Jak bezpečný je WordPress? Nijak zvlášť, protože přichází s řadou vážných slabin. A protože více než 28 procent internetu v současné době běží na WordPressu, je to populární cíl. Dobrou zprávou je, že nejdůležitější zranitelná místa lze velmi snadno vymýtit.
Krása WordPressu spočívá v tom, že jej může používat kdokoli. Ve skutečnosti vše, co potřebujete, je připojení k internetu a můžete začít. Situace je zcela odlišná s zabezpečením WordPress. Možná také kvůli snadnému použití, ne všichni uživatelé se zabývají tím, jak bezpečný je WordPress ve skutečnosti od přírody.
V každém případě, kvůli svým velkým silným stránkám - neuvěřitelnému rozsahu funkcí a různorodým designům - WordPress má tendenci být velmi nejistý. Modulární konstrukce nabízí mnoho bodů útoku. A samozřejmě jsou také zneužívány hackery. Automatizované, nepřetržitě, 365 dní v roce.
Ale nebojte se: Tyto vestavěné slabiny WordPressu lze velmi snadno vymýtit. A především zcela bez dalšího bezpečnostního pluginu.
Samozřejmě, nechci vám rozmluvit váš bezpečnostní plugin. Může to dokonce dávat velký smysl. Zabezpečení vašeho webu WordPress však není dokončeno jeho instalací. A než začnete hrozit, že se zapojíte do stínových boxerských zápasů s pseudohrozemi, má větší smysl kompenzovat základní slabiny WordPressu.
Podrobně dnes mluvíme o
- oblast správy a proč je tak zranitelná
- slabiny modulární struktury WordPressu
- role hostitele v základním zabezpečení vaší stránky
"Ale můj web není pro hackery zajímavý"
Nenechte se mýlit: tento předpoklad je prostě mylný. Každá stránka WordPress je pro útočníky cenná. Například jako spamový prak, součást botnetu nebo reklamní platformy pro phishingové stránky.
A v případě pochybností se útočník nestará o to, jak malý, nový nebo málo navštěvovaný je váš web. Protože nakonec jste oběťmi vy a vaše podnikání. Může se tedy stát, že váš zpravodaj je klasifikován jako spam, uživatelé jsou před návštěvou vaší stránky varováni a vaše hodnocení Google trpí, protože vaše stránka je na černé listině.
Co říkám: Jen kvůli popularitě a šíření WordPress jsou stránky WordPress vděčným cílem. Bez ohledu na jejich obsah a účel.
Administrativní oblast WP je obzvláště zranitelná
Ve výchozím nastavení je přihlašovací stránka přístupná prostřednictvím přípony "wp-admin". Proto je obzvláště často terčem útoků – e.B tzv. brute force attacks. Tyto útoky patří mezi nejčastější hacky proti stránkám WordPress. Protože se velmi snadno automatizují. Při útoku hrubou silou se útočník v podstatě snaží uhodnout správnou kombinaci uživatelského jména a hesla. Pokud je tedy heslo slabé nebo přihlašovací oblast není chráněna, může se stát, že útok hrubou silou buď uspěje - a útočník se může úspěšně přihlásit do vašeho WP - nebo že masivní počet pokusů o přihlášení paralyzuje vaše stránky.
Wordfence, známý výrobce stejnojmenného bezpečnostního pluginu, zaznamenal jen v březnu v průměru 34 milionů útoků hrubou silou – každý den. Pro srovnání, takzvané "komplexní útoky", tj. ty, které využívají specifické bezpečnostní mezery, jsou na úrovni 3,8 milionu útoků denně.
Tam Wordfence ale samozřejmě se počítají pouze útoky, které byly odraženy vaším vlastním softwarem, počet nenahlášených případů je ještě vyšší.
Dobrou zprávou však je, že ačkoli útok na administrátorskou oblast WP je velmi snadný a lze jej rychle automatizovat, ochranná opatření proti němu jsou velmi jednoduchá. Chcete-li zabezpečit administrátorskou oblast WP, můžete vytáhnout ochranné stěny na třech místech:
- Na úrovni WP prostřednictvím silných hesel
- Při samotném přihlášení omezením pokusů o přihlášení
- Před přihlášením prostřednictvím černé listiny
1) Stará lyra: Silná hesla
Útoky hrubou silou jsou velmi hloupé útoky. V zásadě jen hádají. To je důvod, proč silné heslo zde může být ve skutečnosti dostačující k tomu, aby útoky nikam nevedly. Takže to zkraťme: Silné heslo je povinné. Patří mezi ně: písmena, číslice, speciální znaky a velká a malá písmena. A samozřejmě má smysl i obousměrná autentizace.
