Wydawać się może, że wykonanie strony to czynność jednorazowa, pod warunkiem, że nie będziemy na bieżąco dodawać / modyfikować treści. Ale to nic bardziej mylnego! Wykorzystując popularne systemy CMS tj. WordPress – należy zwrócić szczególną uwagę na bezpieczeństwo tych aplikacji.
Skąd te zagrożenia?
Nie aktualizowany WordPress uruchomiony i pozostawiony po zrealizowaniu strony może posiadać wiele luk zabezpieczeń powstałych już w chwili jego realizacji, dlatego tak ważne jest skorzystanie z usług profesjonalistów, którzy w trakcie instalacji i konfiguracji naprawią lub wyeliminują aktualne problemy. Najczęściej popełnianymi błędami po instalacji są:
- słaby login i hasło do bazy danych, czy hostingu,
- niska wersja PHP, która posiada wiele luk bezpieczeństwa,
- proste hasło do konfiguracji systemu,
- pozostawione strony z możliwością komentowania bez opcji zatwierdzania,
- luki w skrypcie lub brak aktualizacji wtyczek wykorzystanych podczas instalacji.
Niezabezpieczona strona może być ,,łakomym kąskiem” wśród włamywaczy. Jeśli posiadasz stronę i myślisz „moją stroną nikt się nie zainteresuje” – myślisz się!
Najbardziej powszechne włamania do stron wynikają z braku aktualizacji. Automaty napisane przez hakerów skanują internet oraz adresy URL podatne na ataki. Po odnalezieniu instalacji WordPress, która jest w wersji podatnej na ataki w danym momencie wykonają one serie automatycznych testów, którymi próbują dostać się do witryny, panelu CMS, czy serwera z plikami.
Warto dodać w tym miejscu również, że WP to tylko część ekosystemu, który jest podatny na ataki. W ramach strony posiadamy zainstalowane różne wtyczki pozwalające na dodanie nowych funkcjonalności (formularz kontaktowy, mapę Google, wysyłanie plików, slider, pojawiające się okna i wiele, wiele innych). Dodatkowo wygląd strony również zależny jest od szablonu (theme).
To właśnie dlatego wtyczki i szablon również powinny być aktualizowane – mogą także posiadać luki bezpieczeństwa, które z czasem zostaną wykryte i używane przez automaty. Dlatego tak bardzo ważnym jest korzystanie z legalnych wtyczek i szablonów, aby aktualizacja, o której mowa, była możliwa.
Do czego może doprowadzić brak?
Zastanawiasz się zapewne – ale poco ktoś miałby się włamać na Twoją stronę? Powodów jest kilka – niektóre bardzo istotne!
Przejęcie strony
Po włamaniu strona może zostać wyłączona lub jej zawartość zmodyfikowana np. na zawartość erotyczną lub promującą narkotyki, czy hazard. Może w znacznym stopniu wpłynąć w negatywny sposób na wizerunek firmy.
Do strony mogą zostać dodane skrypty, które będą atakowały użytkowników np. reklamamy (malware) lub wykorzystywały do celów krypto walut (cryptomining ).
Z uwagi że wszystko dzieje się „bez wyważania drzwi” możesz nie wiedzieć o problemach i przez kilka tygodni, a nawet miesięcy nie mieć świadomości o zagrożeniu!
Wysyłka e-mail
Jedną z popularniejszych form wykorzystywania instalacji WP przez hakerów jest spamowanie e-mailami. Po włamaniu za pomocą funkcjonalności hostingu może rozpocząć się rozsyłanie e-maili do setek tysięcy adresów, na co nie będziesz miał najmniejszego wpływu!
Przestępcy są tak przebiegli że wykorzystując Twoją domenę – jak to działa? Już wyjaśniamy: załóżmy, że będzie to domena xyz.pl, hakerzy rozsyłają e-maile z adresów: anna@xyz.pl, biuro@xyz.pl, faktury@xyz.pl, pomoc@xyz.pl.
W wiadomościach przesyłają dokumenty, faktury, pliki do pobrania – które najczęściej są wirusami i prowadzą do uszkodzenia systemu, wycieku danych.
