Komunita kolem WordPress neustále pracuje na tom, aby byl bezpečnější. Dočkali jsme se automatických aktualizací jádra, které v případě nouze dokáží během dvou hodin provést aktualizaci všech instalací na světě. Vzhledem k tomu, že je WordPress nejrozšířenějším redakčním systémem s odhadovaným počtem 60 milionů webů, tak se jedná o něco neuvěřitelného.
Profesionální plugin WordFence má většinu funkcí zcela zdarma, právě z důvodu, aby existovala bezpaltná alternativa k jiným profesionálním pluginům.
O bezpečnost WordPress se starají desítky profesionálů a další stovky lidí dohlížejí více či méně oficiálně na pluginy a šablony. Komunita navíc na jakoukoliv hrozbu reaguje opravdu rychle. Vše prověří a pokud je potřeba tak se s ní vypořádá.
Člověk má pak pocit, že když se bude držet všech bezpečnostních pokynů, tak je s WordPress neporazitelný.
Pravda o bezpečnosti a ochranně
Pravda je taková, že ochrana WordPress ve skutečnosti není o tom, že je děláme nedobytným, ale o tom, že minimalizujeme možná rizika. Například přihlašovací jméno a heslo. Jsme nabádání ať nevolíme předdefinované admin a ať používáme předgenerované heslo. Pokud bychom mluvili v teoretické rovině, tak případný útočník může jak přihlašovací jméno tak i heslo uhádnout, například zkoušením náhodných řetězců. I když je to prakticky nereálné, volbou obtížného hesla a loginu tuto šanci pouze snížíme na zanedbatelnou.
Obdobně to je s omezeným počtem pokusů na přihlášení. I přes teoreticky nepřekonatelné množství kombinací stejně raději zablokujeme uživateli možnost se přihlásit po 20 pokusech. Zde je to však trochu sporné. Blokujeme uživatele hlavně, abychom šetřili systémové zdroje, které vytěžuje neustálé pokusy o přihlášení a pro případné nepřímé SQLi útoky. Existují totiž bezpečnostní díry, které prozradí útočníkovi zdali se částečně trefil například u hádání hesla. Dejme tomu, když existuje přihlašovací jméno, ale nesedí heslo, tak je odezva systému pomalejší. Prostě minimalizujeme rizika.
Pokud si přiznáme, že ve skutečnosti jen minimalizujeme rizika, tak si uvědomíme, že ve skutečnosti počítáme s tím, že jednoho dne náš web bude napaden.
Náklady vs náklady
Zkoušeli jste si někdy spočítat na kolik by vás vyšlo odstranění takového napadení? Například vyčištění WordPress od malware, DDoS útok anebo třeba smazání celého webu. Každý na to máme jinou rovnici. Někdo počítá jen s cenou práce, jiný vypočítává na kolik vyjde ztracený návštěvník a jsou i tací, kteří jsou schopni vyčíslit škodu na reputaci do mnoha a mnoha tisíců.
Teď vezměte tuto částku a řekněte si kolikrát asi budu napadený. Jsem lukrativní cíl? Stálo by za to mě hacknout a dát na mou stránku malware? Co moje konkurence, shodí mi DDoS útokem za pětistovku na Vánoce eshop? Lépe by vám na to odpověděl asi bezpečnostní odborník, ale i tak majitel eshopu nejlépe ví, kdy by ho bolel DDoS útok. Jestli si myslíte, že jste naprosto bezvýznamní, tak počítejte alespoň s jednou za rok.
Takže máte vypočteno kolik vás bude stát náprava a jak často by vás v nejhorším někdo mohl „poškádlit“. Což znamená, že vlastně víte na kolik vás přijde bezpečnostní incident ročně. S touto částku už můžete nějakým způsobem počítat.
Znáte to než vynakládat peníze na nápravu škod, tak je lepší jí investovat do prevence. Můžete si tak pořídit prémiovou verzi nějakého bezpečnostního pluginu, zařídit si DDoS ochranu anebo třeba obnovení webu ze zálohy na jedno kliknutí. Možností je spousta. Pokud by vás napadení opravdu finančně bolelo, tak vězte, že jste právě objevili v rozpočtu peníze na bezpečnostní audit a penetrační testy. Na základě toho všeho získáte dostatek doporučení, abyste snížili šanci, že budete napadeni třeba z každého roku na jednou za pět. Popřípadě zavedete taková bezpečnostní opatření, že odstranění napadení a obnovení ze zálohy bude provedeno do několika minut. Všechno je možné když jsou peníze.
Jde nějak snížit bezpečnostní riziko na nulu?
Pokud vám někdo tvrdí, že to jde, tak prostě kecá. Každý den vznikají nové a nové formy útoku. Zdali proti nim jste zranitelní anebo se s nimi dokážete vypořádat je čistě na tom jak jste se vypořádali s riziky. Často oblíbené převeďte WordPress z PHP na HTML statickou verzi a nemáte se čeho bát není pravda. DDoS útok váš web dokáže stejně zablokovat, popřípadě zamíří na server, kde službu máte anebo části infrastruktury vašeho poskytovatele. Samozřejmě i toto riziko se dá snížit jako i ty ostatní. Jen to stojí peníze a chce dostatek znalostí. A i když vymyslíte všechno, tak vždy někde něco zůstane zranitelné. Sice už spíše v té teoretické rovině ale nebezpečí tu vždy bude.