WordPress jest świetnym narzędziem, bo pozwala szybko zbudować bloga, stronę firmową, sklep albo prostą wizytówkę bez pisania wszystkiego od zera. Właśnie dlatego tak wiele osób go wybiera. Problem zaczyna się wtedy, gdy do strony dokładamy kolejne wtyczki bez większego zastanowienia. Jedna do formularza, druga do SEO, trzecia do cache, czwarta do galerii, piąta do banerów, szósta do statystyk. Po czasie robi się z tego mały magazyn dodatków, z których część nie jest już potrzebna, część dawno nie była aktualizowana, a część ma dostęp do rzeczy, których wcale nie powinna dotykać.
To nie jest straszenie na siłę. W ostatnich miesiącach regularnie pojawiają się informacje o podatnościach w popularnych wtyczkach WordPressa. Wordfence opisał między innymi podatności w Avada Builder, czyli dodatku używanym na bardzo dużej liczbie stron. W grę wchodziły błędy typu odczyt plików oraz SQL Injection, a poprawki pojawiły się dopiero w nowszych wersjach wtyczki. Z kolei w jednym z majowych raportów Wordfence wskazano 75 podatności ujawnionych w 59 wtyczkach i 2 motywach w zaledwie jednym tygodniu. To dobrze pokazuje skalę problemu.
Najważniejsze jest jednak to, że nie każda dziura w WordPressie oznacza błąd samego WordPressa. Bardzo często ryzyko pojawia się przez dodatki. Wtyczka jest trochę jak program instalowany na komputerze. Jeśli pochodzi z dobrego źródła, jest rozwijana i aktualizowana, zwykle można jej zaufać. Jeśli jednak została porzucona, pobrana z przypadkowej strony albo kupiona lata temu i od tamtej pory nikt jej nie ruszał, zaczyna być realnym zagrożeniem.
Dlaczego wtyczki są tak częstym celem ataków?
Z punktu widzenia cyberprzestępcy WordPress jest atrakcyjny, bo występuje masowo. Nie trzeba atakować jednej konkretnej strony. Wystarczy znaleźć popularną wtyczkę z błędem, przygotować automatyczny skaner i szukać witryn, które nadal mają starą wersję. To trochę tak, jakby ktoś chodził po osiedlu i sprawdzał, w których drzwiach nadal działa stary, znany sposób otwierania zamka.
Co gorsza, atak nie zawsze od razu wygląda spektakularnie. Strona nie musi zniknąć z internetu. Czasem przestępca dodaje ukryte linki SEO, przekierowania, fałszywe podstrony, podejrzany kod JavaScript albo nowe konto administratora. Właściciel strony widzi normalny panel, a problem wychodzi dopiero wtedy, gdy Google zaczyna ostrzegać użytkowników, hosting blokuje konto albo czytelnicy zgłaszają dziwne reklamy.
Ostatnio coraz częściej mówi się też o atakach na łańcuch dostaw. To sytuacja, w której problem nie polega wyłącznie na błędzie w kodzie, ale na tym, że ktoś przejmuje projekt, kanał aktualizacji albo dystrybucję dodatku. Patchstack opisywał przypadki kompromitacji wtyczek WordPressa, w tym sytuacje, gdzie złośliwy kod trafiał do użytkowników przez pozornie normalny dodatek. Dlatego sama popularność wtyczki nie zawsze wystarcza jako gwarancja bezpieczeństwa.
Pierwszy krok: usuń to, czego nie używasz
Najprostsza zasada jest często najskuteczniejsza: jeśli wtyczka nie jest potrzebna, usuń ją. Nie wyłącz, tylko usuń. Wyłączona wtyczka zwykle nie wykonuje kodu, ale nadal leży na serwerze. Poza tym robi bałagan w panelu i utrudnia kontrolę nad stroną.
