Ochrona witryny WordPress przed oprogramowaniem ransomware

WordPress to najpopularniejszy CMS na świecie. I chociaż jest to zwykle dobra rzecz, może również sprawić, że WordPress stanie się celem złośliwego oprogramowania o szerokim zasięgu.

Niestety, ponieważ z biegiem lat cyberataki stały się coraz większe i bardziej skalowalne, w dłuższej perspektywie często nie jest to kwestia „czy”, ale „kiedy” firmy internetowe zostaną zaatakowane. A szeroko nagłośnione sukcesy ostatnich ataków ransomware oznaczają, że ten trend prawdopodobnie się utrzyma.

Biorąc to pod uwagę, istnieje wiele kroków, które możesz podjąć, aby Twoja witryna była znacznie mniej podatna na typowe ataki.

Zrozumienie ryzyka

Ransomware to oprogramowanie, które osoba atakująca instaluje na Twoim serwerze lub komputerze po użyciu exploita w celu uzyskania dostępu. Po zainstalowaniu oprogramowanie często uruchamia się automatycznie, natychmiast lub po pewnym czasie uśpienia.

Jeszcze kilka lat temu ataki ransomware były zazwyczaj skierowane na stacje robocze z systemem Windows. Jednak w 2017 roku analitycy zaczęli odnotowywać wzrost liczby ataków na witryny WordPress.

Po uruchomieniu oprogramowania ransomware używa potężnego szyfrowania, aby zablokować wszystkie Twoje pliki, odmawiając Ci dostępu. Zamiast tego zostaje ci interfejs żądający zapłaty okupu – zwykle w niewykrywalnych bitcoinach – w celu odblokowania plików.

Płacenie okupu

W ostatnich latach na całym świecie ucierpiało wiele znanych firm, a nawet miast. W czerwcu Lake City na Florydzie zapłaciło 500 000 dolarów okupu hakerom, którzy przejęli kontrolę nad ich systemami komputerowymi.

Jednak zapłacenie okupu nie gwarantuje, że hakerzy odszyfrują Twoje dane. A nawet jeśli to zrobią, mogą pozostawić części oprogramowania, aby ponownie zaszyfrować pliki w późniejszym terminie.

W niektórych przypadkach oprogramowanie tworzy plik .php zawierający interfejs, który ma odblokować zaszyfrowane pliki. Jednak ten plik nie działa, a nawet jeśli uzyskasz dostęp, będziesz potrzebować wykwalifikowanego programisty WordPress, aby naprawić cały uszkodzony kod.

Aktualizuj wszystko

Aktualizowanie WordPressa oraz wszelkich motywów i wtyczek do najnowszych wersji to najprostszy sposób ochrony witryny przed oprogramowaniem ransomware. Aktualizacje te zawierają między innymi najnowsze poprawki bezpieczeństwa od deweloperów.

Hakerzy nieustannie poszukują luk, które można by wykorzystać. Po ich zidentyfikowaniu programiści publikują poprawki, które rozwiązują problemy. Nieaktualne wersje WordPressa mają ogromną lukę w zabezpieczeniach, ponieważ nie zostały opracowane tak, aby były odporne na najnowsze zagrożenia bezpieczeństwa.

Należy również regularnie sprawdzać, czy wersje PHP i MySQL hosta są aktualne. Dobra agencja WordPress zadba o to, aby wszystko było dla Ciebie aktualne, abyś nie musiał się martwić.

Chroń się przed atakami Brute Force

Atak brute force, jak sama nazwa wskazuje, jest prostym atakiem, w którym bot próbuje uzyskać dostęp do Twojej witryny za pomocą setek kombinacji nazw użytkownika i haseł na minutę, dopóki nie zrobi tego prawidłowo.

Tępy charakter tych ataków sprawia, że ​​można im stosunkowo łatwo zapobiec, blokując adresy IP, które wielokrotnie próbują uzyskać dostęp do Twojej witryny z nieprawidłowymi danymi logowania. Ale bez tej prostej warstwy ochrony boty mogą stale próbować uzyskać dostęp, dopóki nie odniosą sukcesu.

Ogranicz liczbę prób logowania przeładowanych to wtyczka, która pozwala ograniczyć liczbę prób logowania, zarówno poprzez stronę logowania, jak i pliki cookie.

Ustaw silne zabezpieczenia dostępu

Tak oczywiste, jak może się to wydawać, używając krótkich, łatwych do odgadnięcia słów – lub, co gorsza, „hasła” – ponieważ Twoje hasło sprawi, że Twoja witryna WordPress będzie niezwykle podatna na ataki.

Ale nawet silne hasła, które były używane przez zbyt długi czas lub w zbyt wielu różnych aplikacjach, mogą stać się podatne na ataki. Zalecamy używanie generatora haseł, takiego jak 1Password, do tworzenia i bezpiecznego przechowywania silnych, unikalnych haseł dla każdego logowania.

