Jak zabezpieczyć WordPressa – poradnik

Wadami i jednoczesnymi zaletami WordPressa są jego otwarty kod oraz darmowość. Niestety ten fakt ma negatywny wpływ na bezpieczeństwo systemu. Na szczęście istnieje kilka prostych sposobów służących do zabezpieczenia CMSa, które przy odrobienie samozaparcia i wolnego czasu wdrożysz w pojedynkę, a wtedy już krótka droga do zabezpieczeń na poziomie Fortu Knox.

Aktualny WordPress i wtyczki

Dobrze przyjrzyj się poniższemu zrzutowi ekranu. Dokładnie w ten sposób powinna wyglądać zakładka „Aktualizacje” w Twoim panelu.

aktualny wordpress i wtyczki

Wcześniej wspominałem, że każdy jest w stanie zajrzeć do kodu WordPressa. Nie inaczej jest z wtyczkami, dlatego nie powinny Cię dziwić dość częste aktualizacje zarówno samego systemu jak i pluginów. Autorzy na bieżąco wprowadzają odpowiednie łatki bezpieczeństwa, dlatego tak ważne są natychmiastowe update’y.

Skomplikowane hasła i ich częsty zmiany

Nie muszę chyba mówić, że hasła typu „pupa123” albo „admin” są nie do przyjęcia? Odpadają również te składające się z Twojego imienia i nazwiska, daty urodzenia czy tytułu ulubionego filmu. Idealne hasło składa się z losowego ciągu liter (małych oraz wielkich), znaków specjalnych i cyfr.

Pamiętaj, że skomplikowane hasło nie powinno chronić wyłącznie panelu administracyjnego WordPressa. Zadbaj o odpowiednie zabezpieczenie konta FTP, bazy danych a nawet panelu administracyjnego w firmie hostingowej.

Nie korzystaj z loginu „admin”

Login „admin” jest domyślnym loginem stosowanym w WordPressie automatycznie nadawanym również w momencie instalacji WordPressa przez autoinstalatory wszyte w hostingowe panele administracyjne.

Z tego powodu warto zastąpić go innym, co nie jest w żadnym stopniu skomplikowane. Możesz stosować kombinację swojego imienia i nazwiska, ale najlepiej użyć, tak jak w przypadku hasła, losowego ciągu znaków.

Zmiana adresu panelu administracyjnego

Domyślny adres prowadzący do panelu administracyjnego wygląda następująco: www.twojastrona.pl/wp-admin. Jak już ustaliliśmy w poprzedniej poradzie, wszystko co domyślne, nie sprzyja bezpieczeństwu, dlatego warto również zadbać o niestandardowy adres panelu administracyjnego.

Dobrze z tym zadaniem poradzi sobie wtyczka WPS Hide Login, która nie ma miliona funkcji, a została stworzona tylko do tego jednego, prostego zadania.

wps hide login

Limit prób logowania

Standardowo WordPress pozwala na nieograniczoną liczbę prób logowania, więc z hasłem można walczyć na wiele różnych sposobów. Warto więc zadbać o to, żeby WordPress po kilku próbach nieudanego logowania, odrzucał takiego delikwenta.

Do tego zadania posłuży wtyczka Login LockDown, która jest niezwykle łatwa w konfiguracji.

Dwuetapowa weryfikacja

Z dwuetapowej weryfikacji korzystasz prawdopodobnie na Facebooku, Gmailu, PayPalu i wielu, wielu innych serwisach, co stoi zatem na przeszkodzie, żeby skorzystać z niej na łamach strony opartej o WordPressa?

Zdaję sobie sprawę, że to wydłuży nieco sam proces logowania, ale to nie powinno być dla Ciebie problemem. Pomyśl o bezpieczeństwie swojej strony.

Prawdopodobnie najlepszą wtyczką wprowadzającą dwuetapową weryfikację jest Google Authenticator.

Blokada edycji plików

Kiedy po wprowadzeniu powyższych zabezpieczeń hacker jakimś cudem i tak się dostanie do serca Twojego WordPressa, ważne jest to, żeby nie mógł zrobić zbyt dużego bałaganu. Najszybszą drogą do tego jest edytor plików znajdujący się w zakładce „Wygląd”. Na szczęście można w nim zablokować pisanie przy pomocy jednego, prostego tricku.

