12/06/2017
Bezpieczny . ( WERSJA ROBOCZA NIEDŁUGO START )
Obecnie większość stron internetowych jest oparta w system zarządzania treścią CMS obecne trendy i statystyki wskazują, że jednym z najpopularniejszych systemów CMS jest WordPress.
Trend używania WordPress jest podyktowany wygodą użytkownika a co za tym idzie możliwość dalszej łatwej samodzielnej edycji podstron serwisu www, przez osoby nie posiadające wiedzy informatycznej na temat budowy stron internetowych.
Idąc dalej wygoda dla użytkownika a zarazem korzystanie z CMS w dzisiejszych czasach jest już standardem i prawie każdy obecny posiadacz strony internetowej używa systemu do zarządzania treścią. W Polsce jak i na świecie internet podbił cms Wordpress.
Czym jest WordPress ?
Na stronie polskiej społeczności możemy przeczytać …
„WordPress jest nowoczesną, semantyczną, osobistą platformą publikacyjną, koncentrującą się na estetyce, zgodności z internetowymi standardami i użyteczności. WordPress jest zarówno wolny (od słowa „wolność”), jak i darmowy.
Prościej rzecz ujmując, WordPress jest tym, czego używasz, kiedy chcesz pracować, korzystając z oprogramowania blogowego zamiast z nim walczyć.”
Dlaczego WordPress ?
Wordpress pierwotnie został zaprojektowany jako platforma blogowa, jednakże swoją popularność zyskał też jak cms dla strony firmowej czy sklepu. Elastyczność, skalowalność jak i prostota systemu cms jakim jest WordPress to kluczowe elementy sukcesu platformy blogowej.
WordPress to oprogramowanie dla bloga, sklepu, katalogu, strony firmowej, forum czy też stworzenie ogromnego portalu informacyjnego z elementami socjal media.
Mnogość rozwiązań pozwala nam śmiało stwierdzić że ograniczeniem do zastosowania tego CMS jest nasza wyobraźnia.
Wtyczki czyli rozszerzenia dla naszego cms.
Wtyczki do modyfikacje do WordPress zwiększające jego możliwości, za pomocą wtyczek możemy w łatwy sposób ( zaledwie kilka kliknięć myszką ) możemy zmienić naszą platformę blogową w sklep internetowy bądź forum.
Obecnie istnieje prawie 50 tyś wtyczek dostępnych za darmo oraz nie zliczona ilość wtyczek komercyjnych jak i prywatnych nie dostępnych dla całej społeczności użytkowników systemu CMS jakim jest WordPress.
Darmowe motywy czyli nie musisz za to płacić.
WordPress swoją popularność zawdzięcza tysiącom darmowych motywów graficznych instalowanych kilkoma kliknięciami myszki. Motywy zazwyczaj są łatwo konfigurowalne i możemy być tego pewni że bez wiedzy programistycznej nasza strona będzie wyglądała indywidualnie. Oczywiście sukcesem WordPress jest też szerokie grono programistów specjalizujących się w web design i przy współpracy z grafikiem możemy stworzyć piękną stronę, która będzie wpadała nam w oko jak i naszym klientom.
Zagrożenia czyli włamanie na stronę i co dalej ?
Tutaj należy zwrócić szczególną uwagę na kwestię standaryzacji rozwiązań CMS a mianowicie otwartości kodu. PopularnośćWordPress jest tak duża że, nikogo nie powinien zatem dziwić fakt, iż jest on również najpopularniejszym celem ataków hakerów.
Dlaczego tak się dzieje ?
Jak wiadomo każdy system teleinformatyczny czy w naszym przypadku system zarządzania treścią pozbawiony bez opieki informatycznej jest narażony na ataki hakerów. I nikogo nie powinien dziwić fakt że „strona przestała działać”.
Jakie czekają nas przykre konsekwencje ?
Zapewne nie raz słyszeliście że „strona przestałą działać”, „oszukali mnie co to za firma”, „nie umieją robić to niech nie robią” itp…
Jak zwykle kij ma dwa końce a w naszym przypadku można powiedzieć że nawet co najmniej trzy.
Powód takiego rozumowania jest dla mnie prosty i oczywisty.
