Jak zabezpieczyć blog przed atakami

Opublikowany przez Bartek
napis virus utworzony za pomocą niebieskich i czerwonych liczb w zapisie hex

Hakerzy atakują!

Hakerzy lubią nasze blogi. Nie myślcie sobie, że lubią je czytać czy też oglądać nasze zdjęcia. Nie ma znaczenia, czy jest to blog lifestylowy, parentingowy lub modowy. Oni sięgają głębiej. Chcą poznać nasze wnętrze, wykraść tajemnice, wykorzystać i porzucić. Chcą poznać i dobrać się do tego, co ukryte przed naszymi czytelnikami. Chcą dobrać się do naszego serwera… Jak zabezpieczyć blog przed atakami?

Aby zrozumieć dlaczego nasze blogi są atakowane, musimy zrozumieć, że hosting na którym uruchomiony jest nasz blog, to komputer. W odróżnieniu od naszych domowych komputerów, jest on bardzo specjalistyczny, zazwyczaj nie ma żadnego ekranu i pracuje na systemie innym niż Windows, czy OS X. Ale to wciąż komputer. Na tym komputerze jest uruchomiony specjalny program, który wyświetla strony internetowe interpretując zapisany w nich język programowania – PHP, java i inne – oraz udostępniając nasze zdjęcia i inne pliki. Blogi oparte na WordPress, blogerze, czy każdym innym systemie, to nic innego, jak bardzo skomplikowany program komputerowy, a my widzimy już tylko efekt jego pracy, czyli naszego bloga na stronie internetowej. Problem w tym, że ten program dosyć łatwo zmodyfikować, bo czasem wystarczy kilka linijek „tekstu” aby nieźle namieszać. Wyobraźcie sobie, że ktoś dopisał kilka linijek do kodu bloga tak, że naszym najwierniejszym fanom wyświetla się prośba o podanie hasła i loginu do banku lub Facebooka (nie wiem co gorzej stracić). Ale może też być tak, na naszym serwerze (hostingu), na naszym koncie, uruchomiony jest inny program oprócz bloga, który może robić wszystko co najgorsze od udostępniania pornografii, spamowania aż do wykradania pieniędzy z banków. Możemy wtedy powiedzieć, że mamy wirusa. Oczywiście każdy system komputerowy ma swoje zabezpieczenia (login, hasło, systemy antyspamowe), ale najsłabszym ogniwem każdego systemu jest… człowiek.

Zmień sobie admina

Co by nie powiedzieć o sposobach zabezpieczeń, to większości włamań winny jest „admin”. Tym adminem jest domyślny w wielu WordPressach, login administratora „admin”. Łatwy i przyjemny do zapamiętania, no i już był domyślny podczas instalacji. Do tego hasło, najlepiej znów „admin”, bo łatwo zapamiętać i mamy nieszczęście gotowe. A może podpisujesz się pod postami „Kasia” albo „Michał”? Mam nadzieję, że twój login do systemu jest inny… Łatwy login to po prostu 50% łatwiejszy dostęp do naszego bloga, ale też konta pocztowego czy domowego komputera. Ja podczas instalacji WordPressa na zenbox.plze zdziwieniem odkryłem, że nowo utworzony login jest losowy i wygląda mniej więcej tak: RTujkoLp (to tylko przykład). WordPress natomiast pozwala zmienić sposób wyświetlania użytkownika tak, że moje posty są podpisane Bartek.

Haker znający login musi jeszcze znaleźć hasło. Czytaliście mój wpis o bezpieczeństwie w sieci? Przypomnę Wam, jakie powinno być hasło:

Właściwie hasło powinno być jak majtki – Zmieniaj je często, nie zostawiaj na widoku i nie pokazuj obcym.

Ta rada tyczy się każdego hasła, choć dodałbym jeszcze, że hasło powinno być bardziej skomplikowane niż stringi. Większość ataków na hasło, to tak zwane, ataki „słownikowe”. Haker tworzy sobie listę najbardziej popularnych haseł i specjalny program (na przykład uruchomiony na zawirusowanym blogu) próbuje każde hasło z listy po kolei. Ponieważ robi to komputer, więc takich prób może być bardzo dużo w krótkim czasie, co z kolei wykańcza nasz system, który na każdą próbę musi odpowiedzieć zgadłeś/nie zgadłeś i nasza strona coraz wolniej się wczytuje.

Nie zapomnij zamknąć tylnej furtki!

