Granie w „Whack-a-Mole” z zabezpieczeniami WordPress

Zabezpieczenie strony internetowej w dzisiejszych czasach (nawet małej) staje się coraz trudniejsze. A jeśli korzystasz z WordPressa, równie dobrze możesz mieć na plecach wielką, starą tarczę. Między nikczemnymi ludźmi a nieustępliwymi botami każda minuta każdego dnia stała się polem bitwy.

Naprawdę oszałamiającą częścią tego jest to, że możesz zrobić wszystko, co właściwe, a mimo to trafić na zhakowaną stronę. Śmiało i aktualizuj swoje wtyczki i motyw. Uruchom wtyczkę bezpieczeństwa lub ustaw inne bariery wejścia. Zrób to wszystko, a nadal możesz znaleźć się w trudnej sytuacji.

Niedawno odkryłem ten trudny fakt dla siebie. Pomogłem koledze przy stronie, która borykała się z wieloma problemami – pomimo naszego przekonania, że ​​robimy rzeczy „we właściwy sposób”. Zainspirowało mnie to, by usiąść i pomyśleć o tym doświadczeniu. Oto kilka przemyśleń na temat tego, czego się nauczyłem i kilka teorii dotyczących dalszych kroków, które możemy podjąć, aby lepiej zabezpieczyć witrynę WordPress.

Przeszłość może Cię prześladować

Rdzeń WordPressa, wtyczki i motywy mają swoje własne wady bezpieczeństwa. Rdzeń zwykle jest szybko łatany, podczas gdy masz nadzieję i modlisz się, aby wtyczki i motywy były traktowane w ten sam sposób. Ale jak widzieliśmy, zatykanie dziur nie zawsze wystarcza.

Jeśli Twoja witryna została zbudowana kilka lat temu, być może natrafiłeś na luki, o których nawet nie wiedziałeś. Może zostały załatane… a może nie. Nawet jeśli problem został rozwiązany, Twoja witryna mogła być widoczna przez pewien czas, dopóki nie zainstalujesz poprawki lub całkowicie usuniesz element. Co wydarzyło się w międzyczasie? Możesz się nie dowiedzieć przez dłuższy czas.

Na przykład podczas przeglądania tej problematycznej witryny, o której wspomniałem wcześniej, złośliwe pliki zostały znalezione w katalogu /wp-includes/. Każdy z nich był plikami .php, które naśladowały nazwę i datę modyfikacji innych legalnych plików w tym katalogu. Teraz możliwe jest, że pliki były w jakiś sposób opatrzone datą wsteczną, aby wyglądało na to, że były tam przez cały czas. Ale biorąc to za dobrą monetę, wydaje się, że mieliśmy przypadek uśpionego złośliwego oprogramowania. Podobnie jak wirus komputerowy, który dostarcza część ładunku w określonym dniu i czasie, ten złośliwy kod mógł „otrzymać wezwanie” do działania.

Chodzi o to, że potencjalne zainstalowanie niewłaściwej wtyczki w niewłaściwym czasie może przysporzyć Ci bólu głowy w przyszłości. Bycie na bieżąco to świetna strategia, ale nie jest niezawodna. Już samo zobaczenie garstki wtyczek celowo rozpowszechniających złośliwy kod w ostatnim czasie pokazuje, że znalazłeś się w pułapce 22.

Ciągle zmieniający się krajobraz

Myślę, że wielu z nas zapytanych o to, że teraz jesteśmy lepsi w swojej pracy, niż byliśmy nawet kilka lat temu. Uczymy się, rozwijamy i stosujemy tę nową wiedzę w naszej pracy. W związku z tym nasze wybory przy tworzeniu strony internetowej również ewoluują. Narzędzia i techniki, których używamy, rzadko są takie same rok po roku.

WordPress i jego ekosystem przechodzą przez ten sam proces – ale w znacznie szybszym tempie. Niezbędna wtyczka wczorajsza może jutro zamienić się w pył. Pojedyncza, niezgrabna aktualizacja może odesłać użytkowników masowo.

Tak więc witryna, którą zbudowałeś kilka lat temu i przekazałeś klientowi, może równie dobrze zawierać wtyczki, o których nie pomyślałbyś dzisiaj. Jak mówi stare powiedzenie: „Poza zasięgiem wzroku, z umysłu”.

Aby upewnić się, że używasz nie tylko najnowszych wersji, ale także wymieniasz elementy, które nie są już najlepszym wyborem, potrzeba pewnej dozy czujności. Niestety, dla wielu projektantów tego rodzaju nieustanna uwaga nie zawsze jest praktyczna. Nie zawsze mamy czas, a klienci nie zawsze mają na to budżet. Nie wspominając już o tym, że wymiana wtyczki może być w niektórych przypadkach dość dużym przedsięwzięciem. Temat może być jeszcze trudniejszy.

