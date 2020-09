fot. Chris Barbalis | Unsplash

WordPress, który powstał w 2003 roku przeszedł długa drogę od prostego systemu do tworzenia blogów, morfując w pełnoprawny CMS, z którego korzystają serwisy takich marek jak The New Yorker, Forbes czy BBC. I choć wzrost ten nie wydaje się zwalniać, jego popularność sprawia, że interesują się nim również cyberprzestępcy. Wordefence, firma zabezpieczająca WordPress, twierdzi, że w ciągu ostatnich kilku dni zablokowała ponad 450 000 ataków

Witryny internetowe oparte na systemie WordPress znajdują się pod nieustannym ostrzałem hakerów. Z jednej strony przyczynia się do tego popularność tej darmowej platformy, zaś z drugiej, złożony ekosystem z licznymi wtyczkami i motywami graficznymi. Napastnicy wykorzystują luki, które bardzo często pojawiają się w komponentach dostarczanych przez developerów. Nie inaczej jest w przypadku najnowszej serii ataków. Tylko ostatnio hakerzy wykryli dziurę w popularnej wtyczce WordPress File Manager, która została zainstalowana na ponad 700 tys. witryn internetowych.

- Nie jest to pierwszy, ani ostatni atak na WordPress. Za taki stan rzeczy nie winiłbym twórców samego systemu, lecz osoby odpowiedzialne za zarządzanie witryną. Często zapominają one o aktualizacjach i instalują pluginy pochodzące z nieznanych źródeł. Z kolei programiści nie zawsze naprawiają luki w tworzonych przez siebie komponentach, czasami po prostu o nich zapominają. Dlatego też administratorzy stron internetowych powinni selektywnie wybierać dodatki opracowywane przez zewnętrzne firmy, a także śledzić aktualizacje zabezpieczeń - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Najnowsze wersje WordPress zawierają możliwość automatycznej aktualizacji wtyczek innych firm, takich jak np. WordPress File Manager. Niemniej specjaliści od bezpieczeństwa mają wątpliwości co do tego czy funkcja działa na wszystkich witrynach internetowych. Warto przypomnieć, że ostatnie poważne incydenty miały miejsce pomiędzy 29 i 31 maja. W ciągu trzech dni napastnicy przeprowadzili 130 milionów ataków na 1,3 miliona witryn wykorzystujących WordPress.

Damian Zawadzki

Front-end develper

Zjednoczenie.com

Wordpress jest bardzo popularną platformą i z tego powodu krąży o nim wiele obiegowych opinii. Strona WWW oparta o Wordpress może być wdrożona w sposób profesjonalny lub szybszy i tańszy, czyli amatorski. Serwisy zakładane przy minimalnym nakładzie środków powodują, że niektórzy użytkownicy mają gorsze doświadczenia.

Kiedy stronę budują specjaliści, możemy mieć pewność, że zadbają również o bezpieczeństwo. W przypadku narzędzi open source dodatkowe działania dla bezpieczeństwa danych są podwójnie ważne. Niezbędna jest ich customizacja, aby zapobiec podatności na automatyczne skrypty krążące w sieci. Jednak trudno opublikować listę rzeczy, o które należy zadbać podczas wdrożenia, ponieważ sposoby te jednocześnie przestaną działać jak tarcza ochronna dla serwisu.

Na pewno warto wspomnieć o podstawach - NIE należy przesyłać i przechowywać w jednym miejscu danych dostępowych.

Ważne też jest stosowanie tylko tych wtyczek, które są niezbędne do działania i prowadzenia danej strony WWW i pozbycie się wszystkich niepotrzebnych. Taki zabieg zawsze nieco obniża liczbę potencjalnych dziur w systemie.

Warto też korzystać z gotowych pluginów typu "security", ale trzeba pamiętać, że ich zastosowanie nie gwarantuje w 100% bezpieczeństwa. Nic nie zwalnia administratora strony ze stałej analizy bezpieczeństwa, zdobywania nowej wiedzy w tym zakresie i wdrażania zabezpieczeń na bieżąco.

Ostatnia kwestia to poufność - wiedza na temat wdrożonych zabezpieczeń nie powinna być jawna, to jest obszar który warto trzymać w tajemnicy, jeśli mają pełnić swoją rolę :).