Polub nasz artykuł

Zabezpieczenie strony WordPress – 17 sposobów

Przeczytaj naszych 17 sposobów na zabezpieczenie strony WordPress. Z roku na rok coraz częściej zgłaszają się do mnie właściciele stron internetowych opartych na WordPressie, którzy zmagają się z problemem zawirusowanej witryny.  Z jednej strony nie powinno mnie to dziwić, w końcu WordPress jest najpopularniejszym systemem CMS na świecie i z roku na rok grono jego entuzjastów się zwiększa, ale z drugiej strony zwiększa nam się również baza przydatnych porad i artykułów, co powinno wpływać na większą świadomość w kontekście zabezpieczenia stron internetowych.  Zamiast leczyć, lepiej zapobiegać i już wcześniej zabezpieczyć swoją witrynę od momentu umieszczenia jej na serwerze produkcyjnym. Oszczędzisz w ten sposób wiele nerwów, a przy tym i pieniędzy.

Jeżeli chodzi o same wirusy, które atakują WordPressa to nie możemy zaliczyć ich do jednej grupy, przybierają się one różne postaci, np:

– dodanie do zawartości strony linki do stron trzecich;
– wykorzystywanie funkcji phpmail() na serwerze w celu wysyłanie spamu;
– obciążanie serwera (DDOS’owanie);
– wrogie przejęcie witryny, podmienienie widoku głównego strony;
– uszkodzenie bazy danych;
– wykradnięcie wrażliwych danych, w przypadku korzystania z Woocommerce podmienienie danych płatności;
– wstrzyknięcie złośliwego kodu do plików szablonowych / wtyczek;

Zapewne się zastanawiasz jaką mogą być konsekwencje z tego tytułu? Zdecydowanie nieprzyjemne, np:

– spadek pozycji w wyszukiwarkach internetowych;
– oznaczenie przez Google strony jako złośliwej i niebezpiecznej;
– utrata zaufania Klientów;
– w przypadku braku kopii zapasowej –  permanentna utrata danych;
– spadek ruchu i pozycji;
– utrata wrażliwych danych, konsekwencje prawne

Ale czy to wina WordPressa? Jest niebezpieczny?

Absolutnie nie. Nie w tym rzecz. WordPress po prostu daje bardzo łatwą możliwość doinstalowania różnych komponentów i bardzo często w ten sposób hakerzy przedostają się do Twojej witryny. Wiele osób uważa również, że skrypt z otwartym kodem źródłowym (open source) jest podatny na różnego rodzaju ataki. Dlaczego? Z prostego względu – potencjalni hakerzy mogą przecież przeglądać kod źródłowy i wyszukiwać potencjalnych luk w oprogramowaniu. Ale to nie do końca prawda. WordPress posiada bardzo dużą społeczność, która szybko reaguje. Jeżeli taka luka faktycznie znajduje się w systemie to aktualizacja nowej wersji WordPressa wychodzi bardzo szybko. Wystarczy zaktualizować stronę… No właśnie, a z tym bywa u większości właścicieli stron na WordPressie różnie.

Zabezpieczenie strony WordPress powinno leżeć w interesie właściciela strony internetowej. Jeżeli myślisz, że nieaktualizowany i autorski system CMS uchroni Cię przed potencjalnymi atakami to jesteś w wielkim błędzie.

Przeczytaj kilka naszych wskazówek na temat zabezpieczenia strony WordPress. Jeżeli chciałbyś się czegoś dopytać, czy dowiedzieć – zawsze możesz się z nami skontaktować. Chętnie pomożemy.

1. Zabezpieczenie strony WordPress – dane logowania

Zabezpieczenie panelu administracyjnego jest jedną z ważniejszych czynności w kontekście bezpieczeństwa strony opartej na CMS WordPress. Wszyscy, którzy choć raz mieli do czynienia z WordPressem od strony administratora znajdą doskonale adres logowania do panelu admina.

Z poziomu panelu administratora możemy w pełni modyfikować zawartość strony, a nawet pliki znajdujące się na serwerze. Dlatego też często hakerzy używają różnych metod, m.in. brute-force do złamania hasła do panelu administracyjnego – z tego poziomu mogą zrobić dosłownie już wszystko ze stroną, jeżeli nie jest prawidłowo zabezpieczona.

