Jucând Whack-a-Mole cu WordPress Security

Securizarea unui site web în această perioadă (chiar și una mică) devine din ce în ce mai dificilă. Și dacă utilizați WordPress, s-ar putea la fel de bine să aveți un ochi mare și vechi pe spate. Între oameni nefericiți și roboți necruțători, fiecare minut al fiecărei zile a devenit un câmp de luptă.

Partea cu adevărat uimitoare a acestui lucru este că puteți face aproape toate lucrurile potrivite și, totuși, puteți ajunge la un site piratat. Continuați și păstrați-vă pluginurile și tema actualizate. Rulați un plugin de securitate sau puneți alte bariere la intrare. Fă toate astea și s-ar putea să te trezești în continuare într-o poziție compromisă.

Recent, am aflat acest fapt greu pentru mine. Am ajutat un coleg cu un site care s-a confruntat cu numeroase probleme – în ciuda gândului nostru că facem lucrurile „în modul corect”. M-a inspirat să mă așez și să mă gândesc la experiență. Cu asta, iată câteva gânduri despre ceea ce am învățat și câteva teorii cu privire la pașii suplimentari pe care îi putem lua pentru a securiza mai bine un site web WordPress.

Trecutul te poate bântui

Nucleul, pluginurile și temele WordPress au toate propriile defecte de securitate. Nucleul este de obicei remediat rapid, în timp ce speri și te rogi ca pluginurile și temele să primească același tip de tratament. Dar după cum am văzut, astuparea găurilor nu este întotdeauna suficientă.

Dacă site-ul tău a fost construit în urmă cu câțiva ani, este posibil să fi fost supus unor vulnerabilități despre care nici nu știai. Poate că au fost petice... sau poate nu. Chiar dacă problema a fost remediată, este posibil ca site-ul dvs. să fi fost expus pentru o perioadă de timp până când ați instalat un patch sau ați eliminat cu totul un element. Ce s-a întâmplat între timp? S-ar putea să nu afli pentru o vreme.

De exemplu, în timp ce cercetam acel site cu probleme pe care l-am menționat mai devreme, fișierele rău intenționate au fost găsite în directorul /wp-includes/. Fiecare au fost fișiere .php care imitau numele și data modificată a altor fișiere legitime din acel director. Acum, este posibil ca fișierele să fi fost într-un fel retrodatate pentru a face să pară că ar fi fost acolo tot timpul. Dar luând-o la valoarea nominală, s-ar părea că am avut un caz de malware latent. La fel ca un virus de computer care oferă o sarcină utilă la o anumită dată și oră, este posibil ca acest cod rău intenționat să fi „primit apelul” pentru a intra în acțiune.

Ideea este că doar dacă aveți pluginul greșit instalat la momentul nepotrivit vă poate da bătăi de cap și în viitor. A fi la curent este o strategie grozavă, dar nu este sigură. Doar faptul că văd câteva plugin-uri care distribuie în mod intenționat cod rău intenționat arată recent că vă aflați într-un catch-22.

Un peisaj în continuă schimbare

Dacă ar fi întrebați, cred că mulți dintre noi am spune că suntem mai buni la locul de muncă acum decât eram chiar acum câțiva ani. Învățăm, evoluăm și aplicăm acele noi cunoștințe în munca noastră. Ca atare, alegerile noastre atunci când construim un site web evoluează și ele. Instrumentele și tehnicile pe care le folosim sunt rareori aceleași an de an.

WordPress și ecosistemul său trec prin același proces, dar într-un ritm mult mai rapid. Pluginul obligatoriu de ieri se poate transforma în praf mâine. O singură actualizare neplăcută poate trimite utilizatorii departe în mulțime.

Așadar, un site pe care l-ați construit acum câțiva ani și l-ați predat unui client ar putea foarte bine să ruleze pluginuri pe care nu v-ați gândi să le folosiți astăzi. După cum spune vechea zicală: „Fără vedere, fără minte”.

Este nevoie de o oarecare măsură de vigilență pentru a vă asigura că nu numai că utilizați cele mai recente versiuni, ci și înlocuiți articolele care nu mai sunt cea mai bună alegere. Din păcate, acest tip de atenție constantă nu este întotdeauna practic pentru mulți designeri. Nu întotdeauna avem timp și clienții nu au întotdeauna bugetul pentru a-l aloca. Ca să nu mai vorbim de faptul că înlocuirea unui plugin poate fi o întreprindere destul de mare în unele cazuri. O temă poate fi și mai dificilă.

