Odhaľovanie mýtov o bezpečnosti hostingu WordPress

Hosting WordPress je zložitý. Každá stránka WordPress závisí od balíka softvéru a hardvéru vytvoreného spoločnosťami a komunitami so štandardmi a hodnotami, ktoré je zvonku ťažké pochopiť. To vedie k nedorozumeniam a mýtom, najmä pokiaľ ide o bezpečnosť.
V tomto článku sa pozrieme na niektoré z najškodlivejších mýtov o hostingu WordPress s osobitným zameraním na mýty, ktoré vedú k bezpečnostným chybám.

Malé stránky sa nedajú hacknúť

Médiá často informujú o významných narušeniach bezpečnosti, kde sa cieľ útočníka zdá byť zrejmý. Obete uchovávajú gigabajty osobných údajov, ktoré môžu byť použité na krádež identity. Mnoho obchoduje s číslami kreditných kariet, ktoré sú z pochopiteľných dôvodov ukradnuté. Niektorí útočníci sú zapojení do priemyselnej špionáže.
Nič z toho neplatí pre menšie webové stránky s hŕstkou používateľských účtov: tam nie je veľa užitočných osobných údajov. Zriedka ukladajú čísla kreditných kariet a múdro sa rozhodnú použiť platobný procesor. Prečo by teda zločinec investoval úsilie do hacknutia malej stránky?
Po prvé, nie je to veľká námaha. Väčšina hackerských útokov je automatizovaná: roboty prehľadávajú web a hľadajú zraniteľné stránky a kompromitujú ich vopred naprogramovanými útokmi. Útočník uvoľní svoje roboty a čaká, kým sa pridajú adresy IP.
Po druhé, aj malá stránka je cenná. Má publikum, ktoré môže byť infikované škodlivým softvérom. Môže byť presunutý do útočníkovho botnetu a použitý na kompromitáciu iných stránok alebo na účasť na DDoS útokoch. Dá sa použiť na SEO spam. Každá webová stránka predstavuje balík šírky pásma, úložného priestoru a výpočtového výkonu – to všetko je užitočné pre zločincov.

Čítať:  Základy WordPress: Čo je detská téma?

Ak to funguje, prečo inovovať?

Ľudia, ktorí netrávia svoj život pozeraním na kód na obrazovke, sú celkom spokojní, keď technológia robí to, čo má. Môžu mať pocit, že aktualizácie, ktoré prinášajú zmeny, sú nevítaným prerušením. Naučiť sa WordPress nie je ťažké, ale je dosť ťažké na to, aby myšlienka na zmenu znepokojila niektorých z miliónov používateľov.
Ľudia, ktorí používajú WordPress každý deň, si naň zvyknú. Pre zmenu sa radšej vyhýbajú zmenám, a preto sa často zdráhajú aktualizovať. Koniec koncov, prečo meniť to, čo funguje.
Odpoveď vývojára na to je dvojaká. Softvér nikdy nestojí a musí sa meniť, aby držal krok so zmenami vo svete. A čo je dôležitejšie, aktualizácie opravujú chyby, ktoré spôsobujú slabé stránky zabezpečenia. Stránka, ktorá nebola aktualizovaná niekoľko mesiacov, je takmer určite zraniteľná. V predchádzajúcej časti sme hovorili o botnetoch a automatizovanom hackovaní. Tieto roboty hľadajú neopravené systémy na správu obsahu. Nakoniec nájdu neoplatenú stránku a tá bude hacknutá.

