WordPress sigurnost – što ne koristi sigurnosti web lokacije

WordPress je popularna platforma koja pojednostavljuje rad web programera uz pomoć raznih alata za izradu web lokacija. Internetska sigurnost je na prvom mjestu mnogim vlasnicima web lokacija koji nastoje zaštititi svoje web lokacije od proboja sigurnosti. Postoji niz sigurnosnih problema povezanih s WordPressom što dovodi do nekih mitova koji zapravo ne čine ništa korisno za zaštitu vaše web lokacije.

1. Web lokacija je sigurna jer ima SSL certifikat

Sigurnost koju SSL certifikat nudi isključivo je transakcijska – štiti podatke koji se prosljeđuju između web lokacije i posjetitelja. Posebno onih posjetitelja koji ostavljaju osjetljive podatke poput brojeva kreditnih kartica, kontakt podataka i sl. Ono što WordPress korisnici mogu zanemariti je da se šifrira samo promet, ne i datoteke i podaci koji se nalaze na web lokaciji. Bez WAF zaštite (Web Application Firewall) web lokacija je i dalje otvorena za hakere bez obzira na SSL.

2. Promjena prefiksa baze podataka poboljšava sigurnost

Ovo je čak uobičajena preporuka. Ideja je da se prefiks „wp_” promijeni u neku drugu vrijednost i da se tako spriječe napadi na bazu podataka (SQL injection). Ostavlja se dojam da se radi na poboljšanju sigurnosti, a zapravo se ne postiže puno.

Hakeri koriste različita sredstva za dohvaćanje baze podataka pronalazeći ranjivosti u dodacima i temama koje koristite.

Nema dokaza da će ova metoda poboljšati sigurnost vaše web lokacije, a ako se promjena ne izvede pravilno može srušiti vašu web lokaciju. Da biste se zaštitili od ovakvih napada koristite trostrani pristup – koristite WAF, nadgledajte web lokaciju zbog zlonamjernog software-a i pokušaja prevare i ažurirajte dodatke, teme i WordPress jezgru.

3. Brute Force napadi mogu se zaustaviti skrivanjem wp-admin-a, wp-login stranice

Većina zlonamjernih botova pokušava Brute Force napadom dobiti informacije o korisničkom imenu i lozinci kako bi dobili administracijski pristup pozadini vaše web lokacije, ciljajući stranicu za prijavu na web lokaciji. Najčešće ciljaju uobičajena korisnička imena poput “admin” zajedno s desecima tisuća lozinki, nadajući se da će jedno od njih funkcionirati. Većina WordPress administratora pokušava onemogućiti taj pristup skrivanjem svoje stranice za prijavu ili mape wp-admin.

Iako postoji mnogo dodataka (plugina) koji pomažu skrivanju stranice za prijavu, postoje razlozi zašto ovo ne treba biti prioritet.

– Mnogo dodataka ovisi o tome da je mapa wp-admin tamo gdje se očekuje, ako se promjeni putanja do mape dodatak neće moći raditi kako je očekivano.

– Skrivanje stranice za prijavu ili pristupne točke nije odgovarajuća zaštita od hakera koji posjeduju alate potrebne za pronalazak premještene mape. Također, većina napada nije usmjerena prema loginu stranice već prema XMLRPC, što je druga aplikacija za komunikaciju s vašom web lokacijom.

Stoga, ovaj način nije učinkovit, a može uzrokovati više problema nego koristi.

4. Jaka lozinka i korisničko ime su dovoljni za zaštitu web lokacije

Složena lozinka i korisničko ime jesu važni, svakako se preporučuje uvrstiti velika i mala slova, brojeve, interpunkciju i druge jedinstvene simbole kod kreiranja lozinke, ali to vas ipak neće zaštiti od svih napada. Naravno ako jedno od vaših korisničkih imena nije, na primjer, „admin” već ste jedan korak ispred, ali hakeri se služe i drugim metodama – ranjivostima u zastarjelim temama ili dodacima, manipulacijama radi stjecanja povjerljivih informacija (npr krađa identiteta) itd.

Razmislite o autentifikaciji u dva koraka, slanjem koda na vaš mobitel svaki put kada se prijavite na web lokaciju, kao još jednoj razini sigurnosti na vašoj web lokaciji.

