Niezależnie od tego, czy jest to strona internetowa firmy, czy zwykły blog, odpowiednie zabezpieczenie WordPressa jest w dzisiejszych czasach koniecznością.
Żadna witryna nie jest bezpieczna w 100% i dlatego musimy zastosować pewne środki, aby zabezpieczyć się przed atakami z sieci.
Teraz większość stron internetowych jest zbudowanych na podstawie popularnego systemu zarządzania treścią WordPress. Pomimo tego, że WordPress stara się na bieżąco łatać swoje dziury w zabezpieczeniach, to i tak wiele stron pada ofiarami włamań.
Jeżeli Twoja strona internetowa była kiedyś zaatakowana przez hakerów lub zastanawiasz się nad tym, w jaki sposób zabezpieczyć swojego WordPressa, to trafiłeś we właściwe miejsce.
Dlaczego należy zadbać o zabezpieczenie WordPressa przed atakami?
Ponad 25% wszystkich stron internetowych zindeksowanych w popularnych wyszukiwarkach jest opartych o system WordPress.
Takie zainteresowanie tym systemem rodzi pewien problem – zagrożenie atakami hakerów.
Jeżeli coś jest tak popularne, jak WordPress, to zawsze znajdzie się ktoś, kto będzie chciał wykorzystać jego słabe strony.
Jeżeli witryna internetowa padnie ofiarą takiego ataku, może ucierpieć nie tylko cała strona, ale i Twój wizerunek wśród klientów.
Dlatego niezwykle ważne jest to, aby zabezpieczenie WordPressa było na najwyższym poziomie, przez co możemy zredukować szansę na ataki hakerów.
1. Selekcja w wyborze i instalacji wtyczek.
Jest to najważniejszy punkt tej listy, ponieważ prawie 95% przypadków ataków na strony internetowe jest związanych z nieodpowiednim doborem wtyczek, które są przestarzałe i nieaktualizowane.
Dlaczego?
Repozytorium WordPressa jest ogromne, zawiera setki tysięcy mniej lub bardziej zaawansowanych wtyczek.
Jednakże nie wszystkie są warte naszej uwagi ze względu na brak jakichkolwiek zabezpieczeń i przestarzały kod.
Jeżeli instalujesz wszystkie wtyczki, które akurat wpadną Ci w oko, to istnieje wielka szansa, że w niedalekiej przyszłości rezultaty wyszukiwania Twojej strony internetowej będą wyglądały w taki sposób:
Jakie wtyczki są bezpieczne, a jakie nie?
Instalując wtyczkę:
- Sprawdź jej opinie.
- Spójrz na oceny od użytkowników.
- Przejrzyj komentarze oraz dział pomocy.
- Sprawdź, kiedy została dodana i kiedy została ostatnio zaktualizowana.
Taka kolej działań jest bardzo dobrą praktyką – niezależnie czy jest to wtyczka, czy nawet motyw do WordPressa, warto się do niej stosować.
Przed instalacją nowych wtyczek warto wykonać kopię bezpieczeństwa strony, aby w razie niepowodzenia lub innych problemów mieć koło zapasowe.
Pamiętaj, że Twój hosting również wykonuje kopie bezpieczeństwa i zazwyczaj przetrzymuje je przez tydzień, wobec tego zawsze masz możliwość przywrócenia witryny.
2. Wybierz mocne hasło.
Stwórz mocne hasło do panelu administratora i zmieniaj je regularnie.
Warto wykorzystywać:
- małe i duże litery
- cyfry oraz znaki specjalne
Jeżeli masz problem z wymyśleniem takiego hasła, to strona internetowa Secure Password Generator pomoże Ci wybrać i zapamiętać nowe, silne hasło.
3. Zmień login administratora.
Nigdy nie stosuj loginu „admin” lub „administrator” dla swojej witryny WordPress.
Dlaczego?
Ponieważ podajesz dłoń hakerom, którzy w pierwszej kolejności będą sprawdzać nazwę użytkownika „admin” lub „administrator” i jedyne co muszą zrobić, to złamanie hasła.
Jako administrator wielu stron WordPress codziennie przeglądam logi i zawsze widzę, że ktoś próbował logować się do strony przy pomocy loginu „admin” w celu dostania się do kokpitu.
Jaki login wybrać?
Oto kilka wskazówek:
- Nie używaj swojego e-maila.
- Nie używaj swojej nazwy użytkownika.
- Nie używaj żadnej frazy rzucającej się w oczy na stronie internetowej.
- Nie używaj takiej samej nazwy użytkownika, której używasz podczas odpisywania na komentarze.
Wszystkie inne nazwy są dozwolone i w miarę bezpieczne.
4. Zmień lub zabezpiecz hasłem adres wp-admin.
Katalog wp-admin jest kręgosłupem całego WordPressa.
Jeżeli ta część witryny zostanie w jakiś sposób naruszona, cała strona może przestać działać.
Jednym ze sposobów, aby tego uniknąć, jest zmiana lub zabezpieczenie hasłem adresu wp-admin.
W ten sposób przed dostaniem się do wp-admina będzie trzeba wpisać jeszcze jedno hasło, czyli podwójnie zabezpieczamy naszego WordPressa.
Jeżeli zdecydujemy się na zmianę adresu wp-admin na inny, pamiętajmy, żeby nie używać w adresie frazy „admin” i pochodnych.
