Bezpieczeństwo strony: dostałam w nocy mail. Najpierw atak paniki

strona firmowa / /

Aktualizacja wpisu: 7 lipca 2023

Dostałam wiadomość od klientki. Zadane przez nią pytanie wraca do mnie regularnie. Uznałam, że jest to super temat na wpis. Wiadomość brzmiała tak:

Ewelina, dostałam w nocy taki mail. Najpierw atak paniki, ale chyba niepotrzebnie? W mailu taka treść:

12 failed login attempts (3 lockout(s)) from IP 34.142.219.165

Last user attempted: admin

IP was blocked for 20 minutes

Zacznę od wyjaśnienia, o co chodzi w tym mailu:

  • dokonano 12 błędnych prób zalogowania się na Twoją stronę z adresu IP 34.142.219.165
  • próby były podjęte na login: admin
  • IP, z którego próbowano się zalogować, zostało zablokowane na 20 minut.

Dlaczego wysyłane są maile o próbie włamania na stronę?

To maile generowane automatycznie przez wtyczkę Limit Login Attempts (lub podobne). Oczywiście, aby dostać taki raport, trzeba wtyczkę pobrać, włączyć i skonfigurować. Wiele osób ma tę wtyczkę i zapomina o jej istnieniu. Dlaczego?

Ponieważ często jest instalowana na samym początku prac nad stroną. Może się tak stać, gdy instalujemy WordPressa za pomocą autoinstalatora. To rozwiązanie oferowane przez wielu dostawców serwera, w tym np. Zenbox. Wygląda to tak, że podczas automatycznej instalacji WP dostawca serwera pyta nas, czy ma zainstalować tę wtyczkę. Większość osób się zgadza. I słusznie. Bo dzięki niej blokowane są ataki na stronę. W treści maila widać, że wtyczka zablokowała „osobę”, która próbowała złamać hasło dla użytkownika o loginie „admin”.

Dlaczego ktoś chciał się zalogować na moją stronę?

Przede wszystkim to nie była osoba. Nikt nie traci czasu na włamywanie się na strony małych biznesów ani osób prywatnych. Prawdziwe osoby raczej próbują zhakować strony banków, dużych korporacji itp.

W naszym przypadku za próby odpowiadają boty. Programy. Szukają stron podatnych na ataki. Czyli takich, które są zrobione lub prowadzone niezgodnie z dobrymi praktykami. Na szybko. Na skróty. Bot szuka znanych luk bezpieczeństwa. Gdzie? Wszędzie, gdzie jest to możliwe:

  • w niedbale utworzonym koncie administratora,
  • w lukach motywów,
  • w lukach bezpieczeństwa we wtyczkach,
  • itp.

W przedstawionym przykładzie bot próbował złamać hasło dla konta, które ma login „admin”. Ważne: to nie oznacza, że na stronie w ogóle jest takie konto. Ale wiele osób zakłada konto administratora z loginem admin lub administrator. Dlatego boty je wypróbowują. Po znalezieniu loginu do złamania zostaje im tylko hasło. Przez takie niedopatrzenie sami właściciele stron pomagają zhakować swoją stronę. Boty próbują szczęścia i testują popularne loginy. A nuż się uda!

Dlatego nigdy nie ustawiaj oczywistych loginów. Login i hasło powinny być przypadkowym ciągiem wielkich i małych liter i cyfr. Ważne: nigdy nie używaj tego samego hasła na więcej niż jednej stronie. To duży błąd.

bezpłatny newsletter edukacyjny

Twoja pierwsza strona

Jeśli podoba Ci się sposób, w jaki uczymy, zapisz się na newsletter dla osób, które robią lub planują pierwszą stronę. Konkretna wiedza co tydzień.

Co może się stać, gdy bot zaloguje się na konto administratora?

Nic dobrego. Oto kilka potencjalnych scenariuszy:

1. Bez Twojej wiedzy zostaje ustawione przekierowanie na jakąś stronę, np. stronę dla dorosłych. Ktoś chce wejść na Twoją stronę, ale zostaje automatycznie przekierowany na inną stronę, często z niecenzuralnymi treściami. Niefajne.

2. Wyobraź sobie, że trwa u Ciebie sprzedaż, a strona zaczyna działać w nieprzewidywalny sposób. Albo gdzieś przekierowuje albo wyświetla w różnych miejscach dziwne reklamy, np. po chińsku czy w innym egzotycznym języku. Wprowadza to poczucie zagrożenia i rodzi brak zaufania. Twoi klienci mogą się zacząć obawiać, np. o swoje dane osobowe wprowadzane w formularzu sprzedaży. Wiele osób ostatecznie nie zdecyduje się na zakupy.

