Jak zabezpieczyć WordPressa przed atakami hakerskimi?

WordPress z racji popularności, łatwości w modyfikacji, możliwościom tworzenia i instalowania wtyczek oraz dużej elastyczności, jest systemem niezwykle przyjaznym użytkownikom, dającym ogrom możliwości. Niestety bywa też obiektem ataków hakerskich. W tym poradniku odpowiemy na pytanie, jak bronić się przed ryzykiem włamania na stronę założoną na WordPressie i jak je zminimalizować. Przedstawiamy najważniejsze zasady bezpieczeństwa i metody zabezpieczania.

Przede wszystkim prewencja!

Znasz powiedzenie „mądry Polak po szkodzie”? Zdecydowanie NIE POLECAMY takiego podejścia – w omawianym kontekście może ono wiązać się z ryzykiem utraty efektów pozycjonowania, danych strony, spadkiem zaufania klientów, szkodami wizerunkowymi i finansowymi, a czasem nawet z konsekwencjami prawnymi. Internetowi przestępcy potrafią być bardzo pomysłowi, a strony internetowe mogą posłużyć do naprawdę rozmaitych, niecnych celów. Dlatego zalecamy już na samym starcie pomyśleć o dobrym zabezpieczeniu strony www. Lepiej zapobiegać, niż leczyć!

Bezpieczny serwer

Dobór serwera jest istotny pod kątem bezpieczeństwa. To na nim przechowywane są pliki, i to tam często szukane są podatności. Bezpieczny serwer jest więc nieoceniony. Polegaj na renomowanych dostawcach, oferujących serwery, mające mechanizmy filtrujące ruch i minimalizujące ryzyko ataków DDoS, a także zapewniające automatyczne backupy.

Zalecamy, aby serwer posiadał takie cechy:

• Był dedykowany. Takie rozwiązanie jest drogie, ale bezpieczniejsze niż serwer współdzielony. W tym drugim przypadku powinien być to hosting z separacją serwisu.
• Zapewniał najnowszą wersję wspieranego PHP. Należy śledzić aktualizacje i dbać o aktualność wersji.
• Wykonywał automatyczne backupy.
• Zapewniał dostęp do CloudFLare, które pomagają w filtrowaniu ruchu na stronie, chronią serwer właściwy przed zapytaniami z zewnątrz i blokują dostęp botom sieciowym.

Ochrona logowania

Zalecamy ochronę strony logowania. Na początku warto zmienić sam adres, co już utrudni atak BruteForce i ograniczy potencjalne ataki DDoS, ze względu na utrudnienie w odnalezieniu adresu logowania. Domyślnym adresem jest domena.pl/wp-login.php lub domena.pl/wp-admin. Najczęściej wywoływanym adresem podczas próby ataku BruteForce jest właśnie powyższy schemat. Nadanie indywidualnego adresu zdecydowanie ograniczy liczbę prób włamań, pod warunkiem, że /wp-admin i /wp-login.php, nie będą przekierowywały na nowy adres, a będą zwracały kod 404. Rozwiązanie to zalecamy wdrożyć w pliku .htpasswd (jest to bezpieczniejsze rozwiązanie) lub w ostateczności za pomocą wtyczki.

Oczywiście należy zmienić login oraz ustawić silne hasło logowania, a także włączenie uwierzytelniania dwuskładnikowego (2 factor authentication), polegającego na podaniu hasła oraz specjalnego jednorazowego tokenu. 

Certyfikat SSL

Certyfikat SSL to bardzo ważny punkt w procesie redukowania ataków. Zapewnia chociażby szyfrowanie danych już w przeglądarce i ich bezpieczny przesył na serwery. Dobre hostingi zawsze oferują możliwość wykupienia certyfikatu SSL, a niektóre zapewniają też darmowe certyfikaty. Jednak zalecamy wykupienie płatnego certyfikatu. Samo Google wymaga od stron posiadania certyfikatu SSL, a witryny bez niego oznaczone są jako niebezpieczne.

Aktualizacje WordPressa, wtyczek oraz skryptów 

Niemniej istotnym punktem, o jaki należy dbać w kwestii zabezpieczeń, są bieżące aktualizacje WordPressa. Najczęściej hakerzy szukają „tylnej furtki” właśnie w przestarzałych skryptach, które nie są zgodne z obecnymi zabezpieczeniami. Aktualizacje WP wprowadzają nie tylko nowe funkcjonalności, ale zawierają bardzo istotne łatki związane z bezpieczeństwem systemu. 

