Czy WordPress jest bezpieczny?

Mimo upływu czasu, WordPress pozostaje najpopularniejszym systemem zarządzania treścią. Według szacunków z 2019 rok, na WordPressie postawione jest ponad 60 milionów stron. Z najwyżej pozycjonowanych 10 milionów stron www na CMS-ie WordPress było postawione aż 33,6%. Jak widać więc, jest to niezwykle popularna technologia. Czy jednak bezpieczna?

Zalety WordPressa

Popularność WordPressa nie wzięła się znikąd. System ten nie tylko jest darmowy, ale też bardzo łatwy w obsłudze. Stronę na WordPressie można postawić samodzielnie, nie znając się na tym, po przeczytaniu kilku tutoriali. Do tego można też ją w bardzo szerokim stopniu spersonalizować, stosując dostępne skórki oraz wtyczki. Te pierwsze odpowiadają za wygląd strony, te drugie za jej funkcje (zarówno od strony użytkownika, jak i administratora). Co ciekawe – również wiele z nich jest darmowych.

Wszechstronność WordPressa sprawiła, że znajduje on zastosowanie nie tylko przy prywatnych blogach, ale też na stronach biznesowych. Nadaje się nawet do celów typowo komercyjnych i nie jest niczym dziwnym, gdy na WP postawiony jest sklep, zintegrowany np. z open source’ową wtyczkę e-commercową WooCommerce.

Jak można się domyślić, rynek dodatków do WordPressa jest ogromny. Także tych bezpłatnych. Niesie to ze sobą wciąż rosnące ryzyko “nieszczelności” systemu. Często w sieci pojawiają się alerty dotyczące ataków w WordPressie i znalezionych w nim luk.

Bezpieczeństwo WordPressa

WordPress napisany jest w języku PHP i współpracuje z bazą danych MySQL. Udostępniany jest nieodpłatnie, w oparciu o licencję GNU General Public License. Jest niezwykle popularnym CMS-em, a do tego pracuje w oparciu o dostarczane przez zewnętrznych deweloperów wtyczki i skórki. Duża część z nich jest darmowa.

Podatność WordPressa na ataki często wynika z luk nie w samym CMS-ie, ale właśnie w dodatkach. Dlatego jedna z podstawowych zasad bezpiecznego korzystania z tego systemu to instalowanie jedynie sprawdzonych dodatków, z dobrymi opiniami, długo obecnych na rynku, za którymi stoją dające się zweryfikować zespoły programistyczne. Do tego istotne jest, aby dbać o aktualność zarówno skórek, jak i wtyczek. Wynika to z tego, że jeśli hackerzy znajdą w nich lukę, autorzy jak najszybciej starają się ją załatać, a efekty tego łatania są udostępniane w aktualizacji. Oznacza to więc, iż “szczelny” system to system aktualizowany. Dotyczy to także samego WordPressa – należy dbać o to, aby korzystać z jego bieżącej wersji.

Oprócz tego w WordPressie należy stosować uniwersalne dla komputerów zasady bezpieczeństwa. Przede wszystkim trzeba zadbać o to, aby hasła były bezpieczne, czyli unikatowe i skomplikowane. Niestety nadal wiele osób stosuje powtarzalne hasła, łatwe do odgadnięcia nawet przez niezbyt dobrze wyszkolonego hakera.

Druga sprawa to kontrola dostępu. W WordPressie zazwyczaj do CMS-a ma dostęp wielu użytkowników. Istotne jest to, aby najlepiej tylko jedno konto miało uprawnienia administratora, a wszystkie pozostałe konta miały uprawnienia minimalne, umożliwiające realizowanie im przydzielonych zadań.

Bardzo istotne jest też zadbanie o to, aby logować się do WordPressa jedynie z bezpiecznego komputera i z użyciem bezpiecznego łącza. Komputer musi być czysty, chroniony antywirusem, a sieć niepubliczna, odpowiednio skonfigurowana pod względem bezpieczeństwa.