Alternatywnie możesz dodać uwierzytelnianie dwuskładnikowe do swojego loginu WordPress za pomocą Google Authenticator. Ta dodatkowa warstwa zabezpieczeń może być włączana dla poszczególnych użytkowników, umożliwiając mniej uprzywilejowanym użytkownikom dalsze logowanie się za pomocą hasła.

Zainstaluj certyfikaty SSL

Certyfikaty SSL zapewniają, że wszystkie dane przesyłane między komputerem a przeglądarką są szyfrowane, co znacznie utrudnia hakerom przechwycenie połączenia.

Zarządzani dostawcy hostingu WordPress, tacy jak WP Engine, obejmują automatyczną instalację i odnawianie certyfikatu SSL ze wszystkimi swoimi planami hostingowymi.

Zmień prefiks bazy danych WordPress

WordPress używa domyślnego prefiksu bazy danych, a używanie tego prefiksu sprawia, że ​​Twoja witryna jest podatna na ataki typu SQL injection. Można temu zapobiec zmieniając domyślny prefiks wp na inne słowo.

Jeśli masz już zainstalowany WordPress z domyślnym prefiksem, nie martw się. Istnieje wiele wtyczek, które nadal pozwalają to zmienić – po prostu upewnij się, że najpierw wykonałeś kopię zapasową wszystkiego, na wypadek gdyby coś poszło nie tak.

Wyłącz edycję plików

Jeśli hakerom udało się uzyskać dostęp do panelu administracyjnego WordPress, będą mogli edytować dowolne pliki, które są częścią instalacji WordPressa.

Dlatego pierwszą linią obrony jest ustanowienie silnego bezpieczeństwa dostępu. Jednak po wyłączeniu edycji plików hakerzy nie będą mogli modyfikować żadnego z Twoich plików, nawet jeśli uzyskają dostęp do Twojego pulpitu nawigacyjnego.

Odbywa się to poprzez całkowite ograniczenie pliku theme-editor.php i usunięcie opcji edycji motywu z CMS.

Dodatkowe środki

Dodatkowe środki bezpieczeństwa obejmują zawsze przestrzeganie wytycznych dotyczących najlepszych praktyk opisanych w Kodeksie WordPress. W idealnym przypadku powinieneś również przeprowadzić przegląd swojego kodu, ponieważ pomaga to poprawić ogólną jakość i może wyeliminować wszelkie przeoczone błędy lub luki w zabezpieczeniach.

Powinieneś również sprawdzić, czy wszystkie formularze w Twojej witrynie są zabezpieczone przed wstrzyknięciami SQL i cross-site scripting oraz wyłączyć XMLRPC.

Prostym sposobem na poprawę bezpieczeństwa dostępu jest uniemożliwienie hakerom poznania twoich nazw użytkowników, ponieważ oznacza to, że muszą tylko znaleźć twoje hasła, aby uzyskać dostęp. Możesz to zrobić, usuwając użytkownika o nazwie „admin” i ograniczając domyślne punkty końcowe WP-JSON, aby ukryć wszystkie inne nazwy użytkowników.

Możesz również zapewnić serwerowi dodatkową warstwę bezpieczeństwa, uruchamiając aplikację taką jak Sucuri, która stale skanuje w poszukiwaniu luk w zabezpieczeniach.

Regularnie twórz kopie zapasowe swojej witryny

Jednym z głównych powodów, dla których tak wiele firm płaci hakerom okup, jest to, że nie mają dobrych kopii zapasowych, co oznacza, że ​​koszt okupu będzie tańszy niż utrata wszystkich danych.

A dzięki kopiom zapasowym im więcej masz, tym lepiej. Ataki ransomware mogą również szyfrować kopie zapasowe, jeśli są one przechowywane na dysku lokalnym. Możesz wykonać kopię zapasową danych na serwerze, ale kopie zapasowe poza siedzibą, które są przechowywane w osobnej lokalizacji, są jeszcze bezpieczniejsze.

Zarządzane hosty WordPress zwykle oferują kopie zapasowe po stronie serwera w ramach swoich planów hostingowych.

Wniosek

Chociaż możesz nie być w stanie definitywnie powstrzymać wszystkich ataków – szczególnie jeśli Twoja firma jest celem – możesz podjąć kilka kroków, aby upewnić się, że Twoja witryna nie będzie się wyróżniać jako łatwy wybór dla hakerów.

Skala i wyrafinowanie oprogramowania ransomware cały czas rośnie, ale hakerzy – podobnie jak większość przestępców – są również oportunistami, a zapewnienie, że Twoja witryna jest mniej podatna na ataki niż większość, to nadal najlepszy sposób na zapewnienie bezpieczeństwa danych.

Jeśli chcesz porozmawiać o bezpieczeństwie swojej witryny WordPress i o tym, jak można ją ulepszyć, skontaktuj się z nami.