SPIS TREŚCI:
Serwer współdzielony – przedmiot trosk i dylematów, wg mnie niepotrzebnie. Dzisiaj serwery mogą pochwalić się podobnymi parametrami za podobną cenę. Usługodawcy odchodzą od praktyki podkreślenia parametrów konta i kładą nacisk na liczbę wizyt użytkowników w danym okresie. A my, powinniśmy więcej uwagi poświęcać innym kryteriom i skupić się na tej części oferty, która jest poświęcona bezpieczeństwu.
W sieci i w rozmowach często można natknąć się na głosy, że WordPress nie może być bezpieczny na serwerze współdzielonym, a w ogóle, to nie może nosić miana bezpiecznej aplikacji. Na tak postawione zastrzeżenia starałem się odpowiedzieć w jednym z wcześniejszych poradników – zachęcam do lektury.
Serwer współdzielony – na co zwrócić uwagę?
Warto oczywiście zerknąć na liczby, które pojawiają się w ofertach hostingowych. Ale wg mnie są to kryteria drugorzędne w przypadku serwisów WWW, które dopiero powstają, a planowany ruch nie zakłada intensywnej eksploatacji zasobów. Tym samym mamy okazję zwrócić uwagę na inne czynniki.
Wsparcie usługodawcy
Wsparcie dla początkującego administratora WordPressa to kwestia kluczowa. Łatwość komunikacji i czas reakcji są najważniejsze. Z punktu widzenia bezpieczeństwa oczekiwanie na odpowiedź mailową 1 dzień roboczy, jest niedopuszczalne. Szukamy takiego usługodawcy, którego polityka wsparcia zakłada natychmiastową konsultację, a czas reakcji na wiadomości mailowe to kwestia kilkunastu minut.
Lokalizacja serwerów
Jeśli strona internetowa jest kierowana do polskojęzycznego odbiorcy, to rozważmy ofertę usługodawcy zlokalizowanego w naszym regionie. Wpływa to nieznacznie na szybkość ładowania serwisu WWW, oraz na komunikację w razie ewentualnych problemów. W przypadku niektórych zagranicznych usługodawców możemy znaleźć oferty, które umożliwiają wybór regionu, oraz oferują częściowo spolszczone panele kontrolne.
Izolacja konta
Serwer współdzielony to po prostu konto powiązane z folderem na dysku twardym. A to oznacza, że na tym samym dysku twardym swoje konta mają także inni klienci. A to zaś oznacza, że jeżeli strona WWW „sąsiada” jest zainfekowana, to infekcja może „przenieść się” do nas. Dlatego warto dopytać się o to, czy konta są w jakiś sposób izolowane. W przypadku serwerów pod kontrolą Apache, 100% izolacja jest niemożliwa do osiągnięcia – ale nic nie stoi na przeszkodzie, aby w korespondencji poruszyć to zagadnienie.
Dodatkowe narzędzia usługodawcy
Analizując ofertę szukajmy informacji na temat dodatkowych narzędzi wykorzystywanych do ochrony kont na serwerze. Jeśli nic nie znajdziemy, to powinna zapalić się czerwona lampka. Mimo tego oferta może nam odpowiadać z innych względów, dlatego przed ostateczną decyzją dopytajmy się o:
- Ochronę przed atakami DDoS.
- Wykorzystywane przez usługodawcę skanery i zapory ogniowe.
- Możliwość łatwej implementacji protokołu SSL (Secure Socket Layer).
- Narzędzia do monitorowania naszego konta – praca procesora, pamięć, transfer danych, analiza ruchu. Warto sprawdzić, jak wygląda panel kontrolny konta, oraz czy prezentowane dane są dla nas czytelne. Te narzędzia są bardzo przydatne, jeśli mamy podejrzenia, że coś się dzieje z naszym serwisem.
- Mechanizmy archiwizacji – czyli tworzenie kopii bezpieczeństwa. Wielu usługodawców implementuje mechanizm archiwizacji, może się okazać, że to on posiada najnowszą kopię naszego serwisu WWW. Na marginesie dodam, że nie wolno w 100% polegać na zapewnieniach usługodawcy i należy wdrożyć własną politykę tworzenia kopii zapasowych.
