Kodėl WordPress svetainės tampa taikiniais
Jei manote, kad jūsų nedidelė WordPress svetainė niekam neįdomi, turiu jus nuvilianti – įsilaužėliai galvoja kitaip. WordPress valdo daugiau nei 40% visų pasaulio svetainių, o tai reiškia, kad tai yra didžiulis taikinys kibernetiniams nusikaltėliams. Problema ne ta, kad WordPress būtų nesaugi sistema – priešingai, jos branduolys yra gana gerai apsaugotas. Bėda ta, kad daugelis svetainių savininkų tiesiog nepakankamai dėmesio skiria saugumui.
Įsilaužėliai ieško ne konkrečiai jūsų svetainės. Jie naudoja automatinius robotus, kurie skenuoja tūkstančius svetainių per dieną, ieškodami pažeidžiamumų. Sena WordPress versija? Puiku. Silpnas slaptažodis? Dar geriau. Nepataisyta įskiepio spraga? Jackpot. Jūsų svetainė gali tapti dalimi botnet tinklo, šiukšlių pašto siuntimo įrankiu arba kenkėjiškų programų platinimo platforma – ir jūs apie tai galbūt net nesužinosite kelias savaites.
Dažniausiai svetainės užkrėčiamos ne dėl to, kad kas nors tikslingai nori jums pakenkti. Tai tiesiog automatizuoto piktavališko veikimo pasekmė. Bet rezultatas tas pats – jūsų svetainė gali būti užblokuota, prarasite lankytojų pasitikėjimą, o Google gali įtraukti jus į juodąjį sąrašą. Taigi verta skirti laiko prevencijai.
Prisijungimo saugumo stiprinimas – pirmoji gynybos linija
Prisijungimo puslapis yra pagrindinis įėjimas į jūsų svetainę, todėl čia prasideda dauguma atakų. Daugelis vis dar naudoja „admin” kaip vartotojo vardą ir „password123” tipo slaptažodžius. Jei tai apie jus – sustokite skaityti ir eikite pakeisti dabar. Rimtai.
Pirmas dalykas – pakeiskite administratoriaus vartotojo vardą į kažką unikalaus. Ne „administrator”, ne „admin”, ne jūsų svetainės pavadinimas. Kažką, ko niekas neatspėtų. Slaptažodis turi būti bent 16 simbolių, su didžiosiomis ir mažosiomis raidėmis, skaičiais ir specialiaisiais simboliais. Taip, žinau, sunku įsiminti. Tam ir yra slaptažodžių valdymo programos kaip LastPass ar 1Password.
Bet tai tik pradžia. Įdiekite dviejų faktorių autentifikaciją (2FA). Yra puikių nemokamų įskiepių kaip „Two Factor Authentication” ar „Wordfence Login Security”. Net jei kažkas sužinotų jūsų slaptažodį, be telefone generuojamo kodo jie negalės prisijungti. Tai papildomas žingsnis, bet jis padidina saugumą eksponentiškai.
Dar vienas svarbus dalykas – apribokite prisijungimo bandymų skaičių. Pagal nutylėjimą WordPress leidžia bandyti prisijungti be galo. Įsilaužėliai tai išnaudoja, naudodami „brute force” atakas – automatiškai bandydami tūkstančius slaptažodžių kombinacijų. Įskiepiai kaip „Limit Login Attempts Reloaded” sustabdo tokius bandymus po kelių nesėkmingų prisijungimų ir blokuoja IP adresą tam tikram laikui.
Atnaujinimai – nuobodi, bet gyvybiškai svarbi užduotis
Atnaujinimai yra kaip dantų valymas – visi žino, kad reikia, bet daugelis vengia arba atidėlioja. Tačiau pasenusi WordPress versija, temos ar įskiepiai yra tarsi atviros durys su užrašu „Prašom įeiti”. Kiekvienas atnaujinimas dažniausiai pataiso saugumo spragas, kurios jau yra žinomos viešai. Tai reiškia, kad įsilaužėliai tiksliai žino, kaip išnaudoti seną versiją.
