WordPress i sigurnost: Najbolje prakse i alati

[Izvor: Pixabay] Ako imate WordPress web stranicu, morate se ozbiljno pozabaviti njenom sigurnošću. WordPress je i dalje česta meta hakera. U studenom prošle godine, više od milijun korisnika WordPressa stranica kojima upravlja američka kompanija GoDaddy pogođene su curenjem podataka kojim su obuhvaćene njihove adrese e-pošte, privatne SSL ključeve i administratorske lozinke. Napadač je neotkriveno djelovao unutar mreže tvrtke dva mjeseca. Prema podacima iz prosinca GoDaddy ima 20 milijuna korisnika i 9000 zaposlenika širom svijeta. U veljači su, nakon početka ruske agresije na Ukrajinu, napadnute internetske stranice u WordPressu ukrajinskog sveučilišta. Drugi napad na WordPress poslužitelj preusmjerio je promet na zlonamjerne web stranice na kojima su posjetitelji zaraženi zlonamjernim softverom. Ako pogledamo dublje u prošlost, botnet je 2018. koristio kompromitirane WordPress poslužitelje za napad na druge poslužitelje. Druga serija napada uslijedila je 2019. godine, navodi portal CSO online. Ovo su preporuke i alati koje vam mogu pomoći da izbjegnete takve situacije. Zašto napadači ciljaju WordPress WordPress je vrlo popularan, možda najpopularniji softver za izradu internetskih stranica koji se danas koristi. W3techs, kompanija koja prati primjenu raznih tehnoloških trendova u internetskom prostoru, navodi da dvije trećine blogerskih stranica obuhvaćenih njihovim analizama. Takva popularnost WordPressa privlači interes hakera. Korisnici WordPressa često propuštaju ili kasne s nadogradnjom na najnovije verzije. Neki su propustili i nekoliko velikih ažuriranja (najnovije izdanje je v.5.9.1.) To hakerima olakšava lociranje najranjivijih stranica i pokretanje napada na njih. Pratiti najnovije inačice softvera je izazov zbog čestog ažuriranja. Zbog zahtjevnog administriranja mnogi korisnici se radije služe uslugom upravljanog WordPress hostinga. Upravljani WordPress hosting je specijalizirana usluga koju nude neki pružatelji web hostinga. Usluga obuhvaća kontinuirano upravljanje svim tehničkim aspektima vaše WordPress web stranice. Hosting tvrtka koja vam pruža uslugu odgovorna je za rutinsko održavanje i održavanje web stranice, uključujući brzinu, sigurnost, automatizirane sigurnosne kopije i ažuriranja. Općenito, ove usluga će vaše stranice ažurirati na nove verzije WordPressa i popratnog softvera čim postanu dostupni, ali trebate potvrditi njihova pravila. Uobičajeno je da usluga pokriva i dodatnu podršku i druge sigurnosne značajke. WordPress možete pokrenuti i na vlastitom poslužitelju. To vam daje punu kontrolu, ali potreban vam je puno znanja, vještina i infrastrukture da biste bili uspješni. Ako već imate infrastrukturu koja podržava druge web stranice, interni pristup bi mogao biti dobar put, ali morate biti svjesni odgovornosti koju preuzimate. WordPress pokreće PHP skripte, koje su imale svojih problema proteklih godina. IT menadžeri bi trebali otkloniti ovaj problem u korijenu tako što će provjeriti je li njihova verzija PHP-a aktualna. WordPress je objavio mali savjetnik za provjeru verzije koju koristite i kako je sigurno nadograditi. Ova ovisnost je možda najveća sigurnosna slabost WordPressa, stoga povremeno provjeravajte koju verziju PHP-a vaša stranica koristi. WordPress ima puno drugih osjetljivih dijelova. Većina WordPress internetskih stranica uz PHP skripte pokreću dodatne alate i koriste teme za poboljšanje izgleda i dodavanje funkcionalnosti. Osigurati da ovi dodaci (pluginovi) nisu zaraženi ili, što je još gore, da ne postanu trojanski konji za zlonamjerni softver, nije lagan zadatak. Neki se koriste godinama, na primjer Form Lightbox, Appointments, RegistrationMagic-Custom Registration Forms, WooCommerce, WP No External Links i Flickr Gallery. Ekstremni primjer je dodatak koji je trebao pomoći u usklađivanju s GDPR-om. Međutim, sadržavao je dvije greške prilikom dodjela ovlasti koje su otvarale administratorski pristup cijeloj WordPress