WordPress napędza dzisiaj ponad 30% stron internetowych na całym świecie. Ze względu na wielką popularność CMS-a zabezpieczenie strony postawionej na WordPress przed atakami hakerów jest koniecznością. Na szczęście nie jest to takie trudne. Z tego poradnika dowiesz się jak to zrobić samemu. Przede wszystkim musisz zawsze pamiętać o tym, że przez nieuwagę i niedbalstwo możesz spowodować, że hakerzy będą mieli dostęp do Twojej witryny. Przez to łatwo będzie im wykraść dane osobowe, zainstalować niechciane oprogramowanie czy rozprzestrzeniać wirusy za pomocą Twojej strony.
SPIS TREŚCI
- Zmień domyślny prefiks w bazie danych
- Zmień domyślny login i ustaw mocne hasło
- Włącz dwustopniowe uwierzytelnianie
- Wyloguj się ze swojego panelu WordPress
- Włącz dodatkowe zabezpieczenie logowania Google Captcha
- Kontroluj ilość prób logowania
- Ogranicz dostęp do panelu WordPress za pomocą .htaccess
- Wybierz dobry hosting
- Aktualizuj WordPress’a oraz wtyczki
- Korzystaj wyłącznie z zaufanych źródeł
- Wykonuj systematyczne kopie zapasowe
- Używaj certyfikatu SSL
- Wyłącz edycje plików wtyczek i motywów
- Zablokuj rejestrację nowych użytkowników
- Wyłącz komentarze
- Zmień klucze WordPress’a
- Chroń plik wp-config.php
- Zablokuj lub ogranicz dostęp do XML-RPC
- Koniecznie używaj antywirusa
Zmień domyślny prefiks w bazie danych
Kiedy instalujemy WordPress’a, ustalamy prefiks dla bazy danych. Domyślnie jest to wp_ zadbaj o zmianę tego prefiksu na własny. To na pewno utrudni ataki.
Zmień domyślny login i ustaw mocne hasło
Bez wątpienia pierwszą rzeczą, o której powinieneś pamiętać, a która niestety często jest zaniedbywana, jest login i hasło do panelu administracyjnego WordPress. Bardzo częstym błędem jest ustawianie loginu „admin”. Jest to pierwszy krok do ułatwienia hakerowi wejścia do naszego panelu. Drugim błędem jest oczywiście hasło. Silne hasło będzie posiadać litery małe i duże, cyfry i znaki specjalne. To zdecydowanie utrudni włamanie się do naszej witryny.
Pamiętaj, że odpowiednie hasła powinny również zabezpieczać bazę danych, konto FTP, konto hostingowe i konto mailowe. Odpowiednie wybieranie haseł zabezpieczających, jest pierwszym krokiem do uzyskania maksymalnego bezpieczeństwa Twojej strony internetowej.
Haseł i loginów nie przekazuj innym osobom, jeśli nie jesteś ich pewny. Jeśli strona internetowa posiada więcej autorów, warto nadać im inne role użytkownika, administratora zostaw tylko dla siebie i osób którym ufasz.
Włącz dwustopniowe uwierzytelnianie
Możesz także włączyć dwustopniowe uwierzytelnianie. W tym celu użyj wtyczki Google Authenticator, która pomoże skonfigurować podwójne logowanie do panelu WordPress. Ta wtyczka wymaga również instalacji aplikacji na smartfonie.
Przed instalacją upewnij się, iż czas serwera oraz smartfona z aplikacją Google Authenticator są odpowiednio zsynchronizowane. Zła konfiguracja doprowadzi do braku możliwości zalogowania się do WordPress’a.
Wyloguj się ze swojego panelu WordPress
Pamiętaj również o wylogowaniu się ze swojego panelu WordPress, gdy kończysz pracę. Jeśli o tym zapominasz, możesz zainstalować sobie wtyczkę, która będzie automatycznie wylogowywać użytkownika na przykład Inactive Logout.
Włącz dodatkowe zabezpieczenie logowania Google Captcha
Godnym uwagi zabezpieczeniem logowania może być też Google Captcha. Weryfikacja poprzez wybranie odpowiednich obrazków. Z pewnością utrudni to atak prowadzony metodą brute force ale też odpowiednia konfiguracja znacząco ograniczy spam w komentarzach i poczcie.
