Drugi webinar z cyklu Akademii home.pl już za nami. Tym razem Przemek, ekspert home.pl od WordPressa, opowiedział o zastosowaniu tego CMS’a do stworzenia strony WWW. W trakcie szkolenia padło kilka pytań, na które nie zdążyliśmy odpowiedzieć. Tradycyjnie nadrabiamy zaległości.
Jak się zabezpieczyć się przed exploitami typu SSRF/CSRF?
Jest to bardzo szerokie zagadnienie, ponieważ exploity tego typu mogą wynikać na wielu płaszczyznach. Zawsze warto mieć na uwadze aktualizacje wtyczek i motywów, z których korzystamy. Jeżeli dana wtyczka nie była modernizowana przez jej autora od roku – należy od razu poszukać zamiennika, ponieważ z każdym miesiącem rośnie ryzyko infekcji. W poniższym artykule podano m.in. przykład wtyczki, którą pobrano 800 000 razy, posiadającą regularne wsparcie, a mimo to posiadała ona stosowną lukę:
Takie sytuacje są niezwykle trudne do przewidzenia, dlatego zalecamy regularne wykonywanie backupu i zabezpieczanie instalacji WordPress na tyle, na ile jest to możliwe.
Jak chronić się przed XXS- cross site scriptingiem
Ochrona przez XSS polega przede wszystkim na utrzymywaniu WordPressa w aktualnej dostępnej rewizji, zabezpieczenie bazy danych przez dodanie własnego prefiksu, „oddzielenie” pliku index.php od głównego katalogu WordPressa – te ostatnie działanie wymaga odpowiedniej wiedzy programistycznej, ponieważ wiąże się z modyfikacją odwołań do innych plików w skrypcie PHP.
Czy trudno się przerzucić z innego CMSa na WordPress? Jak to zrobić?
Wszystko uzależnione jest od tego czy wiemy jak działa dany CMS, na którym strona została stworzona, a także czy znamy narzędzie WordPress. Ogólnie rzecz biorąc nie jest to kwestia wysoce problematyczna, jednak wszystko zależy głównie od tego z jakiego narzędzia chcemy przenieść naszą witrynę.
Jak zabezpieczyć logowanie użytkownika admin?
Na dobry początek warto użyć innego loginu niż „admin” (lub administrator, webmaster itp.), ponieważ są one najczęściej używane przez szkodliwe boty. Przydatne jest także dołączenie do formularza logowania Google Recaptcha lub logowanie dwuetapowe. Dobrym pomysłem jest ograniczenie wyświetlania ekranu logowania tylko dla danego adresu IP poprzez plik .htaccess – https://pomoc.home.pl/baza-wiedzy/jak-blokowac-uzytkownikow-po-adresie-iphost-z-wykorzystaniem-htaccess . Trzeba jednak pamiętać, że ta metoda sprawdzi się najlepiej, gdy korzystasz ze stałego adresu IP.
Jak jest z szybkością działania witryn opartych na WP? Nie są one z natury wolne?
Prędkość działania każdej strony w Internecie (nie tylko opartych o WordPressa) uzależniona jest od wielu czynników, takich jak rozmiar bazy danych, rozmiar grafik, liczba wtyczek itp. Każda strona będzie działać wolniej, jeśli nie będzie tworzona rozważnie i nie będzie optymalizowana. Z natury WordPress jest narzędziem , które działa z zadowalającą prędkością. Problemem mogą być jednak nie tyle dodatkowe wtyczki, co ich zasada działania. Jeżeli wymagają one do poprawnego działania połączenia z zewnętrznym serwerem to strona WWW będzie działać zauważalnie wolniej i nie będzie to kwestia wydajności hostingu.
Czy macie jakieś narzędzia zabezpieczające WordPressa?
