Co to znaczy, że strona jest dziurawa?

Dziurawe mogą być spodnie, skarpetki albo polskie drogi – to wiedzą wszyscy. Ze stronami internetowymi to już nie jest takie oczywiste – dlatego czytaj dalej, bo jeśli prowadzisz biznes to z pewnością jest wiedza, która Ci się przyda.

Tradycyjnie – jeśli nie masz czasu czytać, obejrzyj Video. Jednak w treści poniżej umieściłem rozwiązania części problemów. Jakkolwiek daję Ci wybór ;)

 

Większość stron internetowych jest zbudowana w oparciu o system WordPress. Rewelacyjny silnik, prosty w obsłudze wyposażony w mechanizm, dzięki któremu bardzo łatwo jest rozbudować podstawową wersję o nowe często bardzo zaawansowane funkcjonalności. Rozbudowa odbywa się za pomocą tzw. „plugin’ów”, lub mówiąc po naszemu – za pomocą wtyczek.

System WordPress jest najpopularniejszy dzięki temu, że jest platformą do której absolutnie każdy może tworzyć własne dodatki. Dzieje się tak dlatego, że kod tej aplikacji jest otwarty a więc dostępny dla każdego. Jak można się spodziewać wykorzystują to również osoby o złych zamiarach wyszukując błędów i podatności na włamania.

Jedno jest pewne – jeśli człowiek coś stworzył, inny człowiek będzie w stanie złamać zabezpieczenia – nie ma systemów idealnie bezpiecznych. Z WordPressem jest podobnie – dlatego jak do każdego porządnego oprogramowania wydawane są do niego regularne poprawki zabezpieczeń. Dokładnie ta sama zasada obowiązuje przy wtyczkach użytych do budowy konkretnych stron.

Jeżeli aktualizacje są regularnie przeprowadzane – wtedy system jest bezpieczny (tak bardzo jak każdy system regularnie aktualizowany). Problemem jest to, że praktycznie żaden właściciel firmy, nie zawraca sobie tym głowy. Zamawia się stronę www, ktoś ją Tworzy, strona istnieje i temat jest zamknięty.

Problem bierze się stąd, że Twórcy najczęściej nie informują o konieczności regularnych aktualizacji. Bywa też tak, że pomimo tej informacji – nie ma komu ich robić, lub po chwili się o tym zapomina.

Do włamań dochodzi właśnie przez takie dziury w zabezpieczeniach spowodowane brakiem aktualizacji. Tym właśnie są „dziurawe strony www”.

Jak zadbać o aktualność swojej strony firmowej na WordPressie?

Włącz aktualizacje automatyczne. W końcówce roku 2020 wyszła aktualizacja WordPress’a dodająca funkcjonalność wyczekiwaną od bardzo dawna. Wystarczy kilka prostych czynności aby nie musieć ręcznie aktualizować wtyczek i samego WordPress’a.

Jak włączyć automatyczne aktualizacje w WordPressie?