Zapewne już zmieniasz hasło do swojego bloga i pewnie już zapisujesz je na żółtej karteczce, którą przeczepiasz zazwyczaj obok monitora. Zapewne też PIN do karty bankomatowej zapisujesz na jej odwrocie. Ach ta pamięć… Zabezpieczenie do panelu administracyjnego bloga to jedno, ale równie ważne jest dobre hasło, najlepiej bardzo długie i skomplikowane, które chroni dostęp do Waszego hostingu, ale też skrzynki pocztowej, która jest do tego hostingu przypisana. To jeszcze bardziej ułatwi hakerowi robotę, a my przecież nie logujemy się na hosting kilka razy dziennie.

Mimo tych prostych rad, może się jednak zdarzyć, że nasz WordPress ma błędy, które hakerzy wykorzystają i tak uda im się włamać na naszą stronę. Przed tym nigdy w 100% nie uda się zabezpieczyć, ale nie należy nigdy lekceważyć aktualizacji! Czy to aktualizacja samego WordPressa, czy to wtyczek i motywu, to lepszym i bezpieczniejszym rozwiązaniem jest aktualizować, nawet te stary i wyłączone, których nie uzywamy. Nowe wersje też mogą mieć błędy, ale zazwyczaj są to nowe błędy, które dopiero czekają na ich odkrycie, ale za to nowe wersje łatają dużo starych i dobrze znanych dziur i błędów. Dobry hosting natomiast, zadba o najnowsze wersje oprogramowania na serwerze, które służą do obsługi naszego bloga, ale również zabezpieczy tam, gdzie my nie mamy dostepu. To jest równie ważne.

Jak zabezpieczyć blog przed atakami?

Dużo czasu poświęciłem na login hasło. Są one bowiem bardzo ważne nie tylko jeśli chodzi o blogowanie, ale też w przypadku każdego innego systemu, jak chociażby poczty email czy hasła do bankowości internetowej. Ale rady mają się tyczyć naszego bloga, więc teraz w pigułce, co możemy (co powinniśmy zrobić), aby poprawić bezpieczeństwo naszego bloga.

Zanim cokolwiek zrobisz w swoim WordPress, zrób kopie zapasową danych!

1. Rób kopie bezpieczeństwa

Twoje wpisy są najcenniejsze, ale dla hakera najmniej ważne. Zanim wprowadzisz jakieś zmiany, choćby najdrobniejsze, zanim zaktualizujesz coś, zrób kopie bezpieczeństwa. Pamiętaj, że twój dostawca usług też robi kopie, a zenbox.pl robi nawet 4 razy dziennie i trzyma je przez kilka dni, ale może się zdarzyć, że własnie cały ranek przepadł, bo kopia będzie robiona dopiero za chwilę. Ja używam UpdraftPlus Backup and Restorationale może być inna. Ja używam tej wtyczki, bo pozwala zapisać kopie w takich usługach jak Dropbox lub Google Drive, czyli automatycznie też na moim domowym komputerze. O Dropbox jeszcze przeczytacie na moim blogu ;-)

2. Zmień domyślny login „admin”

Zmień login na zupełnie coś innego, na zupełnie inny, niepodobny do nazwy bloga ani też Twojego imienia. Można to łatwo zrobić samemu. Wystarczy utworzyć nowego użytkownika w WordPress o wybranym przez nas loginie. Nadajemy mu uprawnienia administratora, uzupełniamy wszystkie dane które potrzebujemy, resetujemy i ustawiamy dla niego nowe hasło. Sprawdź czy udaje Ci się zalogować na nowe konto i zrób kopię bezpieczeństwa. Teraz pozostaje usunąć naszego starego użytkownika. Podczas usuwania system zapyta co zrobić z wpisami użytkownika, którego usuwamy. Wybieramy opcję „przypisz posty do użytkownika” i wybieramy nasz nowy login. W ten sposób wszystkie wpisy zostają przypisane do naszego nowego konta, a stary użytkownik znika. Nie zapomnij zrobić kopii bezpieczeństwa przed tą operacją lub poproś swojego usługodawcę o pomoc.

3. Ustaw dobre hasło

Ustaw dobre hasło do panelu logowania. Dobre hasło, to takie, które ma co najmniej 8 znaków, zawiera małe i duże litery oraz cyfry i znaki specjalne, np. takie znaki: #%^*(). Nie martw się. Podczas zmiany hasła WordPress podpowiada, czy nasze hasło jest już bezpieczne, czy jeszcze nie. Może też wygenerować je za nas.

4. Nigdy nie używaj tego samego hasła w rożnych usługach

To będzie pierwsza rzecz, którą sprawdzi haker, gdy pozna twoje hasło. Będzie próbował zalogować się chociażby na Twoją pocztę i jak znam życie, to ma duże szanse na powodzenie.

5. Zablokuj możliwość rejestrowania nowych użytkowników

Jeżeli tej opcji nie potrzebujesz, a zapewne nie, bo to tylko Twój blog, to opcja ta jest do wyłączenia w Ustawienia->Ogólne->Członkostwo. Trzeba odznaczyć pole „Każdy może się zarejstrować”.

