bezpieczeństwo bloga

Bezpieczeństwo bloga! 27 niezawodnych metod

Zastanawiasz się jak zwiększyć bezpieczeństwo bloga WordPress? Chcesz spać spokojnie nie martwiąc się o to czy Twój blog lub witryna działa poprawnie? Spokojnie. Ten materiał wszystko rozjaśni.

Chciałbym również byś wiedział, iż artykuł „Bezpieczeństwo bloga” jest drugą częścią z trzech “Jak zabezpieczyć WordPress“. Materiały w nim zebrane mają na celu pomóc Ci przewidzieć oraz zabezpieczyć stronę firmową lub blog przed komplikacjami i ogromnymi stratami.

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 

 

 

 

 

Bezpieczeństwo bloga

12. SSL

SSL to temat rzeka. Od bezpieczeństwa poprzez marketing. Czemu marketing? Choćby z tego względu, iż coraz częściej słyszy się, iż certyfikat na stronie należy mieć ze względów wizerunkowych. Jeżeli nie wiesz o co chodzi to zajrzyj na stronę pozbawioną certyfikatu za pomocą przeglądarki Chrome. Automatycznie zobaczysz odstraszający komunikat.

bezpieczeństwo bloga

Naturalnie, SSL to nie tylko marketing. To przede wszystkim bezpieczeństwo. O samym temacie można by napisać osobny artykuł. I nie wykluczone, że taki pojawi się w przyszłości na tym blogu.

Dziś jednak na szybko wymienię podstawowe korzyści posiadania certyfikatu na witrynie oraz odpowiem jak go szybko wdrożyć.

Bezpieczna komunikacja – stosując certyfikat gwarantujesz swoim użytkownikom oraz klientom, iż ich dane są bezpieczne. Każde zachowanie i interakcja są na witrynie szyfrowane. Szyfrowanie odbywa się za pomocą 256-bitowego klucza szyfrowania AES. Metoda ta jest obecnie nie do złamania. Zatem, nawet jeżeli doszłoby do włamania na Twój serwer to atakujący i tak nie jest w stanie przechwycić ruchu użytkowników.

Co to oznacza w praktyce? Choćby to, że w momencie gdy użytkownik wypełnia formularz na Twojej stronie (np. kontaktowy) to nie ma możliwości podsłuchania i podejrzenia przez osobę z zewnątrz tego co on tam wpisuje.

Zabezpieczenie przed phishingiem – phishing to znany sposób ataku hakerskiego. Jeżeli użytkownik wchodzi na stronę i widzi zieloną kłódeczkę to ma prawie pewność, że jest na właściwej stornie. A dlaczego prawie? Dlatego, że atakujący zawsze mogą podstawić swoją stronę z odpowiednio spreparowanym certyfikatem. O jednym z takich ataków pisałem choćby w tym miejscu:

RODO i SEO ready – do tego dochodzi sam aspekt wizerunkowy. Bezpieczeństwo bloga to nie jedyna korzyść SSL. Użytkownicy mają większe zaufanie w stosunku do stron z certyfikatem. Google wyżej pozycjonuje takie witryny. Do tego jeszcze dopełniamy obowiązku RODO w związku z zabezpieczeniem danych. Same plusy!

A teraz praktyka. Dużo osób uważa, że zainstalowanie certyfikatu jest trudne. Szczególnie na WordPress. Nic bardziej mylnego. Wystarczy zamówić certyfikat w swoim hostingu. Poprosić adminów o wygenerowanie, a następnie zainstalować na swojej stronie.

W WordPressie możesz to nawet zrobić za pomocą specjalnej wtyczki. Najbardziej znana to https://pl.wordpress.org/plugins/really-simple-ssl/

Wszystko wykonasz za pomocą paru kliknięć. Aha, tylko pamiętaj, by przed przystąpieniem prac zrobić backup WordPress. A po zakończeniu odinstalować wtyczkę.  Jest ona potrzebna tylko podczas instalacji. Po tym będzie jedynie spowalniać Ci witrynę.

13. Ogranicz wtyczki, by zwiększyć bezpieczeństwo bloga

Wtyczki to dobra rzecz. Nie musisz być programistą czy webmasterem, a za pomocą kilku kliknięć jesteś w stanie dodać nową funkcjonalność na blogu. Ewentualnie, zmienić wygląd witryny.

Wtyczki to spore ułatwienie, jednak z ich ilością nie ma co przesadzać. Każda wtyczka spowalnia Twojego bloga. Do tego jest to potencjalne zagrożenie i drzwi dla hakera.

Ogranicz zatem ich ilość. Instaluj tylko te, które faktycznie są Ci potrzebne. A gdy jakąś wykorzystasz (jak choćby Really Simple SSL wypomnianą we wcześniejszym punkcie) to ją odinstaluj.

A już na pewno trzymaj się zasady, ze instalujesz tylko wtyczki z zaufanego źródła. Chyba nie chcesz zainstalować wtyczki, która okaże się źródłem rozsyłania spamu lub wirusów? Pamiętaj. Instaluj wtyczki z głównego zbioru WordPressa i od zaufanych wydawców.

