Bezpieczny WordPress – 10 rzeczy, o których musisz pamiętać

Czym charakteryzuje się bezpieczny WordPress? Jakich zasad warto jest się trzymać, aby zminimalizować szansę na zainfekowanie strony? Poznaj nasze porady.

Jeśli ktoś prowadzi firmę, to robi wszystko, aby biznes rozwijał się jak najlepiej. To oczywiste.

To samo dotyczy prowadzenia strony internetowej. Powinno się dokładnie rozważać każdy krok, gdyż wszelkie decyzje mogą zaważyć nie tylko na aspektach emocjonalnych (mam tu na myśli wrażenia użytkowników), lecz także technicznych.

Przykład: zaznaczenie jednego, małego pola w ustawieniach WordPressa może sprawić, że strona „wyleci” z wyników wyszukiwania Google’a. Jeden, drobny błąd, a może tak wiele zniszczyć.

To samo dotyczy np. ataku hakerskiego. Wystarczy jedna „dziura” w motywie WordPressa, aby do wnętrza strony dostał się złośliwy kod. Co dalej może dziać się z taką witryną, jedynie Bóg raczy wiedzieć.

Ogółem w świecie informatyki przyjmuje się zasadę, że każde zabezpieczenie jest do złamania. Jeśli osoba A mogła je wymyślić, to osoba B tym bardziej znajdzie prędzej czy później obejście.

Nikt jednak nie broni nam utrudniać życia osobom mającym złe zamiary. Istnieje dość sporo kroków, które można podjąć, aby zminimalizować ryzyko ataku na stronę opartą o WordPressa. Poniżej znajdziesz listę dziesięciu przykładowych działań.

Czym charakteryzuje się bezpieczny WordPress? – 10 porad

1. Wybierz odpowiedniego dostawcę hostingu.

To nie te czasy, gdzie decyzję na temat hostingu podejmuje się poprzez wpisanie w wyszukiwarkę słowa „hosting” lub frazy „tani hosting”. To, że ktoś wyskoczy w czołówce wyników, nie oznacza, że na 100% jest godny zaufania.

Najlepiej jest spytać się o zdanie innych osób. Odwiedź kilka grup facebookowych, np. WordPress Polska i WordPress PL oraz zadaj pytanie, jednocześnie prosząc o uargumentowanie sugestii.

Otrzymasz kilkanaście do kilkudziesięciu odpowiedzi. Weź pod uwagę najlepiej te, którym nie będą towarzyszyły żadne linki referencyjne (niektórzy mogą polecać daną firmę z uwagi na to, że otrzymują procent od kupna jakiejś usługi – w takiej sytuacji dana rekomendacja siłą rzeczy nie będzie zbytnio obiektywna).

Dobre opinie nie biorą się z powietrza, tym bardziej że masz możliwość podpytania się o różne, istotne dla Ciebie kwestie. Dopiero wtedy, gdy zbierzesz kilka rekomendacji, zapoznaj się ze wszystkimi informacjami zawartymi na stronach internetowych wskazanych firm.

Ważne! Zwróć uwagę na cenę hostingu nie tylko w pierwszym roku, lecz przede wszystkim w kolejnych latach (mowa o cenie przedłużenia usług).

2. Rób kopie zapasowe.

Firmy hostingowe robią kopie zapasowe we własnym zakresie. Niekiedy wystarczy się do nich zwrócić, by poprosić o przywrócenie stanu strony z określonego dnia (lub nawet godziny, jeśli jest taka możliwość).

Jednak nikt nie broni nam wykonywać kopii zapasowych również na własną rękę, prawda?

Najlepiej jest je przeprowadzać przed ważniejszymi zmianami oraz tuż po ich wprowadzeniu. Nie mówiąc już o kopiach cyklicznych, wykonywanych po prostu rutynowo.

W wielu przypadkach nie zajmuje to wiele czasu, a potrafi uratować skórę.

