Raspunsul la aceasta intrebare este: depinde.. Un site construit pe Wordpress este sigur daca sunt aplicate cele mai bune practici si proceduri de securitate.
Avand in vedere ca aproximativ un sfert din totalul de site-uri web ruleaza pe platforma Wordpress, problemele de securitate sunt inevitabile deoarece nu toti utilizatorii sunt atenti la problemele de securitate ale site-ului pe care il administreaza. Daca un hacker poate gasi o cale de acces in unul dintre site-urile web ce ruleaza pe Wordpress atunci cu siguranta poate ataca si alte site-uri cu aceleasi probleme de securitate.
Wordpress are la baza un set de coduri open source si o echipa de programatori devotati care identifica si remediaza periodic problemele de securitate. Atunci cand o vulnerabilitate este descoperita, remedierea este in scurt timp lansata prin actualizari la versiunea respectiva de Wordpress. De aceea este foarte importanta actualizarea la ultima versiune pentru a asigura securitatea asupra site-ului.
De asemenea, este important de precizat faptul ca vulnerabilitatile de securitate se extind dincolo de nucleul Wordpress catre temele si plugin-urile instalate pe site. Conform unor statistici recente realizate de wpscan.org, din totalul problemelor de securitate, 52% provin din plugin-uri Wordpress, 37% din nucleul Wordpress si 11% din temele Wordpress.
5 probleme frecvente de securitate in Wordpress
Scopul unui atac este de a obtine accesul neautorizat asupra site-ului Wordpress la nivel de administrator, fie din partea de administrare a Wordpress sau din partea de server pe care este gazduit site-ul prin inserare de fisiere ori scripturi (fragmente de cod) malitioase.
1. Brute Force Attacks / Atacuri de tip Brute Force - se refera la metoda de incercare repetata de a descoperi prin diverse combinatii numele de utilizator si parola de acces in partea de administrare a unui site.
2. Remote File Inclusion (RFI) - se refera la procedura prin care se includ fisiere aflate pe un alt server prin exploatarea vulnerabilitatii metodelor de includere implementate intr-o aplicatie, de exemplu atunci cand o pagina de pe site contine calea catre un fisier care nu este bine protejat permitand un atac prin adresa URL externa.
3. Atacurile SQL Injection - intervin atunci cand atacatorul obtine acces si control la bazele de date ale site-ului Wordpress, avand posibilitatea, printre altele, de a crea un nou cont de administrator sau de a insera legaturi catre site-uri malitioase.
4. Cross-Site Scripting (XSS) - reprezinta peste 80% dintre vulnerabilitatile de securitate intalnite in internet si sunt frecvente in plugin-urile Wordpress. Atacatorul gaseste o cale de a atrage victima prin afisarea unei pagini web cu scripturi nesecurizate fara ca aceasta sa stie, urmand apoi sa fure datele din browserul utilizat, de exemplu prin completarea unui formular cu date personale.
5. Malware - prescurtarea de la malicious software, software rau intentionat, este codul injectat în fisierele unui site web pentru a avea acces neautorizat asupra acestuia, cu scopul de a obtine informatii sensibile sau directionari catre pagini web nedorite.
Care sunt principalele vulnerabilitati legate de securitatea unui site Wordpress?
Exista urmatorii factori care pot face un site Wordpress vulnerabil în fata atacurilor:
1. Parola prea slaba. Folosirea unei parole de acces prea slabe este una dintre cele mai mari probleme de securitate si poate fi eliminata prin introducerea unei parole ce contine multiple tipuri de caractere, simboluri sau numere, unica pentru site-ul respectiv.
2. Neactualizari pentru Wordpress, teme si plugin-uri. Lipsa actualizarilor care rezolva probleme de securitate atat pentru fisierele wordpress cat si pentru temele si plugin-urile instalate reprezinta vulnerabilitati principale si de aceea trebuie ca acestea sa fie verificate si efectuate periodic.
3. Utilizarea de plugin-uri si teme din surse nesigure. Este indicat sa folosim intotdeauna doar teme si plugin-uri obtinute de pe site-uri consacrate si care prezinta incredere, altfel riscam ca acestea sa contină malware.
4. Utilizarea unui serviciu de hosting de proasta calitate. Deoarece serverul pe care este gazduit site-ul wordpress poate fi tinta atacatorilor, folosirea unui server slab protejat poate duce la compromiterea site-ului.
Ce putem face pentru a proteja un site Wordpress?
1. Alegerea unei parole puternice, cu mai mult de 10 caractere (incluzând numere si caractere speciale), schimbata macar o data la 6 luni si folosita doar pentru acel site.
2. Instalarea unui plugin de securitate Wordpress, cum ar fi iThemes Security sau All In One WP Security & Firewall.
3. Actualizarea la timp pentru fisierele wordpress, teme si plugin-uri.
4. Stabilirea permisiunilor adecvate la fisierele site-ului aflate pe server. In functie de aceste setari stabilim cine are permisiunea de a citi, crea si modifica fisiere.
5. Activarea unui plan de backup a site-ului si a bazei de date. Este important sa efectuam salvari programate ale site-ului intr-o locatie sigura aflata in afara serverului iar in caz de compromitere acesta sa poata fi restaurat.
Ca o concluzie, vulnerabilitatile unui site construit pe Wordpress exista dar pot fi evitate prin folosirea unor practici si metode consacrate, fiind la curent cu ultimele informatii referitoare la potentialele riscuri de securitate in acest domeniu.
Mentinerea unui site web intr-o pozitie de interes... Continuare
Raspunsul la aceasta intrebare este: depinde.. Un... Continuare
CMS (de la content management system) reprezinta,... Continuare
De multe ori suntem intrebati care este... Continuare
Termenul de responsive webdesign - design web... Continuare
Atunci cand luati decizia de a va construi un nou... Continuare