5. Moja web lokacija je sigurna uz CDN ili Cloud-based Firewall

Content delivery networks (CDN) i vatrozid (firewall) u oblaku kao što su Cloudflare ili Sucury pružaju sigurnost web lokacijama preusmjeravanjem prometa na njihove poslužitelje, filtriranjem prema pravilima vatrozida, zatim prosljeđivanjem prometa, koji odgovara pravilima, prema vašoj web lokaciji.

Očekuje se da će ovaj način zaštite sakriti vaš originalni server jer svatko tko posjeti vašu web lokaciju automatski je proslijeđen na servere davatelja zaštite.

U stvarnosti je moguće zaobići ovakav način zaštite i otkriti originalnu IP adresu i napasti ju izravno.

Endpoint zaštita robusnija je i pouzdanija jer štiti vaše podatke tamo gdje se oni nalaze. Ako svoje podatke zaštitite na izvornom mjestu, to je najbolja izravna obrana od hakera i drugih oblika napada.

6. Moja stranica je „mala” i kao takva nije zanimljiva

Ovakva izjava uopće nema smisla. Pogotovo ako uzmemo u obzir da su manje web lokacije i blogovi savršena meta za napade.

1. Manja stranica, manja i vjerojatnost da ju održavaju kompetentni administratori koji bi brzo odgovorili na hakerski napad.

Prema istraživanjima, najviše hakerskih napada pretrpe web lokacije manjih i srednjih tvrtki koje nemaju dovoljno resursa da se obrane od ovakvih napada, za razliku od velikih i robusnijih web lokacija.

Web lokacija ne treba imati milijune posjetitelja da bi bila zanimljiva hakerima. Nakon što steknu pristup vašoj web lokaciji mogu ju potpuno uništiti i koristiti vaš poslužitelj za distribuciju zlonamjernog software-a, slanje neželjene pošte ili preusmjeriti promet na zlonamjernu web lokaciju.

2. Iako vlasnici manjih web lokacija vjeruju da su zaštićeni jer se nalaze gužvi s drugim web lokacijama – upravo su vlasnici blogova oni koji se trude istaknuti u masi i privući što više prometa na svoju web lokaciju, a ako radite na privlačenju pozornosti, sigurno ćete privući i onu neželjenu.

Suvremeno hakiranje rade botovi, koji se više baziraju na kvantitetu nego kvalitetu, istražujući tisuće web lokacija dok ne pronađu ranjivu. Nijedna web lokacija nije premala za hakiranje i svi vlasnici trebaju poduzeti mjere predostrožnosti kako bi se zaštitili.

7. WordPress nije sigurna platforma

Iako može biti slučaj da je WordPress izložen većem broju napada u odnosu na druge CMS-ove, to ne znači da je WordPress po prirodi nesiguran. Najveća ranjivost WordPressa dolazi preko korisnika koji ne poduzimaju mjere zaštite vlastite web lokacije.

WordPress se sastoji od jezgre WordPressa, zajedno s vanjskim WordPress dodacima i temama. Ogromna većina hakerskih incidenata, njih čak 80%, rezultat je korištenja zastarjelog software-a (dodataka i tema koji nisu ažurirani). Najlakši način upada na web lokaciju je preko zastarjele lozinke ili dodatka, a to vrijedi za bilo koji CMS, ne samo za WordPress. Obavezno redovito ažurirajte svoje teme i dodatke, u suprotnom ako se web lokacija hakira, to nije nedostatak WordPressa – to je korisnički propust.

WordPress ima aktivnu međunarodnu zajednicu korisnika i programera koji zajednički rade na pronalasku i zakrpama sigurnosnih ranjivosti u osnovnim datotekama, ali i u cijelom ekosustavu dodataka i tema.

Napomena

Prilikom dizajna i izrade web lokacije na WordPressu odgovorni ste i za njezinu dugoročnu sigurnost. Niti jedna web lokacija ne može se smatrati 100% sigurnom od hakerskih napada, ali primjenom sigurnosnih praksi može se smanjiti ranjivost web lokacije.

Izvor:

https://wordpress.org/about/security/

https://www.wordfence.com/blog/

Image from Pixabay