Panel systemu WordPress uruchomiony na komputerze

12 września 2024
Audyt bezpieczeństwa WordPress

Według różnych szacunków, ponad połowa stron internetowych korzysta z WordPress. Bez wątpienia zmienił on sposób zarządzania treściami, dając duże możliwości personalizacji, również dzięki zewnętrznym wtyczkom. Ze względu na możliwości edycji i znajomość panelu WordPress przez wiele osób, również i tworzone przez nas strony internetowe najczęściej oparte są o ten silnik.

WordPress dostępny jest za darmo a jego źródła są publicznie dostępne. To pozwoliło na jego rozpowszechnienie się w Internecie, ale jednocześnie pozwala cyberprzestępcom łatwo poszukiwać w nim błędów bezpieczeństwa. W praktyce znajdowane są one dość często, co jest skrzętnie wykorzystywane w atakach na masową skalę. Jeśli dodamy do tego możliwość instalacji rozszerzeń, które tworzone są przez zewnętrznych twórców, otrzymujemy kolejny potencjalny obszar, który może podlegać atakom.

Bezpieczeństwo stron internetowych WordPress

Podstawą jest regularna aktualizacja WordPress i wszystkich zainstalowanych wtyczek. Regularnie podczas audytu trafiamy na strony i sklepy internetowe, które nie były aktualizowane nawet od momentu uruchomienia. Naszą praktyką jest, że tworzone przez nas strony i sklepy są automatycznie aktualizowane, co minimalizuje możliwość ataku. Niestety, nawet jeśli posiadamy stronę na silniku WordPress i regularnie ją aktualizujemy, nadal wskazane jest jej regularne audytowanie. Nawet najnowsza wersja silnika i rozszerzeń nie chroni przed zagrożeniami, ponieważ istnieje jeszcze wiele czynników zewnętrznych. To, co obejmuje nasz audyt, to między innymi:

  • Konfiguracja wdrożeniowa – jak WordPress jest zainstalowany na serwerze oraz jak sam serwer i baza danych są skonfigurowane
  • Konfiguracja uruchomieniowa – jak został zainstalowany WordPress oraz jakie są jego kluczowe ustawienia
  • Kwestie środowiskowe – jakie pliki są wgrywane do WordPress, czy mogą zostać znalezione bez logowania z Internetu, jak bezpieczne konta wykorzystują użytkownicy

Co ważne, audyt rozpoczynamy najpierw sprawdzonymi skanerami automatycznymi, ale w następnej kolejności realizowane jest sprawdzenie ręczne kluczowych obszarów na bazie naszego doświadczenia. Jak każdy audyt bezpieczeństwa, również audyt WordPress kończymy raportem z listą rekomendacji do wprowadzenia.

Już dziś skontaktuj się z nami i zamów zupełnie bezpłatny audyt wstępny Twojej strony internetowej.

Adrian

CEO/CTO UniqSoft

Masz pomysł na projekt?
Pomożemy Ci go zrealizować

    Administratorem Danych Osobowych osób kontaktujących się z właścicielem strony www za pomocą formularza kontaktowego jest UniqSoft Coding Sp. z o.o., ul. Chlebowa 33/6, 86-005 Białe Błota. Kontakt z Administratorem w sprawie przetwarzania danych osobowych możliwy jest pod adresem email: office@uniqsoft.pl. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. B Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej RODO, tj: podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz RODO art. 6, u. 1, lit F - prawnie uzasadniony interes administratora w celu nawiązania lub ukształtowania stosunku prawnego zgodnie z art. 18 ust 1 i 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144 poz. 104). Dane osobowe osób kontaktujących się z Administratorem za pośrednictwem niniejszego formularza będą udostępniane podmiotom świadczącym usługi wsparcia IT dla Administratora. Dane osobowe podane w formularzu nie będą przekazywane do państw trzecich ani organizacjom międzynarodowym. Dane przetwarzane w związku ze zgłoszeniem chęci zawarcia umowy z Administratorem będą przetwarzane do momentu zawarcia umowy lub rezygnacji z usługi. Przysługuje Pani/Panu prawo: dostępu do swoich danych, sprostowania ich, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przeniesienia danych oraz wniesienia skargi do organu nadzorczego. Podanie danych osobowych zawartych w formularzu jest dobrowolne, ale konieczne do nawiązania współpracy z Administratorem. Dane osobowe potencjalnych Klientów są poddawane profilowaniu w celach statystycznych, ale nie podlegają zautomatyzowanemu podejmowaniu decyzji.