Zabezpieczamy WordPressa – Poradnik Cz. 2/9 ?‍?

retromedia-pl-agencja-kreatywna-torun-zabezpieczamy-wordpressa-cz-2-6-poradnik

To kolejna część poradnika jak zabezpieczyć stronę w WordPressie i dzisiaj poruszymy kwestie dobrych praktyk na przykładzie własnego „kompa”, bo z niego tez może iść zagrożenie w stronę bezpieczeństwa naszej witryny. Jeśli nie przeczytałeś pierwszej części, to koniecznie tam zajrzyj przed przeczytaniem tego odcinka. Znajdziesz w nim informację, jak powinno się postrzegać bezpieczeństwo i dlaczego hakerzy biorą na cel Twoją stroną, mimo że masz tylko blog o naleśnikach!
Wracając do tematu dzisiejszej części, to poruszymy kwestię bezpiecznych praktyk na przykładzie własnego peceta lub laptopa, bo jeśli nie dbasz o swój podstawowy sprzęt, to nigdy nie zabezpieczysz właściwie strony. Po drugie zaniedbania w kwestii bezpieczeństwa sprzętu z którego łączymy się z CMS-em lub trzymamy dane takie jak hasła lub backupy, też mogą się przełożyć na to, że Twój WordPress zostanie zhackowany. Zatem do dzieła!

Antywirus + firewall + antyspyware

retromedia-pl-agencja-kreatywna-torun-wtyczki-nie-bezpieczenstwa-worspress
Krajobrazowa interpretacja Windows Firewall / fot. reedit.com

Osobiście znam osoby, które używają wyłącznie Windows Defendera i twierdzą, że już dawno nie miały wirusa. W sumie trzeba pochwalić Microsoft, że zrobił bardzo dużo dla bezpieczeństwa, zwłaszcza w kwestii updatów. Robisz aktualizacje i już potem komputer nie chce się włączyć, a nie ma nic bezpieczniejszego dla naszego kompa jak brak zasilania…
A tak serio. Nie uważam, żeby Windows Defender był jakimś super rozwiązaniem, ale lepsze to, niż nic. Jednak będę zalecał zainstalowanie nawet bezpłatnego antywirusa z prostym firewallem i dodatkowo jakiś antyspyware.
Myślę, że osoby nietechniczne spokojnie dadzą sobie radę w konfiguracji Avast Free Antivirus + SimpleWall + Malwarebytes Anti-Malware albo jakiejś podobnej. Są to darmowe i najprostsze programy i znajdziesz bardzo wiele alternatyw np. Avira Free + ZoneAlarm + Spy Bot and Destroy. Ograniczają Cię umiejętności, zasoby internetu i wyobraźnia. Dobrą opcją jest także zainstalowanie płatnego pakietu, który zaoferuje nam te wszystkie rozwiązania w jednym.
Teraz ktoś może powiedzieć: „Ok, ale co to ma wspólnego z moją stroną w WordPressie?”. A ma bardzo wiele. Jest to pierwszy front ochrony i zapobiegnie wtargnięciu większości syfu z internetów do Twojego kompa i docelowo do Twojej strony.

Aktualizacje software’u

To druga podstawowa rzecz! Aktualizowanie oprogramowania, zwłaszcza systemu operacyjnego, które załata nam dziury i czasem poprawi funkcjonalność. Wiem, że wyżej śmiałem się z Windowsowych updetów, ale niestety jest to konieczność, na którą musimy się zgodzić, jeśli używamy legalny systemu spod bandery Microsoftu. A jeśli używasz pirackiej wersji Windowsa i jeszcze siódemki, to masz trzy opcje. Przejść na Linuxa, kupić legalny Windows albo przestać czytać ten poradnik.
Zadanie jakie pełnią update’y jest dokładnie takie samo jak powyżej. Chronią nasz komputer przed syfem z internetów czy nawet lokalnych ataków sieciowych. Co z tego, że będziesz miał najlepszy pakiet ochrony internetowej, skoro system będzie dziurawy jak ser szwajcarski. To tak, jakbyś montował drzwi antywłamaniowe w ściance z karton-gipsu.
Zatem jeszcze raz! Aktualizujemy! Aktualizujemy i aktualizujemy! Zwłaszcza przeglądarki, klientów ftp i inny soft, który używamy do łączenia się z hostingiem.