2. Zabezpieczenie strony WordPress – Blokada dla niechcianych gości
Blokada dla niechcianych gości

Zapewne nie zależy Ci na użytkownikach, którzy przebywają na Twojej stronie jedynie po to, aby uzyskać dostęp do panelu administracyjnego. Pomyśl nad wprowadzeniem blokady dla użytkowników, którzy kilka razy wpiszą niepoprawne dane do logowania. Uchroni Cię to przed atakami typu brute-force. Minusem takiego rozwiązania jest to, że czasem po prostu samemu niechcący możesz sobie zablokować dostęp do swojego serwisu.Do użycia takiego zabezpieczenia, polecamy sprawdzony plugin:  iThemes Security (wcześniej Better WP Security)

3. Zabezpieczenie strony WordPress – Uwierzytelnianie dwuetapowe, tzw. two-factor authentication

Dobrym pomysłem jest również wprowadzenie dodatkowego zabezpieczenia w postaci dwuetapowego uwierzytelnienia na stronie logowania. W momencie logowania do panelu administracyjnego oprócz hasła oraz loginu, trzeba podać jeszcze dodatkowe dane, np. tajny kod lub odpowiedź na specjalne pytanie. Do tego możemy użyć poniższego pluginu:
zabezpieczenie strony wordpress

4. Niestandardowy adres logowania do panelu administracyjnego

Zmiana adresu logowania do panelu administracyjnego nie jest skomplikowanym procesem. Domyślnie do panelu administracyjnego uzyskasz dostęp po dodaniu ścieżki /wp-login.php lub /wp-admin do adresu głównego.

Haker znający adres do Twojego panelu administracyjnego może spróbować złamać hasło do Twojej strony. Najczęściej atak odbywa się przez metodę brute-force, hakerzy posiadają bazy danych z milionami prawdopodobnym haseł oraz na ich podstawie próbują uzyskać dostęp.

Adres do panelu administracyjnego dla laika najłatwiej zrobić przez wtyczkę, możemy użyć wcześniej polecaną przez nas „iThemes Security”, ale możemy również zmienić adres logowania do panelu administracyjnego bez konieczności instalacji żadnych wtyczek.

Wystarczy, że w pliku .htaccess na serwerze dodasz poniższą linijkę kodu:
W pliku .htaccess zamieszczamy poniższą linijkę kodu:

RewriteRule ^signin(.*) wp-login.php?%{QUERY_STRING}

Gdzie signin to nasz adres nowy, czyli jak chcemy aby nasz nowy adres logowania do panelu administracyjnego wyglądał w ten sposób: https://mojastrona.pl/signin

Oraz w pliku functions.php, który znajduje się w głównym folderze szablony którego używamy:

add_filter( ‚login_url’, ‚my_login_page’, 10, 2 );
function my_login_page( $login_url, $redirect ) {
return str_replace(„wp-login.php”,”signin”,$login_url);

}

add_action( ‚login_form’, ‚replace_login_submit_form’,1);
function replace_login_submit_form() {
$your_content = ob_get_contents();
$your_content = str_replace(„wp-login.php”,”signin”,$your_content);
ob_get_clean();
echo $your_content;

}

Jeżeli do tego momentu zastosowałeś się do wszystkich sugerowanych przez nas porad dotyczących bezpieczeństwa, najprawdopodobniej niemalże w 100% ochroniłeś swoją witrynę przed ewentualnymi próbami ataku typu brute-force.

5. W celu zabezpieczenia strony WordPress zwiększ siłę hasła

Rozważ również poprawę siły swojego hasła – im będzie trudniejsze, tym mniejsze prawdopodobieństwo, że ktokolwiek je zgadnie lub złamie. Być może przez niektórych ta porada zostanie odebrana jako trywialna, ale w dalszym ciągu często spotykam się z ustawianiem haseł takich jak „admin”, czy „imie12” do panelu administracyjnego. Jeżeli nie masz pomysłu na wygenerowanie silnego hasła, możesz użyć generatora poniżej:

https://passwordsgenerator.net/

Zabezpieczenie strony WordPress możesz właśnie zacząć od ustawienia silnego hasła.