WordPress branduolio atnaujinimai paprastai vyksta automatiškai, bent jau smulkiems pataisymams. Bet didesnės versijos reikalauja jūsų patvirtinimo. Nepraleiskite jų. Taip, kartais atnaujinimas gali kažką sugadinti, bet tai yra daug mažesnė rizika nei būti įsilaužtam. Prieš atnaujindami, padarykite atsarginę kopiją – apie tai kalbėsime vėliau.
Įskiepiai ir temos – čia didžiausia problema. Daugelis žmonių įdiegia dešimtis įskiepių ir paskui apie juos pamiršta. Neaktyvūs įskiepiai vis tiek gali turėti saugumo spragų. Ištrinkite viską, ko nenaudojate. Rimtai, jei įskiepis neaktyvus daugiau nei mėnesį – ištrinkite jį visiškai, ne tik išjunkite.
Kai kurie įskiepiai ir temos nėra atnaujinami metų metus. Jei matote, kad kažkas nebuvo atnaujinta daugiau nei pusę metų, ieškokite alternatyvos. Ypač atsargūs būkite su nemokamais įskiepiais iš abejotinų šaltinių – kartais jie specialiai sukurti su paslėptomis backdoor’ais.
Saugumo įskiepiai – jūsų skaitmeniniai sargai
Yra keletas puikių saugumo įskiepių, kurie gali automatizuoti daugelį saugumo užduočių. Wordfence ir Sucuri Security yra du populiariausi pasirinkimai, ir abu turi nemokamas versijas, kurios suteikia solidų apsaugos lygį.
Wordfence siūlo ugniasienę (firewall), kenkėjiškų programų skanerį ir realaus laiko grėsmių gynybą. Jis blokuoja žinomus piktavališkus IP adresus, stebi įtartinę veiklą ir praneša jums apie potencialius pažeidžiamumus. Nemokama versija yra gana galinga, nors grėsmių duomenų bazė atnaujinama su 30 dienų vėlavimu. Premium versija gauna atnaujinimus realiu laiku, bet daugumai svetainių nemokamos pakanka.
Sucuri veikia šiek tiek kitaip – jis labiau orientuotas į stebėjimą ir greitą reagavimą po įsilaužimo. Jų skaneriai tikrina failus, ieškodami pakeitimų, ir praneša apie įtartiną kodą. Premium versija siūlo svetainės ugniasienę (WAF), kuri veikia prieš pasiekiant jūsų serverį, bet tai jau kainuoja nemažai.
Įdiegus saugumo įskiepį, skirkite laiko jo tinkamai konfigūracijai. Daugelis žmonių tiesiog įdiegia ir palieka numatytąsias nuostatas. Peržiūrėkite visas parinktis, įjunkite el. pašto pranešimus apie įtartiną veiklą, nustatykite reguliarius skenavimus. Taip, gausite daugiau el. laiškų, bet geriau žinoti, kas vyksta, nei sužinoti per vėlai.
Atsarginės kopijos – jūsų gelbėjimo ratas
Jei viskas kita nepavyks, atsarginė kopija yra tai, kas stovi tarp jūsų ir visiško katastrofos. Ir ne, jūsų hostingo paslaugų teikėjo automatinės kopijos nepakanka. Jums reikia savo, nepriklausomos atsarginės kopijos sistemos, kurią kontroliuojate.
UpdraftPlus yra vienas populiariausių atsarginių kopijų įskiepių, ir nemokama versija yra labai galinga. Jis leidžia kurti pilnas svetainės kopijas ir saugoti jas debesų saugyklose kaip Google Drive, Dropbox ar Amazon S3. Nustatykite automatinius kasdienius arba savaitinius atsarginius kopijavimus, priklausomai nuo to, kaip dažnai atnaujinate turinį.
Svarbu išbandyti atsarginių kopijų atkūrimą. Daugelis žmonių sukuria kopijas, bet niekada nebando jų atkurti, kol neįvyksta nelaimė. Tuomet paaiškėja, kad kopija buvo sugadinta arba neišsaugojo svarbių failų. Bent kartą per kelis mėnesius išbandykite atkūrimo procesą testavimo aplinkoje.
