Opublikowano

Zabezpieczanie WordPressa – punkt wyjścia

SPIS TREŚCI:

Kiedy pojawia się temat: zabezpieczanie WordPressa, to możemy zetknąć się z przynajmniej dwiema postawami: komentująca i wspierająca. Pierwsza, opiera się na przemyśleniach o samym WordPressie: „nie da się go zabezpieczyć, został źle napisany, a w ogóle to w PHP”. Ja podzielam drugą postawę: „na razie WordPress jest najpopularniejszy na świecie i został napisany tak, a nie inaczej, skupmy się na tym, co mamy”.

W ty artykule chciałbym sprowadzić wszystkie wątpliwości związane z tym, czy WordPress może być bezpieczny, do trzech punktów.

  1. Nie istnieje coś takiego jak: „bezpieczna aplikacja webowa”.
  2. Instalacja WordPressa na serwerze współdzielonym nie oznacza katastrofy.
  3. Rzadko zdarza się, że strona WWW pada ofiarą celowego ataku, z reguły są to ataki „przesiewowe”.

Czy aplikacja webowa może być bezpieczna?

Bezpieczeństwo teleinformatyczne zakłada, że nie istnieje coś takiego jak w 100% bezpieczny system informatyczny. Bezpieczeństwo to proces, czyli monitorowanie, reagowanie i szlifowanie istniejących reguł. Stan permanentnego poczucia bezpieczeństwa nie może zostać osiągnięty z prostego powodu: mamy do czynienia z systemami w ciągłej ewolucji, a poziom ich skomplikowania rośnie; na dodatek funkcjonują w środowisku, które nie uniknęło błędów okresu niemowlęcego.

To, co my możemy zrobić, to uświadomić sobie zagrożenia, wdrożyć zabezpieczenia, podnosić swoje kwalifikacje i niestety, liczyć się z tym, że przez jakiś czas nikt się nami nie zainteresuje. Wraz z rosnącą popularnością serwisu internetowego można spodziewać się bardziej wyszukanych ataków, na które oczywiście należy odpowiedzieć, ale za nim do tego dojdzie, sytuacja nie jest wcale taka beznadziejna.

A co z WordPressem?

Popularność WordPressa powoduje, że wszyscy są nim zainteresowani. A to oznacza, iż mnóstwo osób prześwietla jego kod źródłowy i bierze udział w zabezpieczaniu aplikacji; ale nie wolno zapominać, że równie dużo osób szuka „sposobów” na WordPressa. Jeśli chcemy na bieżąco monitorować zagrożenia związane z tym CMS’em, to możemy skorzystać ze strony WPScan Vulnerability Database, gdzie znajdziemy trzy sekcje: WordPress, Themes i Plugins. Sekcja WordPress, dotyczy plików samej aplikacji, czyli świeżej instalacji, bez motywów i wtyczek – podatności na zagrożenia pojawiają się tam sporadycznie (czasami przez kilka miesięcy nie znajdziemy żadnego wpisu).

W dwóch pozostałych sekcjach wpisy pojawiają się częściej. Należy jednak pamiętać, że wtyczek i motywów do WordPressa jest bardzo dużo. Samych wtyczek w oficjalnym katalogu wordpress.org jest przeszło 50 tyś. Korzystając zaś ze wspomnianej bazy zagrożeń możemy sprawdzić, czy instalowane przez nas zasoby stanowią zagrożenie dla systemu.

Pierwszy krok w stronę bezpieczeństwa, to aktualizowanie WordPressa i jego zasobów oraz sprawdzanie bazy zagrożeń przed instalacją nowych dodatków. Trzymając rękę na pulsie, minimalizujemy ryzyko niespodzianki.

Serwer współdzielony – kompromis

Serwery współdzielone to główny przedmiot narzekań, ironii i sarkazmu. Narzeka się na wszystko: na cenę, na wydajność i na bezpieczeństwo. Odnoszę wrażenie, że tutaj pojawia się niezrozumienie produktu, jakim jest serwer współdzielony. Tego typu hosting przeznaczony jest dla osób nietechnicznych, które nie są zainteresowane konfiguracją z poziomu wiersza poleceń: Linuxa, Apache, MySQL, PHP, plus dwie tony innych narzędzi. Nie zapominajmy o monitorowaniu tych składników, kopiach bezpieczeństwa, aktualizowaniu, testowaniu i rozwiązywaniu problemów z serwerem… a, i jeszcze zostaje strona WWW, tworzenie treści, praca z mediami… i znowu aktualizacje, ale tym razem WordPressa, kopie bezpieczeństwa, monitorowanie zagrożeń….

Dla osoby nie będącej administratorem systemów ważniejsze jest to, aby znaleźć takiego usługodawcę, który rzetelnie podejdzie do konfiguracji i zabezpieczenia serwera. Sprawdzony usługodawca po pierwsze zrobi to lepiej, a po drugie w cenie dzierżawionych zasobów. A jeśli to za mało, to zostają inne typy hostingu, w których mamy większą kontrolę nad systemem.

Dla konsumenta nietechnicznego podstawowe zabezpieczenia kont serwerów współdzielonych, plus oprogramowanie typu WAF, to więcej niż sam mogłby zrobić pracując na serwerze VPS. Instalując WordPressa na koncie współdzielonym gramy w jednej drużynie: swoją robotę musi wykonać usługodawca, który nie jest zainteresowany infekcjami, a swoją robotę musimy wykonać my.

Ataki przesiewowe i infekcje

Dzisiaj ataki na aplikacje webowe są zautomatyzowane. Ataki na zamówienie, na konkretną stronę WWW, to niewielki promil wszystkich ataków. Językiem obrazowym można powiedzieć, że po Internecie włóczą się szkodniki na ślepo starając się znaleźć ofiarę w oparciu o znane tym szkodnikom podatności.

Dlatego aktualizacje są najważniejszym punktem bezpieczeństwa. Wynika to w prostej linii z metod poszukiwania podatnych na ataki serwisów WWW. Powtórzę to jeszcze raz: nie chronimy się przed konkretnym przestępcą, chronimy nasze zasoby przed skanerami podatności, które wyszukują w stadzie słabe i ranne serwisy WWW. Jeśli już takie znajdą, to następuje eksploatacja tych serwisów.

Zabezpieczanie WordPressa – punkt wyjścia

Taki jest mój punkt wyjścia do kolejnych tematów związanych z bezpieczeństwem WordPressa. To podejście pozwala skupić mi się na pracy, a nie na sporach o wyższości jednego nad drugim. Jeśli chcemy mieć większą kontrolę niż to, co oferuje WordPress na serwerze współdzielonym, to warto pomyśleć o innym typie hostingu i zatrudnieniu administratora systemu lub podnoszeniu własnych kwalifikacji. Z tym że, jeżeli chodzi o edukację w dziedzinie bezpieczeństwa, to jest to niekończąca się opowieść.

Ten cykl artykułów to rozwinięcie i podsumowanie wybranych zagadnień ze szkolenia wideo: Bezpieczeństwo WordPressa – fundamenty.

Opublikowano