3. Zrezygnuj z domyślnego prefiksu tabel w bazie danych.

Bezpieczny WordPress charakteryzuje się minimalizowaniem niektórych działań domyślnych, które mogą zostać wykorzystane przeciwko właścicielowi strony.

Podczas instalacji WordPressa należy podać tzw. prefiks tabel w bazie danych. Niezależnie od tego, czy jesteś nieco bardziej zaawansowanym użytkownikiem i wiesz, o czym piszę, czy też jesteś zupełnym laikiem, dobrze jest nie stosować się do domyślnej propozycji.

Tabele domyślnie mają prefiks w postaci „wp_”. Równie dobrze możesz zastosować prefiks w stylu „wp_9W1p_” czy też „wp_t7I3_” – po prostu wstawiając do niego kilka dodatkowych znaków. Strona będzie działać absolutnie normalnie, a taki krok zmniejszy ryzyko ataku typu SQL injection.

4. Ustal dodatkowe hasło dla strony logowania.

W panelu swojego hostingu zapewne masz narzędzie w rodzaju „Menedżera plików”.

Za jego pośrednictwem możesz np. nadać wymóg podania loginu i hasła dla dowolnego folderu. Możesz to uczynić dla folderu o nazwie „wp-admin”.

Dodaje to kolejną warstwę „loginowo-hasłową” w trakcie logowania się do WordPressa. Przebrnięcie przez nią zajmie Ci za każdym razem jedynie chwilę, a może stanowić utrudnienie dla osoby o nieczystych intencjach.

5. Instaluj jedynie sprawdzone wtyczki.

Podstawowa zasada charakteryzująca bezpieczny WordPress to korzystanie wyłącznie ze sprawdzonych wtyczek.

Stawiaj tylko na te pluginy, które cieszą się dobrą opinią, są cyklicznie aktualizowane i wykorzystuje je wiele osób bez większych problemów.

Unikaj instalowania wtyczek z jakichś niesprawdzonych źródeł, gdyż może być w nich zawarty potencjalnie niebezpieczny kod.

6. Pobieraj motywy jedynie z oryginalnych źródeł.

W kwestii motywów sprawa ma się tak samo, jak ze wtyczkami.

Znamy przypadki, w których strony internetowe zostały zainfekowane z powodu instalowania tzw. nulled motywów. O czym mowa?

Przypuśćmy, że dany motyw kosztuje kilkadziesiąt dolarów. Taką cenę ustalił za niego jego twórca. Jednak niektórym osobom nie chce się za to płacić i wolą poszukać tego motywu na innych portalach w nadziei na to, że ktoś go udostępnia bezpłatnie. W przypadku znanych motywów istnieje na to dość spora szansa.

Jednak postawmy sprawę jasno – nie ma osób, które robią to za darmo. Motywy nulled niemal zawsze mają zmodyfikowany kod w stosunku do oryginału. Są naszpikowane złośliwym kodem, który prędzej czy później spowoduje np. przechwycenie strony internetowej przez jakiegoś hakera. Ogółem następstw takiego działania jest cała masa, wszystkie sprowadzają się do bardzo szkodliwych skutków.

Reasumując, chęć zaoszczędzenia kilkudziesięciu dolarów zazwyczaj może skończyć się utratą znacznie większej ilości budżetu, który będzie trzeba przeznaczyć na odwirusowanie strony. Nie wspominając o straconym czasie oraz szeregu innych, pobocznych szkód.

7. Aktualizuj wszystko na bieżąco.

Bezpieczny WordPress to aktualizowany WordPress.

Rdzeń WordPressa, wtyczki, motywy – wszystkie komponenty raz na jakiś czas otrzymują aktualizacje.

Czerwone kółeczko z liczbą w środku, znajdujące się po lewej stronie w panelu administracyjnym nie jest tam wyłącznie dla ozdoby. Skoro dostępna jest aktualizacja, oznacza to, że wprowadzono nowe funkcje lub też zmodyfikowano jakiś element. Sporo zmian powodowanych jest także chęcią zwiększenia bezpieczeństwa.