Warto raz na jakiś czas wejść w panel WordPressa i sprawdzić listę dodatków. Jeżeli widzisz wtyczkę, której nazwy już nawet nie kojarzysz, zatrzymaj się na chwilę. Sprawdź, do czego służy. Często okazuje się, że taka wtyczka była tylko chwilowo testowana i została przypadkiem. Zdarza się też, że dawno zastąpiło ją inne rozwiązanie albo obsługiwała funkcję, której na stronie już nie ma.
Im mniej wtyczek, tym mniejsza powierzchnia ataku. To nie znaczy, że trzeba popadać w skrajność i usuwać wszystko. Chodzi o rozsądek. Strona z 12 dobrze dobranymi dodatkami bywa bezpieczniejsza niż strona z 45 wtyczkami, z których połowa jest nieużywana.
Sprawdź datę ostatniej aktualizacji
Druga rzecz to aktualność. W repozytorium WordPressa można sprawdzić, kiedy dana wtyczka była ostatnio aktualizowana i czy jest zgodna z obecną wersją systemu. Jeśli dodatek nie był ruszany od kilku lat, powinno zapalić się ostrzegawcze światełko.
Nie każda stara wtyczka musi być od razu zła. Są proste dodatki, które robią jedną rzecz i nie wymagają częstych zmian. Jednak w przypadku wtyczek związanych z formularzami, płatnościami, kontami użytkowników, logowaniem, SEO, cache, edycją treści i przesyłaniem plików brak aktualizacji jest poważnym sygnałem ostrzegawczym.
W praktyce warto zadać sobie trzy pytania:
- Czy wtyczka jest nadal rozwijana?
- Czy autor odpowiada na zgłoszenia?
- Czy użytkownicy nie piszą w komentarzach, że coś jest porzucone albo nie działa z najnowszym WordPressem?
Jeśli odpowiedź jest niepokojąca, lepiej poszukać alternatywy.
Liczba instalacji pomaga, ale nie wystarcza
Popularna wtyczka zwykle ma jedną zaletę: więcej osób ją sprawdza, a błędy szybciej wychodzą na jaw. Z drugiej strony, popularność przyciąga atakujących. Jeżeli luka znajduje się w dodatku z setkami tysięcy lub milionem instalacji, automatyczne ataki mogą pojawić się bardzo szybko.
Dlatego nie patrz wyłącznie na liczbę aktywnych instalacji. Sprawdź także oceny, historię aktualizacji, forum wsparcia i to, czy producent jasno komunikuje poprawki bezpieczeństwa. Dobra wtyczka nie musi mieć miliona użytkowników, ale powinna mieć żywego autora i przejrzystą historię rozwoju.
Uważaj na wtyczki z przypadkowych stron
To jeden z najczęstszych błędów. Ktoś szuka płatnej wtyczki, trafia na stronę z „darmową wersją premium”, pobiera ZIP, instaluje i cieszy się, że zaoszczędził. Tyle że taki plik może mieć dopisany złośliwy kod. Czasem działa normalnie, więc użytkownik nie widzi problemu. Dopiero po czasie okazuje się, że strona wysyła spam, tworzy ukryte konta albo przekierowuje ruch na podejrzane domeny.
Wtyczki najlepiej pobierać z oficjalnego repozytorium WordPressa, strony producenta albo sprawdzonego marketplace’u. Jeżeli dodatek jest komercyjny, kup go legalnie. To nie tylko kwestia licencji, ale też aktualizacji i bezpieczeństwa. Piracka wtyczka może być tańsza tylko pozornie. Naprawa zainfekowanej strony potrafi kosztować znacznie więcej.
Jak sprawdzić, czy konkretna wtyczka ma znaną podatność?
Warto korzystać z baz podatności. Wordfence prowadzi publiczną bazę podatności WordPressa, w której można wyszukać wtyczki i sprawdzić, czy miały zgłoszone błędy. Podobne informacje publikuje Patchstack. Nie trzeba być administratorem bezpieczeństwa, żeby z tego korzystać. Wystarczy wpisać nazwę wtyczki i porównać wersję z tą, którą masz na stronie.