stranici. Problemi su na kraju pronađeni i ispravljeni u inačici v.1.4.3 dodatka. I tu dolazimo do ključnog problema: neće svaki programer dodataka ili teme obratiti pozornost na sigurnost koda. Mnogi administratori WordPressa su početnici kada je riječ o IT-ju općenito, a posebno kada je riječ o sigurnosti. A napadači to znaju i koriste njihove propuste. Primjer je phishing kampanja iz 2018. koja je ciljala WordPress administratore. U poruci je stajalo da je potrebna “nadogradnja baze podataka WordPress (!!!)” i mnogi su na to nasjeli. Na jednoj DefCon konferenciji, hakeri su uspjeli locirati novu WordPress stranicu u roku od 30 minuta. Ovaj napad, nazvan WPSetup, iskoristio je transparentnost u izdavanju novih SSL certifikata. Odabir dobavljača sigurnosnog softvera za WordPress Nekoliko dobavljača specijalizirano je za osiguranje WordPress stranica pomoću plugin arhitekture. Ove sigurnosne dodatke možete pronaći na web stranici WordPressa. Na stranicama možete vidjeti je li alat testiran s najnovijom verzijom WordPressa, kada je dodatak posljednji put ažuriran te broj korisnika koji su preuzeli i koriste softver. Većina ovih alata slat će vam e-poštom redovita izvješća o statusu vaše WordPress sigurnosti kada se poveća opseg napada s jednog IP izvora i drugim potencijalnim problemima. Prije nego što se odlučite za određeni alat, provjerite jeste li razumjeli implikacije tih izvješća i kako koristiti njegove konfiguracijske stranica na glavnoj stranici nadzorne ploče WordPressa. Tu možete kontrolirati njihov rad i vidjeti sažetak sigurnosnog statusa vaše stranice. Iako vam niti jedan od ovih alata nije potreban kako biste svoju web stranicu učinili sigurnijom, bit će vam puno lakše ako odaberete jedan od njih. Wordfence Wordfence dolazi u besplatnoj i plaćenoj verziji (100 USD godišnje). S više od 4 milijuna preuzimanja je najpopularniji alat ovog tipa. Besplatna verzija je prikladna za većinu malih poduzeća. Dolazi s vlastitim WordPress vatrozidom koji pokriva sigurnost prijave, IP blokiranje i sigurnosna skeniranja u potrazi za zlonamjernim softverom. Premium verzija nudi ažuriranja u stvarnom vremenu za IP crne liste, upozorenja o zlonamjernom softveru i pravila vatrozida, kao i dvofaktorsku autentifikaciju (2FA) i blokiranje zemalja. Testiran je na v.5.9.1. IThemes Security Nekada Better WP Security, IThemes Security ima više od milijun preuzimanja i uključuje dvofaktorsku autentifikaciju i podršku za v5 WordPress-a. Dolazi u besplatnim i plaćenim verzijama (od 50 USD godišnje za jednu stranicu). Premium značajke uključuju generiranje lozinki i postavke pravila, online usporedbu datoteka, bilježenje aktivnosti korisnika i redovito skeniranja zlonamjernog softvera. Testiran je na v.5.8.3. All-in-One WP Security Arsenal21-ov All-in-One WP Security također ima više od milijun preuzimanja. Ključna i vrijedna značajka ovog softvera je automatska promjena administratorskog računa u drugo ime. Besplatan je i otvorenog koda. Ostale ključne značajke uključuju skeniranje ranjivosti, implementaciju i provedbu sigurnosnih praksi WordPressa i sigurnosnu tablicu rezultata za vašu WordPress stranicu. Testiran je na v.5.9.1. Sucuri Scanner Sucuri Scanner također dolazi u besplatnoj i plaćenoj verziji. Nudi skeniranje zlonamjernog softvera, praćenje crne liste i (uz naknadu) vlastiti WordPress vatrozid. Više od 900.000 stranica preuzelo je Sucuri, a tarifni modeli počinju od 200 dolara godišnje za svaku stranicu. Testiran je na v.5.9.1. Dva alata kojih biste se trebali kloniti su besplatni Comodo skener i Jetpack. Prvo je samo mamac da dobiju vašu adresu elektroničke pošte, a zatim vam nudi konzultantske usluge. Drugi je kreirala tvrtka koja vodi WordPress.com, ali nudi manje robusnu zaštitu u usporedbi s četiri prethodno navedena proizvoda. Najbolje sigurnosne prakse za WordPress Prije nego što razmotrimo najbolje prakse, spomenimo jednu od najgorih: kako administratori WordPressa biraju podatke za vlastitu autentifikaciju. Jedna