Košovská cesta 24, budova OSP
Prievidza, 97101
+421 905 409 626
+421 907 258 668
dusan@azelia.sk
peter@azelia.sk

Je WordPress naozaj nebezpečný ?

Je WordPress naozaj nebezpečný ?

WordPress je v súčasnosti snáď tým najlepšímnajrozšírenejším „bezplatne“ (je voľne šíriteľný pod licenciou GPL) používaným systémom na manažment obsahu webstránok, blogov a eshopov. Určite ste počuli o tom, že tento obľúbený systém na správu obsahu má problémy. Bezpečnostné probémy. je tomu naozaj tak ? Poďme sa na to pozrieť bližšie.

Na zákaznícke weby a eshopy ho inštalujú aj dodávatelia (študenti, startupy) , ktorí si neuvedomujú dosah svojho konania. V tomto článku si povieme, aké problémy s bezpečnosťou v spojitosti s inštaláciou WordPressu môžu vzniknúť a prečo.

Je problémom WordPressu jeho bezpečnosť ? Nie aj áno. Kedy k útoku dôjsť môže a za akých okolností ? K tomu môže dôjsť vždy, denno denne prebiehajú útoky na weby celosvetovo, nielen na WordPress weby, ale na všetky. Kedy je však útok úspešný ? Akým spôsobom prebiehajú útoky ?

5 najčastejších spôsobov útokov

  1. Zadávanie prihlasovacieho mena a hesla na spôsob pokusomyl (takzvaný brute force)
  2. Využitie zraniteľností v PHP kóde
  3. SQL Injekcie
  4. Vloženie skriptov na napadnutú stránku (XSS)
  5. Malvér

S poznatkom najčastejších spôsobov útokov si poďme priblížiť, čo vôbec v prvom rade môže spôsobovať bezpečnostné problémyzraniteľnosti.  Vďaka tomu že WordPress tvorí viac než 30% webstránok na celom svete, stal sa dobrým terčom pre hackerov – to však neznamená, že je nebezpečný.

Problémy s bezpečnosťou a zraniteľnosť WordPress webstránok väčšinu času padá za zodpovednosť dodávateľom webov a eshopov na CMS WordPress, majiteľom stránok, ale aj IT oddeleniam, užívateľom a externým dodávateľom platformy.

Býva zvykom, že majitelia stránok alebo dodávatelia webov si nedávajú pozor na aktualizovanie WordPressu a jeho komponent na najnovšiu verziu, a práve to je najčastejším dôvodom ohrozenia bezpečnosti stránky. Bezpečnostné pluginy, ktoré boli nesprávne implementované, zastarané pluginy, témy alebo jadro WordPressu samotného – to všetko vedie k už spomínaným problémom s bezpečnosťou vedie ku zraniteľnosti webstránky hackermi. V neposlednom rade je to používanie pluginov a tém z nedôveryhodných zdrojov a slabé heslá.

V súčastnosti existuje viacero spôsobov ako môžu hackeri ohroziť stránku alebo eshop vytvorený pomocou WordPressu. Podľa prieskumu stránky wpscan.org je percentuálne zastúpenie zraniteľnosti a bezpečnosti nasledovné:

  • 11% z grafických šablón / tém,
  • 37% z jadra WordPressu a
  • 52% z pluginov.

Spôsoby a ciele útokov na WordPress stránky sú rôzne. Cieľom hacknutia je získať, za bežných okolností, nepovolený prístup na vašu WordPress stránku a použiť ju na šírenia spamu, získanie osobných alebo iných citlivých údajov údajov, získať výpočtový výkon na dolovanie kryptomien a podobne.

Ako sa vyhnúť problémom s bezpečnosťou WordPressu a web udržiavať bezpečný

Prevencia a dôkladné opatrenia, ale ako na to ? Dobrou správou je, že voči spomínaným problémom existuje prevencia a . Niektoré su jednorázové, na iné musíte myslieť a vykonávať ich pravidelne. Tu je 9 tipov, ako zamedziť zraniteľnosti vašej WordPress stránky:

  1. Klaďte dôraz na to, aby verzia CMS a jej komponenty na webe, alebo eshope boli aktualizované na najnovšiu verziu
  2. Voľte si čo najsilnejšie heslo na prístup do administrácie, databázy a FTP
  3. Povoľte dvojstupňovú ochranu (t.j. heslo a kód z iného zariadenia, ako je napríklad mobilný telefón)
  4. Nainštalujte a správne nastavte bezpečnostné WordPress pluginy
  5. Zbavte sa pre Vás nepotrebných pluginov a tém
  6. Pravidelne zálohujte web a eshop a ujistite sa, že daná záloha je spoľahlivá
  7. Nastavte vhodné prístupové oprávnenia na serveri
  8. Priebežne spúštajte naplánované malware skeny

Komponenty používané na zvýšenie ochrany webu alebo e-shopu

  1. iThemes security
  2. WordFence
  3. Quaterra
  4. Anti-Malware Security and Brute Force Firewall
  5. Quttera Web Malware Scanner

Uviedli sme niektoré základné pluginy, ktoré sa inštalujú a nastavujú z dvoch dôvodov.  Ich funkcie sú ochrániť inštaláciu aplikácie od hromadných útokov a zmien v súboroch – teda aktívna ochrana a zabezpcujú aj pasívnu ochranu, teda scan súborov inštalácie na zístenie prípadných hrozieb, napadnutí a slabých miest.