Este cunoscut faptul ca WordPress este o platforma de blogging destul de sigura, in sensul ca are in spate o comunitate destul de mare, ceea ce conduce inspre raportatea si remedierea destul de rapida a problemelor de securitate descoperite, aparute intre timp.
Daca ai WordPress la zi, precum si o parola foarte lunga, totul ar trebui sa fie in regula. Trebuie spus ca pe acest blog trebuie sa actualizez eu de fiecare data blogul, atunci cand apare vreo versiune noua sau cand este disponibil cate vreun patch pentru versiunea existenta, in timp ce pe alt blog, mai nou, CMS-ul se actualizeaza singur. Nu stiu de ce exista acest comportament, cu toate ca am reinstalat WordPress. Sunt sigur ca exista vreo explicatie, poate si o rezolvare, insa nu am stat sa o caut.
Cat despre parola utilizatorului, se stie ca aceasta cu cat este mai lunga, cu atat este mai greu de ghicit de catre cei care doresc sa o afle. De exemplu, o parola din 20 de caractere, doar litere mici, este mult mai greu de ghicit prin brute-force, decat o parola formata din 6 caractere cu litere mici, mari, cifre, simboluri.
Asta inseamna ca un blog WordPress actualizat si cu o parola a administratorului foarte lunga, ar trebui sa fie in regula, fiind foarte putine sansele de a fi spart. Nimic nu este sigur pe lumea asta, nici macar ceea ce pare foarte in regula. Chiar si asa, aici discutam despre probilitatea de a se intampla ceva rau, care-i foarte mica in cazul nostru.
Problemele de securitate pentru blog incep sa apara atunci cand instalezi pluginuri pentru acesta. Cu cat mai multe pluginuri, cu atat ii slabesti securitatea. Observ in fiecare zi pe blog incercari, automate sau nu, de a exploata vulnerabilitati ale pluginurilor care contin asa ceva. Sunt foarte multi utilizatori care folosesc pluginuri vechi sau noi, vulnerabile, si care se mira dupa ce le-a fost spart blogul, neintelegand de ce s-a intamplat acest lucru.
Pentru a evita asa ceva, trebuie folosite pluginuri WordPress cat mai putine si unele care sunt utilizate de catre toata lumea, pentru ca acestea sunt mai sigure, deoarece sunt mai mari sansele de a fi descoperite si remediate foarte repede eventualele probleme pe care acestea le au. Desigur, discutam si despre faptul ca poate unii introduc voluntar vulnerabilitati in ele, din tot felul de interese, aici referindu-ma la dezvoltatorii noi, mai necunoscuti. Traim intr-o lume in care am vazut de toate, asa ca nu as avea de ce sa exclud aceasta posibilitate.
Daca ai un blog WordPress cu putine pluginuri, pluginuri cunoscute, o parola lunga si o tema la fel de cunoscuta, imbunatatita permanent de catre dezvoltator, totul ar trebui sa fie in ordine. Uitasem sa scriu si despre tema blogului, deoarece este la fel de importanta.
In cazul in care nu-ti permiti o tema premium, foloseste o tema gratuita, deoarece sunt destule pe Internet. Niciodata nu folosi o tema WordPress premium pe care ai gasit-o “gratis” pe Net, deoarece este cat se poate de posibil sa fie compromisa. Sunt foarte putine persoanele care pun lucruri gratuite, care fac share, doar pentru ca sunt ele bune si vor sa-i ajute si pe altii. Cele mai multe fac acest lucru cu un scop, de cele mai multe ori fiind acela de a putea lua acces in site-ul pe care a fost instalata tema cu probleme.
Acestea ar fi sfaturile pentru cei care nu doresc prea multe batai de cap, deoarece nu sunt pasionati de IT, ci doar de scris pe blog. Cu toate astea, mai sunt multe metode de a iti securiza blogul, iar pe unele le-am scris si eu pe aici.
Dupa ce mi-am schimbat firma de hosting, un baiat de acolo mi-a recomandat sa-mi instalez pe blog pluginurile WP Super Cache si All In One WP Security & Firewall.
Dupa cum stiti si puteti vedea cand intrati pe el, blogul meu este unul foarte bine optimizat, in sensul ca se incarca instant, iar pentru a se intampla asta, printre altele, ma ajuta foarte mult si pluginul W3 Total Cache. Cu WP Super Cache nu ma inteleg prea bine, consider ca are prea putine optiuni pentru a putea face lucruri perfecte cu el, in timp de W3 Total Cache are o multime de optiuni, contribuind foarte multe la optimizarea blogului pentru o incarcare rapida.
Trecand peste pluginul de cache si ajungand la pluginurile de securitate WordPress, v-am mai scris pe aici ca am incercat pe localhost, pe serverul instalat pe calculatorul de acasa, multe astfel de module, iar unele dintre ele au stricat de tot functionalitatea blogului. Nici dupa ce le-am dezinstalat sau dupa ce am refacut fisierul .htaccess blogul de pe serverul de teste nu si-a revenit. Nu stiu ce au modificat pe acolo si nici n-am stat sa mai verific.
