In Azure Written by

Strony na WordPressie – nie idź na łatwiznę 

WordPressowe wtyczki

26 listopada miałem przyjemność wygłosić prelekcję na IT Academic Day, zorganizowanym przez koło naukowe EKA.NET działające przy Politechnice Wrocławskiej oraz Hued.me. Temat mojej prezentacji brzmiał dość tajemniczo: „WordPress żąda dostępu do programowania”. Dlaczego tak? Odpowiedź jest prosta – na co dzień hejtuję WordPressa. Ale nie dlatego, że jest to złe narzędzie, a dlatego, iż przez swoją prostotę przyciąga wielu nieodpowiedzialnych użytkowników. Każdy może pobawić się w zakładanie strony na WordPressie, a wielu osobom wydaje się, że jeśli potrafią skorzystać z kilku wtyczek i szablonów, to są już świetnymi programistami. Ulegają prostocie tego narzędzia, a nie mają świadomości, jak z niego bezpiecznie korzystać. 

Ene, due, rike… WordPress? 

Obecnie WordPress jest niekwestionowanym liderem, jeśli chodzi o CMS (Content Management System), czyli systemy zarządzania treścią. Choć na rynku są dostępne podobne oferty, wybór niemalże 2/3 użytkowników pada właśnie na WordPressa. To ogromna przewaga, a jeśli weźmiemy pod uwagę, że pozostałe opcje nie przekraczają nawet 10% udziału w rynku, przepaść między tym systemem a konkurencją robi się jeszcze większa. Jeśli chodzi o wszystkie strony internetowe, to w3techs podaje, że WordPress odpowiada za 43% powstałych witryn. 

WordPress i jego (niby) konkurencja

Dlaczego WordPress jest tak popularny? 

Prostota 

Jak już wspominałem, z tego narzędzia może skorzystać każdy, nawet osoba, która nigdy nie miała nic wspólnego z programowaniem. W sieci możemy znaleźć mnóstwo poradników dotyczących tego, jak zrobić stronę na WordPressie. Niestety, większość ludzi zatrzymuje swoje dokształcanie się w tym temacie właśnie na etapie zakładania strony na WordPress i ogólnej nauki obsługi jego funkcjonalności. Tego można nauczyć się już w kilka godzin. Niewielka część użytkowników myśli o tym, jak zabezpieczyć swoją stronę, aby nie padła celem ataku hakerów. 

Uniwersalność 

WordPress powstał z myślą o blogach, ale obecnie można tworzyć tam też strony internetowe, sklepy, platformy kursów online, landing page… prawie wszystko, czego dusza zapragnie. Do wielu funkcjonalności potrzebne są odpowiednie wtyczki, a system oferuje ich około 60 tysięcy. Dla znacznej części użytkowników jest to ogromna zaleta, lecz, jak wyjaśnię w dalszej części wpisu, ma to też swoje wady. 

Popularność przez… popularność? 

Lubimy to, co znamy, a wszyscy znają WordPressa. Jeśli zapytamy ludzi, co polecają do stworzenia na przykład bloga, często usłyszymy nazwę tego systemu, zwłaszcza wśród osób, które nie korzystały z innych opcji.  

Poza tym w Internecie można znaleźć wiele for, na których ludzie dzielą się swoją wiedzą na temat korzystania z WordPressa. Masz jakiś problem? Wystarczy, że zadasz pytanie, a na pewno znajdzie się ktoś, kto ci pomoże. Niestety odpowiedzią jest zazwyczaj nic innego jak: „Zainstaluj sobie wtyczkę X”. Mimo to, takie poczucie bycia w społeczności może przyciągać kolejnych użytkowników.  

Strona internetowa na WordPressie – czemu jest łatwym celem? 

Co roku znaczna część stron internetowych działających na WordPressie zostaje zhakowana. Dlaczego tak się dzieje? Ponieważ prowadzenie strony internetowej można przyrównać do dbania o roślinkę – nie wystarczy jej kupić i ją mieć, żeby się bezpiecznie rozrastała. Niektóre gatunki, zwłaszcza roślinka z rodziny WordPressus Pospolitus, są niezwykle podatne na różnego rodzaju choroby oraz przyciągają szkodniki. Trzeba o nią dbać oraz posiadać wiedzę na temat tego, co może być dla niej niebezpieczne i jak tego uniknąć. 