6. Użyj SSL

Wdrożenie certyfikatu SSL jest sprytnym i mądrym posunięciem. W ten sposób zabezpieczysz swój panel administracyjny: protokół SSL zapewnia bezpieczny transfer danych pomiędzy przeglądarką, a serwerem, co dla hakerów jest oczywiście dodatkowym utrudnieniem.

Na większości z moich witryn posiadam certyfikaty SSL od Let’s Encrypt, większość dobrych firm hostingowych oferuje możliwość ich wygenerowania, np. Zenbox, ale niestety w dalszym ciągu duża część hostingodawców wciąż nie oferuje takiej możliwości i jeżeli chcemy zainstalować certyfikat SSL na swojej stronie to musimy przygotować się na min. Kosztuje ok. 70 zł rocznie.

Warto skonfigurować certyfikat SSL na stronie również ze względu na większe zaufanie wśród użytkowników i … Google. Tak, certyfikat SSL wpływa również na ranking Twojej witryny w Google.
I nie jest to żadna nowość. Czytaj więcej:
https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html
Także jeżeli chcesz więcej ruchu na stronie lub lepszych pozycji w wyszukiwarkach – zaimplementuj SSL.

7. Zmień login

Podczas instalacji WordPressa powinieneś użyć unikalnego loginu. Zamiast „admin” lub „administrator” użyj, np. imienia swojego pupila ☺ „Admin” to login,, który każdy haker będzie znał, a jeśli jest on poprawny to pozostanie jedynie odgadnięcie lub złamanie hasła.

8. Blokada edycji plików

Zdarza Ci się edytować pliki bezpośrednio przez panel administracyjny? Zapewnie bardzo rzadko lub wcale – raz, że jest to po prostu niewygodne, a dwa, że nie mamy dostępu do wszystkich plików na serwerze. W przypadku wdrożenia zabezpieczona, w momencie kiedy haker uzyskałby dostęp do panelu administracyjnego to mimo wszystko nie będzie w stanie ingerować w pliki na serwerze.

W celu blokady, wystarczy do pliku konfiguracyjnego wp-config.php dodać dwie linijki kodu:

define(‚DISALLOW_FILE_EDIT’, true);
define(‚DISALLOW_FILE_MOD’, true);

9. Zabezpieczenie strony WordPress – Aktualizacja oprogramowania

Jak już wspominałem, WordPress jest oprogramowaniem OpenSource. Aktualizacje, które wychodzą co jakiś czas, są korzyścią dla wszystkich użytkowników: posiadają pewne usprawnienia oraz często łatki bezpieczeństwa. Jeżeli nie aktualizujesz swojej witryny na bieżąco to zapewne za jakiś czas jakiś haker lub bot wykorzysta to do wrogiego przejęcia witryny. Oprócz samej aktualizacji „systemu”, powinieneś również zadbać o aktualizację motywów oraz wtyczek, które używasz.

Jeżeli chcesz, aby WordPress sam się aktualizował, dodaj do pliku konfiguracyjnego wp-config.php poniższą linijkę kodu:

define(‚WP_AUTO_UPDATE_CORE’, true );

10. Zabezpieczenie plików na serwerze

Dla bezpieczeństwa ustaw odpowiednie uprawnienia do plików na serwerze. Uniemożliwisz hakerowi wgląd do Twoich plików i ich edycje.

Ustaw na serwerze CHMODy dla:

.htaccess – 444
wp-config.php – 400
foldery, np. wp-content – 555
pliki – 604

Plik konfiguracyjny wp-config.php zawiera najważniejsze informacje związane z Twoją stroną internetową. Jeżeli plik wp-config.php stanie się niedostępny dla osób trzecich, zwiększysz bezpieczeństwo swojej witryny. Oprócz zmiany praw do pliku możesz również przenieść go w inne miejsce, np. poziom wyżej niż katalog główny.