Kontroluj ilość prób logowania się
Domyślnie WordPress pozwala na dowolną ilość prób logowania do panelu administracyjnego, co jest chętnie wykorzystywane przez atakujących, którzy próbują odgadnąć nasz login i hasło metodą brute force. Używając wtyczki takiej jak Login LockDown możesz ograniczyć ilość prób logowania np. do trzech, później blokujesz logującego na 2 lub 3 godziny. Dzięki temu Twoja witryna stanie się trudniejszym celem dla hakerów.
Ogranicz dostęp do panelu WordPress za pomocą .htaccess
Aby zwiększyć jeszcze bardziej bezpieczeństwo swojej strony internetowej możesz ograniczyć dostęp do strony logowania dla wybranych adresów IP. Wystarczy skonfigurować dozwolone połączenia do wybranego (lub wybranych) adresu IP.
Poniżej poprawna formuła do zamieszczenia w pliku .htaccess:
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Domowe IP
allow from xx.xxx.xx.xx
#whitelist IP z pracy
allow from xx.xxx.xx.xx
</Files>W miejsce xx.xxx.xx.xx należy wpisać adres IP z którego chcemy mieć dostęp do panelu.
Wybierz dobry hosting
Odpowiedni wybór hostingu również jest kluczowy dla bezpieczeństwa Twojej strony internetowej. Z pewnością dobrze działające firmy hostingowe monitorują swoją sieć w poszukiwaniu podejrzanych działań. Same również posiadają narzędzia odpowiednie do walki z hakerskimi atakami, a także mają możliwość ochrony danych w razie ataku. Dobry hosting ma także aktualizowane oprogramowanie. Aby wybrać najodpowiedniejszy hosting, poczytaj opinie innych użytkowników i wybierz najlepszy i najczęściej polecany.
Aktualizuj WordPress’a oraz wtyczki
Aby utrzymać wysoki wskaźnik bezpieczeństwa strony internetowej, pamiętaj bezwzględnie o jej aktualizowaniu. Z powodu wielkiej popularności WordPress nieustannie jest narażony na ataki hakerskie, dlatego system ten ciągle jest udoskonalany. Nie aktualizując swojej strony, zostawiasz niedomkniętą furtkę dla przestępców.
To samo dotyczy zainstalowanych wtyczek oraz motywów. Wszystkie należy systematycznie aktualizować. Pamiętaj również o dokładnym sprawdzaniu, jaką wtyczkę oraz z jakiego źródła będziesz instalować. Tylko sprawdzone pluginy mogą zagwarantować brak zagrożeń. Nie zapominaj także o usuwaniu starych i niepotrzebnych wtyczek oraz motywów.
Korzystaj wyłącznie z zaufanych źródeł
Nie instaluj wtyczek i motywów z nieznanych źródeł, tym bardziej nielegalnych. Wiele takich dodatków zawiera w bonusie wirusy. Bezpiecznym źródłem jest repozytorium WordPress’a oraz Envato Market w przypadku płatnych dodatków.
Wykonuj systematyczne kopie zapasowe
Nie zapominaj również o regularnym tworzeniu kopii zapasowej swojego WordPress’a. W tym celu możesz użyć na przykład wtyczki UpdraftPlus. ( tutaj pisaliśmy jak wykonać kopię zapasową za pomocą UpdraftPlus ) Kopia zapasowa pozwoli Ci w razie problemów przywrócić stronę do stanu z przed ataku.
Używaj certyfikatu SSL
Certyfikat SSL to protokół szyfrujący, który szyfruje dane między witryną a użytkownikiem. Dzięki temu sprawia, że trudniej jest przesyłane dane wykraść. SSL jest niezbędny w dzisiejszych czasach z punktu widzenia bezpieczeństwa strony internetowej, przydaje się także z punktu widzenia pozycjonowania w Google.