5. Zablokuj edytowanie plików z panelu administratora.
Jeżeli komuś uda się uzyskać dostęp do Twojego panelu administratora, to w łatwy sposób może zacząć zmieniać i edytować pliki motywu, przez co może zrobić prawie wszystko.
W prosty sposób możemy przeciwdziałać temu, dodając dyrektywę do wp-config.php:
define('DISALLOW_FILE_EDIT', true);
W którym miejscu?
Dokładnie przed komentarzem:
/* That's all, stop editing! Happy blogging. */
W ten sposób uniemożliwiamy edytowanie plików z poziomu panelu administratora. Teraz jedyny sposób na edycję to zalogowanie się do FTP.
6. Usuń informacje o wersji WordPressa.
Twoją aktualną wersję WordPressa można bardzo łatwo odczytać ze źródła strony w przeglądarce.
Po co ukrywać wersję WordPressa?
W tym rzecz, że jeżeli haker wie, jakiej wersję WordPressa używasz, łatwiej będzie mu dostosować odpowiedni atak na Twoją stronę internetową.
Jak to ukryć?
Są dwa sposoby. Edytujesz plik functions.php i dodajesz poniższy kod:
function remove_wp_version() {
return '';
}
add_filter('the_generator', 'remove_wp_version');
Drugi sposób to użycie wtyczki WP Hide & Security Enhancer.
7. Zmień prefiks bazy danych WordPressa.
Jeżeli kiedykolwiek instalowałeś stronę internetową z wykorzystaniem WordPressa, to zapewne rzuciło Ci się w oczy, że każda tabela w bazie danych ma swój prefiks „wp_”.
Użycie domyślnego prefiksu powoduje, że Twoja baza danych jest podatna na ataki SQL injection.
W prosty sposób możesz temu zapobiec, zmieniając prefiks tabel na inne znaki niż „wp_”. Może to być np. „wit_”, „str_” lub całkowicie losowe znaki.
Jeżeli Twoja strona jest już zainstalowana i działa już jakiś czas, to możesz użyć specjalnej wtyczki o nazwie WP-DBManager, żeby zmienić prefiks tabel w już istniejącej bazie danych.
Przed tą operacją radzimy stworzyć kopię bezpieczeństwa bazy danych.
8. Aktualizuj wtyczki oraz samego WordPressa.
Musisz wiedzieć, że dostęp do kodu WordPressa ma każdy z powodu polityki open source. Mimo tego, że WordPress jest dosyć dobrze zabezpieczony, to i tak nie jest to idealny system.
Jak już może zauważyłeś, bardzo często wychodzą różne aktualizacje WordPressa. Większość z nich to poprawki w zabezpieczeniach, które mają wspierać zabezpieczenie WordPressa przed atakami.
Nieaktualne wersje WordPressa plus brak aktualizacji wtyczek mogą oznaczać poważne kłopoty dla strony internetowej.
Wiele osób po prostu o tym nie pamięta, nie ma czasu lub brakuje im wiedzy technicznej, żeby utrzymać najnowsze wersje wtyczek oraz WordPressa, przez co ich witryny mogą zostać zainfekowane lub zaatakowane przez hakerów.
Pamiętaj o aktualizacjach WordPressa, wtyczek oraz swojego motywu.
Zabezpieczenie WordPressa przed atakami – podsumowanie
Zabezpieczenie WordPressa przed atakami jest czymś, co trzeba traktować bardzo poważnie. Jeżeli nie podejmiemy odpowiednich środków bezpieczeństwa, wtedy istnieje bardzo duże ryzyko włamania.
Może to spowodować, że Twoja witryna będzie niebezpieczna dla użytkowników i Google ją zablokuje odpowiednim komunikatem. W najgorszym scenariuszu stracisz wszystkie dane oraz reputację wśród klientów.
Mam nadzieję, że ten artykuł pomógł Ci przyswoić niektóre dobre praktyki poruszające zabezpieczanie WordPressa przed atakami ze strony hakerów. Niestety musisz wiedzieć, że WordPress ma swoje słabe strony, tak jak wiele innych systemów CMS i tak naprawdę nie mamy 100% pewności, że nawet wymienione w naszym wpisie zabezpieczenia pozwolą Ci na spokojny sen.
W internecie możesz znaleźć bardzo dużo wypowiedzi na temat tego, dlaczego WordPress jest bezpieczny, a dlaczego nie jest. Tak naprawdę małe firmowe strony na WordPressie są w miarę bezpieczne, jeżeli dostosują się do podstawowych wytycznych bezpieczeństwa. Martwić mogą się duże i popularne strony internetowe, które zdecydowały się na WordPressa i nie mają zaplecza technicznego w postaci doświadczonych webmasterów.
Warto przeczytać komentarze pod artykułem ze strony Spider’s Web i wyciągnąć swoje wnioski. Oprócz oczywistego „hejtu” na rzeczowość tego wpisu są tam ciekawe wypowiedzi ludzi, którzy posiadają na ten temat obszerną wiedzę.
Jeżeli masz jakieś pytania, nie wstydź się i pytaj w komentarzach. W miarę naszych możliwości odpowiemy każdemu.
Świetny artykuł, napisany bardzo przystępnym językiem. Szukam jednak rozwiązania, które pozwoli mi na zablokowanie dużego ruchu na hostingu. W logach pojawiają się IP, bynajmniej nie Klientów. Hostingodawca zaczął zwracać mi już uwagę na przeciążenie CPU i RAM. Co mogę zrobić? Czy podane wyżej rozwiązania mogą temu zapobiec?