Warto pamiętać o tym, że twórcy oprogramowania co prawda dbają o to, by było ono jak najbardziej odporne na ataki, ale jednak, gdy już sami zaczynamy zarządzać stroną, to stajemy się za nią odpowiedzialni. Możemy zlecić komuś opiekę, ale wiąże się to z kosztami i mamy ograniczone możliwości weryfikacji tej osoby oraz sposobów jej pracy. Podobnie jest w przypadku, gdy zlecimy komuś założenie nam na przykład sklepu internetowego. Z jednej strony powinniśmy pamiętać, że nie każdy, kto twierdzi, że zna się na tej robocie, rzeczywiście wie, co robi. Z drugiej nawet jeśli trafimy na dobrego specjalistę, to po otrzymaniu gotowego produktu my jesteśmy za niego odpowiedzialni. 

Incydenty na przestrzeni lat

Wtyczki, wtyczki, wtyczki… 

Strony powstałe na WordPressie mają wiele słabych punktów, które należy zabezpieczać, ale najbardziej zdradliwe z nich są moim zdaniem wtyczki. Dzieje się tak, ponieważ są one niezwykle kuszące – mamy szeroki wybór darmowych wersji, pozwalają na uzyskanie niemalże każdej funkcjonalności oraz są polecane przez wielu użytkowników na forach. Należy jednak pamiętać, że każde rozszerzenie stanowi potencjalną lukę dla hakera. Czy więc nie możemy korzystać z wtyczek? Oczywiście, że możemy, tylko z głową.  

  • Po pierwsze, wtyczka nie powinna być rozwiązaniem na wszystko. 
  • Po drugie, należy używać tylko tych ze sprawdzonych źródeł, aby mieć pewność, że jej twórca ma zasoby, by znaleźć ewentualne luki oraz stale pracuje nad rozszerzeniem i na bieżąco usuwa problemy. 
  • Po trzecie, aktualizuj wtyczki, kiedy tylko pojawia się taka możliwość. 

Już dzięki zadbaniu o wtyczki ograniczasz hakerom pole do popisu. Według ankiety przeprowadzonej przez Wordfence prawie 60% właścicieli zhakowanych stron, którzy znali sposób ataku, wskazało na usterkę wtyczki lub motywu. Jest to oczywiście dopiero pierwszy krok do zabezpieczenia swojej strony na WordPressie, ale moim zdaniem niezwykle istotny. 

Luki nie tylko w WordPressie – trochę o open-source 

Przy okazji omawiania problemów związanych z bezpieczeństwem WordPressa trzeba wspomnieć, że nie jest to jedyny system, na który trzeba mieć oko. Oprogramowanie open-source również może posiadać luki, które będą stanowić łakomy kąsek dla hakerów. Wiedziałem, że zdania na temat zdania są podzielone, więc podczas tegorocznego IT Academic Day Hued.me zadało uczestnikom pytanie: Czy korzystanie z open-source jest bezpieczne? Biorący udział w wydarzeniu mogli przyklejać karteczki na stronie TAK, NIE lub pośrodku wielkiej planszy. Z głosowania wyszło, że:  

  • 46 % wypowiada się w tej kwestii pozytywnie (choć te osoby często podkreślały, że i tak trzeba być uważnym i ostrożnym w korzystaniu z takiego oprogramowania) 
  • 27 % nie jest zdecydowana (uważa, że to zależy)  
  • 27 % sądzi, że nie jest to bezpieczne (ci uczestnicy nie mieli zazwyczaj żadnych wątpliwości) 
Czy korzystanie z open-source jest bezpieczne?

Wynika z tego, że to my, użytkownicy, jesteśmy odpowiedzialni za bezpieczeństwo systemów, z których korzystamy. Nasza czujność powinna pozostawać zawsze na wysokim poziomie, bez względu na to, czy korzystamy z WordPressa, czy na przykład z Node.js. 

WordPress – czy warto? 

Jak to jest ostatecznie z tym WordPressem – warto czy nie warto? Moim zdaniem należy odpowiedzieć sobie na jedno pytanie: Co się stanie, jeśli faktycznie coś się stanie? 

Mam tutaj na myśli, że zawsze powinniśmy brać pod uwagę bilans potencjalnych zysków i strat. WordPress jest prosty i intuicyjny, ale też jest narażony na wiele niebezpieczeństw oraz nie nadaje się do skomplikowanych zadań. 

Oznacza to, że jeśli świat by się zawalił, gdyby ktoś zhakował twoją stronę, to lepiej zastanów się kilka razy, zanim zdecydujesz się na to rozwiązanie. Chyba że posiadasz odpowiednią wiedzę i umiejętności, które pozwolą ci na bezpieczne korzystanie z tego systemu oraz będziesz regularnie zapobiegać potencjalnym usterkom. Chociaż nawet w tym przypadku polecam skorzystać z oferty Microsoftu, czyli Power Platform – znajdziesz tam wszystko, czego potrzebujesz. Korzysta się z tych usług równie przyjemnie, a poziom zabezpieczeń jest znacznie wyższy. 

(Visited 77 times, 1 visits today)

Last modified: 14 grudnia 2022

Close