Zatem jeśli jakaś aktualizacja będzie dostępna, nie wahaj się. Sprawdź tylko, czy nie zawiera ona jakichś bugów (w tym celu przejrzyj np. fora internetowe skojarzone z danym dodatkiem). Jeśli wszystko będzie w porządku, śmiało aktualizuj.

Wyjątkiem jest jedynie sytuacja, w której kod wtyczki czy też motywu były ręcznie modyfikowane. W takim przypadku zastosowanie aktualizacji sprawi, że wszystkie Twoje zmiany będą nadpisane.

Dlatego też modyfikowanie oryginalnego kodu „na żywca” jest wysoce niepoprawnym działaniem, gdyż blokuje Cię przed dokonywaniem jakichkolwiek aktualizacji takiego dodatku.

8. Dodaj certyfikat SSL.

Bezpieczny WordPress charakteryzuje się także występowaniem certyfikatu SSL na stronie opartej o ten właśnie system CMS.

Obecnie wszyscy dostawcy usług hostingowych zapewniają takie certyfikaty, zatem wykup oraz zainstaluj takowy na własnej stronie.

Zazwyczaj kosztują one kilkadziesiąt złotych rocznie (istnieje także darmowy certyfikat Let’s Encrypt), a podnoszą poziom bezpieczeństwa na linii użytkownik – serwer.

9. Rozważ uwierzytelnianie dwuskładnikowe.

Uwierzytelnianie dwuskładnikowe zwane także uwierzytelnianiem dwuetapowym – jak sama nazwa wskazuje – wprowadza dodatkowy etap do logowania.

Polega to na tym, że podczas próby wejścia do panelu administracyjnego osoba chcąca się zalogować musi przejść przez jeszcze jedną „bramkę”. Może ona polegać np. na wpisaniu kodu otrzymanego SMS-em lub zeskanowaniu kodu QR.

Google Authenticator i Two Factor Authentication – sprawdź opisy tych wtyczek w celu poznania większej ilości informacji na ich temat.

10. Stosuj jedynie trudne loginy i hasła.

Na sam koniec najbardziej trywialna porada, lecz mimo wszystko bardzo istotna.

Nigdy, przenigdy nie stosuj kombinacji w rodzaju login: admin i hasło: admin. Nie korzystaj wyłącznie z samych liter (lub z samych cyfr), nie stosuj ciągów w postaci „abcde” czy też „qwerty”.

Hasła i loginy muszą być trudne do wpadnięcia na nie, nie mogą też wykorzystywać jakichś jasnych do odkrycia schematów czy też wzorów.

Bezpieczny WordPress – dlaczego warto o to dbać?

Tak jak wspomniałem na początku tego tekstu, niekiedy trzymanie się kilku drobnych nawyków potrafi znacznie zwiększyć poziom bezpieczeństwa strony.

Zazwyczaj przeznacza się na nie mało czasu, podczas gdy ostatecznie mogą zaoszczędzić go całą masę – nie wspominając już o pieniądzach.

A czy Ty masz jakieś swoje pomysły w kwestii tego, czym może się charakteryzować bezpieczny WordPress? Jeśli tak, gorąco zachęcam Cię do podzielenia się z nami swoim zdaniem w sekcji komentarzy.

Bezpieczny WordPress – 10 rzeczy, o których musisz pamiętać
Artykuł oceniono na: 4.9 (głosy: 7)

Jakub Ozorowski

Co-founder agencji interaktywnej MobileTry z Olsztyna, świadczącej kompleksowe usługi przede wszystkim małym firmom. Specjalizacją agencji jest tworzenie stron internetowych i sklepów internetowych. Ponadto MobileTry prowadzi kampanie reklamowe w internecie oraz oferuje usługi z zakresu pozycjonowania.

Spodobają Ci się również: