WordPress - motywy, wtyczki, informacje, programowanie

Bezpieczeństwo - podstawy

Bezpieczeństwo Twojego bloga – co Ci grozi i dlaczego?

Na świecie nie brakuje złych ludzi, którzy mogą chcieć przejąć kontrolę nad Twoim serwisem i maja do tego co najmniej trzy dobre powody – budowę zaplecza do innych działań przestępczych, kradzież danych o Tobie i Twoich użytkownikach oraz zaszkodzenie Tobie konkretnie. Aby dbać o bezpieczeństwo i traktować sprawę poważnie, dobrze jest zrozumieć co tak naprawdę Ci grozi i dlaczego.

Cena popularności WordPressa

WordPress jest tej chwili niezwykle popularny.  Według W3Techs.com korzysta z niego blisko 16% z pierwszego miliona serwisów internetowych wg Alexa.com. Spośród wszystkich rozpoznawanych przez W3Techs systemów zarządzania treścią jakie są używane w sieci, aż 54% to WordPress. Następna w kolejce jest Joomla! z wynikiem 9.4% a dalej Drupal z 6.6% (dane z lutego 2012).

Jak widać przewaga jest przytłaczająca, ale taka popularność ma swoja cenę. Jeśli tylko w samym WordPressie, lub w jednym z jego najpopularniejszych pluginów lub motywów znajdzie się jakaś luka, użycie jej przez sieciowych przestępców jest niezwykle opłacalne. W sierpniu 2011 dziurawy okazał się skrypt TimThumb używany przez mnóstwo wtyczek i motywów do skalowania i przycinania obrazków. Bardzo szybko okazało się, ze potencjalnie zagrożonych jest setki tysięcy serwisów i chociaż dziura nie dotyczyła samego WordPressa, tylko dodatkowego skryptu, pokazała, że tak naprawdę nie wiemy, kiedy nasz dopieszczony blog stanie się łatwym kąskiem dla przestępców.

Ten sam problem z własną popularnością, który ma WordPress, ma też system MS Windows. Użytkownicy Maców maja względnie spokojne życie z wirusami między innymi dlatego, że pisanie złośliwego oprogramowania na Maca jest znacznie mniej opłacalne.

Z drugiej strony duże doświadczenie osób pracujących nad rozwojem WordPressa i duża liczba użytkowników, którzy mogą szybko dostrzec problemy sprawia, że jest to platforma bardzo bezpieczna i godna zaufania.

Dlaczego włamywacz się włamuje

Przejmując kontrolę nad tysiącami czy nawet setkami tysięcy serwisów na WordPressie przestępcy osiągają podobny efekt do rozdystrybuowania podobnej liczby Trojanów czy wirusów. Takie komputery czy serwisy mogą bez wiedzy swoich właścicieli brać udział w atakach DDoS  unieruchamiając inne strony, mogą być dobrym narzędziem do masowego łamania haseł metodą brute force, czyli przez próbowanie wszystkich możliwych kombinacji. Posiadając taką „farmę” posłusznych serwisów lub komputerów przestępca ma z głowy wszelkie zabezpieczenia opierające się na adresie IP (na przykład blokowanie wielokrotnych błędnych logowań z jednego IP). Maskuje również do pewnego stopnia swoją tożsamość i miejsce działania.

Drugim dobrym powodem, dla którego ktoś może chcieć włamać się do Ciebie jest kradzież tego co posiadasz – zupełnie tak jak w świecie rzeczywistym. Nie dotyczy to zwykłych blogów, które zazwyczaj nie dysponują niczym ponad to, co wyświetlają, ale jeśli już prowadzisz sklep internetowy, możesz mieć dużą bazę danych swoich klientów ze szczegółowymi informacjami o nich, najgorzej jeśli z numerami kart kredytowych. Jeśli rozsyłasz emailem jakiś biuletyn i masz dużo subskrybentów, wartościowa jest baza sprawdzonych adresów email. Możliwość jej kradzieży oraz podszycia się pod Ciebie, np. żeby pod pozorem zwykłego biuletynu (który użytkownicy odbiorą jako materiał zaufany) wysłać coś szkodliwego jest nie do pogardzenia, jeśli jej zdobycie będzie łatwe.

Trzecim powodem potencjalnego włamania może być wreszcie zwykła, ludzka chęć zaszkodzenia Tobie osobiście. Jeśli prowadzisz bloga poruszającego trudne i kontrowersyjne tematy, stoisz po jednej ze stron w głośnym sporze, spodziewasz się, że wielu ludzi o radykalnych poglądach, może Cię nienawidzić, Twój blog jest narażony na problemy. Może nie ze strony prawdziwych „fachowców” ale przynajmniej domorosłych hackerów.