3. Strona wolno działa. Dzieje się tak, gdy po ataku zostają nieoczekiwane zmiany w kodzie. Początkowo możesz nie zdawać sobie sprawy, że dzieje się coś niedobrego. Ale sytuacja zazwyczaj eskaluje: najpierw strona jest tylko trochę wolniejsza, potem otwiera się coraz dłużej i dłużej. Czasami finalnie pada. Możesz ją przywrócić z kopii zapasowej. Ale jeżeli w kopii też jest wirus? W takim wypadku samo przywrócenie kopii nie rozwiązuje problemu. Trzeba zatrudnić specjalistę od zabezpieczeń. Zrobić audyt strony (kodu, bazy danych) i sprawdzić, czy z kopią jest wszystko ok. Jeżeli nie jest, trzeba oczyścić pliki strony i/lub bazę danych.

4. Wszystkie maile wysyłane z Twojej strony zaczynają wpadać do spamu lub Twoja strona zaczyna masowo rozsyłać maile i Twój adres IP ląduje na czarnej liście. To może mieć szerokie negatywne konsekwencje.

Jak się zabezpieczyć przed włamaniem na stronę?

Może czytasz ten wpis i zastanawiasz się: cholera, czy ja w ogóle mam tę wtyczkę do blokowania takich ataków? 🙂 Zacznij od sprawdzenia, czy masz Limit Login Attempts. Pobierz, włącz, skonfiguruj.

Druga sprawa jest taka, że bezpieczeństwo to wielowątkowy temat. Nie ma opcji, że podsumuję go w jednym wpisie. Bezpieczeństwo strony to nie jest jedno kliknięcie, jedna wtyczka. To rozważne zachowanie na kilku poziomach i edukowanie się między innymi w zakresie:

  • wyboru serwera, bo wiele zależy od tego, czy masz wybrany dobry, bezpieczny serwer (uczę tego),
  • bezpiecznego logowania na serwer i bezpiecznego przesyłania plików (uczę tego :),
  • regularnej aktualizacji motywów, wtyczek, samego WordPressa i innych kluczowych komponentów strony (uczę tego),
  • wyboru wyłącznie solidnych i zweryfikowanych wtyczek i motywów (uczę tego),
  • pilnowania aktualizacji komputera i wszystkich programów na komputerze,
  • pracy jedynie na zaufanych wi-fi (większość wi-fi w kafejkach czy hotelach nie jest zabezpieczonych, niestety. Nie korzystaj z nich do logowania się na pocztę, stronę, do banku – o zgrozo… nie. Czasami nawet domowy router nie jest dobrze skonfigurowany, niestety). Tego nie uczę osobiście, ale zapraszam eksperta, który uczy tego u mnie,
  • korzystania z menedżera haseł (np. LastPass, 1password),
  • i więcej! To tylko część wątków.

Gorąco zapraszam Cię do podszkolenia się i zabezpieczenia swojej strony. W WP DLA ZIELONYCH szeroko omawiam temat zabezpieczenia strony.

Podsumowując. Jeżeli:

  • robisz stronę na WordPressie dla siebie,
  • zarządzasz stroną na WordPressie dla innych (np. jako wirtualna asystentka, junior asystent/ka, junior project manager/ka, sekretarka lub sekretarz),
  • chcesz robić strony dla innych,

to potrzebujesz wiedzy o bezpieczeństwie, aby robić to zgodnie z dobrymi praktykami.  

W newralgicznych etapach stawiania strony zawsze kładę nacisk na dobre praktyki. Stronę można postawić na skróty albo zgodnie z dobrymi praktykami. Uczę jak założyć i obsługiwać stronę bezpiecznie. Dodatkowo w WP DLA ZIELONYCH mam regularne webinary z zewnętrznym ekspertem od bezpieczeństwa w sieci dla małych biznesów. Jest to spotkanie tylko dla kursantów. Co roku robimy odświeżenie tego szkolenia. Dołącz i zobacz nagranie szkolenia w archiwum webinarów w kursie.

Dziękuję za przeczytanie całego wpisu :) Zachęcam Cię do pogłębienia swojej wiedzy o robieniu stron razem z naszymi bezpłatnymi kursami. Przygotowałyśmy je specjalnie dla osób stawiających pierwsze kroki w świecie online.

Dowiedz się więcej

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

informacje o kursie + 10% rabatu

Zrób z nami stronę!

Pobierz 6 lekcji wideo wraz z super szczegółowym opisem kursu i otrzymaj 10% rabatu. 

logo-wp-dla-zielonych

Z nami dowiesz się, jak samodzielnie i bez stresu stworzyć stronę na WordPressie i nią zarządzać. Uczymy od podstaw. Prostym językiem. Przeszkoliłyśmy z sukcesem tysiące osób. 

Masz pytania? Sprawdź zakładkę Częste pytania lub odezwij się do nas!

Baza wiedzy

Edukacyjny newsletter
Twoja pierwsza strona

Bezpłatny kurs mailowy
Jak zrobić stronę w 2022 r.

Bezpłatny kurs mailowy
Co to jest WordPress

o kursie

Czy kurs jest dla Ciebie?

Czego się nauczysz

Co wyróżnia nas na rynku 

Rekomendacje i historie 

Strony kursantów

Scroll to Top