WordPress je v súčasnosti snáď tým najlepším a najrozšírenejším CMS – systémom na manažment obsahu webstránok, blogov a e-shopov. Pracujú s ním veľké spoločnosti, no vďaka jeho jednoduchej manipulácii s obsahom ho využívajú aj začínajúce startupy, či študenti na svoje študentské projekty.
Často však o WordPresse kolujú informácie, že nie je bezpečný. Je bezpečnosť skutočným problémom WordPressu, alebo ide o hoaxy, ktoré šíria laici? V tomto článku si povieme, aké problémy s bezpečnosťou v spojitosti s inštaláciou WordPressu môžu vzniknúť, čo je ich príčinou a ako sa im vyhnúť.
Útoky na webové stránky
Je problémom WordPressu jeho bezpečnosť ? Odpoveď je nie, ale aj áno. Denne totiž celosvetovo prebiehajú útoky na webové stránky. Nie je to však výhradný problém WordPressu. Práve kvôli tomu, že WordPress tvorí viac než 30% webstránok na celom svete, sa stal dobrým terčom pre hackerov – čo však neznamená, že je nebezpečný. Útoky vás môžu postihnúť aj ak máte web postavený na inom systéme. Kedy teda k útokom môže dôjsť a ako proti nim bojovať?
5 najčastejších spôsobov útokov
- Zadávanie prihlasovacieho mena a hesla na spôsob pokus–omyl (takzvaný brute force)
- Využitie zraniteľností v PHP kóde
- SQL Injekcie
- Vloženie skriptov na napadnutú stránku (XSS)
- Malvér
Čo môže spôsobovať tieto bezpečnostné problémy a zraniteľnosti? Za problémy s bezpečnosťou WordPress webstránok väčšinou zodpovedajú dodávatelia webov a eshopov, majitelia stránok, ale aj IT oddelenia či externí dodávatelia platformy.
Majitelia stránok si nedávajú pozor na aktualizovanie WordPressu a jeho komponentov na najnovšiu verziu, a práve to je najčastejším dôvodom ohrozenia bezpečnosti stránky. Bezpečnostné pluginy, ktoré boli nesprávne implementované, zastarané pluginy, témy alebo jadro WordPressu samotného – to všetko vedie k už spomínaným problémom s bezpečnosťou a k zraniteľnosti webstránky hackermi. V neposlednom rade je to používanie pluginov a tém z nedôveryhodných zdrojov a slabé heslá.
V súčastnosti existuje viacero spôsobov, ako môžu hackeri ohroziť stránku alebo e-shop vytvorený pomocou WordPressu. Podľa prieskumu stránky wpscan.org je percentuálne zastúpenie zraniteľnosti a bezpečnosti nasledovné:
- 11% z grafických šablón / tém,
- 37% z jadra WordPressu,
- 52% z pluginov.
Spôsoby a ciele útokov na WordPress stránky sú rôzne. Cieľom hacknutia je získať za bežných okolností nepovolený prístup na vašu WordPress stránku a použiť ju na šírenie spamu, získanie osobných alebo iných citlivých údajov, získanie výpočtového výkonu na dolovanie kryptomien a podobne.
Ako sa vyhnúť problémom s bezpečnosťou WordPressu a ako web udržiavať bezpečný?
Dôležitá je najmä prevencia a dôkladné opatrenia, ako však na to? Dobrou správou je, že voči spomínaným problémom existujú preventívne opatrenia. Niektoré su jednorazové, na iné musíte myslieť a vykonávať ich pravidelne. Ponúkame vám niekoľko tipov, ako zamedziť zraniteľnosti vašej WordPress stránky. Ochranu webu alebo e-shopu tiež zvyšujú niektoré pluginy.
8 tipov, ako zamedziť zraniteľnosti vašej WordPress stránky:
- Klaďte dôraz na to, aby verzia CMS a jej komponenty na webe alebo e-shope boli aktualizované na najnovšiu verziu
- Voľte si čo najsilnejšie heslo na prístup do administrácie, databázy a FTP
- Povoľte dvojstupňovú ochranu (t.j. heslo a kód z iného zariadenia, ako je napríklad mobilný telefón)
- Nainštalujte a správne nastavte bezpečnostné WordPress pluginy
- Zbavte sa pre vás nepotrebných pluginov a tém
- Pravidelne zálohujte web a e-shop a ujistite sa, že daná záloha je spoľahlivá
- Nastavte vhodné prístupové oprávnenia na serveri
- Priebežne spúštajte naplánované malware skeny
Komponenty používané na zvýšenie ochrany webu alebo e-shopu
- iThemes security
- WordFence
- Quaterra
- Anti-Malware Security and Brute Force Firewall
- Quttera Web Malware Scanner
Uviedli sme niektoré základné pluginy, ktoré sa inštalujú a nastavujú z dvoch dôvodov. Aktívnou ochranou je, že pomáhajú ochrániť inštaláciu aplikácie od hromadných útokov a zmien v súboroch. Zabezpečujú aj pasívnu ochranu, teda scan súborov inštalácie na zístenie prípadných hrozieb, napadnutí a slabých miest. Pokiaľ sa vám naše vysvetlenia zdajú nezrozumiteľné, prípadne si neviete s niektorým bodom ochrany poradiť, radi vám poradíme a pomôžeme. Stačí, ak nám vašu otázku napíšete do kontaktného formulára umiestneného vpravo.