szmigieldesignszmigieldesignszmigieldesignszmigieldesign
  • Oferta
  • Blog
    • Strony internetowe
    • WordPress
    • LiteSpeed Cache
    • Narzędzie
    • Optymalizacja
    • Praca z tekstem
  • Kontakt
  • EN
  • PL
✕

Czy WordPress jest bezpieczny?

  • Home
  • Blog
  • Strony internetowe
  • Czy WordPress jest bezpieczny?
1 sierpnia 2018
Czy WordPress jest bezpieczny? | szmigieldesign
Spis treści Pokaż
  • 1. Popu­lar­ność WordPress
  • 2. Od czego zależy bezpie­czeń­stwo WordPress?
  • 3. W jaki sposób rozsądnie ocenić czy WordPress jest bezpieczny?
    • 3.1. 1. Kod źródłowy systemu (WordPress)
    • 3.2. 2. Kod źródłowy szablonów oraz wtyczek
    • 3.3. 3. Twórcy oraz admi­ni­stra­torzy (właści­ciele) stron
    • 3.4. 4. Firmy hostin­gowe
  • 4. Podsu­mo­wa­nie
Prze­glą­dając niektóre fora dysku­syjne lub sieci społecz­no­ściowe można się spotkać z poglądem, że WordPress nie jest bezpieczny, że posiada wiele luk oraz jest celem bardzo wielu zauto­ma­ty­zo­wa­nych ataków haker­skich i w związku z tym nie jest dobrą platformą do zasto­sowań profe­sjo­nal­nych. W zależ­ności od portalu ilość takich opinii może okazać się przy­tła­cza­jąca i łatwo odnieść wrażenie, że na przykład lepszym rozwią­za­niem będzie autorski CMS.

Mając na uwadze, że silnik WordPress napędza 59.9% stron inter­ne­to­wych wyko­rzy­stu­ją­cych system zarzą­dzania treścią i zarazem 31.4% wszyst­kich stron inter­ne­to­wych, zarzuty te wydają się mocno prze­sa­dzone (dane w3techs.com na dzień 1 lipca 2018 roku).

Popu­lar­ność WordPress

Według danych portalu BuiltWith zajmu­ją­cego się staty­styczną analizą wyko­rzy­stania poszcze­gól­nych tech­no­logii w sieci, z CMS WordPress korzysta prawie 27 milionów stron inter­ne­to­wych. Dla porów­nania, konku­ren­cyjne, również darmowe rozwią­zanie — Joomla! zasila jedynie 2 miliony stron. Na trzecim miejscu plasuje się Drupal z wynikiem jednego miliona stron.

Subiek­tywnie, WordPress bardzo często wygrywa z innymi systemami zarzą­dzania treścią również w kategorii łatwości insta­lacji, obsługi, admi­ni­stracji oraz rozbudowy. Przez lata rozwoju tego systemu na rynku pojawiło się mnóstwo komer­cyj­nych szablonów oraz wtyczek znako­micie rozwi­ja­ją­cych możli­wości, jakie domyślnie oferuje ten CMS. Nie trudno prze­kształcić WordPress z platformy blogowej w sklep inter­ne­towy, forum dysku­syjne czy portal newsowy.

Czy WordPress jest bezpieczny? | szmigieldesign

Dlaczego o tym piszę w artykule o bezpie­czeń­stwie?

Bardzo duża liczba stron opartych o iden­tyczny kod źródłowy zwiększa hipo­te­tyczny zwrot z inwe­stycji w opro­gra­mo­wanie, którego celem będzie prze­pro­wa­dzenie auto­ma­tycz­nych ataków na strony w celu uzyskania jakiejś korzyści. Innymi słowy — bardziej opłaca się napisać program, który będzie usiłował włamać się do 27 milionów stron niż do 2 milionów stron. Nie oznacza to jednak, że WordPress jest mniej bezpieczny od swoich konku­rentów.

Od czego zależy bezpie­czeń­stwo WordPress?