TIP: Se správci hesel je snadné nejen vytvářet bezpečná hesla, ale také je spravovat. Počítače Apple například nabízejí pohodlný způsob správy hesel offline pomocí programu "Správa klíčenky". Musíte si pamatovat pouze jedno hlavní heslo (které by samozřejmě mělo být co nejsložitější). Cloudové programy pro správu hesel, jako jsou 1Password, LastPass nebo X-Key Pass, také fungují stejným způsobem.
2) Omezte počet přihlášení
Podle čísel Wordfence můžete to vidět působivě: Útoky hrubou silou jsou nejčastějšími útoky na weby WordPress. Pravděpodobnost, že se vaše stránky stanou obětí takového útoku, je tedy velmi vysoká. A aby vysoký počet pokusů o přihlášení zbytečně nezatěžoval vaše stránky, je zde možnost je omezit.
Například IP adresa je pak po určité době zablokována po třech neúspěšných pokusech. Pokud pak limit znovu prolomí, doba blokování se postupně zvyšuje. Takže omezíte počet možných pokusů velmi rychle natolik, že se útok stane zbytečným.
V závislosti na tom, jak nízká je prahová hodnota blokování, může tento postup také chránit před útokem se změnou IP adres. Nejjednodušší způsob, jak implementovat tuto ochranu vaší přihlašovací oblasti, je prostřednictvím pluginů. Zde jsou například pokusy o přihlášení WP Limit, Uzamčení přihlášení nebo jeden z velkých bezpečnostních pluginů, jako je Sucuri, Wordfence nebo All in One WP Security. Stránky Raidboxeszákazníci jsou již vybaveni ochranou hrubou silou na straně serveru. Další plugin zde proto není nutný.
3) Černá listina
Zaměstnanci bezpečnostních společností, jako je Sucuri nebo Wordfence tráví velkou část svého pracovního času analýzou útoků. Tyto analýzy rovněž v pravidelných intervalech zveřejňují. Jedním z nejdůležitějších aspektů těchto zpráv je pravidelně původ duševního vlastnictví. Je to proto, že v některých zemích existují servery, které provádějí útoky obzvláště často.
Zařazení odpovídajících IP adres na černou listinu proto dává dokonalý smysl. Zvláště pokud region není relevantní pro vaši cílovou skupinu. To vám umožní účinně odrazit útoky dříve, než se dostanete na svůj web.
Takové černé listiny můžete buď vytvořit sami jejich implementací na úrovni serveru, nebo můžete použít bezpečnostní plugin s odpovídající funkcí.
Zastaralý WordPress
WordPress je modulární systém. Skládá se z jádra, tj. jádra softwaru, pluginů a témat. Jednou z největších hrozeb pro instalace WP je, že mnoho uživatelů pravidelně neaktualizuje svůj systém WordPress.
Existuje pro to mnoho různých důvodů. Ty se pohybují od nekompatibility s pluginy a tématy až po neznalost nebo nedostatek času na aktualizaci.
Tam, kde mohou zpožděné aktualizace jádra vést, se na začátku roku stalo docela působivým: V únoru 2017 se stala známou bezpečnostní chyba ve verzi WordPress 4.7.1 a uživatelé WordPress byli vyzváni, aby co nejrychleji aktualizovali na verzi 4.7.2.
Během velmi krátké doby zpráva vyvolala masové útoky na stránky WordPress (protože mezera ještě nebyla známa před oficiálním oznámením). I zde výrobci odpovídajícího bezpečnostního softwaru poskytují čísla: během několika dní bylo napadeno celkem jeden a půl až dva miliony stránek.. Dříve zaměstnanec Wordfence zjistí chybu zabezpečení.
Pokud si pamatujete, že v současné době více než 28 procent celého internetu běží na WordPressu, můžete získat docela dobrou představu o tom, co by se mohlo stát, pokud taková mezera zůstane bez povšimnutí. Proto je vhodné automatizovat aktualizace WordPress Core nebo je automatizovat.
Mimochodem, to se týká především tzv. drobných aktualizací, tedy čísel verzí se třemi číslicemi, např. 4.7.4. Jedná se o tzv. "Bezpečnostní a údržbové verze" a měly by být vždy nainstalovány co nejdříve. U větších verzí, např. z 4.7 na 4.8, je situace poněkud odlišná: Zde jsou funkce a uživatelské pokyny zaměřeny na aktualizace.
Zastaralé pluginy a motivy vzhledu
Samozřejmě, co platí pro jádro WordPress, platí také pro pluginy a motivy: Zastaralé verze pluginů téměř vždy obsahují bezpečnostní mezery - a ty, kterým se lze vyhnout.
