Z uwagi na to, że WordPress jest obecnie najpowszechniej używanym skryptem CMS (Content Management System – System Zarządzania Treścią), jest narażony na ataki i wszelkie luki bezpieczeństwa potrafią być dość szybko wykorzystywane przez atakujących. O ile nie ma 100% metody na zabezpieczenie skryptu, możesz podjąć środki, które sprawą, że dostęp do dPanel Twoją stroną będzie trudniejszy.
Spis treści
Aktualizacje to podstawa
Przede wszystkim pamiętaj, aby aktualizować zarówno główny skrypt CMS – WordPress, jak również wszelkie wtyczki oraz szablony, z których korzystasz. Aktualizacje, które są wydawane poza wprowadzaniem nowych funkcjonalności, bardzo często łatają luki bezpieczeństwa, które zostały odkryte od momentu ostatniej aktualizacji. Warto tutaj zwrócić również uwagę na szablony oraz wtyczki, które od dawna tj. minimum kilku miesięcy nie otrzymały żadnych aktualizacji. Stają się one potencjalnymi podatnościami w momencie, gdy nastąpi atak na stronę WWW.
Wtyczki zabezpieczające
Istnieje wiele wtyczek, które wprowadzają modyfikacje w skrypcie, mające na celu dodatkowe zabezpieczenie i korzystanie z nich nie jest niczym złym. Potrafi wręcz zaoszczędzić pracy przy wykonywaniu podobnych modyfikacji ręcznie, co często wymaga podstawowej wiedzy na temat konstrukcji skryptów, jednak nie traktuj takich wtyczek jako panaceum. Ich cel to wyłącznie pomoc w świadomym podejściu do zabezpieczenia twojej strony.
Przykładowe wtyczki tego typu:
- Limit Login Attempts Reloaded – pozwala Ci na określenie ilości prób logowania się do panelu WordPress zakończonych niepowodzeniem. Po osiągnięciu limitu, nastąpi blokada, która uniemożliwi kolejne próby. Warto tutaj wspomnieć, że systemy dhosting.pl mają wbudowany mechanizm, który działa na poziomie systemowej na podobnej zasadzie. Więcej informacji znajdziesz TUTAJ
Upewnij się, że testując różne wtyczki tego typu, nie pozostawiasz aktywnych kilku jednocześnie. Może to spowodować konflikty i co za tym idzie unieruchomienie strony WWW lub całkowite zablokowanie dostępu do panelu „Wordpress”.
Dostęp tylko z Twojego numeru IP
Jedną z form zabezpieczenia jest zablokowanie dostępu do danej części skryptu, w tym wypadku panelu WordPress przez reguły zastosowane w pliku .htaccess, który powinien się znaleźć w katalogu /wp-admin. Poniżej znajdziesz przykładową zawartość takiego pliku z regułami, które zablokują jakikolwiek dostęp osobom, które nie będą łączyły się ze wskazanego numeru IP.
Oczywiście 127.0.0.1 to numer przykładowy. Jeśli nie wiesz jaki jest twój publiczny numer IP, możesz go sprawdzić chociażby na stronie: https://dhosting.pl/mojeip.html
Pamiętaj, że ustawienie takich reguł uniemożliwi Ci połączenie się z panelem WordPress z jakichkolwiek innych lokalizacji. Niekiedy również operatorzy zmieniają numer IP, z którego się łączysz, więc warto jest mieć to na uwadze i stosować to rozwiązanie, gdy masz pewność, że numer IP się nie zmienia i nie masz w planie łączyć się z panelem WordPress z innych lokalizacji.
AuthName "Kontrola dostepu"
AuthType Basic
order deny,allow
deny from all
allow from 127.0.0.1Podwójna weryfikacja
Inną opcją, która umożliwia uruchomienie dodatkowej warstwy zabezpieczenia jest zastosowanie dwuetapowej weryfikacji, przykładowo przy użyciu wtyczki WP 2FA, która sprawi, że zależnie od konfiguracji przy próbie zalogowania się, pomimo podania poprawnych danych jak login oraz hasło, należy będzie dodatkowo potwierdzić próbę przez wiadomość wysłaną na skrzynkę e-mail lub wprowadzenie jednorazowego kodu z aplikacji na telefonie jak np. Google Authenticator.