od najboljih stvari koje možete učiniti je promijeniti naziv svog računa iz “admin” u nešto drugo, poput nasumičnog niza slova. Mnogi WordPress napadi grubom silom počinju isprobavanjem korisničkog imena “admin” i pogađanjem vaše lozinke na temelju podataka “tamnog weba”. Ovaj vodič za početnike pokriva ostale osnovne sigurnosne korake, kao što su ograničavanje pokušaja prijave, postavljanje određenih direktorija samo za čitanje i onemogućavanje pregledavanja imenika. Još jedan prijedlog: kada prvi put postavljate svoj poslužitelj, upotrijebite datoteku .htaccess kako biste ograničili pristup svojoj WordPress stranici samo na vlastitu IP adresu. Ne zaboravite ukloniti ovo ograničenje kada završite s postavljanjem stranice. U protivnom nitko drugi neće je moći vidjeti, a vi biste mogli ostati bez pristupa kada vam ISP da novu adresu. Osigurajte prijavu pomoću višefaktorske provjere autentičnosti (MFA). Nekoliko dobavljača dodataka nudi višefaktorsku provjeru autentičnosti kao značajku, uključujući besplatnu verziju Defendera i plaćenu verziju iThemesa. Besplatne verzije često su sasvim dovoljne za manje korisnike. Smanjite ukupan broj dodataka. Mnogi se “zalete” instalirajući desetke dodataka za razne stvari. Nemojte to činiti: najsigurniji poslužitelj ima minimalan broj dodataka. Oduprite se iskušenju da dodate gomilu plaginova koji će ugroziti vašu sigurnost. Ažuriranje internetskih stranica s brojnim dodacima može biti izazovno jer mnogi dodaci i teme mogu prestati funkcionirati s novim softverom. (To je, na primjer, bio problem za posljednje veliko ažuriranje v.5.) Dakle, kada planirate ažuriranje, razmišljajte o ostalom softveru potrebnom za vašu web stranicu. Naravno, morate redovito ažurirati sav softver. Kada birate temu za svoju web stranicu, pobrinite se da preuzmete teme i dodatke iz pouzdanih izvora. Jednostavno rečeno, učinite što možete da smanjite prostor za napad. Jedan plugin koji biste trebali koristiti je alat protiv spamerskih komentara Akismet, koji je vrlo uspješan u provjeravanju trolova i identificiranju potencijalnih phishera. Održavajte svoje WordPress teme ažurnima. WordPress teme koje definiraju vizualni stil stranice su kodirane i zato sigurnosno osjetljive. Ažuriranja tema ponekad uključuju ispravke sigurnosnih problema u njima, pa ih svakako primijenite. Možete postaviti i automatsko ažuriranje tema, ali to morate učiniti ručno za svaku instaliranu temu, čak i ako nije aktivna. Omogućite SSL/HTTPS pristup vašoj web-lokaciji, certifikate i protokole za šifriranje komunikacija. Provjerite podržava li vaš pružatelj usluge hostinga takav pristup i daje li vam SSL certifikat. Pobrinite se da ga ažurirate ili će vaši korisnici u pregledniku dobiti uznemirujuće poruke o pogrešci na vašoj stranici. Redovno pravite sigurnosne kopije sadržaja svoje stranice. Jedan od najzahtjevnijih problema je kako najbolje napraviti sigurnosnu kopiju svoje stranice. WordPress ima jednostavnu funkciju izvoza za stvaranje XML datoteke koju biste trebali pohraniti izvan mreže, a možete automatizirati ovaj proces s odgovarajućim PHP skriptama ako imate dovoljno znanja da biste to napravili. Neki davatelji usluga hostinga nude automatizirane sigurnosne kopije u okviru svojih tarifnih paketa. Možete to učiniti i ručno, uz redovite kalendarske podsjetnike. Druga je mogućnost da za izradu sigurnosne kopije koristite neki od besplatnih modela koje nudi WordPress.com. Osim sigurnosne kopije pohranjene na drugom poslužitelju, korisno bi bilo vidjeti pregled novih značajki koje uvodi WordPress prilikom ažuriranja. Budite u tijeku s izvorima koji prate informacije o sigurnosti WordPressa kao što su Plugin Vulnerabilities i Wordfence blog . Oba često objavljuju informacije o zlouporabama i napadima nultog dana koje su otkrile njihove vlastite instrumentacijske mreže. Nedavno predstavljeni poluautomatski alat koji je razvio Krzysztof Zajac može skenirati razne slabosti prilikom potrage za potencijalnim problemima.