Otwórz plik wp-config.php i dodaj poniższą linijkę:

define(‚DISALLOW_FILE_EDIT’, true);

Niezależne backupy

Korzystając z usług firmy hostingowej prawdopodobnie w cenie Twojego pakietu znajdują się kopie zapasowe zapewniane przez usługodawcę. To się chwali, ale warto również zadbać o niezależne backupy. Mówi się nawet, że jeśli dysponujesz zaledwie jedną kopią, to tak naprawdę realnie nie dysponujesz żadną.

Wtyczek do backupów jest mnóstwo. Najpopularniejsze są BackWPup – WordPress Backup Plugin oraz All-in-One WP Migration.


Sprawdź nas, Elastyczny Web Hosting przyjmie każdy ruch z Twojej strony!

Stosując wszystkie wyżej wymienione porady zamieniasz swoją stronę opartą o WordPressa w prawdziwy bastion nie do zdobycia. Wprowadzenie wszystkich zabezpieczeń zajmie trochę czasu, ale warto. Tym bardziej, że robisz to tylko raz, zapominasz i nie martwisz się o to, że ktoś niepożądany dostanie się do serca Twojej strony.

Czy znasz jeszcze jakieś inne zabezpieczenia? Jeśli tak, koniecznie podziel się nimi w komentarzach.

2 Comments

  1. Zamiast Login Lockdown warto rozważyć instalację i konfigurację Wordfence Security. Oprócz limitu logowań (a także limitu resetowań hasła), wtyczka posiada kilka przydatnych funkcji oraz nieoceniony skaner plików z możliwością ich porównywania z kodem źródłowym umieszczonym w repozytorium. To świetne narzędzie, które pozwala zidentyfikować infekcję w różnego rodzaju plikach, a następnie – przywrócić oryginały. Wczoraj Wordfence doczekał się także zupełnie nowego interfejsu.

    Zamierzam bliżej przyjrzeć się tej wtyczce na blogu, co zapewne zrobię w nadchodzącym tygodniu.

Zostaw odpowiedź

Please enter your comment!
Please enter your name here

Wspólna pomoc

Partnerzy dhosting.pl, Fundacja Mam Marzenie oraz twórcy ambitnych projektów – wspólnie z nami pomagają innym tworzyć „wielkie” projekty. Małe i duże. Tworzące różnicę.

To już ponad dwa miesiące współpracy z Fundacją Mam Marzenie

Od momentu ogłoszenia strategicznego partnerstwa pomiędzy dhosting.pl Sp. z o.o. a Fundacją Mam Marzenie minęły już ponad dwa miesiące. Od 5 listopada 2019 roku...

Program Partnerski 2.0 – dlaczego to robimy?

Marzeniem moim i wszystkich współtworzących dhosting.pl już od pierwszych dni powstania marki, było dostarczać rozwiązania, z których sami chętnie chcielibyśmy korzystać, a to wszystko...

Nowy Program Partnerski w dhosting.pl

Po wielu miesiącach prac mamy przyjemność zaprezentować nowy Program Partnerski dhosting.pl. Od dzisiaj to partnerzy decydują na co przeznaczą swoją prowizję, która będzie wzrastać...

Wywiad z Magdaleną Kilan – Fundacja Mam Marzenie

Fundacja Mam Marzenie istnieje na rynku już 16 lat i zrealizowała już prawie 8500 marzeń ciężko chorych dzieci. Organizacja opiera się o ludzi z...

Wsparcie ambitnych projektów

Tworząc w 2016 roku Elastyczny Web Hosting, chcieliśmy udostępnić ludziom usługę, która pozwoli im rozwijać swoje projekty bez zmartwień o infrastrukturę serwerową oraz koszty....
Zdecyduj, który projekt otrzyma wsparcie w ramach Programu Partnerskiego dhosting.pl lub dodaj własny.

Nasze social media

2,990FaniLubię
120ObserwującyObserwuj
148ObserwującyObserwuj
74SubskrybującySubskrybuj

Ostatnie komentarze

My na YouTube

Kontakt z nami

dhosting.pl Sp. z o.o.
Al. Jerozolimskie 98
00-807 Warszawa

Infolinia: +48 22 292 01 01
Handlowy: +48 22 292 01 23
E-mail: bok@dhosting.pl

Podobne artykuły