WordPress jest oprogramowaniem open-source’owym co oznacza, że zabezpieczenia wdrożone w celu jego ochrony przed nieautoryzowanym dostępem muszą spełniać zasadę Kerckhoffsa. Ta podstawowa zasada nowoczesnej kryptografii mówi o tym, że system musi być niemożliwy do zhakowania nawet wtedy gdy znamy wszelkie szczegóły dotyczące tego jak działają jego mechanizmy zabezpieczeń.
Wszelkie komentarze o tym, że WordPress jest narażony na ataki, bo jego kod jest publicznie znany świetnie ilustrują wiedzę i pojęcie o tym temacie osób, które głoszą tego typu sformułowania. Właśnie dlatego, że jest on publicznie znany a jego kod jest analizowany pod kątem możliwych do przeprowadzenia ataków, pozwala stworzyć to zabezpieczenia, które uniemożliwiają włamanie nawet tym osobom, które znają się na zabezpieczeniach i wiedzą jak wygląda każda linia kodu WordPressa. Dlaczego zatem w sieci istnieje wiele poradników o tym jak zabezpieczyć system WordPress przed atakami i włamaniami?
WordPress jest już odpowiednio zabezpieczony ale…
Włamania do strony WordPress oczywiście mają miejsce, bo w niektóre systemy są obarczone pewnym nieprogramowalnym elementem nad którym niestety bardzo ciężko zapanować z perspektywy kodu źródłowego WordPressa – jest nim człowiek. Może to być administrator strony, jeden z redaktorów, lub mówiąc bardzo łagodnie „nietechniczna osoba”, który tworzy strony bazując na wiedzy zdobywanej z kursów i książek o WordPressie.
WordPress jest narażony na ataki w sytuacji kiedy administrator ustawia hasło qwerty123 a niesiona falą twórczej euforii „nietechniczna osoba” instaluje przypadkowe wtyczki do powiedzmy wstawiania własnego kodu JavaScript lub wstawienia sekcji z najpopularniejszymi postami. Właśnie dla takich przypadków istnieją pewne zabiegi, które określamy fachowo jako hartowanie WordPressa (ang. hardening WordPress).
Bezpieczeństwo WordPress
Bezpieczeństwo w WordPressie jest traktowane bardzo poważnie, ale tak jak w przypadku każdego innego systemu, istnieją ryzyka, które mogą się pojawić, jeśli nie zostaną podjęte pewne podstawowe środki ostrożności.
Czym tak naprawdę jest bezpieczeństwo w IT? Ogólnie rzecz biorąc, bezpieczeństwo nie polega na doskonale zabezpieczonych systemach. Taka rzecz może być niepraktyczna lub niemożliwa do stworzenia i utrzymania. Bezpieczeństwo nie polega na eliminacji ryzyka lecz na jego znacznym ograniczeniu. Chodzi o zastosowanie wszystkich odpowiednich środków, w granicach rozsądku, które pozwalają poprawić bezpieczeństwo, znacznie zmniejszając szanse na stanie się celem i zhakowanie.
Zespół ds. Bezpieczeństwa WordPress
Zespół ds. Bezpieczeństwo WordPressa składa się z około 50 ekspertów, w tym programistów i badaczy bezpieczeństwa — około połowa to pracownicy Automattic (twórcy serwisu WordPress.com). Zespół ds. bezpieczeństwa WordPress wspólnie współpracuje z innymi zespołami, aby rozwiązać potencjalne problemy związane z atakami hakerskimi. Przykładowo problemy związane z XML, używane przez API XML-RPC w WordPressie 3.9.24 było następstwem współpracy zespołu ds. bezpieczeństwa WordPressa i Drupala.
