Securitatea in WordPress

De ceva vreme, la Dev-Vision™ realizam site-uri profesioniste sau persoanele pe nucleul CMS-ului WordPress. Clientii care vor sa castige cu adevarat de pe urma site-urilor lor si nu doar sa arunce banii pe un site aleg Dev-Vision™. La urma-urmei un site bine realizat va atrage clienti, in timp ce un site realizat de neinitiati nu va atrage clienti, realizarea site-ului fiind practic inutila.

Malware

Zilele trecute, Zoli Herczeg, al carui blog in urmaresc si recomand, se plangea de faptul ca site-urile pe baza CMS-ului WordPress sunt usor de atacat si din pacate asa este. Fiind un CMS open-source, oricine cunoaste codul sursa poate gasi gauri de securitate pe care sa se bazeze pentru urmatorul atac XSS, pentru un SQL injection si alte asemenea gainarii. Scopul final  al acestora nefiind clar si de multe ori atacatorii doar dorind sa demonstreze “ca pot”. Din pacate pentru multi utilizatori de WordPress, cu site-urile gazduite de companiile de hosting, Google adora WordPress, in fata multor CMS-uri (Joomla sau cele pe baza de .NET) si pe acest fapt ne bazam in primul rand cand incepem optimizarea site-urilor pe care le realizam la Dev-Vision™. Peste un CMS bun, indragit de motoarele de cautare, o optimizare SE si o serie de servicii de SEM nu pot fi decat mai mult decat benefice. Administrarea unui site WordPress este din ce in ce mai dificila datorita potentialelor atacuri zilnice. Ganditi-va ca pentru fiecare site WordPress exista zilnic o sansa ca acel site sa raspandeasca malware pe calculatoarele persoanelor neavizate, iar fara un plan bine pus la punct, orice incercare de devirusare sau restore poate esua.

Solutii

In acest articol va propun doua dintre plug-inurile pe care, de-a lungul timpului, le-am identificat ca fiind printre cele mai bune pentru WordPress, in ceea ce priveste securitatea acestuia:

BackWPup

Primul plug-in permite realizarea copiilor de siguranta pentru blog-urile si site-urile realizate pe WordPress. Datorita functionalitatilor avansate de realizare a back-up-urilor pe baza principiului 3-2-1, BackWPup poate efectua un back-up local, pe serverul de hosting (presupunand ca aveti spatiu nelimitat pentru gazduire), pe care apoi sa il duplice pe DropBox si pe un FTP intr-o terta locatie. Deja avem un back-up (arhivat) cu 3 locatii, 1 pe serverul de hosting, 2 in cloud si daca descarcati o copie aveti si una locala, pe calculatorul personal.Plug-inul poate utiliza sarcini Cron si poate efectua un back-up periodic, cu multiple sarcini personalizabile, avansat. Astfel in cazul unui atac aveti un punct de plecare cand vine vorba de restore. Pentru cazurile in care back-up-ul esueaza se poate trimite un e-mail detaliind problema sau se poate urmari logul care este si el creat si arhivat pe server. Eu utilizez plug-inul de back-up impreuna cu NAS-ul Western Digital My Book Live si imi creez si pe el un punct de restore pentru a avea la indemana o copie de siguranta a continutului site-urilor si a bazei lor de date in cazul in care vreunul dintre site-uri este atacat.

Anti-Malware

Plug-inul acesta functioneaza mai mult ca avertizare decat ca anti-virus, nedispunand de curatare a codului de eventualele injectii. In cazul utilizarii acestui plug-in este nevoie si de interventie din partea unei persoane care poate curata fisierele “infectate”. Aici intervine inca un aspect pentru care nu oricine poate utiliza acest plug-in “out of the box” si anume acela ca plug-inul poate returna si alerte sau false positives – fisiere care nu sunt neaparat infectate dar prin modul in care sunt scrise sau realizate prezinta caracteristici similare celor infectate. Expertii in acest domeniu va pot indruma. Eu am gasit util acest plug-in deoarece este singurul care imi spune ca exista un potential pericol si unde se afla acesta. In plus, plug-inul este free si are o baza de date de semnaturi ale malware-ului, in baza careia continutul folderului selectat este scanat si comparat, iar acea baza de date este pastrata la zi de realizatorii plug-in-ului. Deoarece stiu ce plug-in-uri am instalate si am mereu o copie curata, de siguranta, a acestor plug-in-uri, pot face un side-by-side compare pe fisierele pe care le raporteaza plug-in-ul.

Concluzie

Intr-un articol viitor voi posta o serie de modificari care se pot efectua pe WordPress pentru a ascunde complet faptul ca un site are la baza nucleul CMS-ului WordPress. Acest lucru se poate realiza doar de catre utilizatorii avansati si ca de obicei, inaintea efectuarii oricaror modificari, realizati o copie de siguranta. Totusi, deoarece Google iubeste atat de mult WordPress, nu recomand acele modificari (totusi, daca aceasta este ultima speranta pentru un custom site pe WordPress…). Revenind, la plug-inurile din prezentul articol, un back-up si o avertizare privind potentialele pericole, sunt oricand binevenite pentru a ne proteja investitia intr-un site profesionist realizat pe WordPress. Numai bine,

Despre Răzvan

Răzvan este antreprenor online, developer, tată, soț, consultant pentru companii din România și din afara țării, maker, public speaker, consultant pe probleme de productivitate, podcaster și blogger. Deține de asemenea câteva branduri, printre care: Burzcast™, Burzware™, Burz Media™, Dev-Vision™ și altele.

Participă cu un comentariu

Îți mulțumesc pentru că ai fost alături de mine până aici. Ești super și te apreciez!

Dacă dorești să continui șă citești conținutul blogului Burzcast, iată mai jos un articol pe care poate încă nu l-ai văzut: