Kilka sygnałów świadczących o zainfekowaniu WordPressa

Krótka lista ostrzegawcza, gdy powinniśmy zweryfikować czy strona nie ma wirusów:

  • wpisując adres strony w przeglądarce lub wpisując stronę w Google pokazuje się ostrzeżenie o niebezpiecznej stronie (zgodnie z czarną listą Google)
  • informacja o shakowanej stronie z narzędzi Google Search Console
  • Strona została zablokowana przez dostawcę hostingu, np. po wykryciu złośliwego kodu, informacji o rozsyłaniu spamu lub wysokie użycie procesora.
  • podejrzanie wyglądający kod javascript
  • spowolnienie strony, generowanie stron błędów
  • dodano nowych uzytkowników wordpressa
  • pojawiły się nowe pliki w katalogu strony lub pliki zostały ostatnio zmodyfikowane – w szczególności warto zwrócić uwagę na plik .htaccess
  • dziwne przekierowania na inną stronę, reklamy

O tym jak sobie poradzić z atakiem możesz przeczytać w archiwalnym artykule.

Weryfikacja własnych wtyczek i automatyczne aktualizacje

“Stawiając stronę na WordPress” (nie lubię tego określenia) instalujemy mniej lub bardziej potrzebne wtyczki. Przeważnie staramy się wszystko aktualizować na bieżąco. Generalnie powinniśmy mieć wtyczki pod kontrolą, na ile to możliwe. Co to oznacza?
Instalujemy i “trzymamy” tylko takie wtyczki, które są pobrane z zaufanego źródła. Aktualizujemy je, aby nie przegapić, żadnej wykrytej luki bezpieczeństwa. W momencie kiedy wtyczka nie jest już rozwijana, warto rozejrzeć się za inną.
No właśnie, ale jak to sprawdzić czy i kiedy wtyczka była ostatnio aktualizowana?
Najprościej można to zrobić klikając w menu Wtyczki > Zainstalowane wtyczki. Obok wtyczki powinien znajdować się link “Szczegóły”. Następnie w nowym oknie trzeba znaleźć datę ostatniej aktualizacji – czyli ile dni minęło od ostatniej aktualizacji. Trzeba “przeklikać” każdą wtyczkę.
Przy starszych wersjach wtyczki pojawia się ostrzeżenie:

Ta wtyczka nie została przetestowana przy użyciu najnowszych 3 głównych wersji WordPress. Nie można go dłużej utrzymywać ani obsługiwać, a także może mieć problemy ze zgodnością w przypadku korzystania z nowszych wersji WordPress

Continue reading “Weryfikacja własnych wtyczek i automatyczne aktualizacje”

Narzędzia online do sprawdzania luk bezpieczeństwa WordPress

Podstawą bezpieczeństwa stron opartych na WordPress jest jego aktualizacja. Korzystanie z aktualnej wersji WordPressa nie oznacza jednak, że ​​twoja strona jest całkowicie bezpieczna. Dziurawe mogą być również wtyczki i motyw wykorzystany na stronie. Według statystyk to tą drogą najchętniej hakerzy atakują strony.
Nie chcę się tu rozwodzić na temat samego zabezpieczenia, polecę tylko ten artykuł.

Dzisiaj mały przegląd skanerów online, z pomocą których można sprawdzić luki przed atakiem, jak i po, o ile nie zostanie zablokowany dostęp do strony..
Większość skanerów sprawdzi witrynę pod kątem znanego szkodliwego oprogramowania, statusu czarnej listy, błędów witryny i przestarzałego oprogramowania.
Skanery są dostępne w wersji darmowej, niektóre również w wersji płatnej (premium).
Continue reading “Narzędzia online do sprawdzania luk bezpieczeństwa WordPress”

Jak włączyć i wyłączyć automatyczne aktualizacje w WordPress?

WordPress jest systemem CMS, który co jakiś czas wymaga aktualizacji w związku z tym, że jest cały czas rozwijany i poprawiany. Niestety (albo stety) czasem wiąże się to również z naprawianiem luk bezpieczeństwa, stad jest jest to bardzo ważne, żeby pilnować aktualizacji na bieżąco.
Twórcy WordPressa już jakiś czas temu (wer. 3.7, październik 2013) wprowadzili mechanizm automatycznych aktualizacji działających w tle. Continue reading “Jak włączyć i wyłączyć automatyczne aktualizacje w WordPress?”

