WordPress a bezpečnosť webových stránok

wordpress-zabezpecenie-stranokProblematika bezpečnosti a zásady, o ktorých sa dnes budeme rozprávať, platia všeobecne pre všetky ďalšie publikačné systémy, prípadne iné aplikácie, ktoré generujú obsah webových stránok na internete.

Povieme si súhrn najlepších postupov pre zabezpečenie WordPressu, ktorý Vám pomôže urobiť Vaše stránky a tým aj podnikanie bezpečnejšie, a týmto si aj vysvetlíme základne princípy bezpečnosti webových stánok.

Musím sa priznať, že nie každý deň som v kontakte s WordPressom a prevažná časť stránok, ktoré robíme, je v publikačnom systéme TYPO3, ale máme významných klientov, ktorí majú svoje weby postavené na WordPresse. Z mojich skúseností môžem povedať zaujímavosť, že nie len malé alebo vznikajúce firmy, ale aj niektoré veľké spoločnosti evidentne zanedbávajú bezpečnosť. Hoci sa v poslednom čase zvýšil tlak na internetovú bezpečnosť a častejšie o tejto problematike počúvame aj z médií, firmy toto bezpečnostné riziko stále podceňujú. WordPress je najpopulárnejší blokovací systém a s niektorými úžasnými doplnkami aj najpopulárnejší CMS na internete, možno že aj na svete a práve jeho popularita z neho robí obľúbený cieľ pre hackerov.

Postaviť svoje webové stránky na WordPresse znamená, že budete musieť okrem tých bežných prác na dobrom webe ako je architektúra, dizajn, obsah, SEO atď. vynaložiť ďalšie úsilie s cieľom chrániť citlivé a hodnotné dáta Vás a Vašich klientov či návštevníkov. Je dôležité spomenúť, že tieto opatrenia nezaručujú 100%-nú ochranu proti hackingu, hlavne preto, že 100%-ne bezpečné webové stránky neexistujú,  ale Vás budú chrániť proti väčšine útokov. Rád by som spomenul týchto niekoľko bodov, a to je:

  • Udržujte svoj scripty aktualizované, Najlacnejšia firma nie je vždy najlepšia
  • Zabezpečte administračné rozhranie
  • Nepoužívajte „admin“ ako prihlasovacie meno
  • Silné heslo = 50% úspechu
  • Bezpečný hosting, Záloha stránok => kľudný spánok

Udržujte svoj WordPress a pluginy aktuálne

Je naozaj veľmi dôležité, aby Váš základný systém WordPressových súborov a všetky nainštalované doplnky boli pravidelne aktualizované na najnovšie verzie. Väčšina nových verzií WordPressu alebo doplnkov obsahujú bezpečnostné záplaty. Aj keď slabé miesta v kódovaní nemusia byť vždy vo väčšine prípadov ľahko zneužité, je dôležité, aby boli opravené.

Nehľadajte najlacnejšiu firmu alebo jednotlivca, ktorý Vám zhotoví stránky. Používajte overených dodávateľov a originálne doplnky.

Môj osobný názor je, že práca, ktorá je cenovo podcenená, nemôže byť za žiadnych okolností kvalitná a už vôbec nie – čo sa týka tvorby webu alebo programovania – bezpečná. Myslím si to z jednoduchého dôvodu. Ak dáte zákazku niekomu, kto má podhodnotenú cenu práce, 3 minúty po získaní zákazky Vás bude chcieť oklamať. Všetky tie úžasné doplnky, ktoré sú komerčné a platené, vrátane vzhľadových šablón, Váš dodávateľ riešenia nie na sto % ale na milión % stiahne z software s požadovanými funkciami nelegálnych zdrojov a nainštaluje na Vaše stránky. A môžete tri krát hádať, čo sa stane … Ja hovorím, že nič nie je zadarmo, a týmto krokom Vám Váš dodávateľ nevedomky hackne web tým, že na Vaše stránky nainštaluje spolu s doplnkami aj škodlivý kód. (slide-04)

