Wadami i jednoczesnymi zaletami WordPressa są jego otwarty kod oraz darmowość. Niestety ten fakt ma negatywny wpływ na bezpieczeństwo systemu. Na szczęście istnieje kilka prostych sposobów służących do zabezpieczenia CMSa, które przy odrobienie samozaparcia i wolnego czasu wdrożysz w pojedynkę, a wtedy już krótka droga do zabezpieczeń na poziomie Fortu Knox.
Aktualny WordPress i wtyczki
Dobrze przyjrzyj się poniższemu zrzutowi ekranu. Dokładnie w ten sposób powinna wyglądać zakładka “Aktualizacje” w Twoim panelu.
Wcześniej wspominałem, że każdy jest w stanie zajrzeć do kodu WordPressa. Nie inaczej jest z wtyczkami, dlatego nie powinny Cię dziwić dość częste aktualizacje zarówno samego systemu jak i pluginów. Autorzy na bieżąco wprowadzają odpowiednie łatki bezpieczeństwa, dlatego tak ważne są natychmiastowe update’y.
Skomplikowane hasła i ich częsty zmiany
Nie muszę chyba mówić, że hasła typu “pupa123” albo “admin” są nie do przyjęcia? Odpadają również te składające się z Twojego imienia i nazwiska, daty urodzenia czy tytułu ulubionego filmu. Idealne hasło składa się z losowego ciągu liter (małych oraz wielkich), znaków specjalnych i cyfr.
Pamiętaj, że skomplikowane hasło nie powinno chronić wyłącznie panelu administracyjnego WordPressa. Zadbaj o odpowiednie zabezpieczenie konta FTP, bazy danych a nawet panelu administracyjnego w firmie hostingowej.
Nie korzystaj z loginu “admin”
Login “admin” jest domyślnym loginem stosowanym w WordPressie automatycznie nadawanym również w momencie instalacji WordPressa przez autoinstalatory wszyte w hostingowe panele administracyjne.
Z tego powodu warto zastąpić go innym, co nie jest w żadnym stopniu skomplikowane. Możesz stosować kombinację swojego imienia i nazwiska, ale najlepiej użyć, tak jak w przypadku hasła, losowego ciągu znaków.
Zmiana adresu panelu administracyjnego
Domyślny adres prowadzący do panelu administracyjnego wygląda następująco: www.twojastrona.pl/wp-admin. Jak już ustaliliśmy w poprzedniej poradzie, wszystko co domyślne, nie sprzyja bezpieczeństwu, dlatego warto również zadbać o niestandardowy adres panelu administracyjnego.
Dobrze z tym zadaniem poradzi sobie wtyczka WPS Hide Login, która nie ma miliona funkcji, a została stworzona tylko do tego jednego, prostego zadania.
Limit prób logowania
Standardowo WordPress pozwala na nieograniczoną liczbę prób logowania, więc z hasłem można walczyć na wiele różnych sposobów. Warto więc zadbać o to, żeby WordPress po kilku próbach nieudanego logowania, odrzucał takiego delikwenta.
Do tego zadania posłuży wtyczka Login LockDown, która jest niezwykle łatwa w konfiguracji.
Dwuetapowa weryfikacja
Z dwuetapowej weryfikacji korzystasz prawdopodobnie na Facebooku, Gmailu, PayPalu i wielu, wielu innych serwisach, co stoi zatem na przeszkodzie, żeby skorzystać z niej na łamach strony opartej o WordPressa?
Zdaję sobie sprawę, że to wydłuży nieco sam proces logowania, ale to nie powinno być dla Ciebie problemem. Pomyśl o bezpieczeństwie swojej strony.
Prawdopodobnie najlepszą wtyczką wprowadzającą dwuetapową weryfikację jest Google Authenticator.
Blokada edycji plików
Kiedy po wprowadzeniu powyższych zabezpieczeń hacker jakimś cudem i tak się dostanie do serca Twojego WordPressa, ważne jest to, żeby nie mógł zrobić zbyt dużego bałaganu. Najszybszą drogą do tego jest edytor plików znajdujący się w zakładce “Wygląd”. Na szczęście można w nim zablokować pisanie przy pomocy jednego, prostego tricku.
Otwórz plik wp-config.php i dodaj poniższą linijkę:
define(‘DISALLOW_FILE_EDIT’, true);
Niezależne backupy
Korzystając z usług firmy hostingowej prawdopodobnie w cenie Twojego pakietu znajdują się kopie zapasowe zapewniane przez usługodawcę. To się chwali, ale warto również zadbać o niezależne backupy. Mówi się nawet, że jeśli dysponujesz zaledwie jedną kopią, to tak naprawdę realnie nie dysponujesz żadną.
Wtyczek do backupów jest mnóstwo. Najpopularniejsze są BackWPup – WordPress Backup Plugin oraz All-in-One WP Migration.
Sprawdź nas, Elastyczny Web Hosting przyjmie każdy ruch z Twojej strony!
Stosując wszystkie wyżej wymienione porady zamieniasz swoją stronę opartą o WordPressa w prawdziwy bastion nie do zdobycia. Wprowadzenie wszystkich zabezpieczeń zajmie trochę czasu, ale warto. Tym bardziej, że robisz to tylko raz, zapominasz i nie martwisz się o to, że ktoś niepożądany dostanie się do serca Twojej strony.
Czy znasz jeszcze jakieś inne zabezpieczenia? Jeśli tak, koniecznie podziel się nimi w komentarzach.
Także jestem zwolennikiem kopii zapasowych, to jest najlepsze ale jednak ostateczne rozwiązanie. Mimo wszystko, by nie utracić ruchu na stronę aka rankingów, lepiej jest ją dodatkowo zabezpieczyć.
Robienie kopii zapasowych pozwala bez stresu odnowić stronę w przypadku jakichkolwiek awarii. No i po włamaniach. :)
Zamiast Login Lockdown warto rozważyć instalację i konfigurację Wordfence Security. Oprócz limitu logowań (a także limitu resetowań hasła), wtyczka posiada kilka przydatnych funkcji oraz nieoceniony skaner plików z możliwością ich porównywania z kodem źródłowym umieszczonym w repozytorium. To świetne narzędzie, które pozwala zidentyfikować infekcję w różnego rodzaju plikach, a następnie – przywrócić oryginały. Wczoraj Wordfence doczekał się także zupełnie nowego interfejsu.
Zamierzam bliżej przyjrzeć się tej wtyczce na blogu, co zapewne zrobię w nadchodzącym tygodniu.