Zmiana prefiksu bazy danych po zainstalowaniu WordPress

W poprzednim artykule dotyczącym najczęstszych grzechów początkujących użytkowników WordPressa wspomniałam o tym, że aby zwiększyć bezpieczeństwo i zmniejszyć ilość ataków na stronę, warto zmienić domyslny prefiks bazy danych już podczas instalacji (o jaki parametr dokładnie chodzi widać na obrazku poniżej).
install-wp-step3
Zacznijmy jednak od początku.

Dlaczego mielibyśmy zmieniać domyślny prefiks bazy danych?

Powody do zmiany domyślnego prefiksu bazy danych mogą być (co najmniej) dwa. Continue reading “Zmiana prefiksu bazy danych po zainstalowaniu WordPress”

Jak robić kopie zapasowe strony (backup)?

Mówi się, że

“Ludzie dzielą się na tych co robią backupy i na tych co będą je robić”

Awarie, nawet najlepiej zabezpieczonych stron, mogą się zdarzyć i to w najmniej oczekiwanym momencie. Często wiążą się one z wieloma problemami i stratami dla właściciela witryny. Dlatego warto się zabezpieczyć na taką ewentualność zanim ona się wydarzy.
Backup strony powinien być robiony regularnie na wszelki wypadek na przykład: awaria serwera, uszkodzenie bazy danych, atak hakerski… Zalecane jest również robić backup w momencie dodawania nowych treści na stronę, ale również (a może przede wszystkim) przed wykonaniem aktualizacji systemu WordPress, wtyczek i skórek i przed przenosinami strony na inny serwer.
Continue reading “Jak robić kopie zapasowe strony (backup)?”

Jak zabezpieczyć stronę przed atakami (securing WordPress)

Zamieszczając stronę w internecie warto pamiętać o jej zabezpieczeniu.
Skrypt WordPress jest darmowy, ogólnodostępny i niestety nie jest w 100% bezpieczny… Jego popularność sprawiła, że jest często atakowanym skryptem.
Oto kilka rzeczy, na które warto zwrócić uwagę, chcąc uniknąć zhakowania naszej witryny.

Regularne aktualizacje

Przede wszystkim warto trzymać się zasady o bezwzględnej aktualizacji skryptu, jak i wtyczek i używanych szablonów. Ponieważ najczęściej zdarzającym się atakiem jest dostęp przez lukę w nieaktualnej wtyczce.
Wiele hostingów zapewnia automatyczne aktualizacje, żeby chronić de facto również swoje zasoby.
Aby włączyć automatyczne aktualizacje w skrypcie WordPress w pliku wp-config.php powinien znaleźć się zapis:
define ( 'WP_AUTO_UPDATE_CORE', true );
Jednak należy liczyć się z tym, że podczas automatycznych aktualizacji może coś pójść nie tak. Na przykład w przypadku, gdy korzystamy z wtyczek, które modyfikują konfigurację naszej strony, a nie są często aktualizowane…
Continue reading “Jak zabezpieczyć stronę przed atakami (securing WordPress)”

Jak nie dać się hackerom czyli zabezpieczanie WordPressa

Temat artykułu być może jest nieco przewrotny, ale warto wiedzieć jakie luki bezpieczeństwa ma skrypt WordPressa, skoro się z niego korzysta.
Jednym z podstawowych sposobów włamania do WordPressa jest wykorzystanie faktu, że ktoś używa starej wersji WordPressa. Aby hacker mógł sprawdzić z jakiej wersji korzysta aktualnie użytkownik wystarczy, że przeczyta plik readme.html pod adresem: http://adresnaszejstrony.pl/readme.html
Informacje o lukach w starszych wersjach WordPressa można łatwo znaleźć na stronach firmy Secunia i Security Focus.
Przykładowa zawartość pliku Readme:
readme.html
Dla poprawy bezpieczeństwa zaleca się usunąć po instalacji oraz każdej aktualizacji plik readme.html z głównego katalogu oraz oczywiście aktualizację WordPressa i wtyczek na bieżąco.
Innym sposobem na zabezpieczenie dostępu do tego pliku jest odpowiedni wpis w .htaccess
Continue reading “Jak nie dać się hackerom czyli zabezpieczanie WordPressa”