Typy ataków i rozwiązania w WordPress
Ataki można sklasyfikować na kilkanaście rodzajów. Zabezpieczenie polega pisaniu i aktualizacji kodu według dobrych praktyk i najnowszej wiedzy o bezpieczeństwie cyfrowemu z uwzględnieniem tej listy ataków:
1. Wstrzykiwanie (SQL Injection)
Czytaj więcej na czym polega atak SQL-Injection. W WordPressie dostępny jest zestaw funkcji i interfejsów API, które pomagają programistom upewnić się, że nie można wstrzyknąć nieautoryzowanego kodu, a także pomagają im walidować i sanityzować dane. We frameworku WordPress dostępne są najlepsze praktyki z tym związane. Weryfikacja i oczyszczenie danych dotyczy:
- danych wejściowych i wyjściowych w HTML,
- adresów URL,
- nagłówków HTTP,
- interakcji z bazą danych,
- operacji na systemie plików.
Administratorzy mogą również dodatkowo ograniczyć typy plików, które można przesyłać za pomocą dodatkowych filtrów.
2. Atak na uwierzytelnianie i zarządzanie sesją
Podstawowe oprogramowanie WordPress zarządza kontami użytkowników i uwierzytelnianiem, a szczegóły, takie jak identyfikator użytkownika, nazwa i hasło, są zarządzane po stronie serwera. WordPress wykorzystuje pliki cookie do usprawniania systemu logowania. Hasła są haszowane w bazie danych przy użyciu standardowych technik salting i stretching. Istniejące sesje są niszczone po wylogowaniu dla wersji WordPressa po 4.0.
3. XSS (Cross Site Scripting)
Czym jest atak XSS można przeczytać w tym artykule: Atak XSS – co to jest. WordPress udostępnia szereg funkcji, które zapewniają bezpieczeństwo danych generowanych przez użytkowników. Zaufani użytkownicy (czyli administratorzy i moderatorzy) mogą publikować niefiltrowany kod HTML lub JavaScript w razie potrzeby, na przykład wewnątrz postu lub strony. Natomiast treści przesłane przez niezaufanych użytkowników (np. w komentarzach) są domyślnie filtrowane w celu usunięcia niebezpiecznych encji za pomocą biblioteki KSES poprzez funkcję wp_kses().
4. Niezabezpieczona bezpośrednia referencja do obiektu
WordPress często zapewnia bezpośrednie odniesienie do obiektu, takie jak unikalne numeryczne identyfikatory kont użytkowników lub treści dostępne w polach adresu URL lub formularza. Identyfikatory te ujawniają bezpośrednie informacje o systemie ale odpowiednie mechanizmy WordPressa i dopracowany system kontroli dostępu zapobiegają nieautoryzowanym żądaniom o tego typu dane.
5. Błędna konfiguracja zabezpieczeń
Większość operacji związanych z konfiguracją zabezpieczeń WordPress jest ograniczona do jednego autoryzowanego administratora. Domyślne ustawienia WordPressa są stale oceniane na poziomie głównego zespołu ds. zabezpieczeń, a główny zespół WordPressa dostarcza dokumentację i najlepsze praktyki w celu zwiększenia bezpieczeństwa konfiguracji serwera do prowadzenia witryny WordPress. To między innymi na podstawie tych dokumentacji stworzyłem niniejszy wpis.
6. Ekspozycja danych wrażliwych
Hasła do kont użytkowników WordPress są solone i haszowane w oparciu o Portable PHP Password Hashing Framework. System uprawnień WordPressa jest używany do kontrolowania dostępu do prywatnych informacji, takich jak dane osobowe zarejestrowanych użytkowników, adresy e-mail komentatorów, prywatnie publikowane treści itp. W WordPress 3.7, miernik siły hasła został dołączony do podstawowego oprogramowania. Strona związana z ustawieniami konta użytkownika została wyposażona w taki miernik i wskazówki dotyczące zwiększania siły haseł. WordPress ma również opcjonalne ustawienie konfiguracji wymagające HTTPS.
