7 błędów bezpieczeństwa WordPressa popełnianych przez początkujących

WordPress to stosunkowo łatwa platforma do nauczenia się nawet przez osoby nie znające się na tworzeniu stron. Istnieje jednak wiele pułapek, które czekają na nieświadomych użytkowników. W wielu wypadkach winna jest niewiedza początkujących lub przekładanie pewnych spraw na później.

Większość z tych problemów nie jest na tyle poważna, by mogła zakłócić prawidłowe działanie strony, jednak warto o nie zadbać już na samym początku. Okazuje się bowiem, że czasem małe detale mogą sprawić, że np. otwieramy hakerom furtkę do włamań.

Popełnianie błędów jest rzeczą ludzką, jednakże, pod warunkiem wyciągnięcia z nich wniosków. Jak wiadomo wszyscy uczą się na własnych błędach, ale o wiele lepiej uczyć się na błędach innych. Dobrym sposobem, aby przygotować się do korzystania z WordPressa i uniknąć popełniania błędów jest  nauka od bardziej doświadczonych osób. Tutaj warto sięgnąć po kilka kursów, które przygotowała platforma Edugrafia.pl. Są to kursy tworzone z myślą o osobach, które zaczynają swoją przygodę z WordPressowym światem:

• Kurs WordPress – protfolio dla grafika i fotografa.
• Kurs WordPress bezpieczeństwo.
• Kurs WordPress optymalizacja.

Silne hasło oraz login

Wiele osób instalując WordPressa w pośpiechu ustawia login oraz hasło. Zazwyczaj są one tak proste i oczywiste, że włamanie to tylko kwestia czasu. Użytkownik robi to nieświadomie lub po prostu z pośpiechu z myślą, że potem, gdy powstanie już strona zmieni login oraz hasło. Jednak często o tym zapomina.

Wbrew pozorom nadal istnieje mnóstwo osób, które stosują hasła typu 12345 oraz qwerty. Do tego jako login mają ustawione admin. Na nic co rusz publikowane raporty o najgorszych hasłach roku. Takie osoby myślą, że hakerzy ominą ich stronę, wszak po co włamywać się na małą firmową stronkę.

Jeśli Twoje hasło zalicza się do tego typu haseł to przygotuj się na włamanie. Niestety roboty szpiegujące dziennie skanują miliony witryn opartych o WordPressa o próbują właśnie tak słabych haseł. Jeśli boisz się, że nie zapamiętasz swojego hasła to po prostu skorzystać z dodatku do Twojej przeglądarki, który zapamiętuje hasła np. LastPass. Przy włamaniu w najlepszym przypadku zostaną nadpisane pliki i dodanie zostanie do nich złośliwy kod wysyłający spam. W najgorszym zostanie usunięta cała strona.

Tona wtyczek w systemie

Zachwycony możliwościami jakie daje Ci WordPress testujesz jego nowe możliwości. Jedną z nich są wtyczki, które praktycznie potrafią dodać do Twojej witryny niemal każdą funkcjonalność. I to wszystko bez znajomości kodowania !

Jeśli jakaś wtyczka nie odpowiada Twoim wymaganiom to po prostu instalujesz kolejną. Często taki scenariusz kończy się tym, że masz na swojej stronie kilkadziesiąt wtyczek z czego tak naprawdę korzystasz tylko z paru. Pamiętaj, by zawsze usuwać wtyczki, które nie są Ci potrzebne. Zostawienie tego na później może skutkować tym, że wtyczka się zdezaktualizuje i otworzy furtkę do włamań. Następna sprawa, to taka liczba wtyczek prawie zawsze doprowadza do spowolnienia strony oraz pojawienia się błędów.

Jeśli chcesz przetestować jakąś wtyczkę ale boisz się ją instalować w swojej stronie, by czegoś nie zepsuć, zainstaluj ją najpierw testowo na tej platformie i sprawdź jej działanie - addendio.com.

Ignorowanie aktualizacji

Na utworzeniu strony niestety Twoja praca się nie kończy. Stale musisz dbać o witrynę i zapewniać aktualny stan systemu. Niestety brak aktualizacji może fatalnie odbić się na kondycji witryny. Po pierwsze przestarzały system oraz nieaktualne wtyczki często otwierają furtkę do włamań. Strona zostaje zainfekowana i w większości wypadków możemy utracić naszej dane. Drugą sprawą jest nieaktualizowanie na bieżąco, przez co występuje problem gdy chcemy coś na stronie dodać np. nową wtyczkę. Może okazać się, że nowa wtyczka nie współgra ze starym nieaktualnym systemem.

