UczymyOnline - 20 sposobów na zabezpieczenie strony WP cz.1.
20 sposobów na zabezpieczenie strony opartej o CMS WordPress cz.1.

20 sposobów na zabezpieczenie strony opartej o CMS WordPress cz.1.

WordPress jest chyba najbardziej popularnym CMSem, a to oznacza, że jednocześnie jest najbardziej narażonym na ataki ze strony hakerów. Jeśli do tej pory nie zrobiłeś niczego w kierunku poprawy zabezpieczeń WordPressa – najwyższy czas to zmienić. Pokażę Ci najlepsze i najskuteczniejsze taktyki stosowane w strategii bezpieczeństwa bo zabezpieczenie strony WordPress powinno być dla nas najwyższym priorytetem.

W dzisiejszym artykule skoncentruję się na najlepszych znanych mi sposobach zabezpieczeniach strony, które każdy administrator powinien mieć na uwadze, gdyż nie trzeba nikomu przypominać jak ważną kwestią jest bezpieczeństwo strony.

Nie wiem czy zdawałeś sobie sprawę z tego, że wg raportu z 2013 ponad 70% stron opartych o CMS WordPress było podatnych na złamanie? “Najlepsze” jest to, że w pierwszej dziesiątce potencjalnie zagrożonych wtyczek znalazły się pluginy komercyjne oraz wtyczki, które rzekomo miały zabezpieczyć(!) instalację. Płacisz, a nie zdajesz sobie sprawy, że możesz mieć gigantyczną dziurę w swoim systemie!

Zabezpieczenie strony WordPress

Główny silnik WordPressa jest stosunkowo bezpieczny, problem stanowią wtyczki i motywy, które stanowią doskonałą furtkę dla potencjalnych atakujących. Problemem może też być rosnąca liczba użytkowników oraz ich uprawnienia w systemie. Ważne jest, aby mieć kontrolę nad tym kto, co i gdzie coś zmienia, bo nawet jeśli chuchasz i dmuchasz na swoją stronę, to ktoś może to wszystko zniweczyć w ciągu sekundy.

Oto najważniejsze kwestie bezpieczeństwa, o których powinieneś pamiętać:

1. Twórz regularnie kopie zapasowe swojej strony.

Ustal harmonogram tworzenia kopii zapasowej – najlepiej jeśli będzie to tworzone automatycznie. Jest to absolutnie niezbędne i stanowi najważniejszy punkt na liście czynności związanych z bezpieczeństwem systemu. Jeśli już Ci się zdarzy jakiś atak hakera, który podmieni treści na Twoich stronach, to mając kopię zapasową szybko odtworzysz stan sprzed ataku. Backupy można tworzyć na różne sposobny: są dostępne wtyczki, które pomogą zautomatyzować procesy tworzenia kopii zapasowych, można utworzyć specjalny skrypt na serwerze i z pomocą cron’a ustalić częstotliwość tworzenia backupu. W ostateczności można też ręcznie tworzyć kopie, ale nie będzie to wykonywane tak regularnie jak powinno być.

2. Aktualizuj WordPress do najnowszej wersji.

Informację o najnowszym wydaniu zobaczysz automatycznie w kokpicie po zalogowaniu się do Panelu Administracyjnego. Informacje o poprawkach są dostępne przy wypuszczaniu każdej nowej wersji, więc możesz sprawdzić jakie błędy zostały poprawione w Twojej obecnej wersji systemu. Pamiętaj o tym, żeby zawsze przed wykonaniem takiej operacji zrobić kopię zapasową plików i bazy danych – w razie gdyby coś poszło nie tak… Ale generalnie najważniejszą rzeczą jest, aby po prostu czynności związane z aktualizacją silnika strony wykonywać regularnie.

3. Pobieraj wtyczki i szablony ze znanych źródeł.

Pobierając wtyczki i szablony ze strony WordPress.org masz pewność, że pobierasz je ze sprawdzonego źródła, z którego pobierają również miliony innych użytkowników. W przypadku szablonów Premium również korzystaj z popularnych serwisów np. Themeforest – będziesz mieć pewność, że dany produkt został dokładnie sprawdzony przed jego wypuszczeniem.

4. Aktualizuj wtyczki i motywy.

Oprócz regularnej aktualizacji silnika WordPress musisz zadbać o aktualne wersje wszystkich Twoich wtyczek i motywów. Bez regularnej aktualizacji jest wysoce prawdopodobne, że to właśnie, któraś wtyczka lub motyw wpuści intruza do naszego systemu.

5. Kasuj wtyczki i motywy z których nie korzystasz.

Zmniejsz ryzyko włamania na stronę poprzez eliminację wtyczek i motywów, z których nie zamierzasz korzystać w przyszłości. Jeśli jakiś plugin nie jest już aktualizowany, usuń go i znajdź jego inny odpowiednik. Stare, nieaktualne wtyczki to doskonała furtka dla hakerów. Eliminując niepotrzebne wtyczki nie tylko zmniejszasz ryzyko włamania, ale też odciążasz WordPress od ich ładowania – dzięki temu strona może się szybciej wczytywać. Ważna uwaga: nie wystarczy tylko deaktywować wtyczkę – należy ją usunąć.

6. Zmień domyślny prefix bazy danych.

W typowej instalacji WordPress tabele w bazie tworzone są z prefiksem wp_. Możesz zmienić na bardziej skomplikowany, np. fghdde_ już na etapie instalacji, a jeśli tego nie zrobiłeś istnieją wtyczki (np. Change Table Prefix), które ułatwią zmianę nazw utworzonych tabel. Należy tylko pamiętać o tym, żeby wcześniej zrobić kopię bazy danych.

7. Zmień uprawnienia do plików.

Nigdy nie należy nadawać katalogom pełnych uprawnień do odczytu i zapisu (777). Katalogi powinny mieć zapis i odczyt ustawiony na 755 lub 750, natomiast pliki na 640 lub 644. Dla pliku z konfiguracją (wp-config . php) ustaw 600.

8. Dodaj dwustopniowe uwierzytelnianie.

Dwustopniowe uwierzytelnianie oznacza konieczność podania oprócz nazwy użytkownika i hasło, dodatkowy element zabezpieczający w postaci, np. kodu wysyłanego na komórkę. Z popularnych wtyczek wykorzystujących dwustopniową autoryzację można wymienić Clef bądź Duo Two-Factor Authentication.

9. Nie nadawaj administratorowi nazwy użytkownikowa ‘admin’.

Jeśli zainstalowałeś już WordPress z nazwą użytkownika ‘admin’ możesz ją zmienić bezpośrednio w bazie danych (np. poprzez phpMyAdmina) z pomocą odpowiedniego zapytania SQL.

10. Upewnij się, że nazwa użytkownika i hasło nie będzie łatwe do zgadnięcia.

Upewnij się, że użytkownicy rejestrujący się na Twoich stronach podają trudne do zgadnięcia dane do logowania. Co z tego jeśli sam stosujesz odpowiednio silne hasła, jeśli użytkownicy będą wprowadzać takie, które w bardzo łatwy sposób będzie można złamać. Wtyczka Profile Builder posiada mechanizmy uniemożliwiające wprowadzanie prostych haseł. Zmieniaj też hasło tak często jak to jest możliwe. Hasło powinno się składać z przypadkowych znaków – dużych i małych liter, cyfr, znaków specjalnych. Jeśli masz problem z wymyśleniem odpowiednio silnego hasła możesz skorzystać z generatora haseł online.

A w następnej części garść kolejnych sposobów na zabezpieczenie strony WordPress.

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Privacy Policy Settings