În realitate, totul este ca un joc uriaș de lovire a cârtiței. Uneori pare că singura ta apărare este să stai gata cu ciocanul în mână, gata să lovești următoarea creatură care apare. Trebuie să existe o cale mai bună.

Ce mai putem face?

Prin urmare, aplicăm în mod regulat actualizări și punem în aplicare măsuri suplimentare de securitate. Folosim parole puternice și încercăm să facem cât mai dificil accesul neautorizat la site-ul nostru. Cu toate acestea, încă ne confruntăm cu atacuri constante – dintre care unele trec.

Recunosc că nu sunt cel mai important expert în securitate. Dar am câteva gânduri despre pașii suplimentari pe care îi putem lua pentru a menține site-urile curate de malware și altele asemenea. Poate că unii sunt puțin nebuni, dar speranța mea este să stârnesc discuții, în loc să salvez întreaga omenire.

Audituri de pluginuri
Acesta este ceva pentru care putem face în mod obișnuit noi înșine și pentru care de fapt taxăm clienții. Ideea este să ne uităm în mod obișnuit (poate de 2-3 ori pe an) la ce pluginuri sunt instalate și să le eliminați pe cele potențial problematice. Căutați pluginuri care sunt considerate abandonate (fără actualizări de cel puțin doi ani) sau eliminate cu totul din Depozitul de pluginuri WordPress. Apoi, faceți înlocuiri atunci când este necesar.

Acces la o mai bună informare
Și mai bine ar fi un serviciu pe scară largă care să ne țină informați cu privire la ce pluginuri sunt vechi/răușitoare/eliminate. Dezvoltatorii și proprietarii de site-uri ar putea beneficia foarte mult de a avea acest tip de resursă la îndemână. Doar cunoașterea a ceea ce se întâmplă în ecosistemul WordPress ne poate ajuta să evităm alte probleme.

Luați decizii mai înțelepte
Adesea luăm ceea ce considerăm că sunt cele mai bune decizii în acel moment. Dar putem face mai bine. De exemplu, alegerea unui plugin înseamnă adesea găsirea celei mai rapide soluții la o problemă. Dar soluția cea mai rapidă nu este întotdeauna cea mai bună. Verificarea calității pluginurilor ar trebui să fie la fel de importantă ca și funcționalitatea lor. Nu vom înțelege întotdeauna corect, dar examinarea jurnalelor de modificări și a forumurilor de asistență poate fi de mare ajutor în luarea deciziilor.

Înțelege jocul
Când lansăm un site proaspăt construit, asta nu înseamnă că munca noastră s-a încheiat. Pentru a menține lucrurile în siguranță, trebuie să fim atenți în continuare la ceea ce se întâmplă. O parte din aceasta poate fi utilizarea pluginurilor automate de securitate care ne trimit e-mail atunci când ceva nu este în regulă. Dar este și despre a arunca o privire manuală în jur din când în când. Examinați tabloul de bord WordPress și, de asemenea, căutați prin structura de fișiere a site-ului pentru a căuta ceva suspect.

Gazduire proactiva
Aș dori să cred că majoritatea gazdelor web fac din securitate o prioritate de vârf. Dar asta nu înseamnă că nu există loc de îmbunătățire. Din propria mea experiență, se pare că gazdele sunt adesea reactive la probleme după ce au apărut. Cred că am putea beneficia de gazde care sunt mai proactive în abordarea securității. De exemplu, alertarea clienților cu privire la informațiile cu privire la cele mai recente amenințări de securitate și cum să vă întăriți site-ul împotriva acestora.

Antrenează clienții
În cele din urmă, este important să instruiți clienții cu privire la ceea ce se poate face și ce nu se face în WordPress. Dacă accesează partea din spate a site-ului, ar trebui să cunoască riscurile potențiale ale instalării de pluginuri sau de a oferi altora informațiile contului lor. Au un rol important de jucat în menținerea propriului site în siguranță.

Întotdeauna o țintă

WordPress este atât de utilizat pe scară largă încât nu este de mirare de ce a devenit o țintă pentru hackeri. Din păcate, acesta este ceva care vine împreună cu tot acest mare succes.

Din această cauză, cu toții trebuie să creștem nivelul când vine vorba de practicile noastre de securitate. În mod ideal, asta înseamnă verificări regulate ale site-ului și, cel mai important, acces la informații critice. Cunoașterea este cheia oricărei provocări. Fără el, vom rămâne pentru totdeauna blocați jucând acel joc de carnaval.