Sprawdzony software

Kolejna bardzo ważna i jednocześnie prosta sprawa do zapamiętania. Dbaj o jakość samego oprogramowania i o źródła jego pochodzenia. Jeśli w Linuxie sprawa jest jasna, bo od lat jest zaufane repozytorium, to w Windowsie jest trochę trudniej, bo programy są dostępne z wielu miejsc. Czasem niekoniecznie dobrych.
Generalnie są trzy zasady, które zminimalizują nam ryzyko ściągnięcia potencjalnie niepożądanych lub dziurawych programów:
– ściągamy ze znanych zaufanych społecznie stron i repozytoriów lub bezpośrednio ze stron producentów/projektów
– nie „piracimy”, tylko płatny program – na który nie mamy pieniędzy – zamieniamy bezpłatnym odpowiednikiem
– nie instalujemy starego porzuconego i nierozwijanego oprogramowania.

Szyfrowanie dysków

FBI aresztowało Rossa Ulbrichta – twórcę gangsterskiego ebaya w sieci TOR o nazwie Silk Road – w bibliotece publicznej gdzieś w USA jak siedział przy swoim włączonym laptopie. Dlaczego akurat w bibliotece? Bo tam często przesiadywał właśnie z włączonym komputerem. Gdyby FBI zarekwirowało komputer Rossa z domu, to miałoby mały problem, bo miał on zaszyfrowane dyski, a – jeśli się nie mylę – zgodnie z amerykańskim prawem nie musiał podawać do nich haseł. Zatem wyłączony komputer byłby sporym orzechem do zgryzienia dla federalnych.
Dokładnie dlatego Tobie polecam szyfrowanie dysku. Raczej nie sądzę, że ktoś Cię aresztuje, ale w razie fizycznej kradzieży laptopa będziesz miał pewność, że nikt nie odczyta zawartości dysku i nie wyciekną żadne hasła, np. do WordPressa. Windows często podpowiada BitLockera jako idealne narzędzie do takich operacji i ma rację, ale jego cena już idealna nie jest. Bo w zależności od licencji Windowsa może być wymagana dodatkowa płatność za BitLockera. Na szczęście są darmowe i równie dobre alternatywy, które bardzo dobrze współżyją z Windowsem np. VeraCrypt.

Menadżery haseł

retromedia-pl-agencja-kreatywna-zabezpieczamy-wordpressa-poradnik-keepass
fot. keepass.info

Długie, nieoczywiste, skomplikowane, niepowtarzalne, najlepiej generowane z losowych znaków hasła, to chyba „oczywista oczywistość”, ale czy takie hasło będzie spełniać swoją funkcję jeśli będzie zapisane w normalnym tekście na dysku komputera? Nie sadzę! A nawet pójdę dalej i będę twierdził, że to droga do skutecznego zaatakowania naszej strony – jeśli hasło jej dotyczyło.
Jednym z najlepszych sposobów dbania o bezpieczeństwo haseł do różnych sieciowych usług są tak zwane menadżery haseł. Krótko mówiąc, trzymasz hasła zakodowane bezpiecznie w bazie danych i tylko ty głównym hasłem możesz je odblokować i potem używać bezpiecznie na stronach. Prócz głównego hasła możesz też użyć dodatkowego pliku o rozszerzeniu .key, który dodatkowo zaszyfruje bazę, a utworzysz go…. losowymi ruchami myszki.
Osobiście polecam KeePassa lub jego wariacje – darmowa, bardzo dobra alternatywa dla płatnych rozwiązań na pecety i komórki.
Oczywiście takie rozwiązania też mają swoje wady, ale więcej dowiesz się z filmu Kacpra Szurka:

Backup danych

Stare indiańskie powiedzenie mówi, że ludzie dzielą się na tych którzy:
– robią back-upy
– myślą, że robią back-upy
– zaczną robić back-upy
Teraz pytanie, do której grupy ludzi ty należysz? Jeśli należysz do pierwszej grupy, to brawa, a jeśli do trzeciej, to musisz przewartościować swój system informatycznych wartości! Backupy są jedną z najważniejszych rzeczy, jakie powinny obowiązywać w dobrych praktykach odpowiedzialnego użytkownika. Teraz tylko zastanowić się, co uznajesz za wartościowe dane i w jaki sposób chcesz je bezpiecznie skopiować. Jeśli cały dysk, to wiadomo, że szyfrowany! Wiadomo, prawda?