12. Zmień prefix tabeli bazy danych

Jeśli instalowałeś kiedyś WordPress’a to spotkałeś się z tym, że domyślnie instalacja sugeruje nam skorzystanie z prefixu wp_ dla naszej bazy danych. Polecam jednak zmienić ten prefix na jakiś wyjątkowy. Używanie domyślnego prefiksu naraża Twoją bazę danych na ataki SQL Injection.  Jeżeli chcesz temu zapobiec –po prostu zmień prefix na jakiś inny, np. mysite2323_

13. Zabezpieczenie strony WordPress  – Twórz regularnie backupy

Warto upewnić się czy Twój hostingodawca robi to za Ciebie – jeśli tak, to świetnie. Warto też dowiedzieć się na jakich warunkach, często usługodawcy przechowują pliki jedynie z ostatnich 24 godzin.  Jeśli masz kopię zapasową, zawsze możesz przywrócić swoją witrynę do wersji do dowolnego stanu w dowolnym momencie.

14. Zabezpieczenie strony WordPress  – Wyłącz możliwość przeglądania katalogów przez .htaccess

Wystarczy, że dodasz do .htaccess poniższą linijkę:

Options All –Indexes

Uniemożliwisz w ten sposób hakerowi przeglądanie folderów na Twoim serwerze.

15. Zablokuj XML-RPC

W skrócie – dzięki usłudze XML-RPC możemy zdalnie (np. za pomocą API) komunikować się z naszą stroną. Niestety możliwości, jakie daje usługa, cały czas próbują wykorzystywać hakerzy.  Najpowszechniejsze oraz najczęstsze próby ataki to DDoS, które mogą obciążyć serwer oraz w dalszej konsekwencji jego blokadę przez usługodawcę.

Jak wyłączyć? Przejdź do pliku functions.php w szablonie którego używasz i dodaj poniższą linijkę kodu:

add_filter(‚xmlrpc_enabled’, ‚__return_false’);

16. Usuń dostęp do poglądu wersji WordPress’a którego używasz

Twój aktualny numer wersji WordPress’a można znależć bardzo łatwo, usytuowany jest w kodzie źródłowym witryny. Jeśli hakerzy znają wersję Twojego WordPressa to łatwiej im dostosować „broń”, którą użyją przeciwko Twojej witrynie.

Wystarczy, że dodasz poniższą linijkę kodu do pliku szablonowego functions.php

function remove_version_info() {
return ”;
}
add_filter(‚the_generator’, ‚remove_version_info’);

17. Usuń niepotrzebne pluginy oraz motywy

Usuń wszystkie niepotrzebne motywy, których nie używasz oraz nie masz aktywowanych. Pozbądź się również dezaktywowanych wtyczek na serwerze –  zrób przy okazji przegląd oraz zastanów się, czy aby na pewno danej wtyczki potrzebujesz. Generalnie im mniej wtyczek tym lepiej – dla Ciebie, dla użytkowników oraz dla Twojej strony. Pamiętaj też o tym, że WordPress nie wydaje aktualizacji wtyczek – robią to wydawcy. WordPress jedynie poinformuje Cię o tym, kiedy wydawca danej wtyczki wprowadzi aktualizację, ale jest masa wtyczek, które od dawna żadnej aktualizacji nie miały, a posiadają poważne błędy w zabezpieczeniu przez co potencjalni hakerzy chcący uzyskać dostęp do Twojej strony to wykorzystają.

Dla początkującego właściciela witryny WordPress być może niektóre operacje wydają się być skomplikowane, ale przynajmniej postaraj się wdrożyć część z nich. Zawsze możesz też wynająć profesjonalistów, którzy zabezpieczą Twoją witrynę. Jeśli masz jakieś pytania zamieść je w komentarzu poniżej, a postaram się odpowiedzieć na każde z nich.

Podsumowanie
17 sposobów na zabezpieczenie strony WordPress
Tytuł artykułu
17 sposobów na zabezpieczenie strony WordPress
Opis
 Zamiast leczyć, lepiej zapobiegać i już wcześniej zabezpieczyć swoją witrynę od momentu umieszczenia jej na serwerze produkcyjnym. Oszczędzisz w ten sposób wiele nerwów, a przy tym i pieniędzy. Przeczytaj naszych 17 sposobów na zabezpieczenie strony WordPress.
Autor
Opublikowany przez
ContentNinja
Logo wydawcy