7. Brak kontroli dostępu na poziomie funkcji
WordPress sprawdza poprawność autoryzacji i uprawnień dla żądań dostępu na poziomie funkcji przed wykonaniem akcji. Dostęp lub wizualizacja administracyjnych adresów URL, menu i stron bez odpowiedniego uwierzytelniania jest ściśle zintegrowana z systemem uwierzytelniania, aby zapobiec dostępowi nieautoryzowanych użytkowników. Nie możliwe jest wykonanie funkcji, które wymagają uprawnienia administratora przez użytkownika, który nie ma takich uprawnień.
8. CSRF (Cross Site Request Forgery)
CSRF polega na wykonaniu niezamierzonej akcji przez przeglądarkę osoby zalogowanej do panelu WordPressa (np. w skutek odwiedzenia innej strony internetowej ze złośliwym żądaniem). WordPress używa tokenizacji tzw. nonce w celu ochrony przed potencjalnymi zagrożeniami CSRF. WordPress zapewnia całe API do generowania tych tokenów w celu tworzenia i weryfikacji unikalnych i tymczasowych żetonów, a te są ograniczone do konkretnego użytkownika, konkretnej akcji, konkretnego obiektu i określonego okresu czasu, który można dodać do ukrytego pola w formularzach lub w razie potrzeb do adresów URL. Dodatkowo wszystkie nonce są unieważniane po wylogowaniu.
9. Korzystanie z komponentów ze znanymi podatnościami
Główny zespół WordPress ściśle monitoruje kilka dołączonych bibliotek i frameworków, z którymi WordPress jest zintegrowany. W przeszłości główny zespół wniósł wkład do kilku komponentów innych firm, aby uczynić je bardziej bezpiecznymi, takich jak aktualizacja naprawiająca lukę między witrynami w TinyMCE (tzw. klasyczny edytor) w WordPress 3.5.2. W razie potrzeby zespół podstawowy może zdecydować o wymianie krytycznych komponentów zewnętrznych.
10. Niesprawdzone przekierowania i forwardowanie
Wewnętrzny system kontroli dostępu i certyfikatu WordPress chroni przed próbami przekierowywania użytkowników do niechcianych lub niebezpiecznych miejsc docelowych. Ta funkcja jest również dostępna dla twórców wtyczek za pośrednictwem interfejsu API, wp_safe_redirect().
Bezpieczeństwo motywów WordPress
WordPress wymaga włączenia motywu, aby renderować zawartość widoczną na interfejsie. Domyślny motyw dostarczany z rdzeniem WordPress (obecnie „Twenty Twenty-One”) został dokładnie sprawdzony i przetestowany pod kątem bezpieczeństwa zarówno przez zespół twórców motywów, jak i główny zespół programistów.
Motyw domyślny może służyć jako punkt wyjścia do opracowywania motywów niestandardowych, a deweloperzy witryn mogą tworzyć motyw podrzędny, który zawiera pewne dostosowania, ale w przypadku większości funkcji i zabezpieczeń korzysta z motywu domyślnego. Domyślny motyw może być łatwo usunięty przez administratora, jeśli nie jest potrzebny.
Bezpieczeństwo wtyczek i motywów z rezpozytorium WordPress
W witrynie WordPress.org znajduje się około 50 000 wtyczek i ponad 5000 motywów. Te motywy i wtyczki są przesyłane do włączenia i są ręcznie sprawdzane przez wolontariuszy przed udostępnieniem ich w repozytorium.
Włączenie wtyczek i motywów do repozytorium nie gwarantuje, że są one wolne od luk w zabezpieczeniach. Dostępne są wytyczne dla autorów wtyczek, z którymi powinni się zapoznać przed przesłaniem ich do repozytorium. Każda wtyczka i motyw może być stale rozwijany przez właściciela wtyczki lub motywu, a wszelkie kolejne poprawki lub rozwój funkcji można przesyłać do repozytorium i udostępniać użytkownikom z zainstalowaną wtyczką lub motywem z opisem tej zmiany. Administratorzy strony są powiadamiani o wtyczkach, które wymagają aktualizacji za pośrednictwem ich panelu administracyjnego.