  1. Zaloguj się do panelu administracyjnego. Najczęściej robi się to poprzez dodanie do adresu strony, dodatkowego fragmentu „/wp-admin”. Zatem dla adresu przyklad.pl adres logowania brzmiałby: przyklad.pl/wp-admin .
  2. Najpierw upewnij się, że masz aktualną wersję głównego systemu WordPress. Z menu po lewej wybierz kokpit >> aktualizacje.
  3. Jeśli na kolejnym ekranie widzisz komunikat w stylu „Masz zainstalowaną najnowszą wersję WordPressa” – przejdź do kroku 6
  4. Jeżeli na kolejnym ekranie widzisz komunikat brzmiący mniej więcej tak: „Dostępna jest nowa wersja WordPressa” – powinieneś być bardzo ostrożny – i jeśli nie potrafisz odzyskać WordPressa po awarii – nie powinieneś tego przeprowadzać samodzielnie. Zasadniczo aktualizacja przebiegnie w 99,9999% przypadków poprawnie. Jednak jeśli strona nie była aktualizowana przez bardzo długi czas – istnieje duże prawdopodobieństwo „powikłań” i konieczności ingerencji specjalisty.
  5. Jeżeli jesteś w stanie ustalić, być może z twórcą Twojej strony, że strona nie jest bardzo nieaktualna (powiedzmy 6m-cy temu została ukończona, lub 6m-cy temu ktoś ją aktualizował – możesz relatywnie bezpiecznie zaktualizować samego WordPressa i przejść dalej.)
  6. Z menu po lewej stronie, wybierz wtyczki >> zainstalowane wtyczki
  7. Zobaczysz listę zainstalowanych wtyczek, zaznacz je wszystkie (możesz to zrobić hurtem używając małego checkboxa po lewej stronie, na górnej belce, nad pierwszą wtyczką)
  8. Następnie z listy rozwijalnej, znajdującej się tuż nad listą wtyczek, wybierz włącz aktualizacje automatyczne
  9. Następnie zatwierdź swoją decyzję przyciskiem [zastosuj] znajdującym się tuż obok listy rozwijalnej
  10. Załatwione – wtyczki będą się aktualizować automatycznie.
  11. Teraz wróć do menu kokpit >> aktualizacje
  12. Kliknij tekst „Włącz automatyczne aktualizacje da każdej nowej wersji WordPressa.” – dzięki czemu również sam WordPress będzie aktualizować się automatycznie.

Procedura wydawać się może skomplikowana i niebezpieczna. Po części to prawda – jeśli masz dawno nieaktualizowaną stronę. Jednak po doprowadzeniu jej do stanu aktualnego i włączeniu automatycznych aktualizacji – będziesz posiadać relatywnie dobrze zabezpieczoną stronę WWW.

O tym dlaczego to takie ważne dowiesz się z kolejnej części poniżej.

Jak nieaktualizowana strona może wpłynąć na pocztę firmową?

Wydawać się może, że jedno z drugim ma niewiele wspólnego. Teoretycznie nie ma nic wspólnego. W praktyce nieaktualny system witryny, lub wtyczek może doprowadzić do tego, że osoby nieuprawnione będą mogły zainstalować swój złośliwy kod w obrębie Twojej witryny.

Najczęściej spotykane skutki są takie, że z Twojego punktu widzenia nic się nie zmienia. Wchodzisz na swoją stronę i nie widzisz żadnych zmian – o to właśnie chodzi, abyś nie wiedział, że masz problem i nie próbował z nim walczyć.

Jeżeli nie prowadzisz bardzo dużego serwisu z tysiącami użytkowników, którzy być może przechowują u Ciebie wrażliwe dane, we włamaniach wcale nie chodzi o wykradanie jakichkolwiek danych (nie z Twojej strony).

Przejdźmy zatem przez to po kolei.

Po co ktoś włamuje się na zwykłą prostą stronę?

Najczęściej spotykanym powodem jest to, że chce wykorzystywać Twoją stronę do wysyłania SPAMu. Setek, tysięcy niechcianych wiadomości do losowych osób na całym świecie. Większość serwerów na których są zainstalowane strony WWW umożliwia wysyłanie przy pomocy języka w którym zaprogramowana jest strona wysyłanie wiadomości email. Część serwerów blokuje tę możliwość, jednak to nie zawsze jest wystarczającym zabezpieczeniem. Zauważ – nie ma konieczności uzyskiwania dostępu do Twojej poczty, do Twojego serwera pocztowego – bezpośrednio ze strony WWW wychodzą emaile które wyglądają jak każda poczta która jest wysyłana z Twojej domeny.

Zatem możesz mieć adres typu kontakt@adresstrony.pl , a wiadomości będą wysyłane z adresu np.: freemoney@adresstrony.pl. Nie jest istotne co jest na początku adresu, ważne że są wysyłane z Twojej domeny.

Innym często spotykanym powodem jest przekierowywanie ich zamiast na Twoją stroną – na stronę z fikcyjnymi promocjami i ofertami – i wtedy może chodzić o wykradanie danych takich osób. (pomyśl jakie odczucia ma ktoś, kto wpisał adres Twojej strony a wylądował na stronie wykradającej dane – to nie służy Twojej marce…)

Jak to wpływa na pocztę?