Saugokite kopijas ne tik vienoje vietoje. Idealu turėti bent tris kopijas: vieną serveryje (greitam atkūrimui), vieną debesyje ir vieną lokaliai jūsų kompiuteryje ar išoriniame diske. Taip pat reguliariai atsisiųskite kopijas į savo kompiuterį – jei jūsų hostingas turi problemų arba jūsų paskyra užblokuojama, vis tiek turėsite prieigą prie duomenų.
SSL sertifikatas ir HTTPS – ne tik Google reikalavimas
Jei jūsų svetainė vis dar veikia per HTTP, o ne HTTPS, tai rimta problema. SSL sertifikatas šifruoja duomenis, perduodamus tarp lankytojo naršyklės ir jūsų serverio. Be jo, bet kas tarpiniame tinkle gali perimti slaptažodžius, asmeninius duomenis ir kitą informaciją.
Gera žinia ta, kad dauguma hostingo paslaugų teikėjų dabar siūlo nemokamus Let’s Encrypt SSL sertifikatus. Jei jūsų hostingas jų nesiūlo, tai galbūt laikas keisti hostingą. Įdiegus SSL, įsitikinkite, kad visas turinys kraunamas per HTTPS. Mišrus turinys (kai dalis kraunama per HTTP, dalis per HTTPS) kelia saugumo problemų ir gali sukelti naršyklės įspėjimus.
WordPress nustatymuose pakeiskite svetainės URL iš „http://” į „https://”. Tuomet naudokite įskiepį kaip „Really Simple SSL”, kuris automatiškai peradresuos visą srautą į saugią versiją ir pataisys mišraus turinio problemas. Taip pat patikrinkite, ar jūsų atsarginės kopijos ir kiti automatizuoti procesai naudoja naujus HTTPS URL.
Failų leidimai ir .htaccess apsauga
Čia tampame šiek tiek techniškesni, bet tai svarbu. WordPress failų sistema turi tam tikrą struktūrą, ir teisingi failų leidimai yra kritiniai saugumui. Daugelis įsilaužimų įvyksta dėl per laisvų failų leidimų, leidžiančių įsilaužėliams įrašyti kenkėjišką kodą.
Bendrosios taisyklės: katalogai turėtų turėti 755 leidimus, failai – 644. Svarbiausi failai kaip wp-config.php turėtų būti 440 arba 400. Jei nežinote, kaip tai patikrinti ar pakeisti, naudokite FTP programą kaip FileZilla – ten galite dešiniuoju pelės mygtuku spustelėti ant failo ir pakeisti leidimus.
.htaccess failas yra galingas įrankis Apache serveriuose. Galite jį naudoti papildomai apsaugai. Pavyzdžiui, galite uždrausti prieigą prie wp-config.php failo, pridėdami šias eilutes į .htaccess:
„`
order allow,deny
deny from all
„`
Taip pat galite išjungti katalogų naršymą, kad niekas negalėtų matyti jūsų failų sąrašo:
„`
Options -Indexes
„`
Ir apriboti prieigą prie wp-admin katalogo tik iš jūsų IP adreso (naudinga, jei turite statinį IP):
„`
order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
„`
Tik būkite atsargūs su .htaccess – neteisingas kodas gali sugadinti visą svetainę. Visada darykite atsarginę kopiją prieš keisdami šį failą.
Kai prevencija nepavyko – kaip atstatyti užkrėstą svetainę
Net su visomis apsaugomis kartais įvyksta blogiausia. Jei įtariate, kad jūsų svetainė buvo įsilaužta, pirmiausia – nesipanikuokite. Antra – nedelsiant imkitės veiksmų.
Pirmiausia perjunkite svetainę į priežiūros režimą. Naudokite įskiepį kaip „WP Maintenance Mode”, kad lankytojai nematytų užkrėstos svetainės. Tuomet pakeiskite visus slaptažodžius – WordPress administratoriaus, FTP, duomenų bazės, hostingo valdymo skydelio. Visus.
Paleiskite išsamų skenavimą su Wordfence ar Sucuri. Jie identifikuos užkrėstus failus. Bet nepatikėkite tik automatiniais skaneriais – kartais kenkėjiška programa yra gerai paslėpta. Palyginkite savo failus su švariais WordPress branduolio failais. Įtartinus failus ištrinkite arba pakeiskite švariais.