Powodów tego, że nie aktualizujemy WordPressa lub wtyczek może być kilka. Często jest to niewiedza, osób, które nie zdają sobie sprawy, że o stronę trzeba dbać na bieżąco. To tak jak z samochodem. Tylko bieżąca konserwacja zapewni mu długą żywotność. Drugą sprawą jest obawa przed aktualizacją i tym, że coś pójdzie nie tak. Tutaj polecam zainstalowanie wtyczki WP Staging, dzięki której w kilka minut zrobicie sobie kopię zapasową Waszej witryny i na niej możecie przetestować czy aktualizacja zakłóci pracę systemu.

Brak kopi testowej

Jeśli zmieniamy coś na naszej stronie, dodajemy nowe wtyczki lub grzebiemy w kodzie to zasada jest jedna. Nigdy nie róbmy tego na oryginalnej kopie strony. Oznacza to, że gdzieś musimy mieć identyczną kopię strony, dostępną tylko dla nas. Można powiedzieć, że stanowi ona taką piaskownicę do testów i zabaw gdzie w razie błędów utrata danych nie będzie bolesna. Niezależnie czy będzie to kopia na komputerze w localhoscie czy też gdzieś na serwerze online – chcąc zmienić coś na stronie rób to koniecznie na klonie oryginalnej strony.

I tutaj znów polecam wtyczkę, którą podałem powyżej. Wp Staging to świetny sposób, żeby stworzyć w kilka chwil lustrzane odbicie strony, z osobną bazą danych i w osobnym folderze. Dzięki temu możemy bezkarnie testować nowe funkcje.

Ściąganie wtyczek oraz szablonów z nierzetelnych źródeł

Szukasz dobrze wykonanego szablonu w Internecie za pomocą haseł theme wordpess, free theme wordpress ? Faktycznie jest to dobra droga, jednak musisz bardzo uważać ponieważ pośród stron, które oferują wysokiej klasy bezpieczne szablony, są również takie, które pod przykrywką darmowych, kryją w sobie złośliwy kod. Istnieją również strony, które za darmo oferują komercyjne wersje wtyczek oraz skórek. Pobierając pliki z takich stron możesz być niemal pewny, że będą one zainfekowane. Jeśli nie jesteś na tyle w temacie i nie rozróżniasz dobrych źródeł to warto przeskanować sobie pobraną paczkę np. tym skanerem virustotal.com/en/ w poszukiwaniu złośliwego kodu.

Logowanie w dowolnym miejscu

Komu nie zdarzyło się zalogować do WordPressa z komputera innego niż swój prywatny ? Praktycznie każdy z nas logował się z innego urządzenia, podłączony do innej sieci Wifi np. w supermarkecie, w szkole, w pracy. Jednak w ten sposób narażasz swoje dane na kradzież ponieważ tak naprawdę nie wiesz co znajduje się na takim komputerze i czy ktoś czasem nie wyłapuje haseł z ogólnodostępnej sieci Wifi. Czy wiedziałeś, że przeglądarka Firefox może zainfekować Twojego WordPressa ? Wystarczy, że ma zainstalowany dodatek, który doda do wpisów niechciany kod.

Użyj sftp zamiast ftp

Jeśli nadal używasz zwykłego połączenia FTP w celu wgrywania plików na serwer to powinieneś jak najszybciej przejść na SFTP. W skrócie: FTP wysyła dane uwierzytelniające  w postaci zwykłego tekstu, co oznacza, że twoje hasło i informacje o połączeniu nie są szyfrowane. Jeśli więc przesyłasz swoje pliki przez FTP, każdy, kto nasłuchuje w sieci, może pobrać Twoje hasła. Używanie SFTP sprawia, że wszystkie twoje dane podczas logowania są szyfrowane, co chroni je przed potencjalnymi napastnikami. Zapytaj swojego usługodawcę hostingowego, jak połączyć się z serwerem za pomocą protokołu SFTP.