Usuwanie danych

Jest pewna grupa osób, która skupuje stare dyski i próbuje odzyskać z nich dane, bo 90% użytkowników myśli, że usunęło plik opróżniając kosz na pulpicie. Jednak sprawa jest bardziej skomplikowana, bo przyciskiem usuń, tak naprawdę dajesz znać systemowi, ze te dane nie są ci potrzebne i miejsce jest do zapisania znowu. To tak jakbyś porzucił auto, dał znać obsłudze, że go nie potrzebujesz, a oni go usuną dopiero, jak będą potrzebowali to miejsce. W każdym momencie ktoś może wsiąść do tego auto i znaleźć coś ciekawego w bagażniku.
Dlatego używa się takich programów jak darmowy Eraser, które usuwają i nadpisują to miejsce losowymi jedynkami i zerami. Nie ma bata (ani bota), żeby ktoś odzyskał dane z nadpisanego dysku.

Bezpieczne WiFi

Bezpieczne połączenia to podstawa każdych działań w internecie. Najbezpieczniejsze są te w domu, gdzie sami dbamy o router i mamy nad nim kontrolę. A najgorzej zabezpieczone są sieci otwarte lub publiczne, takie jak w McDonaldach czy w Starbacksie. Oczywiście, że te domowe sprzęty nie są w 100% odparte na ataki, ale akurat w tym przypadku jesteśmy w stanie szybciej zareagować. Żeby się dowiedzieć, jak zabezpieczyć domowy lub firmowy router, to znowu odeślę do filmu Kacpra Szurka, który ma umiejętność tłumaczenia rzeczy technicznych osobom nietechnicznym. Ja tylko dodam, że nawet jak jesteś gdzieś w terenie, to nie podłączaj się do otwartych sieci. Lepiej korzystać z własnych urządzeń i z komórki zrób bramkę do wirtualnego świata. Ewentualnie użyj jakiś dobry VPN.
Oczywiście w odparciu takich ataków sieciowych powinny też pomóc programy z pierwszego punktu tej części poradnika.

Korzystaj ze zdrowego rozsądku

Wiem, że ten przedostatni punkt brzmi, jakby pisał go megaloman, ale niezaprzeczalnym faktem jest, że bardzo duża część ataków nie wymaga łamania zabezpieczań software’owych czy hardware’owych, ale jedynie użycia odpowiedniej socjotechniki. Nie bez powodu powstał powyższy żart, który osobiście bardzo lubię i za każdym razem przypomina mi, żeby promować zdroworozsądkowe myślenie w informatyce.
Zapamiętaj kilka prostych zasad:
– nie klikaj co popadnie
– nie otwieraj załączników, których się nie spodziewałeś
– nie podłączaj do kompa nieznanych urządzeń
– nie instaluj nieznanych programów
– skanuj wszystko, co ściągasz z internetu
– jeśli antywirus mówi, że plik ma wirusa, to nie próbuj tego ignorować
– nie wierz we wszystko, co czytasz w necie (nam możesz wierzyć ?)
– nie chodź po stronach, które nie mają dobrej opinii
– nie pirać, bo z reguły ściągniesz niespodziankę
Więcej dowiecie się ze świetnego wykładu Adama Haertle z zaufanatrzecajstrona.pl

Słowem podsumowania

Być może uznasz porady tutaj napisane za niepotrzebne do zabezpieczania WordPressa, ale zdziwiłbyś się, ile dziadostwa może się przedostać z komputera – który traktuje się jak śmietnik – na serwer, gdzie jest strona www.
Po drugie jest to zestaw uniwersalnych rad, których analogie znajdziesz w WordPressie. Oprogramowanie firewall analogicznie jak Windowsie jest dostępne dla witryn www, tylko że nazywa się WAF – web app firewall. Tak samo aktualizacje WordPressa są kluczowym czynnikiem zwiększającym nasze bezpieczeństwo, etc.

W sumie z dwóch pierwszych części poradnika dowiedzieliśmy się, jak powinien myśleć o bezpieczeństwie przeciętny użytkownik oraz jaki zestaw dobrych praktyk powinien stosować dla wyeliminowania ludzkiego błędu. Dodatkowo dowiedziałeś się trochę o programach, ale dość ogólnie i bardziej szczegółowe informacje będą wymagały od Ciebie dodatkowego researchu. A w kolejnej części weźmiemy się z zabezpieczanie strony www prosto z konsoli WordPressa.

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *