Wtyczki bezpieczeństwa WordPress – Wordfence, iThemes Security, WPCerber – wady

Siemaneczko! W ostatnim czasie w świecie WordPressa miała miejsce kuriozalna sytuacja, ponieważ wtyczka do “bezpieczeństwa”, oczywiście w cudzysłowie, która powinna chronić WordPressy, została usunięta z repozytorium WordPress, ponieważ zawierała lukę bezpieczeństwa. Mówiąc wprost, to wtyczka została usunięta z repozytorium, czyli z miejsca, gdzie mamy do pobrania darmowe wtyczki, dlatego, że w porę nie została załatana no i mogła być przyczyną włamania na WordPress.

Partnerem kanału jest Smarthost – polski hosting dla WordPressa z doskonałym wsparciem.

Mam nadzieję, że łapiesz jak to brzmi kuriozalnie. Podobną przygodę, aż nie tak hardkorową, ale jednak lukę bezpieczeństwa, miała też najpopularniejsza wtyczka, jeśli chodzi o zabezpieczenia WordPressa, a raczej tak reklamowana, czyli wtyczka Wordfance. O sytuacji związanej z wtyczką WP Cerber informuje jeden z użytkowników grupy na temat bezpieczeństwa WordPressa, I piszą tak:

Użytkownicy WP Cerber muszą na razie ręcznie zaktualizować swoje instalacje, aby usunąć lukę, która istnieje w wersji 9.0. Informacja o aktualizacji nie pojawia się w kokpicie Twojej witryny, ponieważ wtyczka została wyłączona z katalogu wtyczek WordPress. Moje strony utknęły na WP Cerber 9.0 bez pokazywania nowych aktualizacji, to dlatego, że aplikacja została tymczasowo usunięta z katalogu wtyczek WordPress z powodu luki. WP Cerber w wersji 9.2 jest najnowszą wersją i jest dostępny bezpośrednio na stronie WP Cerber. I tutaj mamy link do strony, gdzie twórcy pokazują jak zainstalować wtyczkę spoza WordPressa. Firma jest świadoma problemu i próbuje go rozwiązać. Nie mogę skomentować dlaczego wtyczka jest nieaktywna od 18 sierpnia. Mam nadzieję, że wkrótce uda im się to naprawić.

Czy wtyczki bezpieczeństwa chronią stronę internetowa?

I faktycznie, gdy wejdziemy w repozytorium, wtyczki już nie można pobrać i mamy informację, że jest niedostępna. Wniosek powinien nasunąć się sam, ale jeśli to nie następuje, to podpowiem. Tak zwane wtyczki bezpieczeństwa nie chronią Twojego WordPressa. Co więcej mogą mieć efekt odwrotny, czyli mogą zaszkodzić. Mogą być przyczyną włamania albo np. przyczyną zapchania bazy danych, bo te wszystkie próby nieudanego logowania zapisują się w bazie danych zupełnie niepotrzebnie, bo i tak cały czas ktoś chce się zalogować na naszego WordPressa i w ponad 90% są to boty. Inne wtyczki, które miały chronić WordPressy, również miały problemy z lukami bezpieczeństwa i to po kilka razy.

W ostatnich dniach najpopularniejsza z nich Wordfence również musiała wypuścić łatkę bezpieczeństwa. Więcej o bezpieczeństwie WordPress piszę w darmowym e-booku: “5 kroków do bezpiecznego WordPressa“, link znajdziesz w opisie.

Podsumowując wtyczki bezpieczeństwa nie chronią Cię przed włamaniem. To trochę tak, jakby wzmacniać drzwi od wejścia do mieszkania, ale z drugiej strony zostawić otwarte okno, bo na tym mniej więcej polega takie zabezpieczanie WordPressa. No bo w momencie, gdy mamy dziurawą jakąkolwiek wtyczkę, to już nie zrobimy zbyt wiele. Jeśli mamy wtyczkę “bezpieczeństwa” w cudzysłowie, która ewentualnie nas poinformuje, że mamy zawirusowaną stronę, a to już trochę za późno, bo np. są dane wykradzione. Ja zapraszam Cię do wywiadu z ministrem Szumowskim, który wypowiedział się na temat wtyczek bezpieczeństwa. Za chwilę pojawi Ci się karta tutaj na ekranie, jak było fajnie, a jeszcze nie subskrybujesz to subskrybuj i widzimy się w kolejnych filmach. Hejka!