14. Wyłącz rejestrację użytkowników

Jeżeli nie prowadzisz rejestracji użytkowników to wyłącz opcję rejestracji nowych użytkowników. Również jeżeli budujesz swoją listę newsletterową to rejestracja na blogu nic Ci nie pomoże. Umożliwi jedynie rejestrację botom. Ewentualnie, furtkę tą wykorzysta haker próbujący włamać się na Twoją stronę.

Ci którym i tak będzie zależeć na znalezieniu się w Twoim newsletterze zrobią to za pomocą odpowiedniego miejsca gdzie udostępniasz coś w zamian do pobrania.

Jak wyłączyć opcję rejestracji? Wejdź w Ustawienia. Następnie Ogólne i odznaczasz „każdy może się rejestrować”.

15. Optymalizacja

Kolejna kwestia to na którą warto zwrócić uwagę to optymalizacja. Jest to ważne nie tylko z tego względu, iż Google wyżej pozycjonuje strony, które działają szybciej. Również ma to wpływ na bezpieczeństwo bloga.

Czasami wolne działanie strony może być spowodowane złą optymalizacją, przeładowaniem grafiki lub zbyt dużą liczbą używanych wtyczek. Czasami jednak może być to powodem tego, iż Twoja strona jest zawirusowana. Co się wtedy dzieje? Różne są możliwości. Choćby wysyłanie spamu z Twojego serwera.

Wtedy nie tylko możesz dostać bana w Google lecz także oberwiesz od administratora swojego hostingu. Twój transfer się wyczerpie, a strona zostanie wyłączona lub zostaną naliczone dodatkowe  opłaty za wykorzystanie serwera.

Chyba nie chciałbyś zastać taką sytuację? Warto sprawdzić i zatroszczyć się tym jak działa Twoja strona.

Google oferuje nawet darmowe narzędzie, którym szybko przeskanujesz i sprawdzisz szybkość i optymalizację Twojej witryny. Wystarczy użyć tego narzędzia:

https://developers.google.com/speed/pagespeed/insights/

Na konie otrzymasz raport dotyczący tego co warto poprawić, by szybciej działała.

16. Motywy z Chomika lub torrentów

Teraz ważny… motyw dla tych co lubią przyoszczędzić. I to niekoniecznie w legalny sposób. Zapewne zdarzało Ci się w życiu pobrać oprogramowanie lub grę z torrentów? Prawda? Nie ma co ściemniać. Każdy z nas kiedyś tak zrobił. Ba, mój znajomy nawet pobrał sobie piracką aplikację z internetu, która mu zaszyfrowała wszystkie dane na dysku.

Ta sytuacja doskonale obrazuje jak ryzykowne jest pobieranie oprogramowania z internetu. Już na domowym komputerze szkody mogą być ogromne. A co dopiero gdy pobierane oprogramowanie zamierzasz zainstalować na serwerze?

Nie inaczej jest z wtyczkami i motywami. Duża ich liczba, szczególnie te lepsze są płatne. A skoro tak to naturalnym jest, że gdzieś w sieci da się je pobrać za darmo. Oczywiście w wersji pirackiej. Generalnie odradzam.

Pirackie szablony i wtyczki mogą mieć zawarty złośliwy kod. Po jej instalacji Twoja strona i serwer zostaną dołączone do armii botnetu. Następnie zaczną wysyłać spam lub nawet sprzedawać wirusy użytkownikom. Nie wspominając już o tym, że strona będzie działać wolno i zacznie być niżej pozycjonowana przesz wyszukiwarki. To oczywiście tylko przykład niechcianych możliwości. Skutki mogą być przeróżne. Nie ma sensu w taki sposób oszczędzać.

Zresztą oprogramowanie w tych czasach nie jest już tak drogie jak kiedyś.

17. Duplikowanie wtyczek

Skoro już jesteśmy przy wtyczkach to warto poruszyć kolejna, bardzo ważną kwestię.

Często z zespołem Grupa ADM spotykamy się z sytuacją gdy autor strony lub osoba która ją zaprogramowała instaluje dwie wtyczki, które w teorii robią to samo. Ewentualnie, są to kombajny, które robią różne funkcjonalności. Z tym, że dana funkcjonalność duplikuje funkcjonalność innej wtyczki.

Przykładem są wtyczki do optymalizacji strony. Ktoś chce przyspieszyć działanie witryny i instaluje dwie wtyczki do optymalizacji. Wszak, co dwie głowy to nie jedna. Prawda? Nie bardzo.

Te dwie wtyczki tylko niepotrzebnie obciążają Twój serwer wykonując tą sam prace dwa razy. Ewentualnie, będą wzajemnie blokować sobie dostęp do danych i rezultat będzie odwrotny.

A w najbardziej czarnym scenariuszu, zduplikujesz wtyczkę, drugą pochodzącą z niezaufanego źródła. W wyniku tego jedna będzie poprawna, a druga zacznie wykonywać niechciane czynności. Przykładowo jak złośliwe oprogramowanie z punktu 16.

Co za dużo to nie zdrowo. Nie duplikuj wtyczek o takiej samej funkcjonalności!

Bezpieczeństwo bloga część 3

W tym momencie przerwiemy. Trzecia część w tym miejscu. A tam kolejne, jeszcze ważniejsze kwestie, o których musisz pamiętać!

 

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 
 
 

Miłego dnia!

Arek

Promocja na trzy najnowsze kursy w ofercie!

X