Aktualizowane muszą być też wszystkie zainstalowane szablony i wtyczki (również te nieużywane, choć zalecamy je odinstalować). To właśnie nieaktualne wtyczki i szablony stanowią duże ryzyko włamań. 

• Zalecamy regularne aktualizacje wtyczek;
• Przed aktualizacją należy zrobić kopię bazy danych oraz plików serwisu, zwłaszcza przy aktualizacji wersji WordPressa;
• Należy korzystać wyłącznie z bezpiecznych dodatków;
• Warto zminimalizować liczbę wtyczek tylko do tych, które faktycznie są potrzebne (zbyt duża liczba dodatków niepotrzebnie obciąża system, co spowalnia działanie strony);
• Polecamy odinstalować nieużywane wtyczki oraz szablony. Im jest ich więcej, tym większe prawdopodobieństwo zaimplementowanej „luki” w skrypcie.

Zainstaluj wtyczki bezpieczeństwa, CAPTCHA i zastosuj limity żądań

Ważnym elementem bezpieczeństwa jest zastosowanie dodatków, umożliwiających ochronę przed atakami. Przykładowymi wtyczkami bezpieczeństwa są: Wordfence Security, All In One WP Security & Firewall – umożliwiają one wykrywanie złośliwego oprogramowania, blokują ataki BruteForce, jednak trzeba pamiętać, że nieco spowalniają działanie strony. Jest to więc pewien kompromis, na który jednak warto pójść. Polecamy też wprowadzenie mechanizmów CAPTCHA do formularzy kontaktowych i komentarzy, a także wprowadzenie limitu żądań dla jednego adresu IP w krótkim czasie (można to zrobić m.in. przez CloudFlare).

Czyszczenie po ataku i minimalizowanie szkód

Wykonanie powyższych czynności i dbanie o regularne aktualizacje, w dużej mierze ochroni stronę internetową przed atakami i złośliwym oprogramowaniem. Warto jednak mieć na uwadze, że czasami nawet najlepsze zabezpieczenia zostają złamane, a uparty i doświadczony haker lub sprytne oprogramowanie dokona ataku na stronę. Co wtedy zrobić? Przede wszystkim pamiętaj, aby zawsze, ale to zawsze mieć do dyspozycji backup serwisu, dzięki któremu będzie można przywrócić wersję sprzed zainfekowania.

Podejrzewając, że witryna została zaatakowana, warto przeprowadzić test zawirusowania serwisu. Dostępnych jest wiele narzędzi, np. darmowy Virus Total (virustotal.com), który przeanalizuje witrynę lub konkretne pliki pod kątem wirusów, malware’u i innego złośliwego oprogramowania. Wiedząc, że zagrożenie jest rzeczywiste, należy przede wszystkim przywrócić kopię zapasową serwisu. 

Po ataku typu BruteForce, najczęściej zainfekowanymi plikami w CMS WordPress są pliki konfiguracyjne: .htaccess, wp-config oraz index.php. Najlepiej całkowicie je usunąć i wgrać niezainfekowaną wersję z backupu. Jeżeli jednak nie jest to możliwe, należy przejrzeć wskazane pliki (oraz inne w szablonie) pod kątem wstrzyknięcia podejrzanego kodu, który modyfikuje wyświetlanie treści, wyniki wyszukiwania, ilość i jakość podstron, itp. Proces może być żmudny, ale wyczyszczenie tych plików, pozwoli na „odcięcie” drogi ponownych infekcji z tego rzutu ataku. 

Ponowne uruchomienie strony i zabezpieczenie

Po wyczyszczeniu wskazanych plików zainfekowane adresy należy zgłosić do Google Search Console w celu wyindeksowania. Aby tego dokonać, należy wkleić w polu „Sprawdź dowolny URL” adresy, na których została podmieniona treść i wysłać żądanie o ponowne ich zaindeksowanie. Ważne jest też, aby zadbać o usunięcie z indeksu wyszukiwarki wszystkich nowo powstałych podstron, które zawierają spamerskie treści. Adresy te można ściągnąć i usunąć za pomocą narzędzia Google Search Console.

Następnym istotnym krokiem będzie zablokowanie tych adresów kodem 410 w pliku .htaccess w celu uniknięcia ponownej indeksacji zainfekowanych podstron w wynikach wyszukiwania. 

