Jak zabezpieczyć stronę wordpress - 8 prostych korków

Jak zabezpieczyć stronę WordPress?

CMS WordPress to najbardziej popularny system do zarządzania treścią w internecie. Ponad 40% wszystkich witryn w internecie to właśnie WordPress. W tym artykule dowiesz się jak sprawnie i szybko zabezpieczyć stronę opartą o właśnie ten CMS. Wykonując kilka prostych czynności możesz zaoszczędzić sobie setki złotych, które prawdopodobnie musiałbyś wydać na programistę lub informatyka, który przywróci lub naprawi stronę po zainfekowaniu złośliwym oprogramowaniem. Zaczniemy od najprostszych porad jak zabezpieczyć stronę WordPress.

Patryk Talarek

Strona Internetowa oparta o WordPress posiada wtyczki i szablony, które są potencjalną luką bezpieczeństwa. Im więcej Twoja strona posiada wtyczek i motywów, tym większa szansa, że twoja strona zostanie zainfekowana wirusem. Wirusy będą próbowały uzyskać dostęp do panelu administracyjnego, będą próbowały dodać zmiany w bazie danych oraz przerwać działanie strony. Niestety WordPress jest oprogramowaniem otwartym. Oznacza to, że każdy może zobaczyć kod, z którego ten CMS jest zrobiony.

Silne hasło i login

Strony www są ciągle przeszukiwane przez szkodliwe boty, które próbują zalogować się do Twojego kokpitu WordPress z użyciem najprostszych haseł. Jeżeli w Twoim loginie lub haśle jest słowo „Admin”, 'administrator’, „[nazwa_twojej_firmy]” to natychmiast to zmień. Bardzo ważne, aby hasło było skomplikowane i długie. Dzięki temu masz mniejszą szansę, że ktoś to hasło złamie. O tym bardzo często zapominają administratorzy stron i użytkownicy, przez co są one narażone na złamanie hasła, a w rezultacie utratę danych.

Certyfikat SSL

Instalacja certyfikatu na Twojej stronie to absolutne minimum. Dzięki niemu dane, które prześle użytkownik na stronie będą zaszyfrowane. W razie jakiegokolwiek przejęcia tych danych, będą one zaszyfrowane – jest to najprościej mówiąc zabezpieczenie danych przesyłanych przez stronę. Certyfikat ma również bardzo duże znaczenie w pozycjonowaniu strony w wynikach wyszukiwania Google. Aby sprawdzić, czy Twoja strona posiada zainstalowany certyfikat zobacz w przeglądarce w to miejsce:

Certyfikat SSL

Certyfikat możesz skonfigurować lub kupić w panelu hostingu, z którego korzystasz. W wielu przypadkach hostingi oferują darmowy certyfikat SSL Let’s Encrypt. W wielu przypadkach jest on wystarczający. Jeżeli nie wiesz jak go skonfigurować lub włączyć, skontaktuj się ze swoim hostingiem.

Włączenie certyfikatu to część zadania, które musisz wykonać. Teraz należy włączyć SSL w panelu WordPress. W tym celu przejdź na adres: www.[twojastrona].pl/wp-admin Następnie przejdź do zakładki „Wtyczki”, następnie w polu „Wyszukaj wtyczki” znajdź wtyczkę: Really Simple SSL. Po zainstalowaniu i aktywowaniu wtyczki włącz przekierowanie strony na Https:// zgodnie z poniższym screenem. Po poprawnym włączeniu certyfikatu, powinieneś zostać wylogowany z kokpitu i przekierowany już na zabezpieczoną stronę.

Aktualizowanie WordPressa i wtyczek

Po zalogowaniu się do panelu administracyjnego z pewnością zobaczysz czerwone, okrągłe etykiety z cyfra w środku. To powiadomienia o aktualizacji wtyczek lub samego WordPress’a. Twórcy wtyczek ciągle poprawiają funkcjonalności oraz poziom zabezpieczeń. Dlatego warto posiadać zaktualizowaną wersję WordPress’a i aktualną wersję wszystkich wtyczek w panelu. Z pewnością poprawi to bezpieczeństwo strony. Warto jednak zaznaczyć, że przed aktualizacją wtyczek lub systemu WordPress należy wykonać kopię zapasową całej strony www. Czasami po aktualizacji może coś przestać działać na stronie – niestety czasami wkradają się błędy w kodzie i coś przestaje działać. Zazwyczaj takie awarie są szybko naprawiane, ale warto zabezpieczyć się na taką ewentualność.

Regularne tworzenie kopii zapasowych

Na szczęście nie musisz się martwić. Prawdopodobnie Twój hosting robi to za Ciebie, ale na wszelki wypadek upewnij się, że masz dostęp do tych kopii. Ponadto podczas aktualizowania wtyczek czy wprowadzania istotnych zmian warto wykonać kopię samodzielnie. W tym celu skorzystaj z darmowej wtyczki UpDraftPlus.

Ukryj wersję WordPressa

W kodzie Twojej strony www, WordPress zamieszcza meta tag z informacją o aktualnej wersji WordPress’a zainstalowanej w witrynie. Jest to na tyle niebezpieczne, że hakerzy, którzy chcą włamać się na Twoją stronę wiedzą jakie ludzi w zabezpieczeniach może mieć Twoja strona www. Jako że WordPress jest tworzony przez otwartą społeczność często okazuje się, że dana wersja WP ma luki w zabezpieczeniach. Dlatego warto ukryć te informację.