Wyłącz edycje plików wtyczek i motywów
Bardzo ważną kwestią przy zwiększaniu bezpieczeństwa strony internetowej jest wyłączenie możliwości edycji plików wtyczek i motywów w panelu WordPressa. W tym celu należy do pliku wp-config.php dodać linijkę:
define( 'DISALLOW_FILE_EDIT', true );Wyłącz rejestrację nowych użytkowników
Gdy Twoja strona internetowa tego nie potrzebuje, wyłącz rejestrację nowych użytkowników. Niezabezpieczony formularz rejestracyjny może pomóc hakerowi włamać się do naszego systemu. Aby tego dokonać, wejdź w swoim panelu administracyjnym w zakładkę Ustawienia – Ogólne i odznacz Członkostwo – Każdy może się zarejstrować.
Wyłącz komentarze
Jeżeli Twoja strona internetowa nie potrzebuje komentarzy, wyłącz je. Ten zabieg zwiększy bezpieczeństwo dodatkowo ograniczy ilość spamu generowanego przez automaty. Natomiast jeżeli komentarze są Ci potrzebne, spróbuj przynajmniej wyłączyć możliwość komentowania przez anonimowych użytkowników i podepnij weryfikację użytkowników Google Captcha.
Zmień klucze WordPress’a
Unikaj auto instalatorów w wielu przypadkach tworzą klona jednej instalacji WordPress’a. Skutkiem tego klucze wielu stron internetowych mogą być takie same. Dlatego jeżeli już użyłeś auto instalatora, koniecznie zmień klucze bezpieczeństwa SALT. Klucze znajdują się w pliku wp-config.php. Nowe klucze można wygenerować na stronie api.wordpress.org. Na koniec nie zapomnij zastąpić starych kluczy tymi nowymi.
Chroń plik wp-config.php
Plik wp-config.php zawiera wiele ważnych informacji o instalacji naszego WordPress’a. Dlatego dobrze jest utrudnić dostęp do niego przenosząc go na wyższy poziom niż katalog główny. W obecnej architekturze WordPress ustawienia pliku konfiguracyjnego są pierwsze na liście priorytetów. Tak więc, nawet jeśli jest przechowywany jest wyżej niż katalog główny, WordPress nadal go widzi. Dobrym rozwiązaniem będzie również dodanie do pliku .htaccess wpisu:
<files wp-config.php>
order allow,deny
deny from all
</files>Powyższy kod uniemożliwi dostępu do pliku wp-config.php.
Zablokuj lub ogranicz dostęp do XML-RPC
XML-RPC jest funkcją która pozwala zewnętrznym narzędziom na połączenie się z naszą stroną, np by publikować nowe wpisy na naszym blogu ze swojego smartfona. Jeżeli nie potrzebujesz korzystać z XML-RPC, możesz zablokować do niego dostęp dodając w .htaccess:
<files xmlrpc.php>
order allow,deny
deny from all
</files> lub częściowo ograniczyć dostęp:
<Files xmlrpc.php>
order allow,deny
deny from all
allow from xx.xxx.xx.xx
</Files>W miejsce xx.xxx.xx.xx możesz wpisać adres IP z którego dopuścisz komunikację do pliku xmlrpc.php dając tym samym dostęp do niego tylko wybranym przez siebie systemom.
Koniecznie używaj antywirusa
Logując się przez FTP można przenieść zainfekowane pliki ze swojego komputera na stronę. Dlatego warto zainstalować antywirusa i systematycznie przeskanować nim komputer aby usunąć ewentualne zagrożenie.
Bez wątpienia WordPress to wspaniałe narzędzie które wymaga poświęcenia odrobiny czasu na odpowiednią konfigurację i bieżące aktualizacje a odpowiedzialne podejście do tej platformy pozwoli na bezpieczne korzystanie ze wszystkich jej zalet. Z pewnością nikt z nas nie chce nagle stracić informacji ze swojej strony internetowej. Tym bardziej nikt z nas nie chce, aby jego strona rozsiewała wirusy. Dlatego teraz gdy wiesz już jak zabezpieczyć stronę warto zadać sobie trochę trudu i wprowadzić kilka zmian z tego poradnika. Zawsze lepiej zapobiegać niż leczyć.
