Strony oparte o WordPress stanowią ok. 30% wszystkich stron w Internecie, co czyni go popularnym celem dla hakerów. Próbują oni włamywać się na strony by wykraść dane lub umieścić linki zewnętrzne do reklamowanych przez siebie stron. Żeby zapewnić sobie spokój ducha i zminimalizować ryzyko włamania, możesz zadbać o kilka spraw. W tym wpisie opowiem Ci jak zadbać o bezpieczeństwo motywu. W kilku krokach wymienię najważniejsze punkty o które powinieneś zadbać.

WordPress to platforma open source

Jak pewnie wiesz, WordPress jest oprogramowaniem open source, co nie tylko oznacza, że jest dostępny za darmo, ale też jego kod źródłowy jest dostępny publicznie. Jest to jego siła i powód popularności. Każdy może zajrzeć w kod, rozbudować motyw lub wtyczkę czy napisać własne. Jednocześnie hakerzy mogą przeanalizować publicznie dostępny kod i odnaleźć w nim dziury pozwalające uzyskać nieuprawniony dostęp do strony.

Z kronikarskiego obowiązku muszę dodać, że wektory włamania do WordPress są różne i nie ograniczają się jedynie do motywów. Podatności w kodzie znajdują się również we wtyczkach czy nawet samym WordPress jako takim. Haker może wykraść dane użytkowników, umieścić linki reklamowe do innych serwisów czy nawet całkowicie usunąć stronę. Zdarzają się także przypadki infekcji wszystkich stron trzymanych na koncie hostingowym użytkownika. W dzisiejszym wpisie zajmiemy się jedynie motywami.

Jak zadbać o bezpieczeństwo motywu

1) Instaluj motywy tylko z potwierdzonych źródeł.

Zasada jest generalnie prosta. Wszystkie motywy najlepiej jest instalować z oficjalnego repozytorium WordPress, gdzie znajdziesz tysiące propozycji. Repozytorium jest publiczne, ale jednocześnie moderowane a wszystkie pliki wstępnie sprawdzane. 

Jeśli planujesz zakup płatnych motywów, upewnij się, że kupujesz je w zaufanych miejscach. Bezpośrednio od twórców lub poprzez platformy sprzedające motywy, takie jak ThemeForest, CodeCanyon czy TemplateMonster. Nigdy nie instaluj motywów z podejrzanych stron oferujących płatne motywy za darmo. Mają one często “prezent” w postaci backdoora dającego hakerom dostęp do Twojej strony. W najlepszym wypadku są po prostu stare i nie oferują aktualizacji co również stanowi problem.

2) Sprawdź opinie o motywie

Ta zasada jest dokładnie taka sama jak przy wyborze najlepszej wtyczki. Jeśli korzystasz z repozytorium, to zapoznaj się z ocenami i opiniami motywu. Im wyższa ocena w skali od 1 do 5 tym lepiej. Dobre motywy są też często aktualizowane. Aktualizacje zawierają nie tylko nowe funkcje, ale także poprawki bezpieczeństwa znalezione i zgłoszone twórcom.

Po wejściu w szczegółową ocenę motywu zobaczysz również dokładne opinie użytkowników. Niektóre motywy są czasem tak dobre, że praktycznie nie posiadają ani jednej złej recenzji.

3) Przetestuj motyw automatycznym skanerem

Jak pisałem, repozytorium WordPress nie jest jedynym źródłem sprawdzonych i legalnych motywów. Co go jednak wyróżnia, posiada system automatycznych filtrów skanujących wszystkie dostępne tam motywy i wtyczki. Ich zadaniem jest wyłapanie potencjalnych zagrożeń bezpieczeństwa i popularnych dziur. 

Gdy instalujesz motyw z innego źródła niż repozytorium, jesteś pozbawiony tego skanera i musisz zaufać twórcom. Szczególnie, jeśli motywy są płatne a ich kod źródłowy nie jest publicznie dostępny do przetestowania przez każdego. Możesz jednak sam zweryfikować motyw.