Vedel by som, keby tam bol problém

Ako vyzerá napadnutý web? Väčšinou to vyzerá ako webová stránka, ktorá nebola napadnutá – najmä jej vlastníkovi. Ako sme už diskutovali, zlí aktéri porušujú webovú stránku, pretože chcú jej údaje, zdroje, návštevníkov alebo potenciál SEO. Ak vlastník stránok zistí, že boli napadnuté, zlý hráč stratí prístup k týmto zdrojom. Takže sú záludní. Snažia sa skryť.
Ak sa pozriete pozorne, môžete si všimnúť skoky v šírke pásma alebo využití pamäte. Ak pravidelne vyhľadávate malvér, môžete nájsť jeho škodlivý kód. Ale ak používate stránku normálne, je nepravdepodobné, že by ste videli, že niečo nie je v poriadku.
Ako príklad si vezmite SEO spam. Keď je stránka napadnutá, do jej obsahu sa vložia odkazy na stránky, ktoré chce útočník propagovať. Tieto odkazy sú viditeľné pre Google a môžu byť viditeľné pre bežných návštevníkov, ale sú skryté pre ľudí prihlásených na stránku.
Preto je dobré pravidelne skenovať svoje stránky pomocou nástroja ako je Sucuri alebo Wordfence. Odhalia škodlivý kód a dajú vám o ňom vedieť. Ak neskenujete, s najväčšou pravdepodobnosťou sa o útoku dozviete vtedy, keď Google začne varovať vaše publikum, že váš web nie je bezpečný.

Čítať:  Ako používať WP Dynamic Keywords Injector pre WordPress

SSL zaisťuje bezpečnosť vašej stránky

SSL certifikáty majú dve úlohy. Šifrujú dáta putujúce po sieti zo servera do prehliadača a späť. Používajú ich prehliadače na overenie, či sú pripojené k hostiteľovi, ktorý očakávajú. To všetko robia certifikáty SSL. Sú základným nástrojom zabezpečenia a ochrany osobných údajov, ale nechránia údaje uložené na serveri lokality. Nechránia ani stránku pred útočníkmi, ktorí sa snažia zneužiť slabé miesta.

Každý doplnok WordPress je zadarmo

Toto je zhubný mýtus, ktorý spôsobuje, že ľudia sťahujú doplnky infikované malvérom. Väčšina doplnkov WordPress je voľne dostupná pod licenciou GPL. Keď vývojár distribuuje doplnok, distribuuje aj zdrojový kód. Ukladá im to licencia.
Často je softvér s otvoreným zdrojom zadarmo. Jeho používanie nestojí žiadne peniaze. Samotný WordPress je open source a zadarmo. Ale nejaký open source softvér nie je zadarmo na použitie. Prémiové doplnky WordPress patria do tejto kategórie: sú to open source, ale vývojár očakáva, že používatelia budú platiť licenčný poplatok za používanie doplnku.
Keď používatelia zaplatia poplatok, dostanú zdrojový kód podľa potreby. Open source však neznamená, že vývojár musí poskytnúť zdrojový kód každému – iba ľuďom, ktorým je plugin distribuovaný, ľuďom, ktorí zaplatili. Toto je bežne nepochopené. Je úplne legálne vziať kód prémiovej témy a dať ho zadarmo, keď zaň zaplatíte, ale v komunite WordPress sa to zo zrejmých dôvodov neodporúča.
Možno sa pýtate, čo to má spoločné s bezpečnosťou. Zlí herci vedia, že ľudia chcú používať prémiové doplnky bez toho, aby za ne platili. Takže vezmú doplnok, pridajú k nemu malvér a dajú ho zadarmo. Tieto „nulované“ alebo „pirátske“ doplnky obsahujú zadné vrátka a iný škodlivý kód. Keď si nič netušiaci používateľ WordPress nainštaluje zrušený doplnok, poskytne kontrolu nad svojou stránkou útočníkovi. Inštalácia pirátskych doplnkov na vaše stránky je zlý nápad.
V tomto príspevku sme sa zaoberali piatimi bežnými mýtmi o hosťovaní WordPress a existuje mnoho ďalších, ktoré by sme mohli zahrnúť. Ak by ste chceli vidieť následný príspevok, ktorý sa ponorí do ďalších mýtov o hosťovaní WordPress, dajte nám vedieť v komentároch.

Čítať:  Jednanie s problémovými klientmi a ochrana seba – webinár

Nové Publikácie:

ODPORÚČANIE