- Sprawdźmy czy z poziomu panela kontrolnego (cPanel) możemy zmienić podstawowe ustawienia PHP, w tym wersję PHP. Najnowsza wersja PHP, to także zwiększone bezpieczeństwo naszej aplikacji.
- Możliwość wykorzystania bezpiecznego protokołu FTP, czyli SFTP. Dane przesyłane niezabezpieczonym protokołem są przesyłane jawnym tekstem – każdy może je odczytać.
Serwer współdzielony a zakres bezpieczeństwa
Model hostingu współdzielonego zakłada odpowiedzialność naszą, oraz usługodawcy. W skrócie można powiedzieć, że każdy jest odpowiedzialny za swoją działkę. Z naszej perspektywy może się wydawać, że usługodawca nic nie robi, ale to mylne wrażenie. Żadna ze stron nie jest zainteresowana tym, aby jakakolwiek infekcja rozprzestrzeniała się w serwerowni: od kierownictwa (które myśli o PR firmy), po administratorów (którzy myślą o dodatkowym nakładzie pracy). Bezpieczeństwo w tym modelu jest wspólnym dobrem.
Zakres obowiązków usługodawcy
Podstawowe zadania usługodawcy dotyczą jego własnej infrastruktury. Czyli odpowiednie przygotowanie pomieszczeń, wdrożenie zabezpieczeń przed fizyczna ingerencją i różnymi zdarzeniami losowymi. Oprócz tego obowiązki usługodawcy to:
- ochrona infrastruktury sieciowej i serwerowej,
- ochrona oprogramowania serwerów,
- ochrona serwerów baz danych i programów niezbędnych do uruchomienia aplikacji,
- izolacja zasobów między użytkownikami,
- konfiguracja praw dostępu do plików i katalogów,
- aktualizacje.
Zakres obowiązków klienta
Wytyczne wypunktowane poniżej to minimum obowiązków, które nas dotyczą:
- Aktualizacja WordPressa i zasobów – brak słów, aby podkreślić jak bardzo ważny jest ten element naszej polityki bezpieczeństwa.
- Silne hasła – do panelu klienta hostingu, bazy danych, użytkownika bazy danych, użytkownika klienta FTP, panelu admina WordPressa… Więcej informacji na temat haseł, tworzenia bezpiecznych haseł, i przechowywania ich z menadżerem haseł, możesz znaleźć w kursie: Bezpieczeństwo WordPressa – fundamenty.
- Higiena konta serwera współdzielonego – dotyczy wszystkiego tego, co znajduje się w naszych folderach. Nie traktujmy serwera, jak przechowalni i kosz. Nie trzymajmy tam kopii bezpieczeństwa i bazy danych, jakichkolwiek informacji zapisanych w plikach, oraz innych plików, które nie są WordPressowi potrzebne do działa. Wydobycie tego typu zasobów nie jest trudne. Miejmy na uwadze to, że mogą one być indeksowane przez wyszukiwarki – po prostu wyświetlane w wynikach wyszukiwania.
Dodatkowe działania, które możemy podjąć
Nasza odpowiedzialność jako administratorów dotyczy także aplikacji (WordPressa), która jest zainstalowana na serwerze. Tutaj możemy wyróżnić następujące punkty naszej polityki bezpieczeństwa:
- Bezpieczna komunikacja z wykorzystaniem protokołu SFTP.
- Sprawdzenie praw dostępu do plików i katalogów, dla plików (644), dla folderów (755), plik wp-config.php (600), .htaccess (444 lub 400).
- Dodatkowe zabezpieczenie katalogów wp-admin, wp-includes, wp-content/uploads oraz wp-config.php, oraz innych w zależności od wykorzystywanych funkcjonalności.
- Usuwanie lub zabezpieczanie zbędnych zasobów na serwerze.
- Ochrona formularza logowania do zaplecza.
- Ochrona przed spamem i szkodnikami.
O krok od bezpieczeństwa
Powyżej wymieniłem najważniejsze punkty polityki bezpieczeństwa – lista jest niekompletna. Dalsze zabiegi wymagają już od nas pracy z wtyczkami lub plikiem .htaccess, który pozwala kontrolować katalog(i) i pliki na serwerze współdzielonym. Te zagadnienia są omawiane i wdrażane w przywołanym kursie Bezpieczeństwo WordPressa – fundamenty.
Powodzenia.