6. Ogranicz ilość prób logowania

Ogranicz ilość prób logowania do swojego bloga. Można to zrobić korzystając z funkcji „Protect” dostępnej w Jetpacku lub zainstalować wtyczkę typu Limit login Attemptsktóra ogranicza i blokuje logowanie po kilku nieudanych próbach.

7. Aktualizuj

Aktualizuj zarówno WordPress, jak wtyczki i szablony. Jest mniejsza szansa, że coś się posypie podczas aktualizacji, niż ryzyko, że nieaktualizowany WordPress będzie magnesem na hakerów i ułatwi im robotę. Poza tym robisz kopie bezpieczeństwa, więc w razie wypadku przywrócisz wszystko i poszukasz co poszło nie tak. Przecież robisz kopie bezpieczeństwa, prawda?

8. Nie trzymaj nieużywanych wtyczek i szablonów

Nie używasz, to odinstaluj. Mniej śmieci i mniej potencjalnych dziur w systemie. Jeżeli Twój motyw od dłuższego czasu jest nie aktualizowany (powiedzmy dłużej niż rok), to może warto wymienić go na nowy. Odświeżenie wyglądu czasem się przyda. To samo tyczy się ulubionych wtyczek.

9. Instaluj wtyczki i motywy z pewnych źródeł

Nie instaluj ani wtyczek, ani motywów ze źródeł innych niż te, których jesteś pewien. Do takich źródeł należą repozytoria ze strony wordpress.org lub płatne, jak themeforest.net. Jeżeli coś, co normalnie kosztuje jest gdzieś do pobrania „za darmo”, to znaczy, że gdzieś jest haczyk. jest co prawda kilka stron, które dają motywy premium za darmo, ale robią to w ramach reklamy i zazwyczaj nie ma opcji aktualizacji i wsparcia. Chętnym podam kilka adresów, gdzie szukać promocji ;-)

11. Pomyśl o CDN i dodatkowej weryfikacji

CDN, czyli Content Delivery Network, to rodzaj usługi internetowej przyspieszającej wczytywanie stron internetowych, bo przechowuje statyczne dane, jak obrazki na swoich bardzo szybkich serwerach, ale też przejmuje na siebie część ataków odpowiednio wcześniej rozpoznając zagrożenia i blokując część z nich. Jak korzystam z cloudflare.com, który jest darmowy, ale wymaga pewnej wiedzy, by wszystko skonfigurować.

Dodatkowa weryfikacja to coś, co lubię najbardziej. Za jej pomocą zabezpieczam wszystko – od poczty na Gmailu, do konta na Facebooku i chyba te zabezpieczę w ten sposób bloga. Mówię tu o takiej usłudze, jak dostępny w zenbox.pl – Clef Two-Factor Authentication, ale też o takiej usłudze od Google, która nazywa się Google Authenticator. Usługa ta, gdy jest powiązana z naszym kontem na Gmailu, Facebooku, czy też naszym blogiem, przed pierwszym logowaniem z danego urządzenia (komputer, tablet, telefon) poprosi o dodatkowe jednorazowe hasło, które będzie wygenerowane na naszym telefonie w specjalnej aplikacji. Ten kod będzie wymagany tylko raz, aż do czasu gdy nie wyczyścimy sobie przeglądarki lub nie usuniemy ciasteczka. Każde następne logowanie z tego konkretnego urządzenia, nie będzie potrzebować kodu (chyba, że ustawimy inaczej), a więc nie będzie upierdliwe. To nie zwalnia nas z używania trudnych haseł, ale tą drogą praktycznie zamykamy możliwość włamania. Chyba, że zgubimy telefon…

Zachowaj zdrowy rozsądek

Nie ma i nie będzie nigdy 100% metody zabezpieczenia się przed atakiem. Nie ma i nie będzie nigdy 100% bezpiecznego systemu komputerowego. Zdrowy rozsądek należy zachować zawsze. Jesteśmy tylko ludźmi, więc zapisujemy hasła, żeby nie zapomnieć, robimy pewne skróty, by było nam łatwiej i czasem przez telefon obcej osobie, która dzwoni niby z banku, dyktujemy wszystkie nasze dane włącznie z nieśmiertelnym panieńskim nazwiskiem matki i numerem buta. Przedstawiłem tylko najprostsze metody, które nawet początkujący może sobie wdrożyć na swoim blogu. Jest ich znacznie więcej, ale najlepszą metodą jest zachowanie zdrowego rozsądku. Ale to chyba tyczy się każdej dziedziny życia… Czy są jakieś pytania?

Photo credit: Yuri Samoilov /  Creative Commons Attribution-ShareAlike 2.0 Generic (CC BY-SA 2.0)