Zazwyczaj programista nie jest do końca świadomy że rozwiązania na pozór bezpieczne dziś będą bezpieczne jutro. Tak właśnie jest to zrozumiałe bo świat idzie do przodu i zmieniają się standardy, wersje oprogramowania serwerów jak i ich konfiguracja nie jest stała tylko wszystko się zmienia i tutaj trudno być na czasie, bo nawet sam WordPress ma problemy z bezpieczeństwem i właśnie dlatego wprowadza częste aktualizacje. Można krótko stwierdzić bardzo istotny fakt, że każde oprogramowanie posiada tak zwane cykle życia oprogramowania, a modeli tych cykli jest kilka. Najprostszym i zarazem zrozumiałym dla wszystkich jest sekwencyjny model kaskadowy, który składa się z 6 etapów jakimi są:
Planowanie
Analiza
Projekt
Implementacja
Testowanie
Pielęgnacja
I właściwie to wszystko o czym pisałem wyżej sprowadza się do ostatniego cyklu życia oprogramowania jakim jest pielęgnacja.
Pielęgnacja to przede wszystkim aktualizacja zarówno platformy jak i wszelkich dodatków w naszym przypadku pluginów jak i wersji zewnętrznych bibliotek programistycznych np. „jquery”.
Jakie zatem czekają nas konsekwencje? Najlepszym a zarazem najłagodniejszym z nich jest tak zwana białą strona lub tzw błąd 404 co w skórcie oznacza
„HTTP 404 lub Not Found - kod błędu odpowiedzi HTTP wskazującego na to, że klient jest w stanie komunikować się z serwerem, ale ten nie może znaleźć żądanego pliku, lub jest on skonfigurowany, aby nie spełnić żądania i nie wyświetlać informacji.”
( źródłó: https://pl.wikipedia.org/wiki/HTTP_404 )
Jednakże reasumując możemy doświadczyć zarówno pojedynczych konsekwencji jak i kilku naraz wymienionych niżej:
Biała strona
Nie widzimy naszej strony firmowej pokazuje się po prostu cała biała strona.
Dla przykładu strony firmowej klienci nie mogą skorzystać z naszych usług, a co za tym idzie jesteśmy mniej wiarygodni.
Błąd 404
Sytuacja analogiczna jak wyżej z tą różnicą że potencjalny klient jest informowany że strona nie została znaleziona bądź co gorsza została usunięta.
Spadek pozycji w Google i innych wyszukiwarkach
Sytuacja prawdopodobnie w dość krótkim czasie będzie następstwem wyżej wymienionych efektów co za tym idzie znalezienie „SUPERHYDRO S.C.” będzie kłopotliwe
Usunięcie z wyników wyszukiwania
Sytuacja analogiczna z tą różnicą że nie ma naszej strony w spisie Google.
Blokada reklam Google adwords
Następstwo wyżej wymienionych skutków, reklamy naszej firmy nie wyświetlają gdyż naruszają regulamin Google adwords brak właściwej strony.
Blokada reklam Google adsense
Następstwo wyżej wymienionych skutków, z tą różnicą że reklamy na których zarabiamy zostają wyłączone.
Google rozwiązuje z nami współpracę za naruszenie regulaminu.
Przekierowanie na inne strony w tym p***o bądź co gorsze na strony z treściami zabronionymi przez prawo.
Skutek może być dla nas w tym przypadku bardzo nieprzyjemny. Trzeba się będzie tłumaczyć.
Zmodyfikowane treści na stronie
Podmiana tekstu a w najgorszym wypadku podmiana numeru konta bankowego. I może zdażyć się taka sytuacje że będziemy mieli pośredni wpływ na udział w przestępstwie a co za tym idzie czeka nas wątpliwie przyjemna rozmowa z organami ścigania.
Trafienie na spam listy
Nasze maile nie zostaną nigdzie wysłane przez najbliższy czas w najgorszym wypadku kilka dni bez poczty. Wypisywanie z list może potrwać kilka dni a nawet lat.
By móc ekspresowo usunąć się z tych list trzeba będzie większości zapłacić od 5$ w górę a lista jest dość długa.
Trafienie na listy stron z podejrzaną treścią na przykład infekująca komputery wirusami.
To jest bardzo częstym efektem ataku hakerskiego, i nasi klienci w najlepszym wypadku nie zostaną wpuszczenie zarówno przez przeglądarkę jak i oprogramowanie antywirusowe.
Co robić ? Jak się chronić ?
Nie ma prostych odpowiedzi, tak jak i nie ma trudnych pytań, wszystko zależy od stanu naszej wiedzy. Przede wszystkim jak już wspomniałem pielęgnować nasze serwisy www.
Dobrą praktyką jest aktualizacja do wersji stabilnej naszego WordPress oraz aktualizacja wtyczek.