WordPress należy do grupy programów nazy­wa­nych systemami zarzą­dzania treścią. Z Wikipedii dowiemy się, że słowo „system” pochodzi z języka staro­grec­kiego i oznacza „rzecz złożoną”. WordPress, a także inne systemy zarzą­dzania treścią, jest kombi­nacją wyspe­cja­li­zo­wa­nych modułów. Niektóre z tych modułów (programów) pochodzą od innych autorów i stają się częścią systemu, ponieważ… Doskonale spełniają swoje zadania i nie ma potrzeby tworzenia nowych, iden­tycznie dzia­ła­ją­cych rozwiązań.

Oprócz tego, systemy zarzą­dzania treścią można wyposażyć w dodatkowe funk­cjo­nal­ności, takie jak fora dysku­syjne, rozbu­do­wane formu­larze kontak­towe, sklepy online, wyspe­cja­li­zo­wane edytory treści, elementy inter­fejsu oraz wiele innych.

Na co zwrócić uwagę zlecając realizację strony www - szmigieldesign

Cały ten zlepek programów, choć pracuje pod jednym szyldem, posiada wielu autorów, których charak­te­ry­zuje różny poziom doświad­czenia oraz odmienna polityka aktu­ali­zacji i rozwoju swojego opro­gra­mo­wania.

Każdy element systemu może posiadać własną podatność na ataki wyni­ka­jącą np. z zasto­so­wania prze­sta­rza­łych bibliotek progra­mi­stycz­nych, braku wiedzy autora lub niechlujnie napi­sa­nego kodu (na skróty, z pomi­nię­ciem dobrych praktyk).

Z WordPress korzy­stają zarówno amatorzy budujący strony na własne potrzeby, jak i profe­sjo­na­liści, którzy swoje usługi oferują komer­cyjnie. Obydwie grupy korzy­stają z szablonów i wtyczek w swojej pracy. Zdarza się jednak (z różną często­tli­wo­ścią), że wybór dodat­ko­wego opro­gra­mo­wania nie jest prze­my­ślany i w kodzie finalnego produktu lądują wtyczki podatne na ataki lub porzucone przez swoich autorów (nieroz­wi­jane), co w perspek­tywie najbliż­szych kilku miesięcy naraża właści­ciela strony na ataki.

Choć odpo­wie­dzial­ność za problemy ponoszą w tym wypadku autorzy wtyczek lub osoby prze­pro­wa­dza­jące wdrożenie, w powszechnej opinii obrywa się systemowi zarzą­dzania treścią. To trochę tak, jakby obwiniać produ­centa samochodu o jego niską jakość, kiedy wady wynikają z prze­pro­wa­dzenia napraw z wyko­rzy­sta­niem kiepskich zamien­ników zamiast części orygi­nal­nych lub innych — wysokiej jakości.

W jaki sposób rozsądnie ocenić czy WordPress jest bezpieczny?

Możemy rozłożyć problem na warstwy i przyjrzeć się im z osobna:

1. Kod źródłowy systemu (WordPress)

WordPress jest aktywnie rozwijany, a poprawki bezpie­czeń­stwa domyślnie insta­lo­wane auto­ma­tycznie, bez udziału użyt­kow­nika. Nad bezpie­czeń­stwem systemu pracuje kilku­dzie­się­cio­oso­bowy zespół, a dodatkowy wkład zapewnia rozległa wspólnota użyt­kow­ników.

2. Kod źródłowy szablonów oraz wtyczek

Swój nieustannie rosnący, rynkowy sukces, WordPress zawdzięcza szerokiej gamie wtyczek oraz motywów graficz­nych. Bezpie­czeń­stwo tych rozwiązań jest jednak skrajnie różne i najczę­ściej to nieak­tu­alne wtyczki są wektorem ataków na strony inter­ne­towe oparte o CMS WordPress. Warto rozważnie dobierać rozsze­rzenia do strony, mini­ma­li­zując ilość dodatków oraz w przypadku bardziej rozbu­do­wa­nych funk­cjo­nal­ności — skorzy­stać z rozwiązań komer­cyj­nych, których autorzy oferują wsparcie i ciągły rozwój.

