Mając na uwadze, że silnik WordPress napędza 59.9% stron internetowych wykorzystujących system zarządzania treścią i zarazem 31.4% wszystkich stron internetowych, zarzuty te wydają się mocno przesadzone (dane w3techs.com na dzień 1 lipca 2018 roku).
Popularność WordPress
Według danych portalu BuiltWith zajmującego się statystyczną analizą wykorzystania poszczególnych technologii w sieci, z CMS WordPress korzysta prawie 27 milionów stron internetowych. Dla porównania, konkurencyjne, również darmowe rozwiązanie — Joomla! zasila jedynie 2 miliony stron. Na trzecim miejscu plasuje się Drupal z wynikiem jednego miliona stron.
Subiektywnie, WordPress bardzo często wygrywa z innymi systemami zarządzania treścią również w kategorii łatwości instalacji, obsługi, administracji oraz rozbudowy. Przez lata rozwoju tego systemu na rynku pojawiło się mnóstwo komercyjnych szablonów oraz wtyczek znakomicie rozwijających możliwości, jakie domyślnie oferuje ten CMS. Nie trudno przekształcić WordPress z platformy blogowej w sklep internetowy, forum dyskusyjne czy portal newsowy.
Bardzo duża liczba stron opartych o identyczny kod źródłowy zwiększa hipotetyczny zwrot z inwestycji w oprogramowanie, którego celem będzie przeprowadzenie automatycznych ataków na strony w celu uzyskania jakiejś korzyści. Innymi słowy — bardziej opłaca się napisać program, który będzie usiłował włamać się do 27 milionów stron niż do 2 milionów stron. Nie oznacza to jednak, że WordPress jest mniej bezpieczny od swoich konkurentów.
Od czego zależy bezpieczeństwo WordPress?
WordPress należy do grupy programów nazywanych systemami zarządzania treścią. Z Wikipedii dowiemy się, że słowo „system” pochodzi z języka starogreckiego i oznacza „rzecz złożoną”. WordPress, a także inne systemy zarządzania treścią, jest kombinacją wyspecjalizowanych modułów. Niektóre z tych modułów (programów) pochodzą od innych autorów i stają się częścią systemu, ponieważ… Doskonale spełniają swoje zadania i nie ma potrzeby tworzenia nowych, identycznie działających rozwiązań.
Oprócz tego, systemy zarządzania treścią można wyposażyć w dodatkowe funkcjonalności, takie jak fora dyskusyjne, rozbudowane formularze kontaktowe, sklepy online, wyspecjalizowane edytory treści, elementy interfejsu oraz wiele innych.
Każdy element systemu może posiadać własną podatność na ataki wynikającą np. z zastosowania przestarzałych bibliotek programistycznych, braku wiedzy autora lub niechlujnie napisanego kodu (na skróty, z pominięciem dobrych praktyk).
Z WordPress korzystają zarówno amatorzy budujący strony na własne potrzeby, jak i profesjonaliści, którzy swoje usługi oferują komercyjnie. Obydwie grupy korzystają z szablonów i wtyczek w swojej pracy. Zdarza się jednak (z różną częstotliwością), że wybór dodatkowego oprogramowania nie jest przemyślany i w kodzie finalnego produktu lądują wtyczki podatne na ataki lub porzucone przez swoich autorów (nierozwijane), co w perspektywie najbliższych kilku miesięcy naraża właściciela strony na ataki.
Choć odpowiedzialność za problemy ponoszą w tym wypadku autorzy wtyczek lub osoby przeprowadzające wdrożenie, w powszechnej opinii obrywa się systemowi zarządzania treścią. To trochę tak, jakby obwiniać producenta samochodu o jego niską jakość, kiedy wady wynikają z przeprowadzenia napraw z wykorzystaniem kiepskich zamienników zamiast części oryginalnych lub innych — wysokiej jakości.
W jaki sposób rozsądnie ocenić czy WordPress jest bezpieczny?
Możemy rozłożyć problem na warstwy i przyjrzeć się im z osobna:
1. Kod źródłowy systemu (WordPress)
WordPress jest aktywnie rozwijany, a poprawki bezpieczeństwa domyślnie instalowane automatycznie, bez udziału użytkownika. Nad bezpieczeństwem systemu pracuje kilkudziesięcioosobowy zespół, a dodatkowy wkład zapewnia rozległa wspólnota użytkowników.
2. Kod źródłowy szablonów oraz wtyczek
Swój nieustannie rosnący, rynkowy sukces, WordPress zawdzięcza szerokiej gamie wtyczek oraz motywów graficznych. Bezpieczeństwo tych rozwiązań jest jednak skrajnie różne i najczęściej to nieaktualne wtyczki są wektorem ataków na strony internetowe oparte o CMS WordPress. Warto rozważnie dobierać rozszerzenia do strony, minimalizując ilość dodatków oraz w przypadku bardziej rozbudowanych funkcjonalności — skorzystać z rozwiązań komercyjnych, których autorzy oferują wsparcie i ciągły rozwój.
3. Twórcy oraz administratorzy (właściciele) stron
WordPress jest niezwykle przystępną platformą do budowy stron internetowych, na której temat powstało mnóstwo internetowych poradników. Jednak dostępność systemu nie zawsze idzie w parze z bezpieczeństwem. To od autora strony internetowej zależy dobór oprogramowania dodatkowego (wtyczek i szablonów), poziom skomplikowania haseł oraz konfiguracja środowiska hostingowego. Brak doświadczenia w tej dziedzinie może narazić właściciela strony na niebezpieczeństwo. Dowiedz się na co zwrócić uwagę zlecając realizację strony internetowej.
4. Firmy hostingowe
Firmy hostingowe oferują różny poziom zabezpieczeń, a konfiguracja oprogramowania serwerowego nie jest wszędzie jednakowa. Niestety wiele firm hostingowych wymaga ręcznej konfiguracji serwera Apache, ponieważ domyślne ustawienia pozwalają np. na przeglądanie zawartości folderów lub dostęp do kluczowych plików z zewnątrz. Warto skorzystać z oferty hostingowej firmy, która poważnie podchodzi do tematu bezpieczeństwa i zapewnia konfigurację zoptymalizowaną dla popularnych systemów zarządzania treścią.
Podsumowanie
Nie istnieje oprogramowanie idealne, w 100% bezpieczne i wolne od błędów. Nawet software komputera pokładowego lądownika księżycowego Apollo 11 posiadał błąd, który niemal doprowadził do anulowania misji.
Należy zdawać sobie sprawę, że strony internetowe oparte o systemy zarządzania treścią to w rzeczywistości rozbudowane aplikacje, często wzbogacone o dodatkowe moduły napisane przez niezależnych autorów. Bezpieczeństwo całego systemu jest wypadkową jakości elementów, z których jest zbudowany. Warto zatem zlecić projekt strony internetowej doświadczonemu zespołowi, a rozwiązania skomplikowane oprzeć o moduły komercyjne, zapewniając sobie profesjonalne wsparcie. Wartościowym pomysłem jest również inwestycja w dobry hosting, co zapewni dodatkową warstwę zabezpieczeń.
Śledź mojego bloga, jeżeli interesuje Cię temat bezpieczeństwa WordPress — w niedalekiej przyszłości pojawią się artykuły o popularnych atakach przeprowadzanych na ten CMS oraz poradnik jak zdroworozsądkowo zabezpieczyć WordPress nie wydając na to fortuny.