Oznaczenie wersji WordPress’a

Można zrobić to za pomocą wtyczki lub ręcznie. W tym celu zainstaluj WP Hide & Security Enhancer. Ta wtyczka ma jeszcze więcej funkcji więc warto na spokojnie się z nimi zapoznać.

Jeżeli jednak chcesz zrobić to ręcznie to wystarczy że do swojego pliku functions.php dodasz odpowiedni kod, ale uważaj poniewaz naniesione zmiany w tym miejscu mogą zostać nadpisane podczas aktualizacji motywu.

function remove_version_info() { return ”; } add_filter(’the_generator’, 'remove_version_info’); remove_action(’wp_head’, 'wp_generator’);

Jak sprawdzić, czy wersja jest ukryta? W tym celu możesz zainstalować rozszerzenie do przeglądarki o nazwie Wappalyzer. Rozszerzenie jest dostępne dla wielu przeglądarek. Drugim sposobem, jest wykonanie inspekcji strony. W dowolnym miejscu na stronie kliknij prawym klawiszem myszy i naciśnij „Wyświetl źródło strony” następnie wciśnij CTRL + F, aby wyszukać na stronie hasła: name=”generator”. Jeżeli nie znajdziesz zapisu z wersją WP oznacza to że kod działa prawidłowo.

Instalacja wtyczki Wordfence

Ta wtyczka to absolutny must-have na każdej stronie WP. Jest to zapora i skaner złośliwego oprogramowania, pomoże ci ona skutecznie zabezpieczyć WordPress i zmniejszyć ilość luk bezpieczeństwa. Zapora aplikacji identyfikuje i blokuje szkodliwy ruch. W wersji PREMIUM wtyczka dodatkowo blokuje wszystkie żądania z najbardziej złośliwych adresów IP.

Skaner złośliwego oprogramowania sprawdza podstawowe pliki, motywy i wtyczki pod kątem złośliwych skryptów, złych adresów URL, backdoorów, spamu SEO, złośliwych przekierowań i wstrzyknięć kodu.

Ponadto Wordfence zabezpiecza dostęp do panelu WordPress. Uwierzytelnianie dwuskładnikowe, skanowanie wtyczek i motywów, ograniczenie prób logowania do panelu, w przypadku zagrożenia odcięcie dostępu do strony dla niebezpiecznego adresu IP to tylko kilka możliwości tej wtyczki. Dzięki tej wtyczce możesz dobrze zabezpieczyć swoją stronę.

Zmiana adresu logowania do panelu

Zmiana adresu logowania to również przydatna zmiana, która poprawi bezpieczeństwo WordPress. Ilość prób logowania zagwarantowała nam wtyczka Wordfence. Aby dodatkowo poprawić bezpieczeństwo strony możemy zmienić domyślny adres logowania na inny. Standardowo, aby zalogować się do panelu trzeba wpisać w oplu wyszukiwania wp-admin po adresie Twojej witryny (np. www.[twoja_strona].pl/wp-admin). Z pomocą przychodzi nam wtyczka WPS Hide Login. Dzięki niej szybko ustawimy nowy adres logowania do WordPress’a oraz ustawimy przekierowanie w razie wejścia na stary adres logowania.

Blokowanie dostępu do plików

Za pomocą odpowiednich zapisów w pliku .htaccess możesz zablokować dostęp do konkretnych plików i katalogów.

W głównym folderze WordPress’a znajdziesz pliki wp-config.php i xmlrpc.php, które przechowują dane do bazy MySQL. Warto zabezpieczyć oba te pliki dodając odpowiedni zapis w pliku .htaccess, znajduje się on w tym samym folderze.

<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
    order allow,deny
    deny from all
</files>

Dodatkowo możemy w katalogu /wp-content/uploads/ stworzyć plik htaccess (jeżeli go nie ma) i dodać do niego poniższy zapis:

<Files ~ "\.ph(?:p[345]?|t|tml)$">
   deny from all
</Files>

Zablokuje to wykonywanie niektórych wirusów.

Aby dostać się do głównego katalogu WordPressa Twojej witryna należy zainstalować wtyczkę File Manager lub połączyć się z serwerem za pośrednictwem FTP.

Rodzaje ataków

brute force

Ataki brute-force to próby uzyskania dostępu do Twojego panelu administracyjnego WordPress. Odbywa się to poprzez odgadywanie nazwy użytkownika i hasła. Dlatego warto posiadać skomplikowany login i trudne hasło. Ponadto wtyczka Wordfence skutecznie zablokuje tego typu ataki.

SQL Injection

To luka w zabezpieczeniach, która umożliwia atakującemu ingerowanie w zapytania kierowane przez aplikację do jej bazy danych. Przez co osoba atakująca może mieć dostęp do haseł, danych klienta i innych informacji, które był w tabeli bazy danych.

Jest jeszcze wiele rodzajów ataków na strony WordPress, ale to kiedy indziej 😉

Podsumowanie

Powyższe czynności możesz wykonać również dla sklepów internetowych opartych o CMS WordPress. Pomogą ci one zabezpieczyć stronę i odeprzeć ataki hakerów. Jeżeli nie możesz poradzić sobie, z którymś z tych pkt. odezwij się do nas. Z pewnością wykonamy te czynności dla Ciebie.

Ten post był przydatny?

Kliknij na gwiazdkę, aby ją ocenić!

Średnia ocena 0 / 5. Ilość ocen: 0

Jak na razie brak głosów! Bądź pierwszym, który oceni ten post.

Nie ma jeszcze komentarzy.

Twój adres email nie zostanie opublikowany.

Pozostałe aktualności

Figura Figura

Gotowy na nowy projekt?

Napisz do nas i odbierz darmową wycenę.

Wypełnij formularz