Gdy zespół ds. bezpieczeństwa WordPressa wykryje lukę w zabezpieczeniach wtyczki, kontaktuje się z autorem wtyczki i współpracuje z nim, aby naprawić i wydać bezpieczną wersję wtyczki. W przypadku braku odpowiedzi ze strony autora wtyczki lub gdy usterka jest poważna, wtyczka/motyw jest usuwany z katalogu publicznego, a w niektórych przypadkach naprawiany i aktualizowany bezpośrednio przez zespół ds. bezpieczeństwa.
Hartowanie – czyli jak dodatkowo zabezpieczyć WordPress?
Jak widać, sam WordPress jest dobrze zabezpieczony i trzeba doprowadzić do wielu zaniedbań aby doszło do prawdziwego włamania z przejęciem całej strony. Aby jednak zmniejszyć to ryzyko, warto wymusić na sobie i na użytkownikach stosowanie dobrych praktyk bezpieczeństwa. Jednocześnie można przy okazji bezpieczeństwa skupić się na mechanizmach, które zmniejszają obciążenie hostingu i ochronę przed różnego rodzaju spamem.
1. Aktualizacje systemu WordPress
Wykonywanie regularnych i bezzwłocznych aktualizacji WordPress to fundament bezpieczeństwa. Najnowsze wersje WordPress wspierają aktualizacje automatyczne, które powinny być aktywne jeżeli stosunkowo rzadko logujemy się do panelu – np. rzadziej niż raz na tydzień. Jeżeli logujemy się do strony prawie codziennie, nie ma potrzeby aktywowania automatycznych aktualizacji, ponieważ będziemy mogli ją uruchomić w pożądanym przez nas momencie np. późnym wieczorem kiedy ruch zaczyna spadać a aktualizacja nie spowoduje blokady strony, która na krótką chwilę wyłącza cały serwis przed dostępem z zewnątrz.
Dlaczego aktualizacje WordPress są takie ważne? Załóżmy, że twórcy WordPressa znaleźli lukę, która w pewnych sytuacjach może przyczynić się do włamania bądź destabilizacji strony. Kolejnym krokiem zespołu WordPress będzie stworzenie odpowiedniej aktualizacji, która łata ten błąd. Przyjęte polityki bezpieczeństwa wymagają aby opublikować informacje o luce dopiero wtedy, kiedy łatka jest jest dostępna dla użytkowników. Kiedy jednak ktoś przez długi czas nie aktualizuje swojego WordPressa i prowadzi wartościową stronę z dużym ruchem, zwiększa się prawdopodobieństwo, że niezałatane luki przyczynią się do włamania bądź innej niepożądanej ingerencji w ten serwis.
2. Trudne hasło
Hasło to jedyna rzecz, która pozwala mechanizmowi WordPress rozróżnić właściciela strony od całej reszty użytkowników. Porada o tym aby było ono długie i trudne do odgadnięcia jest zatem oczywista. Hasło nie powinno być permutacją imienia i nazwiska, nazwy firmy albo samej strony. Nie powinno to być też słowo z dodaną cyfrą i wykrzyknikiem. Dobre hasło powinno mieć minimum 8 znaków przy czym jest to kombinacja liter, cyfr i znaków specjalnych.
Hasła można łamać na wiele sposobów. Jednym z nich jest poznanie hasła do innej usługi, której używa administrator – z perspektywy atakującego istnieje szansa, że używa jednego hasła do wielu usług w tym – panelu WordPressa. Drugim sposobem są ataki słownikowe i ataki brute-force. Im dłuższe hasło, tym dłużej trzeba je łamać, bo więcej kombinacji trzeba przetestować. Dobrą praktyką jest też zmienianie hasła co jakiś czas. Ustawianie np. co kwartał nowego a przy tym trudnego hasła praktycznie całkowicie uniemożliwia złamanie hasła nawet w najbardziej teoretycznych scenariuszach.