Gdy kryzys zostanie zażegnany, uda się przywrócić niezainfekowaną wersję strony i wyindeksować niepożądane adresy, wyciągnij lekcję i podejmuj kroki, by zminimalizować ryzyko następnego. Oczywiście całkowita ochrona nie jest możliwa, a celem ataków padają nawet doskonale zabezpieczone, rządowe strony, można jednak zrobić naprawdę dużo, by zmniejszyć ryzyko ponownej infekcji.

Zmiana haseł i loginów

Konieczna jest zmiana wszystkich haseł, zarówno tych do logowania do panelu, jak i tych do serwera. Powinny być trudne, złożone, unikalne. 

Ponadto należy pamiętać, aby:

• co kilka miesięcy zmieniać hasła
• nie ustawiać prostych, oczywistych i powszechnych haseł i loginów w stylu: login: “admin”, hasło: “admin 123” czy “123456”, dat urodzenia, czy innych kombinacji najczęściej używanych haseł. W 2022 roku najpopularniejszymi hasłami w Polsce były: 123456, qwerty, zaq123wsx, 123456789, 12345, polska, 1234, lol123, mateusz, 111111. Zdecydowanie radzimy ich unikać (a także ich kombinacji).
• do panelu WP logować się za pomocą adresu e-mail, a niekoniecznie loginu;
• po zakończonej pracy w panelu WP, pamiętać o każdorazowym wylogowywaniu się z systemu CMS. Nie zawsze wyłączenie strony w przeglądarce, równa się wylogowaniu z panelu;
• unikać przechowywania haseł w przeglądarce, zamiast tego przechowywać je w bezpiecznych menedżerach haseł; 
• nie przesyłać haseł e-mailowo, a już nigdy w połączeniu z loginem. Do przesyłania haseł można wykorzystać bezpieczne, szyfrowane kanały np. onetimesecret.com. Wskazana strona generuje jednorazowe łącze. Po wyświetleniu wiadomości wygasa, można powiedzieć, że ulega autodestrukcji, dzięki czemu nikt jej nie odczyta po raz drugi. To bezpieczny sposób na przekazywanie nie tylko haseł, ale też innych, poufnych informacji.

W celu zwiększenia bezpieczeństwa warto też wdrożyć kilka rozwiązań bezpośrednio w plikach konfiguracyjnych WordPressa. Są to:

• blokowanie IP botów spamujących;
• maskowanie bazy danych w plikach wp-config.php;
• ukrywanie wersji WordPressa w kodzie strony;
• ustawienie własnej ścieżki logowania i blokowanie fałszywych prób logowania;

Istnieją też wtyczki umożliwiające powyższe czynności, choć jak już wspominaliśmy, radzimy ograniczyć użycie wtyczek tylko do tych najpotrzebniejszych. Zwracamy też uwagę, że nie dają 100% gwarancji skuteczności. Niemniej jednak wtyczka taka jak Wordfence Security może okazać się przydatna i znacząco zwiększyć bezpieczeństwo witryny. Ta oferuje szereg ważnych opcji do śledzenia ruchu na stronie – informuje m.in. o tym, na jakie adresy najczęściej są wykonywane próby przedostania się do serwisu, z jakich krajów następowały próby logowania, z jakich adresów IP generowany jest ruch i czy jest to ruch szkodliwy. Wtyczka także pozwala na:

• blokowanie krajów i adresów IP,
• chronienie loginów użytkowników,
• chronienie formularzy,
• dwustopniowy etap logowania,
• blokowanie nieudanych prób logowania na określony czas,
• blokowanie wyświetlenia wersji WP w kodzie – co ogranicza także próby ataków,
• skanowanie serwisu pod kątem zawirusowania,
• przesyłanie alertów o próbie włamu,

Unikaj błędów i niedopatrzeń!

Na koniec pamiętaj – najwięcej skutecznych ataków bierze się z najprostszych niedopatrzeń i podstawowych błędów. Podawanie haseł niezaufanym osobom, złe przechowywanie danych dostępowych, zbyt proste hasła, instalowanie niezaufanych wtyczek, brak aktualizacji. Żadne, nawet najlepsze oprogramowanie antywirusowe, czy zabezpieczenia, nie zapewnią ochrony Twojej witrynie, jeśli polegniesz na tych najprostszych, podstawowych błędach.

A teraz do dzieła – sprawdź, czy Twoja strona na WordPressie jest dobrze zabezpieczona!