Je WordPress naozaj nebezpečný ?

WordPress je v súčasnosti snáď tým najlepším a najrozšírenejším „bezplatne“ (je voľne šíriteľný pod licenciou GPL) používaným systémom na manažment obsahu webstránok, blogov a eshopov. Určite ste počuli o tom, že tento obľúbený systém na správu obsahu má problémy. Bezpečnostné probémy. je tomu naozaj tak ? Poďme sa na to pozrieť bližšie.

Na zákaznícke weby a eshopy ho inštalujú aj dodávatelia (študenti, startupy) , ktorí si neuvedomujú dosah svojho konania. V tomto článku si povieme, aké problémy s bezpečnosťou v spojitosti s inštaláciou WordPressu môžu vzniknúť a prečo.

Je problémom WordPressu jeho bezpečnosť ? Nie aj áno. Kedy k útoku dôjsť môže a za akých okolností ? K tomu môže dôjsť vždy, denno denne prebiehajú útoky na weby celosvetovo, nielen na WordPress weby, ale na všetky. Kedy je však útok úspešný ? Akým spôsobom prebiehajú útoky ?

5 najčastejších spôsobov útokov

1. Zadávanie prihlasovacieho mena a hesla na spôsob pokus–omyl (takzvaný brute force)
2. Využitie zraniteľností v PHP kóde
3. SQL Injekcie
4. Vloženie skriptov na napadnutú stránku (XSS)
5. Malvér

S poznatkom najčastejších spôsobov útokov si poďme priblížiť, čo vôbec v prvom rade môže spôsobovať bezpečnostné problémy a zraniteľnosti.  Vďaka tomu že WordPress tvorí viac než 30% webstránok na celom svete, stal sa dobrým terčom pre hackerov – to však neznamená, že je nebezpečný.

Problémy s bezpečnosťou a zraniteľnosť WordPress webstránok väčšinu času padá za zodpovednosť dodávateľom webov a eshopov na CMS WordPress, majiteľom stránok, ale aj IT oddeleniam, užívateľom a externým dodávateľom platformy.

Býva zvykom, že majitelia stránok alebo dodávatelia webov si nedávajú pozor na aktualizovanie WordPressu a jeho komponent na najnovšiu verziu, a práve to je najčastejším dôvodom ohrozenia bezpečnosti stránky. Bezpečnostné pluginy, ktoré boli nesprávne implementované, zastarané pluginy, témy alebo jadro WordPressu samotného – to všetko vedie k už spomínaným problémom s bezpečnosťou vedie ku zraniteľnosti webstránky hackermi. V neposlednom rade je to používanie pluginov a tém z nedôveryhodných zdrojov a slabé heslá.

V súčastnosti existuje viacero spôsobov ako môžu hackeri ohroziť stránku alebo eshop vytvorený pomocou WordPressu. Podľa prieskumu stránky wpscan.org je percentuálne zastúpenie zraniteľnosti a bezpečnosti nasledovné:

• 11% z grafických šablón / tém,
• 37% z jadra WordPressu a
• 52% z pluginov.

Spôsoby a ciele útokov na WordPress stránky sú rôzne. Cieľom hacknutia je získať, za bežných okolností, nepovolený prístup na vašu WordPress stránku a použiť ju na šírenia spamu, získanie osobných alebo iných citlivých údajov údajov, získať výpočtový výkon na dolovanie kryptomien a podobne.

Ako sa vyhnúť problémom s bezpečnosťou WordPressu a web udržiavať bezpečný

Prevencia a dôkladné opatrenia, ale ako na to ? Dobrou správou je, že voči spomínaným problémom existuje prevencia a . Niektoré su jednorázové, na iné musíte myslieť a vykonávať ich pravidelne. Tu je 9 tipov, ako zamedziť zraniteľnosti vašej WordPress stránky:

1. Klaďte dôraz na to, aby verzia CMS a jej komponenty na webe, alebo eshope boli aktualizované na najnovšiu verziu
2. Voľte si čo najsilnejšie heslo na prístup do administrácie, databázy a FTP
3. Povoľte dvojstupňovú ochranu (t.j. heslo a kód z iného zariadenia, ako je napríklad mobilný telefón)
4. Nainštalujte a správne nastavte bezpečnostné WordPress pluginy
5. Zbavte sa pre Vás nepotrebných pluginov a tém
6. Pravidelne zálohujte web a eshop a ujistite sa, že daná záloha je spoľahlivá
7. Nastavte vhodné prístupové oprávnenia na serveri
8. Priebežne spúštajte naplánované malware skeny

Komponenty používané na zvýšenie ochrany webu alebo e-shopu

1. iThemes security
2. WordFence
3. Quaterra
4. Anti-Malware Security and Brute Force Firewall
5. Quttera Web Malware Scanner

Uviedli sme niektoré základné pluginy, ktoré sa inštalujú a nastavujú z dvoch dôvodov.  Ich funkcie sú ochrániť inštaláciu aplikácie od hromadných útokov a zmien v súboroch – teda aktívna ochrana a zabezpcujú aj pasívnu ochranu, teda scan súborov inštalácie na zístenie prípadných hrozieb, napadnutí a slabých miest.