Jeżeli baza pokazuje, że podatność dotyczy wersji starszej niż ta, którą masz obecnie, prawdopodobnie jesteś po bezpieczniejszej stronie. Jeżeli jednak Twoja wersja jest podatna, aktualizacja powinna być priorytetem. Najpierw kopia zapasowa, potem aktualizacja, a po niej szybki test strony.
Może Cię zainteresować: Jak skutecznie zabezpieczyć stronę na WordPress?
Aktualizuj, ale nie na ślepo
Aktualizacje są ważne, ale przy stronie produkcyjnej warto robić je z głową. Przed większą aktualizacją wykonaj kopię plików i bazy danych. Jeśli masz możliwość, sprawdź zmiany na kopii testowej. Szczególnie dotyczy to sklepów, stron firmowych i witryn, które zarabiają lub zbierają zapytania od klientów.
Najgorszy scenariusz to nieaktualizowana strona przez wiele miesięcy, a potem jednoczesne kliknięcie „aktualizuj wszystko”. Czasem zadziała. Czasem rozsypie formularz, koszyk, cache albo wygląd strony. Lepiej aktualizować regularnie i małymi krokami.
Zwróć uwagę na uprawnienia
Nie każda wtyczka powinna mieć dostęp do wszystkiego. Jeśli prosty dodatek do ikon społecznościowych prosi o dziwne uprawnienia, tworzy własne role użytkowników albo wymaga dostępu do przesyłania plików, warto zachować ostrożność. W WordPressie wiele problemów zaczyna się od zbyt szerokich możliwości użytkownika lub źle zabezpieczonej funkcji AJAX, REST API czy formularza.
Warto też ograniczyć liczbę kont administratora. Konto redaktora nie powinno mieć uprawnień administratora, jeśli tylko publikuje wpisy. Im mniej osób ma pełny dostęp, tym mniejsze ryzyko, że ktoś przez przypadek zainstaluje podejrzaną wtyczkę albo kliknie coś, czego nie powinien.
Zadbaj o podstawy, bo one naprawdę robią różnicę
Bezpieczne wtyczki to nie wszystko. Strona powinna mieć aktualną wersję PHP, aktualny WordPress, mocne hasła, logowanie dwuetapowe, kopie zapasowe i certyfikat SSL. Dobrze mieć też podstawową ochronę przed brute force, skaner plików oraz monitoring zmian. Nie chodzi o to, żeby instalować dziesięć wtyczek bezpieczeństwa naraz. Chodzi o rozsądny zestaw zabezpieczeń.
Dobra praktyka jest prosta: raz w miesiącu zrób mały przegląd strony. Sprawdź aktualizacje, usuń niepotrzebne dodatki, przejrzyj konta użytkowników, wykonaj kopię zapasową i upewnij się, że formularze działają. Taki przegląd zajmuje mniej czasu niż późniejsze odkręcanie infekcji.
Podsumowanie
WordPress sam w sobie nie jest zły ani „dziurawy z definicji”. Problem często zaczyna się tam, gdzie właściciel strony traktuje wtyczki jak niewinne dodatki, które można instalować bez kontroli. Tymczasem każda wtyczka to fragment kodu działający na Twojej stronie. Może pomagać, ale może też stać się furtką. Jeśli chcesz zmniejszyć ryzyko, zacznij od prostych rzeczy. Usuń nieużywane dodatki. Aktualizuj te, których naprawdę potrzebujesz. Pobieraj wtyczki wyłącznie z zaufanych źródeł. Sprawdzaj datę ostatniej aktualizacji i znane podatności. Rób kopie zapasowe przed zmianami. I przede wszystkim nie instaluj wszystkiego, co wygląda ciekawie. W bezpieczeństwie WordPressa nie chodzi o paranoję. Chodzi o porządek. A porządek we wtyczkach to jedna z najlepszych rzeczy, jakie możesz zrobić dla swojej strony.
🤖 Zdjęcie główne artykułu zostało wygenerowane przy użyciu AI na potrzebu artykułu.