Odbiorca wiadomości widząc e-mail z adresu biuro@xyz.pl i nie znając Twojej firmy – ale weryfikując ją po wpisaniu jej w Google może pobrać taki załącznik z myślą o ofercie, czy nie zapłaconej fakturze. W tym właśnie momencie wirus może zaatakować, a potencjalnym winnym jesteś Ty! Następstwem takiego biegu zdarzeń mogą być roszczenia poszkodowanych, którzy będą sądzić, że to właśnie Ty wysłałeś im ten e-mail. Ale to nie koniec problemów!
Jeśli rozsyłasz spam ze swojej domeny (nawet nieświadomie), w ciągu kilkunastu godzin filtry w sieci mogą wykryć „spam” i określić Twoją domenę jako niebezpieczną! Wówczas kolejne wiadomości (w perspektywie nawet długiego czasu po usunięciu wirusów) mogą nie docierać do odbiorców lub notorycznie trafiać do folderu SPAM.
Ukryty atak
Wirus może również dostać się do strony i oczekiwać na odpowiedni moment. Może również nie wykazywać swojej aktywności w sposób widoczny, lecz być kolejnym robotem który będzie infekował kolejne witryny w sieci.
Spamowe adresy URL
Często spotykanym działaniem jest również wykorzystanie Twojej domeny do ataku na inną firmę (tzw. blast) lub wykorzystania do marketingu internetowego. Wówczas w obrębie Twojej domeny instalowane są skrypty, które mogą wygenerować TYSIĄCE adresów URL które przeważnie prowadzą do stron związanych z pornografią, hazardem, promocją podrobionych produktów. Takie działanie negatywnie wpłynie na pozycję Twojej strony i może być trudne i pracochłonne do zniwelowania.
Dane osobowe klientów
Jeśli na stronie posiadamy dodatkowo sklep, czy newsletter, czy inną bazę klientów – najprawdopodobniej zostanie ona przejęta przez włamywaczy. Konsekwencje wycieku danych są wówczas bardzo poważne!
Jak powrócić do normalności po włamaniu?
Jeśli jest możliwe ustalenie daty włamania, można skorzystać z przywrócenia kopii zapasowej, którą powinien robić dostawca usług hostingowych – jeśli kopia została wykonana przed zainfekowaniem. Aczkolwiek najczęściej jest to kopia z 1-2 dni wstecz, czasem 7 dni i nie jest przydatna. Jeśli jednak posiadamy odpowiednią kopię – przywrócenie i zabezpieczenie systemu WordPress może rozwiązać problem.
A co jeśli kopia zapasowa też jest uszkodzona / zawirusowana?
Czeka nas wówczas odwirusowanie strony. Proces może być bardzo pracochłonny – oraz finalnie okazać się bezskuteczny. WordPress wraz z wtyczkami, szablonem to kilkaset plików, a w każdym kilkanaście tysięcy linii kodu. Wirus może być doklejony w losowym miejscu. Takie odwirusowywanie może pochłonąć kilkadziesiąt roboczogodzin i nie zawsze zakończyć się sukcesem.
Aktualizacje – jak zacząć?
Aby wykonać aktualizację, należy:
- wykonać pełną kopię zapasową bazy danych i plików serwera,
- upewnić się, że posiadamy możliwość pobrania aktualnej wersji wtyczek/szablonów,
- wybrać odpowiednie godziny aktualizacji, aby nie wpłynęły one na dostępność strony dla użytkowników,
- na czas aktualizacji zablokować dostęp do strony dla użytkowników.
Następnie wykonujemy aktualizację WordPressa, wtyczek oraz szablonu. Po wykonanej aktualizacji testujemy poprawność działania strony – czy wszystkie elementy są na swoich miejscach i czy strona działa poprawnie.
Po pracach aktualizacyjnych warto również podnieść wersję PHP – aktualna wersja WordPressa 5.2 współpracuje bez problemów z PHP 7.3. Nie wszystkie wtyczki/szablony mogą obsługiwać taką wersję PHP – stąd również po aktualizacji interpretera należy przetestować stronę pod kątem poprawności działania.
