Zrzędliwy projektant przejmuje złośliwe oprogramowanie WordPress

Podczas gdy niektóre zawody z czasem zanikają, zawsze będą potrzebni projektanci stron internetowych. Czemu? Ponieważ z każdym mijającym rokiem praca staje się coraz bardziej złożona. Pojawiają się nowe obowiązki, które wykraczają poza zasięg narzędzi zautomatyzowanych i niewymagających kodu.

Najlepszym przykładem jest bezpieczeństwo witryny. Zawsze było to problemem – nawet gdy zaczynałem tę drogę w połowie lat 90. XX wieku. W tamtych czasach głównym problemem było zhakowane hasło FTP lub wściekły były kolega, który niszczył/usuwał pliki. W dzisiejszych czasach to o wiele więcej. Coś jak nieznośny robal, który przekształcił się w ogromnego potwora morskiego.

A ten potwór całkowicie owinął swoje macki wokół tego zrzędliwego projektanta. Praca stała się błędnym kołem infekcji, czyszczenia i reinfekcji złośliwym oprogramowaniem. Następnie powtórz.

Głównym celem wrogości potwora jest WordPress. Nie powinno to dziwić, ponieważ system zarządzania treścią (CMS) jest nieustannie atakowany. Pochodzi z terytorium zasilania ponad 40% sieci.

Niestety wiem, że nie tylko ja mam taką klęskę. W związku z tym chciałem podzielić się kilkoma tyradami, przemyśleniami i sugestiami, jak umieścić tego potwora z powrotem na swoim miejscu.

Ostrożność nie wystarczy

Zimna rzeczywistość bezpieczeństwa stron internetowych polega na tym, że nie ma żadnych gwarancji. Praktycznie każda witryna może zostać zaatakowana przez złośliwe oprogramowanie. Zdarza się nawet najbardziej ostrożnym z nas.

Tak jak w przypadku WordPressa, ostrożność oznacza pamiętanie o kilku podstawach:

• Sprawdzanie motywu i instalowanych przez nas wtyczek;
• Rutynowe stosowanie aktualizacji;
• Używanie bezpiecznych i złożonych haseł;
• Hosting witryny w usłudze, która poważnie traktuje bezpieczeństwo;
• Zapewnienie, że uprawnienia do plików są zgodne z zaleceniami WordPress;
• Dodanie dodatkowych warstw ochrony, takich jak wtyczki bezpieczeństwa i zapory;

Chociaż to nie wszystko, powyższe działania stanowią solidną podstawę. Ideą jest ochrona przed najbardziej podstawowymi rodzajami ataków. Miejmy nadzieję, że odstraszy to również niektóre bardziej złożone próby.

Frustrującym aspektem tego podejścia jest to, że jesteś tak silny, jak najsłabsze ogniwo twojego bezpieczeństwa. Nawet renomowane wtyczki mogą zawierać luki w zabezpieczeniach. Istnieje wiele wektorów, które atakujący może wykorzystać do wywołania problemów – w tym takie, nad którymi nie mamy bezpośredniej kontroli.

Dlatego bycie ostrożnym nie wystarczy, aby odeprzeć każdy atak.

Czyszczenie włamań to drenaż zasobów

Pomimo podjęcia kroków w celu uniknięcia problemów z bezpieczeństwem, hacki nadal się zdarzają. A kiedy tak się dzieje, sprzątanie następstw może być żmudnym zadaniem.

Proces obejmuje identyfikację wszelkich złośliwych plików – w tym legalnych plików podstawowych WordPressa, które mogły zostać zmodyfikowane. Skanery bezpieczeństwa, takie jak te znajdujące się we wtyczce Wordfence, mogą pomóc w identyfikacji plików, ale są pewne zastrzeżenia.

Jeśli konto administratora witryny zostało naruszone lub atakujący wykorzystał lukę w zabezpieczeniach, aby uzyskać dostęp do pulpitu WordPress – wszystkie zakłady są wyłączone. Mieliby możliwość dezaktywacji wtyczki bezpieczeństwa. Stamtąd mogą siać różnego rodzaju spustoszenie, pozostając niezauważonym.

Ponadto określenie, w jaki sposób złośliwe oprogramowanie znalazło się w Twojej witrynie, rzadko jest proste. Nie mogę zliczyć, ile razy myślałem, że znalazłem winowajcę, ale po kolejnych infekcjach okazało się, że się myliłem. Często potrzeba przeszukiwania plików i studiowania blogów poświęconych bezpieczeństwu, aby uzyskać odpowiedź. Jednak niektóre kwestie mogą pozostać tajemnicą.

Jest to nie tylko stresujące dla wszystkich zaangażowanych osób, ale także utrudnia pracę nad innymi projektami. Naruszenie bezpieczeństwa to sytuacja typu „all-hands-on-deck”. Jeśli zdarzy ci się być freelancerem, twoje ręce są nieuchronnie związane z naprawą zhakowanej witryny.

