Jak zabezpieczyć swojego WordPressa?

Od dłuższego czasu słyszymy tylko jedno słowo – koronawirus. Niestety, martwiąc się o ogólną sytuację, możemy zapomnieć o bezpieczeństwie swojej wizytówki w Internecie. To właśnie teraz, kiedy podczas pandemii wzmożona jest aktywność użytkowników online, warto pomyśleć nad wzmocnieniem bezpieczeństwa swojej własnej strony internetowej. Przedstawiamy kilka podstawowych zasad, które pomogą zwiększyć ochronę WordPressa.


1. Usuń zbędne wtyczki oraz motywy

Gdy spotykamy się ze stronami naszych Klientów na WP, w większości przypadków zainstalowane są zawsze domyślne motywy oraz kilka nieaktywowanych wtyczek lub takich, których funkcjonalność można szybko zastąpić ręcznie wklejając coś do kodu strony. Warto całkowicie usunąć je ze strony, a w przypadku wtyczek warto ograniczyć je do minimum. Mniej wtyczek to zdecydowanie lepsza opcja dla właściciela strony i odwiedzających.

Zdarzają się wtyczki, które przez długi okres czasu zostają bez wsparcia i właśnie te luki wykorzystują hakerzy do wpuszczania robaczków lub wykradania danych.


2. Pamiętaj o aktualizacjach

Jak wyżej wspomnieliśmy, bardzo ważna jest kwestia wsparcia wtyczek oraz ich aktualizacja. Dlatego gdy tylko pojawi się taka możliwość – aktualizujemy do ostatniej wersji. Musimy również pamiętać o aktualizowaniu naszego WordPressa.

Upewnijmy się również, że posiadamy odpowiednią wersję PHP na serwerze, której wymaga najnowsza wersja WP.


3. Używaj niestandardowych haseł

Niestety, wciąż większość społeczeństwa korzysta z mnemotechniki i korzysta z haseł typu „123456” albo „qwertyuiop” lub prostych haseł typu „bmw987”. Warto porzucić ten nawyk, bo często  wykorzystujemy go również przy skrzynkach pocztowych, portalach społecznościowych.

Co warto robić? Warto korzystać z generatorów haseł np. Strong Random Password Generator. Taki 16 znakowy ciąg losowych znaków znacznie utrudnia jego odszyfrowanie hakerowi lub narzędziom, z których korzysta.


4. Zmień admina

Kolejnym złym nawykiem jest zostawianie użytkownika o nazwie „admin” lub „administrator”. Tak jak w przypadku haseł, jest to kolejne ułatwienie dostępu do naszej strony hakerowi. W przypadku nazwy użytkownika, jeżeli chcemy już używać domyślnego admina, warto dodać do niego coś więcej np. datę urodzenia „admin23041989” lub używać zupełnie innej nazwy użytkownika.

Najskuteczniejszym zabiegiem jest używanie adres e-mail jako nazwy użytkownika – można do tego użyć wtyczki WP Email Login lub wprowadzić taką możliwość w plikach funkcyjnych szablonu.


5. Niestandardowy adres URL do panelu admina

Domyślny adres panelu administracyjnego www.adres-strony.pl/wp-admin/ to jedna z możliwości szybkiego dostania się do strony przez hakera. Dla przykładu, weszliśmy na stronę innej agencji i otwarliśmy 10 realizacji stron opartych na WP. Tylko 1 strona posiadała niestandardowy adres do panelu administracyjnego.

Zdecydowanie jest to coś, o czym warto pamiętać. Aby zmienić adres URL na własny można użyć wtyczki Custom Login URL lub wprowadzić zmiany w pliku funkcyjnym szablonu oraz htaccessie.


6. Certyfikat SSL

SSL czyli Secure Socket Layer realnie zwiększa zabezpieczenie naszej strony. SSL zapewnia nam bezpieczny transfer danych pomiędzy przeglądarką a serwerem.

Większość firm hostingowych oferuje dzisiaj na sprzedaż certyfikaty oraz automatyzację ich wdrożenia – warto z tego korzystać. Pamiętajmy o tym że SSL to także większe zaufanie u Google, bowiem obecność takiego certyfikatu wpływa na ranking strony w Google.


7. 2-stopniowa autoryzacja

2FA to dodatkowa cegiełka do zabezpieczenia strony. Uwierzytelnianie wieloczynnikowe to świetne narzędzie, które może do zalogowania wymagać fizycznego tokena lub hasła SMS, które przychodzi na telefon użytkownika w momencie logowania.

Polecamy korzystać z narzędzia Google eAuthenticator ze względu na łatwość jego konfiguracji.


8. Używaj innego prefiksu bazy danych

Przy instalacji, WordPress automatycznie proponuje nam prefiks „wp_” dla naszej bazy danych. Warto zmienić go na jakiś inny lub dopisać do tego prefiksu ciąg znaków, np. „wp561mfip5_”. Domyślny prefiks to szansa na atak na bazę danych.


9. Obserwacja plików strony

Warto weryfikować, czy w plikach strony nie zachodzą jakieś zmiany lub czy nie pojawiły się jakieś niestandardowe pliki, które być może są robakami lub malware. Do bieżącej obserwacji plików zalecamy korzystanie z wtyczki Wordfence Security.

Szybka i prosta konfiguracja oraz raporty na e-mail. Można również sprawdzać pliki ręcznie korzystając z połączenia FTP lub skanerów SSH.


10. Rób backupy

Pozorny zawsze ubezpieczony. Backupy to świetna możliwość szybkiego powrotu strony sprzed ataku hakerskiego lub zabezpieczanie jej, jeżeli coś pójdzie nie tak – ot, wtyczka coś popsuła lub namieszaliśmy coś w kodzie strony.

Lepsze firmy hostingowe automatycznie wykonują backupy naszej strony, ale większość standardowych firm posiada taką możliwość, którą możemy zrobić ręcznie. Z wtyczek możemy polecić UpdraftPlus oraz VaultPress.


Podsumowanie

Powyższe rozwiązania są zupełnymi podstawami, które powinien wdrożyć w życie każdy posiadacz strony opartej na systemie WordPress.  Na ich wdrożenie będziemy musieli poświęcić jakiś czas, ale dobrze jest zapobiegać, niż leczyć.

Sposobów na bezpieczeństwo WordPressa jest znacznie więcej, jednak są to już metody bardziej techniczne.

Wiele stron internetowych nie posiada żadnego z powyższych punktów i bardzo łatwo o atak. Musimy pamiętać, że atak to nie tylko straty w czasie i finansach, ale również możliwość popsucia renomy firmy poprzez kradzież danych lub wyświetlania pornografii, czy też reklamy typu „Wygrałeś iPhone”.

Zachęcamy do wdrożenia powyższych rozwiązań na stronę internetową, a w razie problemów zachęcamy do skorzystania z naszej oferty na zabezpieczanie strony internetowej.


Autor wpisu: Damian Sonek

 

udostępnij:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *