KrysGraf > Wiedza i inspiracje na temat technologii internetowych > WordPress – podstawy bezpieczeństwa

WordPress – podstawy bezpieczeństwa

WordPress, jak każde oprogramowanie nie jest doskonały, mino że nad jego ciągłym rozwojem pracuje zespół wysokiej klasy specjalistów, to i tak jest narażony na różnorodne ataki ze strony hakerów. Dodatkowym powodem zainteresowania ze strony hakerów jest jego popularność, a wykrycie chociaż jednej małej luki umożliwia dostęp do tysięcy stron internetowych. Nikt nie jest doskonały i mimo nieustannej pracy developerów, żeby dopracować zabezpieczenia, warto też samemu zadbać o podstawowe czynniki bezpieczeństwa, tym samym zmniejszając prawdopodobieństwo wystąpienia problemów.

WordPress – podstawy bezpieczeństwa
Obsługa strony internetowej

Podstawowe zasady bezpieczeństwa strony internetowej w WordPress-ie

Chcąc zadbać o bezpieczeństwo swojej strony internetowej w WordPress-ie zapoznaj się z kilkoma podstawowymi poradami do których warto się stosować:

1. Bezpieczny hosting

Jednym z czynników, które decydują o ty, czy strona internetowa jest bezpieczna, jest po prostu hosting. Wybierz taki hosting, który dba o bezpieczeństwo oraz jest mało awaryjny. Poszukaj opinii o hostingodawcach, znajdziesz je bardzo łatwo na forach internetowych czy na odpowiednich grupach w mediach społecznościowych. Dzięki temu zorientujesz się, czy użytkownicy danego hostingu często mają z nim problemy.

2. Urządzenia służące do logowania

Do panelu administracyjnego loguj się tylko i wyłącznie z własnych urządzeń, wyposażonych w program antywirusowy. Jeżeli musisz skorzystać z ogólnodostępnej sieci bezprzewodowej w miejscu publicznym, pamiętaj o zabezpieczeniu połączenia za pomocą VPN.

3. Hasło

Zadbaj o swoje hasło do panelu administracyjnego, pamiętaj aby było długie, powyżej 10 znaków. Hasło powinno być zbiorem kilku wyrazów i cyfr pozbawionych logiki, ale łatwych do zapamiętania przez ciebie. Dobrym rozwiązaniem jest użycie menadżera haseł, dzięki czemu wystarczy, ze zapamiętasz jedno główne, a hasła do poszczególnych stron zostaną wygenerowane przez menadżera.

4. Nazwa użytkownika

Tworząc nazwę użytkownika nie używaj frazy admin. Jest to login administratora, który używany jest przez większość właścicieli stron oraz jest ustawiony domyślnie w większości automatycznych instalatorów. W sytuacji, kiedy masz słabe hasło daje to otwarte drzwi dla programów łamiących zabezpieczenia.

5. Dwuetapowe uwierzytelnianie

Niektórzy dostawcy kont hostingowych umożliwiają ustawienie dwuetapowego uwierzytelniania. Oznacza to, że po wczytaniu strony do logowania pojawi się dodatkowe okienko, w którym należy wpisać dodatkowy logi i hasło. Jeżeli twój hosting nie daje takiej możliwości. skorzystaj z wielu dostępnych wtyczek, ja osobiście polecam „Two Factor Authentication”, którą znajdziesz w repozytorium plików.

6. Ograniczenie prób logowania

Zadaniem programów do łamania haseł, jest wpisywanie nieograniczonych liczb różnych kombinacji i próba próba logowania się z wykorzystaniem każdej z nich. Dodatkowe zabezpieczenie w postaci ograniczenia prób logowania będzie kolejną barierą do pokonania. Możesz to zrobić za pomocą wtyczek „WP Limit Login Attempts” czy „Login LockDown”. Login LockDown ma możliwość blokowania logowania z IP, z którego wysyłanych jest dużo zapytań w krótkim czasie.

7. Zmiana adresu strony logowania

W WordPress-ie domyślnym adresem logowania do panelu administratora jest domena.pl/wp-admin. Każdy to miał do czynienia Z WordPress-em o tym wie, wiedzą też o tym hakerzy. Za pomocą wtyczki „Protect Your Admin możesz łatwo zmienić ten adres. Dla ciebie to tylko klikniecie, ale dla hakera to kolejna bariera do pokonania.

8. Stosuj wtyczki z umiarem

Każda wtyczka może zawierać luki, które mogą wykorzystać hakerzy, dlatego każda zainstalowana wtyczka zmniejsza bezpieczeństwo strony internetowej, korzystaj z nich z umiarem i instaluj tylko te, które są naprawdę potrzebne i pochodzą z pewnego źródła.

9. Usuń nieużywane motywy i wtyczki

Na podstawie poprzedniego punku, łatwo jest wywnioskować, że jeżeli masz na swojej stronie internetowej wtyczki i motywy, których nie używasz, koniecznie je usuń. Nie tylko niepotrzebnie zajmują miejsce na stronie, ale mogą stanowić furtkę dla hakerów.

10. Wtyczki i motywy z zaufanych źródeł

Instaluj na swojej stronie internetowej motywy i wtyczki, które pochodzą wyłącznie z zaufanego źródła. Najpewniejszym źródłem jest repozytorium znajdujące się na oficjalnej stronie WordPress-a, ale sprawdzone i duże katalogi motywów i wtyczek też jest dobrym miejscem. Pod żadnym pozorem nie korzystaj z wtyczek pochodzących z serwisów typu Torrent.

11. Aktualizacje WordPress-a, motywów i wtyczek

Pamiętaj o wykonywaniu aktualizacji, tak często jak to jest tylko możliwe aktualizuj rdzeń WordPress-a, jak i motywu czy wtyczek. Ich twórcy nieustannie zajmują się doskonaleniem zabezpieczeń, usuwając znalezione w poprzednich wersjach lub zgłoszone przez użytkowników luk bezpieczeństwa.

12. Kopie bezpieczeństwa

Pomimo stosowania się do wszelkich zaleceń i dbania o bezpieczeństwo swojej strony internetowej, zawsze istnieje ryzyko włamania, które zakończy się powodzeniem. Dlatego warto regularnie robić kopię bezpieczeństwa, aby w razie czego posiadać czystą wersję, którą możesz przywrócić i zadbać o jej lepsze zabezpieczenie. Możesz o tym przeczytać w artykule: Po co mi kopia zapasowa strony internetowej?

13. Dostęp do strony tylko dla zaufanych osób

Jeżeli przy stronie pracuje zespół, a ty jesteś administratorem, nadawaj im tylko takie uprawnienia, jakie są im potrzebne do wykonania swojej pracy. Jeżeli wyniknie potrzeba przekazania komuś dostępów do panelu administracyjnego, na przykład pomocy technicznej, czy developerowi, który zajmuje się modernizacją strony internetowej, załóż my osobne konto, a gdy skończy pracę od razu je usuń lub zmień hasło.

14. Używaj certyfikatu SSL

SSL jest protokołem sieciowym, którego używa się do zapewnienia bezpieczeństwa połączeń internetowych. Zapewnia poufność transmisji poprzez szyfrowanie danych przesyłanych przez internet. Certyfikat SSL wykupisz u każdego dostawcy hostingowego, a zainstalujesz go w WordPress-ie za pomocą wtyczki „Really Simple SSL”.

Wtyczka Wordfence Security

Wordfence Security to wtyczka chroniąca stronę w WordPress-ie przed atakami hakerskimi i wirusami. Jej działanie polega na skanowaniu serwisu w poszukiwaniu podejrzanych czynników i procesów oraz informowaniu administratora w przypadku, gdy wykryte zostaną jakieś nieprawidłowości.

Wtyczka Wordfence Security
Wtyczka Wordfence Security

Główne możliwości wtyczki:

  • Skanowanie serwisu poprzez porównanie plików źródłowych rdzenia, motywu i wtyczek dostępnych w repozytorium z tymi, które znajdują się na Twoim serwerze.
  • Odpieranie ataków znanych z innych stron korzystających z wtyczki.
  • Skanowanie stron, postów i komentarzy w poszukiwaniu złośliwego kodu.
  • Przypominanie o niezbędnych aktualizacjach.
  • Monitorowanie ruchu na stronie, uwzględniając nieludzi, czyli robotów wyszukiwarek, różne inne boty i spamboty, które często najbardziej obciążają serwer.
  • Blokowanie wybranych adresów IP, które generują duży ruch na stronie, w celu obciążenia serwera.
  • Sprawdza podatność haseł na złamanie.
  • Sprawdzanie adresów IP i domen w bazie WHOIS, pozwalającej uzyskać informacje o ich właścicielu.
  • Powiadamianie e-mailem administratora o problemach i zagrożeniach.
  • Monitorowanie dostępnej przestrzeni na dysku

Wtyczka Wordfence Security jest w pełni funkcjonalną i na bieżąco aktualizowaną wtyczką, uwzględniająca najnowsze wykryte zagrożenia dla bezpieczeństwa strony internetowej i możliwości jej skutecznego zabezpieczenia.