Nie wchodząc w złożone szczegóły wygląda to tak, że każdy serwer pocztowy, posiada swoją ocenę rankingową. Każdy. Jeśli do tej pory korzystałeś z poczty jak statystyczny właściciel firmy – wysyłając kilkadziesiąt do kilkuset wiadomości email w miesiącu, a nagle poprzez dziurę w Twojej stronie ktoś zacznie wysyłać tysiące, dziesiątki tysięcy wiadomości do losowych adresów….

Nad Twoim adresem strony www, który widnieje w adresie poczty zapala się wielka ostrzegawcza lampka.

Oczywiście w przenośni, po prostu Twój adres błyskawicznie wpada na listę potencjalnych spamerów. Jeżeli nie wykryjesz tego natychmiast (a nie masz ku temu żadnych narzędzi), po chwili każda korespondencja wychodząca z adresów w Twojej domenie będzie wpadać do folderów SPAM u wszystkich Twoich odbiorców.

Zatem każda faktura jaką wyślesz do swoich kontrahentów, każdy ważny email jaki wyślesz wyląduje w SPAMie. I nic na to nie poradzisz przez bardzo długi czas. NIC.

Ciężko mi wyobrazić sobie taką sytuację w firmie w której jest wielu pracowników, i nagle cała korespondencja zaczyna wpadać u odbiorców do SPAMu. Zacznie się niekończąca batalia telefoniczna i tłumaczenie odbiorcom, że Twoich niezwykle ważnych wiadomości, muszą szukać w SPAMie… To nie stworzy dobrego wrażenia, nie wspominając o utrudnieniach w prowadzeniu biznesu.

Jak poradzić sobie z tym zagrożeniem profesjonalnie?

Po pierwsze i najważniejsze – zadbać o dobrze zabezpieczoną stronę WWW. Kolejnym krokiem może być odpowiednie zabezpieczenie samej poczty – istnieje wiele możliwości na to, aby Twoja poczta wychodząca z określonej listy adresowej była uwierzytelniona.

Oznacz to, że będzie nawet w przypadku włamania i wysyłki spamu uchronisz się przed tym, że ważna korespondencja będzie lądować w folderze niechcianych wiadomości. To ważne jeśli prowadzisz biznes na poważnie.

Zabezpieczenie serwera na którym posiadasz zainstalowaną stronę WWW poprzez wyłączenie zbędnych funkcji języka PHP (w którym zaprogramowana jest również Twoja strona WWW), umożliwiających wysyłkę wiadomości przez serwer WWW, bez użycia serwera pocztowego.

Przeniesienie poczty do usług płatnych jak GoogleWorkspace lub Microsoft365.

Warto też rozważyć skorzystanie z usług profesjonalistów, które w niskim abonamencie przejmują na siebie dbałość o bezpieczeństwo naszej strony WWW, jej regularne kopie zapasowe, oraz zarządzanie pocztą.

Nasza pomoc

Jeśli chcesz skorzystać z naszej pomocy, napisz na adres: webhelp@beeontop.com , podając adres swojej strony oraz numer kontaktowy do siebie. Każdorazowo indywidualnie podchodzimy do każdego zlecenia – dlatego skontaktujemy się z Tobą najszybciej jak to możliwe aby omówić szczegóły.

Jeżeli masz pytania, napisz do nas: blog@beeontop.com.

Jeśli ta treść jest wg. Ciebie przydatna – udostępnij to dla innych, będziemy wiedzieli, że Ci się podobało :)

Podziel się tym z innymi:

Jeśli chcesz dostawać tę wiedzę w pigułce w postaci filmów obserwuj nas na Facebooku i YouTubie bo tam pojawiają się nagrania w których tłumaczę o tym co możesz przeczytać w postach na stronie. Chyba że wolisz czytać, wtedy zaglądaj częściej na bloga :)

Published On: 22 stycznia, 2021 / Categories: Strony WWW / Tags: , , /