Co jeszcze mogą zrobić projektanci stron internetowych?

Jak już wcześniej wspomniałem, tylko tyle jest pod naszą kontrolą. Projektanci stron internetowych mogą podejmować świadome decyzje, ale nasze projekty wciąż mogą paść ofiarą złośliwego oprogramowania. W pewnym sensie wydaje się to beznadziejną sytuacją.

Jednak zagrożenia bezpieczeństwa nie znikają. Jeśli już, będą rosły wykładniczo. To oznacza, że ​​musimy dalej próbować.

Oto kilka strategii, które mogą pomóc:

Zostań minimalistą wtyczek

Chociaż instalowanie niepotrzebnych wtyczek WordPress nigdy nie jest dobrym pomysłem, może to być również niebezpieczne. Dlatego warto usunąć wszystko, czego nie potrzebujesz.

W niektórych przypadkach warto utworzyć niestandardową wtyczkę barebone, jeśli to możliwe. Złośliwe boty próbują wykryć znane luki w rdzeniu WordPressa i określonych wtyczkach. Może to być sposób na zmniejszenie ryzyka przy jednoczesnym zachowaniu funkcjonalności.

Niezależnie od tego, dobrym pomysłem jest również śledzenie tego, co dzieje się z zainstalowanymi wtyczkami. Upewnij się, że są one regularnie aktualizowane i staraj się unikać tych, które nie są już utrzymywane.

Poproś klientów, aby zainwestowali w bezpieczeństwo

Bezpieczeństwo może stać się istotną częścią pracy projektanta stron internetowych. Dużo pracy wymaga wzmocnienie strony internetowej i łagodzenie wszelkich pojawiających się problemów. Ale nasze ceny nie zawsze odzwierciedlają tę rzeczywistość.

Dlatego warto poprosić klientów o inwestycje w tym obszarze. Rekomendując narzędzia i usługi związane z bezpieczeństwem, aktywnie dodajesz dodatkowe warstwy ochrony. A dołączając regularne kontrole bezpieczeństwa do swoich pakietów serwisowych, będziesz uważnie obserwować, co się dzieje.

Kolejną zaletą tej strategii jest podnoszenie świadomości bezpieczeństwa. Kiedy klienci lepiej zrozumieją temat, będą bardziej skłonni do podjęcia środków zapobiegawczych.

Zrób plan sprzątania

Można śmiało powiedzieć, że nikt z nas nie chce mieć do czynienia ze zhakowaną witryną. Robimy wszystko, co w naszej mocy, aby temu zapobiec. A… tak się dzieje.

Dlatego lepiej przygotować się na ten scenariusz, niż chować głowę w piasek. Opracuj proces, który pomoże Ci skutecznie wyczyścić zhakowaną witrynę.

Nie zawsze może zadziałać za pierwszym (lub drugim) razem. Ale każda porażka to dobre doświadczenie edukacyjne. W końcu udoskonalisz proces i zwiększysz swoje szanse na sukces.

Uzyskaj profesjonalną pomoc

Zarządzanie bezpieczeństwem strony internetowej jest kłopotliwe i frustrujące – wystarczy, aby skierować każdego z nas na terapię. Taka profesjonalna pomoc jest zawsze mile widziana. Ale to nie jest ten rodzaj, o którym tutaj mówię.

Raczej mówię o pracy z profesjonalistami ds. bezpieczeństwa. Na przykład usługi, które pomagają blokować strony internetowe klienta i usuwać z nich wszelkie infekcje.

Wiąże się z tym koszt – taki, który możesz przekazać swoim klientom. A na dłuższą metę może to tylko uratować zdrowie psychiczne.

Chaos złośliwego oprogramowania to nowa normalność

Pod pewnymi względami zabezpieczenie strony internetowej jest jak gra w kotka i myszkę. Za każdą zamkniętą lukę pojawia się kolejna. Złośliwi aktorzy nieustannie rozwijają swoje metody penetracji WordPressa i innych platform. I nikt z nas nie jest odporny.

To sprawia, że ​​nasza praca jest trudniejsza i bardziej czasochłonna. A to również sprawia, że ​​utrzymanie strony internetowej jest dla naszych klientów droższe.

Z pewnością nie to sobie wyobrażałem, kiedy zaczynałem jako web designer. Jest mało prawdopodobne, że wielu z nas znalazło się w tej branży, ponieważ lubimy usuwać złośliwe oprogramowanie. Ale czy ci się to podoba, czy nie, to jest nowa normalność. A my jesteśmy ostatnią linią obrony przed przysłowiowym potworem morskim. Nie możemy sobie pozwolić na poddanie się bez walki.