W rzeczywistości cała sprawa jest jak gigantyczna gra w whack-a-mole. Czasami wydaje się, że twoją jedyną obroną jest stanie w pogotowiu z młotkiem w dłoni, gotowym uderzyć w następne stworzenie, które się pojawi. Musi być lepszy sposób.

Co więcej możemy zrobić?

Dlatego regularnie stosujemy aktualizacje i wprowadzamy dodatkowe środki bezpieczeństwa. Używamy silnych haseł i staramy się utrudnić nieautoryzowany dostęp do naszej witryny. Mimo to wciąż spotykamy się z ciągłymi atakami – niektóre z nich się przebijają.

Przyznam, że nie jestem czołowym ekspertem od bezpieczeństwa. Mam jednak kilka przemyśleń na temat dalszych kroków, które możemy podjąć, aby nasze witryny były wolne od złośliwego oprogramowania i tym podobnych. Może niektórzy są trochę głupi, ale mam nadzieję, że wywołam dyskusję, a nie ratowanie całej ludzkości.

Audyty wtyczek
Jest to coś, co możemy rutynowo robić sami i faktycznie pobierać opłaty od klientów. Chodzi o to, aby rutynowo (może 2-3 razy w roku) sprawdzać, które wtyczki są instalowane i usuwać te potencjalnie problematyczne. Poszukaj wtyczek, które są uważane za porzucone (bez aktualizacji przez co najmniej dwa lata) lub całkowicie usunięte z repozytorium wtyczek WordPress. Następnie w razie potrzeby dokonaj wymiany.

Dostęp do lepszych informacji
Jeszcze lepsza byłaby usługa na dużą skalę, która informuje nas, które wtyczki są stare/złośliwe/usunięte. Deweloperzy i właściciele witryn mogliby bardzo skorzystać z posiadania tego rodzaju zasobów na wyciągnięcie ręki. Sama wiedza o tym, co dzieje się w ekosystemie WordPressa, może pomóc nam uniknąć dalszych problemów.

Podejmuj mądrzejsze decyzje
Często podejmujemy decyzje, które uważamy za najlepsze w danym momencie. Ale możemy zrobić lepiej. Na przykład wybór wtyczki często polega na znalezieniu najszybszego rozwiązania problemu. Ale najszybsze rozwiązanie nie zawsze jest najlepsze. Równie ważna jak funkcjonalność powinna być sprawdzanie wtyczek pod kątem ich jakości. Nie zawsze uda nam się to zrobić dobrze, ale przeglądanie dzienników zmian i forów wsparcia może być dużą pomocą w podejmowaniu decyzji.

Zrozum grę
Kiedy uruchamiamy świeżo zbudowaną witrynę, nie oznacza to, że nasza praca się skończyła. Aby wszystko było bezpieczne, musimy nadal zwracać uwagę na to, co się dzieje. Częścią tego może być używanie automatycznych wtyczek bezpieczeństwa, które wysyłają nam e-maile, gdy coś jest nie tak. Ale chodzi też o ręczne rozglądanie się od czasu do czasu. Przejrzyj pulpit WordPress, a także przejrzyj strukturę plików witryny, aby wyszukać coś podejrzanego.

Proaktywny hosting
Chciałbym myśleć, że większość hostów internetowych traktuje bezpieczeństwo jako najwyższy priorytet. Ale to nie znaczy, że nie ma miejsca na ulepszenia. Z własnego doświadczenia wynika, że ​​gospodarze często reagują na problemy po ich wystąpieniu. Uważam, że moglibyśmy skorzystać na gospodarzach, którzy są bardziej proaktywni w swoim podejściu do bezpieczeństwa. Na przykład ostrzeganie klientów o informacjach dotyczących najnowszych zagrożeń bezpieczeństwa i sposobach zabezpieczenia witryny przed nimi.

Pociąg klientów
Wreszcie, ważne jest, aby szkolić klientów w zakresie nakazów i zakazów WordPressa. Jeśli uzyskają dostęp do zaplecza witryny, powinni znać potencjalne ryzyko związane z instalowaniem wtyczek lub przekazywaniem informacji o swoim koncie innym. Odgrywają dużą rolę w utrzymywaniu własnej witryny w dobrym stanie.

Zawsze celem

WordPress jest tak szeroko stosowany, że nic dziwnego, dlaczego stał się celem hakerów. Niestety, towarzyszy temu cały ten wielki sukces.

Z tego powodu wszyscy musimy awansować, jeśli chodzi o nasze praktyki bezpieczeństwa. Idealnie oznacza to regularne sprawdzanie witryny i, co najważniejsze, dostęp do krytycznych informacji. Wiedza jest kluczem do każdego wyzwania. Bez tego na zawsze utkniemy w tej karnawałowej grze.