Zabezpečte administračné rozhranie stránky

Ďalším dôležitým bodom je obmedzenie prístupu k administračnej oblasti len pre ľudí, ktorí k nemu skutočne potrebujú prístup. Ak váš web bude potrebovať vytváranie registrácie alebo front-end obsahu, Vaši návštevníci by nemali mať možnosť získať prístup do zložky „wp-admin“ alebo k súboru „wp-login.php“. Najlepšie ako to môžete urobiť, je získať Vašu IP adresu (napríklad pomocou služby podobnej ako je whatismyip.com wot is maj ajpi) a pridať tieto riadky do súboru „.htaccess“, ktorý sa nachádza v hlavnom adresári Vášho WordPressu.

<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>

 Značky xx.xxx.xxx.xxx nahradíte Vašou IP adresou. V prípade, že potrebujete povolenie na prístup do administračného rozhrania z viacerých počítačov, jednoducho pridajte ďalší príkaz Allow from xx.xxx.xxx.xxx do nového riadka. Ak by ste chceli získať prístup k administrácií z ľubovoľnej IP adresy – napríklad často používate voľné WI-FI siete – obmedzenie prístupu k administračnému rozhraniu viacerých IP adries môže byť celkom nepríjemné. V takýchto prípadoch sa odporúča obmedziť počet nesprávnych pokusov o prihlásenie na Vaše stránky. Takýmto spôsobom budete chrániť Vaše stránky proti útokom „brute-force“ (hrubou silou), pred útočníkmi, ktorí sa budú snažiť získať Vaše prihlasovacie údaje. Pre tieto účely tejto ochrany môžete použiť niektorý z malých pluginov, ktoré sú pre tento účel naprogramované. Napr. Limit login attempts

Nepoužívajte „admin“ ako prihlasovacie meno

Prvý užívateľ s názvom „admin“ je WordPressom vytvorený hneď pri inštalácií. Nikdy by ste si nemali ponechať tohto automaticky vytvoreného užívateľa. V minulosti sa z viacerých bezpečnostných chýb zistilo, že toto administračné nastavenie je spojené s útokmi hrubou silou na odhalenie administračných prístupových údajov a určite by ste tento základný užívateľský účet nemali používať. Odporúčané postupy po inštalácií sú: vytvorenie ďalších užívateľov v administračnom rozhraní a priradenie administračných práv k týmto účtom. Snažte si vytvoriť užívateľské meno slovom, ktoré nie je bežne používané. Takéto slovo je pre hackera oveľa ťažšie nájsť. Ak budete mať vytvorených nových užívateľov s priradenými právami (samozrejme odporúčam tieto nastavenia aj otestovať v praxi), základný administračný účet vymažte.

Používajte silné heslo

Väčšina ľudí je v tejto dobe oboznámená s tým, že ich heslo by nemalo byť „Password“. To, čo pravdepodobne nevedia, je, že útoky hrubou silou sú založené na obrovských množstvách databázových kombinácií hesiel, v snahe získať prístup na Vaše stránky. Ak má heslo nejaký zmysel alebo je nejakým spôsobom predvídateľné, pozostáva z bežných fráz, ľahko rozpoznateľných slov alebo číselných vzorov, potom je Vás web v ohrození. V skutočnosti existujú tri zlaté pravidlá pre generáciu dobrého a bezpečného hesla:

  1. Musí byť skutočne náhodné a jedinečné, (y0375/D?Q-t25%r)
  • aspoň 15 znakov dlhé
  • použité malé a veľké písmená
  • použité čísla
  • obsahuje rôzne symboly
  1. Musí byť použité iba raz (teda nie na viacerých miestach, prípadne jedno na všetkých stránkach klientov)
  2. Je potrebné ho pravidelne meniť (napr. raz za mesiac – dva) – pravidlo zubnej kefky