3. Wtyczki i motywy
Wtyczki i motywy są w stanie wykonać dowolny kod w obrębie naszej strony internetowej. Mogą wprowadzać zmiany w plikach, w bazie danych, a także łączyć się z zewnętrznymi usługami. Należy stosować wtyczki sprawdzone, kierując się ich popularnością lub zaufaniem osoby, która je dla nas tworzy. WordPress zaleca minimalizm w wykorzystywaniu wtyczek i prostej zasadzie polegającej na dezaktywowaniu i usuwaniu motywów i wtyczek, których już nie używamy.
Moja osobista rada jaką daję moim klientom jest jeszcze bardziej radykalna: nie aktywuj wtyczki, która nie realizuje kluczowej funkcji. Chcąc dodać jakąś funkcjonalność do strony zapytaj web dewelopera jakiej użyć wtyczki lub jaka byłaby cena dodatkowych prac. To zaoszczędzi ci wiele czasu i da gwarancję działania bez ryzyka, że wtyczka posiada lukę, backdoor lub spowolni działanie strony internetowej. Czytaj więcej o szkodliwych wtyczkach WordPress.
4. Dodatkowe zabezpieczenia wp-admin / wp-login.php
Aby złamać hasło musimy wielokrotnie odpytać niektóre adresy. Jednym z nich jest ścieżka prowadząca do natywnego skryptu logowania wp-login.php lub interfejs XML-RPC. Dobrą praktyką jest zablokowowanie całego folderu za pomocą .htaccess i sprawić aby był dostępny tylko dla naszego adresu IP lub dodać dodatkowe zabezpieczenie hasłem. W przypadku częstych ataków brute-force pomocna może się okazać zmiana adresu logowania na taki który zna tylko administrator serwisu.
5. Firewall
Częste odpytywania o nieistniejące zasoby strony to nic innego jak skanowanie strony w poszukiwaniu potencjalnych podatności. Stały ruch – nawet kiedy otrzymuje odpowiedź 404 niepotrzebnie angażuje procesor, generując obciążenie i tym samym zwiększa koszt hostingu. Rozwiązaniem na te problemy jest Firewall realizowany na poziomie serwera, aplikacji bądź zewnętrznych usług. Sprawdź ofertę CloudFlare, Sucuri oraz Incapsula.
6. Wyłączenie edycji plików szablonu i wtyczek
Panel WordPressa domyślnie umożliwia administratorom edycję plików PHP, które należą do wtyczek i motywów. Jest to często pierwsze narzędzie, którego użyje atakujący po udanym zalogowaniu. WordPress ma stałą, aby wyłączyć możliwość edycji plików za pomocą pulpitu nawigacyjnego. Umieszczenie takiej linii w wp-config.php oznacza usunięcie uprawnień edit_themes, edit_plugins, edit_files dla wszystkich użytkowników:
define('DISALLOW_FILE_EDIT', true);
Jest to oczywiście tylko utrudnienie, bo po zalogowaniu się do panelu WordPressa nadal można zainstalować szkodliwą wtyczkę bądź użyć innych wtyczek, które ułatwią modyfikację plików php.
7. Security through obscurity
Bezpieczeństwo przez niejawność (czasami Security by Obscurity) to wszelkie praktyki, które mają spowolnić lub utrudnić zhakowanie systemu poprzez celowe ukrywanie szczegółów implementacji czy sposobu działania systemu. Choć w systemie o otwartym źródle trudno szukać sposobów na zastosowanie takich praktyk, okazuje się, że istnieją pewne proste procedury, które mogą okazać się skuteczne.
Jednym z takich zabiegów jest nieużywanie oczywistego loginu typu admin lub administrator. Domyślnym prefiksem tabel w bazie danych wordpress jest wp_. Można to zmienić na dowolnie inny ciąg znaków aby zmniejszyć prawdopodobieństwo włamania w przypadku udanych prób SQL Injection.