Najczęstsze problemy podczas aktualizacji
Możemy napotkać szereg problemów które uniemożliwią nam aktualizację:
- wersja PHP czy wersja mySQL nie odpowiednia do instalacji,
- ręczne modyfikacje plików wykonane podczas tworzenia strony,
- tłumaczenia które mogą nie działać po aktualizacji,
- kompatybilność wtyczek, szablonu, WordPress – może okazać się że kluczowa dla nas wtyczka nie będzie działała z najnowszym WordPressem, bo jej wsparcie zostało zakończone np. rok temu. Tak samo może być również z szablonem – wówczas należy zlecić programiście analizę problemu oraz propozycję rozwiązania. Czasami modyfikacja wtyczki pozwoli na aktualizację lub zakup/pobranie nowej wtyczki, która posiada funkcje, których potrzebujemy,
- błąd podczas aktualizacji – z nieznanych przyczyn aktualizacja może nie zakończyć się (zatrzyma się/zawiesi). Wówczas programiści ręcznie muszą wykonywać podmianę plików lub skorzystać z kopii zapasowej strony,
- brak danych lub utrata wsparcia dla wtyczek/szablonów premium. Zakupione elementy do strony niejednokrotnie posiadają okres wsparcia – np. 1 rok. Po tym czasie, aby dokonywać aktualizacji (pobierać nowsze wersje wtyczek – które często też dodają nowych możliwości / funkcjonalności) wymagana jest opłata.
Co jeśli aktualizacja się nie uda?
Jeśli aktualizacja nie powiodła się w całości – należy szukać rozwiązania problemu np. wymieniając wtyczkę, szablon, aby umożliwiał użycie najnowszej wersji. Wiązać się to może z dodatkowymi kosztami, przebudowaniem wyglądu strony – ale np. przy zachowaniu aktualnych linków, pozycji, czy historii strony.
Jeśli jednak pomimo prób aktualizacja nie zakończyła się w pełni pozytywnie – warto rozważyć budowę nowej strony internetowej z wykorzystaniem aktualnych narzędzi. Może się to tyczyć projektów, które posiadają 2 i więcej lat – ale nie jest to regułą, wszystko zależy od użytych szablonów i wtyczek – być może u Ciebie wszystkie są nadal wspierane!
Jak często robić aktualizacje?
Część aktualizacji w ramach danej wersji WordPressa wykonywana jest automatycznie, są to podstawowe aktualizacje bezpieczeństwa – najczęściej wykrywanych luk, które nie zmieniają systemu w znaczący sposób.
Pozostałe wymagają ręcznej integracji użytkownika. Należy monitorować i w ciągu kilku dni po weryfikacji wykonać aktualizację.
Najlepszym rozwiązaniem jest zlecenie stałego monitoringu i opieki technicznej firmie zajmującej się tworzeniem stron.
Warto również rozważyć w ramach współpracy z firmą zabezpieczenie dodatkowymi narzędziami/systemami stronę internetową, chociażby monitoringiem dostępności witryny, czy monitoringiem aktualności komponentów.
Dlaczego warto?
Zaktualizowana strona to przede wszystkim pewność, że Twój wizerunek w sieci nie zostanie zepsuty przez włamywacza i interesy Twojej firmy tj. kontakty z klientami będą mogły być na najwyższym poziomie. Strona będzie działała w oparciu o najnowsze skrypty – przez co będzie szybsza i poprawnie wyświetli się na większości urządzeń. Częste aktualizacje wpływają na poprawę wydajności co przekłada się na zdobycie większej ilości punktów dla wyników wyszukań – poprawia widoczność w sieci.
Jak widać o aktualizację serwisu należy dbać bezwzględnie. Co jakiś czas również testując działanie serwisu pod względem poprawności działania. Warto testować stronę czy nie ma „widocznych” problemów np. https://www.virustotal.com/gui/home/upload
Narzędzie nie wykryje „schowanych” wirusów, ale określi czy np. nie atakujemy malware lub skryptami kopiącymi kryptowaluty.
Za pomocą narzędzia https://mxtoolbox.com/blacklists.aspx sprawdzimy czy nasza domena nie została zakwalifikowana jako domena która rozsyła spam.
Freeline Agencja Interaktywna już od 2006 roku dostarcza firmom i osobom prywatnym nowoczesne rozwiązania internetowe – doradzamy i kreujemy, współtworząc tym samym sukces wielu firm.