – najlepiej każdorazowo przed kliknięciem: „Wyślij” i „Pobierz”. Złota zasada.
Powodzenia.
Ten cykl artykułów to rozwinięcie i podsumowanie wybranych zagadnień ze szkolenia wideo: Bezpieczeństwo WordPressa – fundamenty.