Podle bezpečnostní studie o systémech pro správu obsahu zastává podobný názor i Spolkový úřad pro bezpečnost informací (BSI). Údaje BSI se vztahují k období od roku 2010 do roku 2012. 80 procent oficiálně oznámených zranitelností lze vysledovat zpět k rozšířením - ve většině případů k pluginům.
Hledání exploitů pomocí ExploitsDatabase odhalilo více než 250 exploitů pro WordPress. To je místo, kde byla zadána většina exploitů pro pluginy WordPress.
– BSI (2013): "Security Study Content Management Systems (CMS)" (Systémy správy obsahu bezpečnostní studie (CMS))
V praxi jsou pluginy preferovaným bodem útoku hackerů. A s více než 50 000 rozšířeními v oficiálním adresáři pluginů WordPress, také velmi produktivní. Výchozím bodem pro takové útoky jsou pak mezery v kódu pluginů.
Je důležité si uvědomit, že takové mezery budou vždy existovat. 100% bezpečný systém jednoduše neexistuje. A: Chybějící aktualizace pluginu nebo motivu automaticky neznamenají, že je nebezpečný. I když je frekvence aktualizací dobrým ukazatelem kvality podpory výrobce. Stejně tak je ale možné, že dosud nebyly objeveny žádné bezpečnostní mezery.
Ale pokud jsou některé objeveny, pak poskytovatel pluginu (doufejme) také poskytne aktualizaci, která uzavře mezeru. Pokud tomu tak není, jsou možné e.B.SQL injekce nebo skriptování mezi weby (XSS). S prvním z nich hackeři manipulují s databází vašeho webu. Mohou například vytvořit zcela nové uživatele s administrátorskými právy a poté infikovat vaše stránky škodlivým kódem nebo je převést na spamový prak.
Útoky XSS jsou v podstatě o umístění JavaScriptu na vaše stránky. Útočník může například na váš web vložit formuláře, které ukradnou data uživatelů. Zcela nenápadný, SSL šifrovaný a v důvěryhodném prostředí.
A protože pluginy a motivy nabízejí tak rozmanité body útoku, měli byste vždy věnovat pozornost počtu pluginů a nenechávat je v zakázaném stavu, ale skutečně je odinstalovat, když je již nepotřebujete.
Sdílený hosting
WordPress již má tyto nevýhody ve výchozím nastavení. Samozřejmě, protože vaše stránky musí také nějak přijít online, hosting je také důležitým bezpečnostním aspektem. Vzhledem k tomu, že bezpečnost a hosting je velmi složité a všestranné téma, rád bych využil této příležitosti a nejprve diskutoval pouze o velké nevýhodě sdíleného hostingu. Opět to neznamená, že vám chci vymluvit sdílený hosting. Dává to velký smysl, zejména z cenového hlediska. Sdílený hosting má však rozhodující nevýhodu, kterou byste měli vědět.
Protože se sdíleným hostingem je několik stránek umístěno na jednom a stejném serveru. Stránky také sdílejí IP adresu. To znamená, že stav a chování jedné stránky může také negativně ovlivnit všechny ostatní stránky na serveru. Tento efekt se nazývá efekt špatného souseda a odkazuje e.B. na spamování. Protože pokud stránka na vašem serveru zajišťuje, že IP adresa je na černé listině, může to také ovlivnit vaši nabídku.
Kromě toho může vést k nadužívání zdrojů, např. pokud je jedna ze stránek na serveru upnuta do DDoS útoku nebo je ovlivněna masivním útokem. Stabilita vlastní nabídky je proto vždy do určité míry závislá na bezpečnosti ostatních stránek na Vašem serveru.
Pro profesionálně provozované projekty WP WordPress má virtuální nebo dedikovaný server dokonalý smysl. Bezpečnostní koncepty hostitelů samozřejmě zahrnují také zálohovací řešení, firewally a skenery malwaru, ale budeme o nich podrobně diskutovat jinde.
Závěr
WordPress je nejistý. To je způsobeno jeho modulární konstrukcí. Jeho největší síla se tak může stát jeho největší slabostí. Dobrá zpráva: Této slabosti, která je téměř zahrnuta, se můžete snadno vyhnout. V zásadě není potřeba více než úsilí potřebné pro správu uživatelů a vytváření hesel, stejně jako pro aktualizace.
Samozřejmě, že tato opatření ještě nedělají vaše stránky Fort Knox. Jsou však základním kamenem vašeho bezpečnostního konceptu. Protože pokud jim nevěnujete pozornost, mohou přepsat všechna ostatní bezpečnostní opatření. A každý uživatel WordPress může tyto aspekty ovlivnit sám. Proto je tak důležité, abyste si toho byli vždy vědomi.