Patikrinkite duomenų bazę. Įsilaužėliai dažnai įterpia kenkėjišką kodą į įrašus, puslapius ar temos nuostatas. Ieškokite įtartinų iframe žymų, base64 užkoduoto kodo ar nuorodų į nežinomus domenus. Jei nežinote, kaip dirbti su duomenų baze, geriau pasamdykite profesionalą.
Peržiūrėkite visus vartotojus. Ar yra nežinomų administratoriaus paskyrų? Ištrinkite jas. Patikrinkite įskiepius ir temas – ar yra kažko, ko neįdiegėte? Ištrinkite. Kartais įsilaužėliai įdiegia backdoor įskiepius, kurie atrodo kaip teisėti WordPress įskiepiai.
Kai viskas išvalyta, atnaujinkite viską – WordPress branduolį, visas temas ir įskiepius. Tuomet atkurkite svetainę iš atsarginės kopijos, jei ji yra švaresnė nei dabartinė versija. Bet būkite atsargūs – neatkurkite senos, pažeidžiamos versijos.
Galiausiai, informuokite savo hostingo paslaugų teikėją. Jie gali turėti papildomos informacijos apie ataką ir gali padėti užtikrinti, kad serveris yra švarus. Taip pat patikrinkite, ar jūsų svetainė nėra Google juodajame sąraše – jei yra, turėsite pateikti peržiūros prašymą po išvalymo.
Nuolatinis budrumas – ne paranoja, o būtinybė
Saugumas nėra vienkartinė užduotis, kurią atlikote ir pamiršote. Tai nuolatinis procesas. Kibernetinės grėsmės nuolat keičiasi, atsiranda nauji pažeidžiamumai, o įsilaužėliai tampa vis gudresniais. Bet tai nereiškia, kad turite gyventi nuolatinėje baimėje.
Sukurkite sau paprastą saugumo rutiną. Kartą per savaitę patikrinkite atnaujinimus. Kartą per mėnesį peržiūrėkite saugumo įskiepio ataskaitas. Kartą per ketvirtį išbandykite atsarginės kopijos atkūrimą. Tai užtruks gal valandą per mėnesį, bet sutaupys jums neįkainojamą laiką ir nervus ateityje.
Stebėkite savo svetainės veiklą. Jei staiga padidėja serverio apkrova arba pastebite keistų 404 klaidų, tai gali būti atakos požymis. Jei matote įtartinų prisijungimų bandymų iš užsienio šalių, kuriose neturite lankytojų – blokuokite tuos regionus. Daugelis saugumo įskiepių leidžia tai padaryti keliais paspaudimais.
Šviesk save. Sekite WordPress saugumo naujienas. Prenumeruokite WPScan duomenų bazę arba Wordfence blogą. Kai išeina pranešimas apie naują pažeidžiamumą, žinosite, ar tai jus paveikia ir ką daryti. Kartais kelių valandų skirtumas tarp sužinojimo apie spragą ir jos pataisymo gali nulemti, ar būsite įsilaužti, ar ne.
Ir pagaliau – nepersistenkite. Taip, saugumas svarbus, bet jei praleisti tiek daug laiko rūpindamiesi saugumu, kad nebelieka laiko kurti turinį ir plėtoti svetainę, tai pralaimėjote kitaip. Raskite balansą. Įdiekite pagrindines apsaugas, sukurkite rutiną ir gyvenkit toliau. Jūsų svetainė bus pakankamai saugi, kad atgrasyti daugumą automatinių atakų, o tai yra 99% mūšio.
Atminkite – tobulo saugumo nėra. Net didžiausios korporacijos būna įsilaužiamos. Bet su šiomis priemonėmis jūsų WordPress svetainė bus daug sunkesnis taikinys nei tūkstančiai kitų neapsaugotų svetainių internete. Ir įsilaužėliai, kaip ir vandens srovė, renkasi lengviausią kelią. Padarykite savo svetainę pakankamai sunkia, ir jie eis ieškoti lengvesnės aukos.