3. Twórcy oraz admi­ni­stra­torzy (właści­ciele) stron

WordPress jest niezwykle przy­stępną platformą do budowy stron inter­ne­to­wych, na której temat powstało mnóstwo inter­ne­to­wych porad­ników. Jednak dostęp­ność systemu nie zawsze idzie w parze z bezpie­czeń­stwem. To od autora strony inter­ne­towej zależy dobór opro­gra­mo­wania dodat­ko­wego (wtyczek i szablonów), poziom skom­pli­ko­wania haseł oraz konfi­gu­racja środo­wiska hostin­go­wego. Brak doświad­czenia w tej dzie­dzinie może narazić właści­ciela strony na niebezpie­czeń­stwo. Dowiedz się na co zwrócić uwagę zlecając reali­zację strony inter­ne­towej.

4. Firmy hostin­gowe

Firmy hostin­gowe oferują różny poziom zabez­pie­czeń, a konfi­gu­racja opro­gra­mo­wania serwe­ro­wego nie jest wszędzie jednakowa. Niestety wiele firm hostin­go­wych wymaga ręcznej konfi­gu­racji serwera Apache, ponieważ domyślne usta­wienia pozwalają np. na prze­glą­danie zawar­tości folderów lub dostęp do kluczo­wych plików z zewnątrz. Warto skorzy­stać z oferty hostin­gowej firmy, która poważnie podchodzi do tematu bezpie­czeń­stwa i zapewnia konfi­gu­rację zopty­ma­li­zo­waną dla popu­lar­nych systemów zarzą­dzania treścią.

Podsu­mo­wa­nie

Nie istnieje opro­gra­mo­wanie idealne, w 100% bezpieczne i wolne od błędów. Nawet software komputera pokła­do­wego lądownika księ­ży­co­wego Apollo 11 posiadał błąd, który niemal dopro­wa­dził do anulo­wania misji.

Należy zdawać sobie sprawę, że strony inter­ne­towe oparte o systemy zarzą­dzania treścią to w rzeczy­wi­stości rozbu­do­wane aplikacje, często wzbo­ga­cone o dodatkowe moduły napisane przez nieza­leż­nych autorów. Bezpie­czeń­stwo całego systemu jest wypadkową jakości elementów, z których jest zbudowany. Warto zatem zlecić projekt strony inter­ne­towej doświad­czo­nemu zespołowi, a rozwią­zania skom­pli­ko­wane oprzeć o moduły komer­cyjne, zapew­niając sobie profe­sjo­nalne wsparcie. Wartościowym pomysłem jest również inwe­stycja w dobry hosting, co zapewni dodatkową warstwę zabezpieczeń.

Śledź mojego bloga, jeżeli inte­re­suje Cię temat bezpie­czeń­stwa WordPress — w nieda­le­kiej przy­szłości pojawią się artykuły o popu­lar­nych atakach prze­pro­wa­dza­nych na ten CMS oraz poradnik jak zdro­wo­roz­sąd­kowo zabez­pie­czyć WordPress nie wydając na to fortuny.

Łukasz Szmigiel
Łukasz Szmigiel
Fotografuje i projektuje w celach poznawczych i zarobkowych. Prywatnie - rozważny praktyk, którego życiową misją jest poszukiwanie harmonii, dobrej kawy i ciasteczek w czekoladzie. Lubi myśleć i przetwarzać, a także porządkować chaos i nadawać sens.

Powiązane artykuły

szmigieldesign | Zawsze świeży cache, czyli konfiguracja robota indeksującego w LiteSpeed Cache
24 stycznia 2021

Zawsze świeży cache, czyli konfiguracja robota indeksującego w LiteSpeed Cache

Czytaj dalej
szmigieldesign | Co nowego w LiteSpeed Cache 3 dla WordPress?
18 marca 2020

Co nowego w LiteSpeed Cache 3 dla WordPress?

Czytaj dalej
Powiadomienia
Powiadomić o
guest
Zaakceptuj politykę prywatności przed opublikowaniem komentarza.
Zapamiętaj moje dane w przeglądarce w celu szybszego komentowania w przyszłości (cookies).
guest
Zaakceptuj politykę prywatności przed opublikowaniem komentarza.
Zapamiętaj moje dane w przeglądarce w celu szybszego komentowania w przyszłości (cookies).
1 Komentarz
Najnowszy
Najstarszy Najczęściej oceniany
Inline Feedbacks
View all comments
wpdiscuz   wpDiscuz
© szmigieldesign 2010 - 2023 | Polityka prywatności | Mapa strony
PL
  • EN
  • PL
wpDiscuz