Ak budete tieto pravidlá dodržiavať, Vaše stránky budú oveľa bezpečnejšie. Pokiaľ ide o generovanie skutočne náhodných hesiel, na tento účel môžete použiť nejaký program alebo jednoducho nakódovaný script (slide najhorších hesiel, ukážka vhodného hesla)

Stále rovnaké chyby. Najhoršie heslá v roku 2014:

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
21. superman
22. 696969
23. 123123
24. batman
25. trustno1
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
16. mustang
17. access
18. shadow
19. master
20. michael
Zdroj: SplashData
Zdroj: zive.sk

Uistite sa, že Vaše stránky bežia na zabezpečenom WordPress hostingu.

Váš WordPress je tak bezpečný, ako je bezpečný Váš hostingový účet a server. Ak môže niekto zneužiť chybu v staršej verzii PHP alebo programe webového servera, prípadne iných aplikáciách nainštalovaných na hosťovacom serveri, tak nebude záležať na tom, že máte nainštalovanú najnovšiu verziu WordPressu. To je dôvod, prečo je dôležité, aby ste spolupracovali s firmou, ktorá má bezpečnosť ako jednu z priorít. Niektoré z funkcií, ktoré by ste mali hľadať, sú:

  • Podporu pre pravidelnú aktualizáciu PHP MySql versions
  • Izolácia účtu
  • Web Application Firewall (Firewall aplikačná forma firewallu, ktorý kontroluje vstup, výstup alebo prístup z nejakého zariadenia k stránke alebo aplikácii, pomocou aplikácie alebo služby. Funguje to tak, že sledujú a potenciálne blokujú vstup, výstup, alebo systémové služby, ktoré nespĺňajú nakonfigurovanú politiku firewallu.)
  • Intrusion detecting system (IDS intružn detekting system) je aplikácia pre zariadenia alebo softvér, ktorý monitoruje sieťové alebo systémové aktivity škodlivých činností alebo porušenia bezpečnostných zásad a vytvára správy (reports) riadiacej stanici.

Zálohujte všetko a pravidelne

Ak sú Vaše stránky hacknuté skutočne deštruktívnym spôsobom, čo je vždy možné vykonať, Vaša posledná línia obrany je nasadenie najnovšej zálohy. To znamená, že ak by malo dôjsť k tomu najhoršiemu, budete mať k dispozícií niečo, na čo sa môžete spoľahnúť (oprieť). Ak nechcete z nejakých dôvodov robiť pravidelné zálohy, vedzte, že táto myšlienka je hlúpa a ste v háji (zelenom). Dá sa nájsť veľké množstvo riešení pre zálohovanie hostingu externými aplikáciami, ale môj názor je taký, že by to mal robiť hostingový poskytovateľ, ktorý zahŕňa automatické zálohy v rámci svojich poskytovaných služieb. Ak ste sa stali obeťou hackerského útoku, ktorý poškodil Vaše stránky, potom by ste mali zistiť, či je Vás poskytovateľ hostingu schopný rýchlo obnoviť Vaše stránky na ich predchádzajúci stav.

Pravidelne kontrolujte svoj počítač. Vírus a malwar je uhlávny nepriateľ.

Ak je Váš počítač napadnutý vírusom alebo malwarom, môže potenciálny útočník získať prístup k Vašim prihlasovacím údajom. Bude sa môcť prihlásiť na Vaše stránky a bez problémov obchádzať všetky opatrenia, ktoré ste predtým poctivo realizovali. Toto je dôvod, prečo je veľmi dôležité mať každodenne aktualizovaný kvalitný antivírusový program a udržiavať celkovú bezpečnosť všetkých počítačov, ktoré používate pre prístup k serverom na vysokej úrovni.

Záver:

Nabudúce si povieme, ako obnoviť Vaše stránky, ak by ste sa stali prípadnou obeťou hackerského útoku, alebo boli Vaše stránky nakazené škodlivým softvérom. Príloha prezentácie: WordPress-security