Od dłuższego czasu słyszymy tylko jedno słowo – koronawirus. Niestety, martwiąc się o ogólną sytuację, możemy zapomnieć o bezpieczeństwie swojej wizytówki w Internecie. To właśnie teraz, kiedy podczas pandemii wzmożona jest aktywność użytkowników online, warto pomyśleć nad wzmocnieniem bezpieczeństwa swojej własnej strony internetowej. Przedstawiamy kilka podstawowych zasad, które pomogą zwiększyć ochronę WordPressa.
Usuń zbędne wtyczki oraz motywy
Gdy spotykamy się ze stronami naszych Klientów na WP, w większości przypadków zainstalowane są zawsze domyślne motywy oraz kilka nieaktywowanych wtyczek lub takich, których funkcjonalność można szybko zastąpić ręcznie wklejając coś do kodu strony. Warto całkowicie usunąć je ze strony, a w przypadku wtyczek warto ograniczyć je do minimum. Mniej wtyczek to zdecydowanie lepsza opcja dla właściciela strony i odwiedzających.
Zdarzają się wtyczki, które przez długi okres czasu zostają bez wsparcia i właśnie te luki wykorzystują hakerzy do wpuszczania robaczków lub wykradania danych.
Nie używaj wtyczek zabezpieczających
Wtyczki zabezpieczające to wbrew pozorom najczęstsza przyczyna ataku na stronę internetowa. Wszystko dzięki ich popularności oraz to, że ingerują bezpośrednio w core WordPressa.
Tego typu wtyczka jest ostatnią rzeczą, którą powinniśmy dodać do naszego WordPressa.
Pamiętaj o aktualizacjach
Jak wyżej wspomnieliśmy, bardzo ważna jest kwestia wsparcia wtyczek oraz ich aktualizacja. Dlatego gdy tylko pojawi się taka możliwość – aktualizujemy do ostatniej wersji. Musimy również pamiętać o aktualizowaniu naszego WordPressa.
Upewnijmy się również, że posiadamy odpowiednią wersję PHP na serwerze, której wymaga najnowsza wersja WP.
Używaj niestandardowych haseł
Niestety, wciąż większość społeczeństwa korzysta z mnemotechniki i korzysta z haseł typu „123456” albo „qwertyuiop” lub prostych haseł typu „bmw987”. Warto porzucić ten nawyk, bo często wykorzystujemy go również przy skrzynkach pocztowych, portalach społecznościowych.
Co warto robić? Warto korzystać z generatorów haseł np. Strong Random Password Generator. Taki 16 znakowy ciąg losowych znaków znacznie utrudnia jego odszyfrowanie hakerowi lub narzędziom, z których korzysta.
Zmień admina
Kolejnym złym nawykiem jest zostawianie użytkownika o nazwie „admin” lub „administrator”. Tak jak w przypadku haseł, jest to kolejne ułatwienie dostępu do naszej strony hakerowi. W przypadku nazwy użytkownika, jeżeli chcemy już używać domyślnego admina, warto dodać do niego coś więcej np. datę urodzenia „admin23041989” lub używać zupełnie innej nazwy użytkownika.
Najskuteczniejszym zabiegiem jest używanie adres e-mail jako nazwy użytkownika – można do tego użyć wtyczki WP Email Login lub wprowadzić taką możliwość w plikach funkcyjnych szablonu.
Zabezpiecz dostęp do wp-admina
Domyślny adres panelu administracyjnego www.adres-strony.pl/wp-admin/ to możliwość szybkiego dostania się do panelu administracyjnego i błędnym założeniem jest zmiana tego adresu, ponieważ może to generować nam problemy w przyszłości.
Rozwiązaniem tego problemu będzie ograniczenie dostępu po adresie IP lub zrobienie dwuetapowej weryfikacji.
Pamiętaj, aby nigdy nie robić zabezpieczenia w postaci zmiany linku do wp-admina np. wtyczką WP Hide Login. W przyszłości może spowodować to problemy z aktualizacjami, a nie umiejętne odinstalowanie czy nawet wyłączenie tej wtyczki najczęściej kończy się zablokowaniem dostępu do panelu administracyjnego.
Certyfikat SSL
SSL czyli Secure Socket Layer realnie zwiększa zabezpieczenie naszej strony. SSL zapewnia nam bezpieczny transfer danych pomiędzy przeglądarką a serwerem.
Większość firm hostingowych oferuje dzisiaj na sprzedaż certyfikaty oraz automatyzację ich wdrożenia – warto z tego korzystać. Pamiętajmy o tym że SSL to także większe zaufanie u Google, bowiem obecność takiego certyfikatu wpływa na ranking strony w Google.
2-stopniowa autoryzacja
2FA to dodatkowa cegiełka do zabezpieczenia strony. Uwierzytelnianie wieloczynnikowe to świetne narzędzie, które może do zalogowania wymagać fizycznego tokena lub hasła SMS, które przychodzi na telefon użytkownika w momencie logowania.
Polecamy korzystać z narzędzia Google eAuthenticator ze względu na łatwość jego konfiguracji.
Używaj innego prefiksu bazy danych
Przy instalacji, WordPress automatycznie proponuje nam prefiks „wp_” dla naszej bazy danych. Warto zmienić go na jakiś inny lub dopisać do tego prefiksu ciąg znaków, np. „wp561mfip5_”. Domyślny prefiks to szansa na atak na bazę danych.
Obserwacja plików strony
Warto weryfikować, czy w plikach strony nie zachodzą jakieś zmiany lub czy nie pojawiły się jakieś niestandardowe pliki, które być może są robakami lub malware. Do bieżącej obserwacji plików zalecamy korzystanie z wtyczki Wordfence Security.
Szybka i prosta konfiguracja oraz raporty na e-mail. Można również sprawdzać pliki ręcznie korzystając z połączenia FTP lub skanerów SSH.
Rób backupy
Pozorny zawsze ubezpieczony. Backupy to świetna możliwość szybkiego powrotu strony sprzed ataku hakerskiego lub zabezpieczanie jej, jeżeli coś pójdzie nie tak – ot, wtyczka coś popsuła lub namieszaliśmy coś w kodzie strony.
Firmy hostingowe przeważnie mają już w standardzie możliwość ustawienia kopii zapasowych. Jeżeli już musimy korzystać z wtyczek to dobrze sprawdza się UpdraftPlus oraz All in One WP Migrate, jednak zawsze najpewniejszy jest backup ręczny, bo nasza kopia nie jest zależna od jakiegoś narzędzia.
Podsumowanie
Powyższe rozwiązania są zupełnymi podstawami, które powinien wdrożyć w życie każdy posiadacz strony opartej na systemie WordPress. Na ich wdrożenie będziemy musieli poświęcić jakiś czas, ale dobrze jest zapobiegać, niż leczyć.
Sposobów na bezpieczeństwo WordPressa jest znacznie więcej, jednak są to już metody bardziej techniczne.
Wiele stron internetowych nie posiada żadnego z powyższych punktów i bardzo łatwo o atak. Musimy pamiętać, że atak to nie tylko straty w czasie i finansach, ale również możliwość popsucia renomy firmy poprzez kradzież danych lub wyświetlania pornografii, czy też reklamy typu „Wygrałeś iPhone”.
Zachęcamy do wdrożenia powyższych rozwiązań na stronę internetową, a w razie problemów zachęcamy do skorzystania z naszej oferty na zabezpieczanie strony internetowej.