Zainstaluj i włącz wtyczkę Theme Check z repozytorium WordPress. Jest to dokładnie ten sam zestaw automatycznych testów, którym dysponuje ekipa WordPress do weryfikacji motywów. Po prostu uruchom test na swojej stronie i sprawdź wyniki. 

Ale uwaga, wtyczka może pokazać wszystkie błędy i ostrzeżenia znalezione podczas skanowania, co nie oznacza automatycznie, że motyw jest niebezpieczny. Niektóre komunikaty odnoszą się, żeby mało istotnych lub wręcz wymaganych dla poprawnego działania motywu. Niektóre zabiegi optymalizacyjne wymuszają na twórcach stosowanie praktyk niezgodnych z wytycznymi dla twórców, ale nie są to rzeczy niebezpieczne. Czytaj te komunikaty uważnie. Nie lekceważ, ale także nie podejmuj ostatecznej decyzji wyłącznie w oparciu o wynik testu.

4) Pilnuj aktualizacji

Zdecydowana większość włamań na strony jest możliwa dzięki starym, nie aktualizowanym motywom, wtyczkom czy samym WordPress. Dlatego bardzo ważne jest pilnowanie aktualizacji i ich instalacja najszybciej jak to tylko możliwe. To trochę jak zabawa w kotka i myszkę. Jedni znajdą podatność w oprogramowaniu a inni ją łatają. Ty, jako użytkownik, jesteś gdzieś po środku (serem na pułapce). Musisz przeciwdziałać jednym i słuchać drugich. 

Kiedy tylko widzisz notyfikację o dostępnej aktualizacji, nie zwlekaj z jej wykonaniem. Zrób kopię zapasową strony jeśli boisz się, że coś zepsujesz. W najgorszym przypadku przywrócisz backup i poprosisz specjalistę o pomoc lub sam naprawisz ewentualne problemy.

5) Usuń nieużywane motywy

Dobrą praktyką jest usuwanie niepotrzebnych motywów ze swojej strony. Nawet tych domyślnych. Nie aktualizowane, stanowią dodatkowe potencjalne zagrożenie. Ich trzymanie w zapleczu niczemu nie służy. Nie są Ci do niczego potrzebne. W razie potrzeby, zawsze możesz zainstalować nowe.

6) Wyłącz edytor plików

Domyślnie włączona opcja edycji plików motywu (i wtyczek) jest często przydatna na etapie budowy i konfiguracji strony. Sam często w functions.php motywu potomnego dodaję własne snippety rozszerzające funkcje strony. 

Po publikacji strony, gdy nie ma potrzeby dalszej edycji plików (lub gdy nigdy tego nie robiłeś), po prostu wyłącz opcję edycji z poziomu zaplecza WordPress. W razie potrzeby zawsze możesz modyfikować pliki przez FTP, np. programem FileZilla.

Jak wyłączyć edycję plików motywu? Połącz się przez FTP ze swoim serwerem i edytuj plik wp-config.php znajdujący się w głównym katalogu WordPress. Odszukaj mniej więcej na końcu linijki “That’s all, stop editing! Happy publishing.” Dokładnie nad nią dodaj taki kod:

define( 'DISALLOW_FILE_EDIT', true );

Zapisz zmiany i wyślij plik z powrotem na serwer. Opcja edycji plików motywu zniknie z zaplecza WordPress.

Podsumowanie

Utrzymanie bezpieczeństwa swojej strony internetowej to bardzo ważna kwestia. Wystarczy jednak odrobina ostrożności by znacznie zmniejszyć ryzyko włamania. Co prawda nie istnieją zabezpieczenia idealne i nie da się ze 100% pewnością zagwarantować bezpieczeństwa, ale można znacznie je podnieść. Zwiększyć na tyle, żeby automatyczne roboty nie dały sobie rady lub wysiłek hakerów przewyższał potencjalne zyski, co powinno zniechęcić niejednego amatora szybkich zarobków (bo mało kto włamuje się z czystej złośliwości).

Jeśli masz jakieś uwagi lub przemyślenia, podziel się nimi w komentarzu.

PS. Na prawdę, pamiętaj o aktualizacjach.

PS 2. Nie żartuję.

PS 3. Rób aktualizacje.