Jak wiadomo, większość stron internetowych, oparta jest na popularnych CMS-ach (WordPres, Joomla, PrestaShop, itd.) – z których najpopularniejszym jest WordPress. Związane z tym jest sporo zalet, ale i wad. Zasadniczą wadą jest właśnie ta popularność i rozpowszechnienie, często także wśród mniej zaawansowanych w technologiach IT użytkowników. Codziennie, wszystkie instalacje WordPressa są celem ataków włamywaczy lub hackerów – zjawisko to cały czas się nasila. Inne strony (bardziej niszowe CMSy lub tzw. autorskie) też są atakowane, jednak z dużo mniejszym nasileniem, zdarza się jednak czasami, że dużo skuteczniej, bo ze skutecznością nawet 100%
Aktualne dane (styczeń 2016) mówią o około 25% shackowanych stron internetowych z WordPresem lub mówiąc inaczej, co czwarta strona, robi więcej, niż przewidział jej autor (np. rozsyła spam, malware; służy za sieć black seo lub sieć bootów – do różnych celów) – staje się to co raz większym problemem dla całej globalnej sieci Internetowej.
Jak się przed tym bronić?
Nie zastąpione pozostają tutaj oczywiście silne i unikatowe hasła, tak samo jak i loginy (nigdy nie używajmy nazwy admin, nazwy domeny, swojego imienia, nazwy firmy, itp.) Najlepsze są przypadkowe ciągi znaków o odpowiedniej długości – na dzień dzisiejszy wskazane przynajmniej 8 znaków (absolutne minimum), np.
login: Th6re4cv4&
hasło: 6-9t4huRe6
Nowsze WordPressy (jak i inne CMSy) mają wbudowane opcje generowania silnych haseł – polecam z nich korzystać.
Jeżeli nasza strona została skutecznie zaatakowana / przejęta to najlepsze co możemy zrobić, to zlokalizować słaby punkt (o ile to możliwe) i go wyeliminować, wgrać kopię strony sprzed ataku, natychmiast ją aktualizując do najnowszych wersji, jak i zmieniając wszystkie opcje dostępu do strony (hasła administratorów, hasła dostępu przez FTP jak i do Bazy Danych – dodatkowo wskazane też jest zmienienie w pliku wp-config tzw. kluczy i soli) oraz do hostingu (hasła do paneli administracyjnych {czasami trzeba też rozważyć zmianę hostingodawcy}). Jeżeli wszystko to zrobimy, szanse na ponowne włamanie mocno spadają.
Jednak, aby być jeszcze pewniejszym swoich zabezpieczeń warto pokusić się o dodatkowe opcje, czyli:
– stosować blokadę możliwości logowania do określonego IP (opcja mało przyjazna w zastosowaniu i możliwa tylko w przypadku stałego IP)
– ograniczenie dostępności – blokowanie określonych IP, np. wszystkich zagranicznych (szczególnie jeśli strona skierowana jest tylko na określony kraj)
– ograniczyć ilość wielu logowań w określonym czasie (banować adresy takich prób na dłuższy czas)
– zmienić domyślną stronę logowania
– zainstalować na hostingu protokół SSL
– nigdy nie zapisywać/zapamiętywać haseł w komputerze/przeglądarce
O ile samodzielne wykonanie tych czynności może być skomplikowane, to z pomocą przychodzą nam specjalnie do tego celu przygotowane wtyczki, zarówno płatne jak i bezpłatne oraz bezpłatne z opcjami dodatkowo płatnymi (i te bym najbardziej polecał) – nie będę tutaj żadnych wtyczek z nazwy podawał, ale przy wyborze najlepiej kierować się ilością pobrań (im więcej tym lepiej) oraz częstotliwością aktualizacji (w granicach rozsądku, raczej nie częściej niż co 2 miesiące) oraz tym czy obsługuje najnowszą wersję silnika/ów naszej strony.
Tekst: Tomasz Korona
19.01.2016
Masz problem z WordPressem – wirusy, malware lub inne niechciane rzeczy? – zgłoś się po pomoc >> przywrócenie strony do stanu funkcjonalnego z przed ataku od 500zł netto – zapraszam do kontaktu (przy większej ilości stron z identycznym problemem, duże zniżki). Nie zawsze jestem w stanie pomóc w 100% (szczególnie jak brak kopii), ale prawie zawsze spróbuję.