Ekonomia włamu i zabezpieczenia

Włamanie, czy to w świecie rzeczywistym, czy w sieci kieruje się, wbrew pozorom, prostymi prawami ekonomii. Potencjalny łup ma swoją wartość, a włamanie ma swój koszt i niesie ze sobą ryzyko. Jeśli łupem są tajne dane wagi państwowej, możliwość zatrzymania programu jądrowego jakiegoś państwa, albo kradzież setek tysięcy numerów kart kredytowych, cena i ryzyko mogą być bardzo wysokie. Opracowanie metody i odpowiedniego oprogramowania może zając lata, zwykle jego zastosowanie wymaga skomplikowanych zabiegów, również poza Internetem.

[evp_html id=”ted-stuxnet” mode=ted]

Nikt nie będzie włamywał się do małego sklepu internetowego żeby ukraść dane kilkuset klientów, jeśli jest on przyzwoicie zabezpieczony. W sieci jest miliony stron fatalnie zabezpieczonych, z których naprawdę jest co ukraść. I w dodatku można je wyszukać automatycznie. Twoim celem jest: nie być wśród nich.

Dlatego ważne jest abyś wystrzegał się przede wszystkim typowych i niestety bardzo powszechnych błędów, które bardzo ułatwiają życie każdemu potencjalnemu włamywaczowi. Jeśli będziesz to zaniedbywał narażasz się na skuteczne ataki nawet zwykłych dzieciaków, które korzystając z powszechnie dostępnych skryptów szukają w sieci przygody i sposobu na zaimponowanie kolegom z klasy.

Twoim celem nie jest jednak taka ochronna własnego bloga, że samemu będzie Ci ciężko nim administrować. Są na przykład pluginy, które pozwalają ograniczyć liczbę IP z których można logować się do admina. Tylko, że w dzisiejszych czasach ludzie pracują na laptopach, przemieszczają się po mieście i spora część aktywnych blogerów lubi pracować na przykład w kawiarni. Wielu zarządza blogiem ze swojego iPhona. Większość dostawców Internetu nie gwarantuje też stałego IP. Dlatego tego typu zabezpieczanie to na ogół duża przesada dla normalnego blogera, chociaż może być odpowiednie jeśli przy pomocy WordPressa prowadzona jest strona korporacyjna dużej firmy, która zarządzana jest zawsze z biura.

Bezpieczeństwo – trzymanie się zasad bez wyjątków

Dbanie o bezpieczeństwo też może być przesadne wbrew temu co można przeczytać w wielu poradnikach. Wyobraź sobie, że każdy pasażer lotnisku, czy każda osoba wchodząca na imprezę masową, musi przechodzić pełną kontrolę osobistą. Życie w takim świecie byłoby koszmarem, ale też byłoby niezwykle kosztowne dla linii lotniczych czy organizatorów. Ludzie nie chcieliby latać, ani chodzić na mecze. Kierując się taką logiką, najlepszą metoda na zabezpieczenie każdej strony Internetowej byłoby jej całkowite odcięcie od sieci, tylko jaki to ma sens.

Jeśli zabezpieczenia są zbyt uciążliwe, zabezpieczający mają tendencję do robienia furtek, żeby unikać ich uciążliwości, a tymczasem każdy system bezpieczeństwa jest wart tyle ile jego najsłabsze ogniwo. Prawie wszystkie „profesjonalne” włamania wykorzystują słabość człowieka, ponieważ dokonywane są w miejscach, które są technicznie zabezpieczone wystarczająco. Najsłabszym ogniwem okazuje się być zwykle przysłowiowa „pani Krysia”, która swoje hasło ma przylepione do laptopa na kartce, albo dość niefrasobliwie klika we wszystkie linki jakie dostanie pocztą.

Bezpieczeństwo systemów informatycznych, podobnie jak bezpieczeństwo lotnisk opiera się przede wszystkim na bezwzględnym przestrzeganiu podstawowych zasad i procedur. Jeśli będziesz się tego trzymał, ale trzymał naprawdę, bez wyjątków i odpuszczania sobie, Twój serwis będzie bezpieczny, chyba, że ukrywa takie dane i tajemnice, które przyciągną prawdziwych chiński wywiad. To jednak jest mało prawdopdobne.

Aby poznać podstawowe zasady i narzędzia, które pozwolą Ci bezpiecznie blogować, przeczytaj: 7 rad – jak zabezpieczyć serwis na WordPressie

Jeśli chcesz się dowiedzieć jak tworzyć bardzo mocne, ale łatwe do zapamiętania hasła oraz poznać zasady bezpieczeństwa z nimi związane przeczytaj: Jak wymyślić hasło, które jest łatwe i jednocześnie trudne?

Powiadomimy Cię o nowych artykułach

1 komentarz

  1. Definitely imagine that which you said. Your favourite reason seemed to be on the
    internet the easiest factor to understand of. I say to you, I definitely get annoyed even as other people consider worries that they plainly don’t recognise about.
    You managed to hit the nail upon the top as well as defined out the entire thing with
    no need side-effects , folks could take a signal.
    Will likely be again to get more. Thank you