No dobrze, teraz nasuwa mi się mały problem, jeśli programista nie modyfikował funkcjonalności wtyczek w sposób zgodny z wytycznymi bądź nie zrobił dokumentacji do zmian we wtyczkach i nie opisał żadnej linijki kodu to przy ponownej aktualizacji wtyczki bądź co gorsza całego systemu CMS pewne funkcjonalności po prostu przestaną nam działać, a co za tym idzie trzeba będzie porównywać pliki ręcznie. A to rozwiązanie pracochłonne i drogie.
Co robią właściciele stron?
Zazwyczaj amatorzy bądź informatycy „znajomi” może nie z braku niewiedzy, ale z braku płatności bądź śmiesznie niskiej kwoty ( 50 zł ) sprowadzają swoje działania do przywrócenia kopi zapasowej z okresu kiedy strona działała prawidłowo bądź w najgorszym wypadku do usunięcia złośliwego kodu i pozostawiają wszystko zgodnie ze stanem zastanym, przy czym nie wnikają co było przyczyną takiego stanu rzeczy. I tu się im nie dziwię. Bo przecież każdy musi z czegoś żyć a za wiedzę niestety trzeba płacić.
Najgorszą i bardzo często stosowaną praktyką jest zrzucenie winy na wykonawcę bądź firmę hostingową, gdzie ani firma, ani wykonawca nie bierze odpowiedzialności za brak kopi zapasowej jak i aktualizacji naszej strony, no chyba że strony podpisały również umowę w tym zakresie.
Ile kosztuje „odwirusowanie strony” bądź jej naprawienie ?
Stawki za takie działania są różne i różnią się przede wszystkim jakością wykonania jak i podjętych działań. Wspomniałem wyżej, że już od 50 zł mogą przywrócić kopie z backupu zadzwonić z prośbą o przywrócenie bądź usunąć nieprawidłowe wpisy w pliku .htaccess i to wszystko w niecałą godzinę. I to jest bardzo częste działanie doraźne.
Przy kwocie od 200 zł możesz spodziewać się powyższych działań jak i usunięcie niechcianych plików z naszego serwisu. Stawki jak już wspomniałem są naprawdę różne a wszystko zależy od ilości pracy. Dzień pracy dla osoby która wie co robi kształtuje się w granicach od 300 zł netto i jeśli musi sprawdzić i porównać wersję aktualną z wersją „starą zainfekowaną” i przywrócić właściwe działanie serwisu to może okazać się że za naprawę zapłacimy tyle co za nową stronę , z tą różnicą że w tym przypadku każdy dzień bez strony generuje straty. Dodatkowo jeśli wchodzą w grę aktualizacje ta kwota może naprawdę sporo wzrosnąć.
Każdy dzień generuje straty !
Każdy dzień z zainfekowaną stroną generuje straty w postacie przyszłych zysków.
Straty poniesione mogą być różne, wszystko w zależności od profilu naszej strony bądź branży w której działamy. Dla przykładu możemy stracić możliwość nawiązania ważnego kontaktu handlowego, dużego zamówienia bądź wstrzymać pracę firmy na wiele dni przez niemożliwość wysyłania ofert handlowych.
Jakie są straty finansowe ?
Dla przykładu firma zatrudnia 4 pracowników każdy pracuje na komputerze i obsługuje korespondencję, firma posiada stronę firmową jak i sklep internetowy nie koniecznie na CMS WordPress ale będący w katalogu z naszym systemem CMS lub na naszym serwerze.
Strona została zainfekowana pozycje w Google spadły, sklep nie generuje żadnego ruchu bo strona została uznana za niebezpieczną i nie można zrobić zamówienia, poczta nie działa bo trafiliśmy na spam listę.
Znajomy informatyk za 50 zł wgrał backup ale maile nie działają a problem ze stroną powróżył się znowu.
Rachunek jest prosty liczby nie kłamią.
Jeśli robimy obrót na sklepie w kwocie w kwocie 5000 zł dziennie a nasza marża daje nam zysk na poziomie 1000 zł, a dla prostego rachunku pracownik kosztuje nas skromną dniówką wraz z ubezpieczeniem 100 zł to jeden dzień zastoju w firmie generuje straty rzędu 1400 zł a taka sytuacja może powtarzać się raz w tygodniu. A z maila bądź strony możemy nie korzystać w najlepszym wypadku od 2 dni. ( 2800 zł straty dla 2 dni ).
CO ROBIĆ ?
Jeśli jednak jesteśmy amatorami a nasza wiedza jest niewystarczająca bądź mamy mało czasu a nasz biznes prosperuje dobrze powinniśmy się skontaktować w tej sprawie z osobami zawodowo zajmującymi się bezpieczeństwem stron www, a w naszym przypadku od specjalistami od bezpieczeństwa CMS typu WordPress.