Nu-mi amintesc daca am incercat atunci si All In One WP Security & Firewall, insa nu sunt adeptul unor astfel de pluginuri, pentru ca te securizeaza multe dintre ele pana nu-ti mai merge nimic. Mai multe probleme aduc, decat rezolva.
Cu toate acestea, am zis sa ma uit pe lista cu optiunile de securizare pe care acest plugin le are si, sincer, nu am gasit prea multe care sa-mi fie de folos.
Sa pui cateva incercari pe WordPress log in, dupa care sa baneze utilizatorul respectiv, pentru a preveni brute-force imi pare o solutie de incepatori, pe care o foloseam si eu atunci cand mi-am deschis blog.
De ce sa blochezi incercarile dupa un anumit numar, fiind stiut faptul ca persoanele care incearca sa-ti sparga blogul folosesc retele de calculatoare infectate, deci au multe IP-uri la dispozitie, iar cele trei tentative pana la banare pot fi suficiente pentru aflarea parolei, cand poti restrictiona permanent accesul la WordPress log in, pentru toti in afara de tine?
V-am mai scris pe aici ca baietii de la vechiul hosting imi dezactivasera portectia pe log in si pe XML-RPC, observand enorm de multe IP-uri care incercau sa faca brute-force pe acesta. Adica incercau sa-mi afle parola.
Cum am pus protectiile le loc, cum atacurile masive au incetat. Asta inseamna ca acele persoane care fac asa ceva si care detin retele mari de calculatoare infectate, se pricep in meseria lor de hackeri. De ce sa insisti pe ceva ce nu poate fi spart sau poate fi spart foarte greu, cand poti gasi tinte mai usoare?
Asa procedeaza hackerii batrani, deoarece pustanii, hacerii, dau in continuare in tine, chiar daca nu au acces la ceea ce vor si iti consuma resursele, doar pentru ca nu se pricep la ceea ce fac. Cei care nu se pricep, cei care actioneaza haotic, provoaca cele mai multe pagube.
Revenind la All In One WP Security & Firewall, acesta are si cateva optiuni care pot fi folositoare (de monitorizare a activitatii blogului, fisiere modificate, dezactivare click dreapta si selectare text si asa mai departe) insa cred ca si securizarea in exces a site-ului poate fi daunatoare si de nedorit, mai ales atunci cand este posibil sa te incurce in ceea ce ai tu de facut.
Securizarea in exces a blogului WordPress poate conduce si inspre o incarcare mai grea a acestuia.
Stiu foarte bine cum se incarca blogul meu in mod normal, din diferite surse, asa ca observ orice mica problema pe care ar putea-o avea in acest sens.
Astfel, am observat ca pe Tools Pingdom, la testul de incarcare pe serverul din Suedia, blogul meu nu se mai incarca in 500 ms, ci in jur de 800 de milisecunde. Evident, in Romania se incarca la fel, iar cele 300 de ms din afara nu conteaza, fiind ceva infim. Nici nu apuci sa clipesti si blogul va fi incarcat deja.
Cu toate astea, am inceput sa ma intreb de ce s-a marit timpul de incarcare.
Ambele firme de hosting, si cea noua si cea veche, au servere colocate la M247, deci raspund la fel fata de mine, totul pare asemanator, insa mai sunt si ceva diferente.
Cateva lucruri care ar fi putut conduce inspre aceasta mica diferenta de incarcare: certificatul SSL instalat pe blog, faptul ca noua firma foloseste drept server web Apache si nu LiteSpeed si modulul ModSecurity.
La vechea firma nu aveam ModSecurity in cPanel, iar aici este deja activat pentru domeniile mele. Nu stiu ce reguli foloseste, deoarece nu am acces la ele. Habar nu am daca sunt cele default sau utilizeaza regulile celor de la Comodo, despre care s-ar spune ca ar fi cele mai bune si gratuite, OWASP sau asa mai departe. Pot doar sa activez / dezactivez ModSecurity.
Inca nu am facut teste daca ModSecurity afecteaza incarcarea blogului, insa aici parerile sunt impartite, atat in ceea ce priveste ingreunarea site-ului pe care este instalat, prin consumarea excesiva a resurselor (CPU & RAM) deoarece trebuie sa treaca prin filtru fiecare accesare a site-ului, cat si utilitatea acestuia.
ModSecurity reprezinta, in mare, un patch pentru aplicatiile vulnerabile. Multi spun ca-i folositor doar in cazul hackerilor mai neexperimentati, deoarece hackerii care stiu ce fac vor trece mereu de el.
Concluzia acestui articol ar fi ca trebuie sa-ti securizezi blogul WordPres, insa fara a exagera, pentru ca poti foarte bine sa cazi in extrema cealalta.
Pentru a glumi, se poate intampla exact ca atunci cand unii isi instalau pe calculator cate 2-3 solutii anti-virus care scanau in timp real, sa se simta ei mai in siguranta, nestiind ca acest lucru nu poate aduce decat probleme: protectie mai mica sau chiar anulata, BSOD, ingreunarea calculatorului si asa mai departe.