Na platformie hostingowej działa WAF – Web Application Firewall, który weryfikuje luki bezpieczeństwa w aplikacjach. Dodatkowo zachęcamy do skorzystania z usługi Sitelock, która jest skanerem antywirusowym i antyexploitowym dla popularnych CMS, w tym WordPress – https://home.pl/sitelock/
Czy polecacie jakieś artykuły bądź literaturę dot. WordPressa przed rozpoczęciem z nim przygody?
Tak jak Przemek wspomniał podczas webinaru, polecamy każdą literaturę odnoszącą się do WordPressa oraz CMS z wydawnictwa Helion. Dodatkowym źródłem wiedzy są grupy dyskusyjne na Facebooku, a także nasze webinary.
Czy WordPress nadaje się praktycznie do komercyjnego tworzenia stron, czy są lepsze narzędzia?
WordPress jest narzędziem przeznaczonym zarówno dla webmasterów, którzy posiadają doświadczenie przy tworzeniu stron WWW, jak i dla nowicjuszy. Wiele agencji kreatywnych tworzy strony WWW tylko za pośrednictwem WordPressa. Zatem, krótka odpowiedź: tak.
Jak umieścić reklamy na stronie na WordPress?
Możliwości umieszczania reklam jest kilka. Są do tego dedykowane wtyczki, które posiadają bogate opcje konfiguracyjne np. związane z rotacją reklam i ich rozmieszczeniem. Można również skorzystać z odpowiednich widgetów dołączonych do danego motywu – coraz więcej z nich posiada moduł o nazwie „Advertisment” lub „Ads”, który umieszczamy np. w stopce lub sidebarze i wklejamy do niego kod reklamy lub obrazek.
W czym Joomla jest lepsza od WordPressa?
Joomla również posiada bogatą bazę użytkowników i zdecydowanie jest to bardziej kompleksowe narzędzie dla platform elearningowych, dużych portali społecznościowych itp. Jeżeli chodzi o cykl aktualizacji – oba rozwiązania są dość podobne tzn. twórcy dbają o ich rozwój i bezpieczeństwo.
Czy WordPress nadaje się na stworzenie strony, która będzie zawierała galerię?
W sieci dostępnych jest tysiące stron, które pełnią charakter portfolio z bardzo rozbudowanymi grafikami. A więc tak – nadaje się. Wszystko ograniczone w tej materii jest tylko zdrowym rozsądkiem przy tworzeniu takiej witryny (aby zdjęcia nie były w wysokich rozdzielczościach, aby ich waga nie była duża itp.).
W jaki sposób można dodać słowa kluczowe do strony na WordPress? Pomijając płatny Yoast SEO?
Płatny Yoast jest rozwiązaniem, które warto rozważyć tylko gdy nasza witryna jest bardzo rozbudowana, posiada wiele podstron (np. jest to sklep oparty na Woocommerce). Darmowa wersja wtyczki jest wystarczająca dla małych i średnich rozmiarem stron WWW. W przypadku czystego WordPressa nie ma możliwości dodania „słów kluczowych”, a jedynie „tagi”, które przy indeksacji strony mogą być brane pod uwagę w wynikach wyszukiwania. Jest to jednak mały wycinek tego, co jest wymagane do pozycjonowania strony. Warto na dobry początek zrobić audyt SEO.
Czy skanery online typu Sucuri/WPscan wykazują wszystkie zainfekowane pliki czy niekoniecznie są to rzetelne narzędzia?
Niestety ciężko jednoznacznie odpowiedzieć na to pytanie, ponieważ pomyślność wykonania takiego skanowania jest uzależniona od 2 kwestii:
- uprawnień do plików na serwerze,
- aktualności bazy zagrożeń w tego typu narzędziach.
W przypadku usługi Sitelock (https://home.pl/sitelock/) skanowanie odbywa się minimum raz dziennie, a baza zagrożeń jest aktualizowana na bieżąco m.in. w wyniku weryfikacji aplikacji CMS na ponad 18 milionach stron WWW.