Kolejną techniką jest ukrywanie wersji WordPressa, która jest widoczna w kodzie źródłowym strony. Można to zrobić dodając taki kod do pliku functions.php:
remove_action('wp_head', 'wp_generator');
lub za pomocą takiego kodu w functions.php:
function remove_version_info() {
return '';
}
add_filter('the_generator', 'remove_version_info');
8. Kopie zapasowe (backup)
Dobrze jest wyrobić sobie nawyk wykonywania kopii zapasowych przy każdej aktualizacji WordPressa bądź dużej wtyczki pokroju WooCommerce. Idealnym rozwiązaniem jest posiadanie nieograniczonego dostępu do automatycznych kopii zapasowych plików i bazy danych wykonywanych przynajmniej raz w tygodniu. W przypadku sklepów internetowych przydatne mogą okazać się snapshoty wykonywane raz na dobę lub częściej.
Kopia zapasowa pozwoli przywrócić stan strony w przypadku poważnych awarii, włamań lub innych niechcianych zmian, które uważamy za nieodwracalne lub trudne do odwrócenia. Czytaj jak wykonać kopię zapasową strony WordPress czyli backup bazy danych i plików.
Bezpieczeństwo hostingu WordPress
Te wszystkie działania i dobre praktyki nie są w stanie stu procentowo zabezpieczyć naszego WordPressa jeżeli nasz hosting nie pomaga nam pod kątem bezpieczeństwa.
Takie punkty jak:
- darmowy SSL,
- monitorowanie i logi, które pozwolą na wykrycie skanowania i ataków brute-force,
- możliwość nakładania hasła na wybrane katalogi,
- konfigurowalny firewall,
- automatyczne kopie zapasowe
powinny być zapewnione przez odpowiednio skonfigurowany serwer bądź usługę hostingową. Jeżeli twój hosting nie umożliwia zrealizowania, któregokolwiek z wyżej wymienionych punktów, korzystasz z hostingu niskiej jakości.
Brak firewalla w połączeniu z łatwym dostępem do aplikacji phpMyAdmin, czy łatwa do odgadnięcia konwencja nazywania kont FTP może przyczynić się do włamania na serwer. Pamiętaj, że posiadając dostęp do plików FTP bądź bazy danych mamy niczym nieograniczony dostęp do całej strony WordPress. Hasła do paneli hostingowych powinny być trudne do odgadnięcia i nie powinny być identyczne z hasłem, które wprowadzasz w sklepach internetowych. Czytaj więcej jak odróżnić hosting WordPress.
Wtyczki zabezpieczające WordPress
Istnieje wiele wtyczek, które pomogą nam we wdrożeniu dodatkowych zabezpieczeń o których pisałem w punkcie o hartowaniu czyli dodatkowej ochronie systemu WordPress.
1. WP All In One Security & Firewall
Wzmianka o tej wtyczce znajduje się w oficjalnej dokumentacji WordPressa. WP All In One Security & Firewall wdraża wiele mechanizmów które zwiększają ochronę i tak już bezpiecznego WordPressa. Prosta obsługa, szeroka funkcjonalność oraz stałe aktualizacje to największe zalety tej wtyczki.
WP All In One Security & Firewall sprawdza najczęstsze podatności i automatyzuje wdrażanie poprawek co często sprowadza się do zaznaczenia checkboxa i wciśnięcia przycisku zatwierdź. Proces zabezpieczania WordPressa został zgamifikowany i za włączenie każdego zabezpieczenia zdobywamy punkty, które są potem prezentowanie w panelu głównym. Nie radzę jednak włączać każdej rekomendacji ponieważ niektóre opcje bez odpowiedniej konfiguracji mogą przeciążać hosting, spowolnić bazę lub zepsuć działanie formularzy.
Link do wtyczki: https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
2. Wordfence Security – Firewall & Malware Scan
W oficjalnej dokumentacji została wyróżniona też wtyczka Wordfence. Działa ona podobnie od poprzednika i jak sama nazwa wskazuje również zawiera firewall. Jest ona bardzo popularna, posiada wiele dodatkowych funkcji a szczególną cechą wtyczki jest dość skuteczny antywirus. Korzystając z wersji Pro, wtyczka ta jest stale uzbrajana w najnowsze reguły zapory ogniowej, sygnatury złośliwego oprogramowania i złośliwe adresy IP. Niestety, wtyczka jest blokowana przez niektórych dostawców hostingu ze względu na pochłanianie sporej ilości zasobów sprzętowych. Z tego też powodu umieściłem ją na liście szkodliwych wtyczek ale obiecuję, że poddam ją dokładniejszej analizie w przyszłości.
Link do wtyczki: https://wordpress.org/plugins/wordfence/
3. iThemes Security
Wtyczka iThemes Security też została wspomniana w dokumentacji WordPress. Twórcy zapewniają, że zabezpieczenie strony zajmie nie więcej niż 10 minut. Skaner, zabezpieczenia polegające na geolokalizacji i aktualizacje o złośliwych adresach IP pochodzące z innych stron wymagają płatnej subskrypcji.
Link do wtyczki: https://pl.wordpress.org/plugins/better-wp-security/
4. Shield Security
Shield Security to czwarta i ostatnia wtyczka związana z bezpieczeństwem, która została wspomniana w oficjalnej dokumentacji dostępnej na wordpress.org. Twórcy wtyczki promują ją jako wolną od nonsensów i zwracają uwagę na wydajność co osobiście postrzegam za bardzo profesjonalne. Bardzo podoba mi się mechanizm wykorzystujący strony błędu 404 i wykrywanie dużej ilości połączeń w bardzo krótkim czasie. To najczęstszy problem jaki można zaobserwować na stronach zdobywających nieco większy ruch. Ta wtyczka też posiada wersję Pro o wielu możliwościach.
Link do wtyczki: https://pl.wordpress.org/plugins/wp-simple-firewall/
Podsumowanie
Straszenie włamaniami i wirusami to częsta praktyka firm, które sprzedają nonsensowne usługi wsparcia i ochrony, która normalna strona WordPress ani sklep WooCommerce nie potrzebuje. Z problemem włamań lub wirusów generujących SPAM nigdy nie miałem do czynienia własnych stronach ani na stronach, które wykonałem dla klientów.
Strony WordPress – a szczególnie te popularniejsze, które zdobywają organiczny ruch atakowane są głównie przez boty – to też nie wymagają wyszukanych technik zabezpieczających. Limitowanie ilości prób logowania, wyłączenie XML-RPC czy zmiana adresu wp-login.php spokojnie wystarczy aby uniemożliwić popularne ataki brute-force. Jeżeli sztuczny ruch botów nam nie przeszkadza – długie hasło wystarczy aby uniemożliwić tego typu atak nawet wtedy kiedy nie stosujemy dodatkowych zabezpieczeń.
Aby doszło do włamania, wycieku danych lub zawirusowania, strona WordPress lub sklep WooCommerce musi posiadać bardzo starą wersję systemu bądź motyw lub wtyczkę z poważną luką bezpieczeństwa. Do tego potrzebny jest jeszcze czas – wtedy powstaje automatyczny skrypt do masowego hakowania takich stron i kiedy złośliwy crawler wykryje naszą stronę, włamanie lub zawirusowanie zajmuje ułamki sekund. Nawet w najgorszych scenariuszach sytuację uratuje kopia zapasowa. Jeżeli posiadamy snapshot z czasu kiedy na stronie nie występowały żadne problemy związane z naruszeniem bezpieczeństwa, przywracamy go, po czym natychmiast usuwamy wtyczkę, która przyczyniła się do włamania lub ją aktualizujemy.
Magdalena pisze: 
Natalia 
Odpowiedz lub skomentuj