Jak zabezpieczyć stronę WordPress
WordPress jest najpopularniejszym systemem zarządzania treścią (CMS) na świecie, używanym przez miliony stron internetowych. Jak z każdym popularnym systemem, również WordPress jest celem dla hakerów. Ale czy oznacza to, że WordPress jest niebezpieczny? Odpowiedź na to pytanie jest złożona.
Na skróty:
WordPress i bezpieczeństwo – czy to się ze sobą łączy?
WordPress sam w sobie jest bezpiecznym systemem. Jednakże, zależnie od sposobu, w jaki jest używany i zarządzany, może stać się podatny na ataki. W tym artykule pokażemy, jak zabezpieczyć stronę WordPress przed różnymi rodzajami zagrożeń. Bezpieczeństwo strony na WordPressie to proces, który wymaga ciągłego zaangażowania – nie tylko przed wdrożeniem strony, ale i po. Wykonanie szeregu zadań sprawi, że Twoja strona WordPress będzie bezpieczniejsza. W tym artykule poruszyliśmy temat jak zabezpieczyć WordPressa.
Początki – zabezpiecz swoją instalację WordPress
Bezpieczeństwo strony zaczyna się już na etapie instalacji WordPress.
Zmienić domyślny login
Domyślny login to „admin” – co jest dobrze znanym faktem dla hakerów. Zmienienie domyślnego loginu na unikalny znacznie utrudni ewentualne włamanie do panelu wordpressa. Pamiętaj, by nie używać oczywistych haseł czy danych personalnych.
Wybrać silne hasło
Podobnie jak zmiana domyślnego loginu, wybór silnego, unikalnego hasła jest kluczowym elementem bezpieczeństwa. Zalecane jest użycie co najmniej 12 znaków, w tym liter, cyfr i symboli.
Zmiana prefiksu bazy danych mysql
Domyślny prefiks tabel w bazie danych MySQL to wp_. Zmiana domyślnego prefiksu na inny, bardziej skomplikowany, jest kolejnym krokiem do zwiększenia bezpieczeństwa bazy danych. Dzięki temu trudniej jest hakerom zgadnąć nazwy tabel.
Zarządzanie plikami – wp config.php i .htaccess
Pliki wp-config.php i .htaccess są kluczowymi elementami systemu WordPress i mogą być wykorzystane do zwiększenia bezpieczeństwa strony.
Plik wp-config.php
Plik wp-config.php zawiera informacje o połączeniu z bazą danych i inne ważne ustawienia. Należy go zabezpieczyć, nie pozwalając na dostęp z zewnątrz. Można to zrobić dodając następujący kod do pliku .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
Plik .htaccess
Plik .htaccess umożliwia modyfikację konfiguracji serwera na poziomie katalogów. Można go użyć do blokowania dostępu do konkretnych plików lub katalogów, ograniczenia liczby prób logowania, czy nawet blokady dostępu z konkretnych adresów IP. Na przykład, aby zablokować dostęp do katalogu wp-includes, który jest często celem ataków, można dodać do .htaccess następujący kod:
# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>9
Utrzymuj swoje wtyczki i motywy aktualne
Jednym z najczęstszych sposobów, w jakie hakerzy atakują strony WordPress, jest wykorzystywanie znanych luk w nieaktualnych wtyczkach i motywach. Dlatego ważne jest, aby regularnie aktualizować wszystkie wtyczki, motywy i samo jądro WordPressa.
Aktualizacje WordPress
Każda nowa wersja WordPressa przynosi nie tylko nowe funkcje, ale też poprawki bezpieczeństwa. Korzystanie z nieaktualnej wersji aplikacji zwiększa ryzyko ataku.
Aktualizacje wtyczek i motywów
Podobnie jak WordPress, również wtyczki i motywy są regularnie aktualizowane przez ich twórców. Te aktualizacje często zawierają poprawki bezpieczeństwa, które naprawiają znane luki. Jak pokazują badania firmy Sucuri, zajmującej się cyberbezpieczeństwem ponad połowa zaatakowanych stron na WordPressie wiąże się z nieaktualną wersją aplikacji albo z nieaktualnych wtyczek lub motywów.
Pamiętaj, aby używać tylko wtyczek i motywów z zaufanych źródeł, takich jak oficjalny katalog WordPress.org. Niektóre wtyczki i motywy dostępne za darmo lub za niską cenę na innych stronach mogą zawierać ukryte złośliwe oprogramowanie. Bezpieczeństwo wtyczek i motywów z repozytorium WordPress witrynie WordPress znajduje się około 50 000 wtyczek i ponad 5000 motywów. Te motywy i wtyczki są przesyłane do włączenia i są ręcznie sprawdzane przez wolontariuszy przed udostępnieniem ich w repozytorium.
Wyłącz edycję plików wtyczek i motywów
Domyślnie, WordPress pozwala na edycję plików wtyczek i motywów bezpośrednio z panelu administracyjnego. To może być wygodne, ale jest też dużym zagrożeniem bezpieczeństwa. Jeśli haker zyska dostęp do panelu administracyjnego, może zmodyfikować te pliki i dodać do nich złośliwy kod.
Aby wyłączyć edycję plików, dodaj do pliku wp-config.php następujący kod:
define(’DISALLOW_FILE_EDIT’, true);
Zabezpiecz swój panel administracyjny
Panel administracyjny jest sercem twojej strony WordPress. Zabezpieczenie go to klucz do ochrony twojej strony.
Zmiana adresu logowania
Domyślny adres strony logowania WordPressa to twoja-domena.pl/wp-admin. Możesz zmienić ten adres na inny, bardziej unikalny, za pomocą wtyczki, takiej jak WPS Hide Login.
Ograniczenie ilości prób logowania
Wiele ataków na WordPressa to tzw. brute force attacks, które polegają na wielokrotnym wpisywaniu różnych kombinacji loginu i hasła, w nadziei na trafienie poprawnej. Ograniczenie ilości prób logowania do panelu administracyjnego jest więc skutecznym zabezpieczeniem przed tego typu atakami. Możesz to zrobić za pomocą wtyczki, takiej jak Login LockDown.
Dwustopniowe uwierzytelnianie
Dwustopniowe uwierzytelnianie to proces, w którym użytkownik musi podać dodatkową formę weryfikacji tożsamości, poza loginem i hasłem. Może to być na przykład kod wysłany na telefon komórkowy użytkownika. Ta metoda znacznie podnosi bezpieczeństwo, ponieważ haker musiałby mieć dostęp do dodatkowego urządzenia lub informacji, aby włamać się na stronę.
Zablokuj rejestrację użytkowników
Domyślnie, WordPress umożliwia rejestrację nowych użytkowników. Choć może to być użyteczne dla niektórych typów stron, jak fora czy sklepy internetowe, dla większości witryn, szczególnie tych korporacyjnych czy osobistych blogów, ta funkcja jest niepotrzebna i może stanowić dodatkowe ryzyko. Dobrą praktyką jest wyłączenie tej opcji, aby zwiększyć bezpieczeństwo strony WordPress.
Aby to zrobić, przejdź do panelu administracyjnego WordPressa, a następnie w ustawieniach wybierz zakładkę „Dyskusja”. Znajdź sekcję „Członkostwo” i odznacz pole „Ktoś może się rejestrować”. Zapisz zmiany. Dzięki temu zablokujesz możliwość rejestracji nowych użytkowników przez niepowołane osoby.
Jeśli w przyszłości będziesz chciał umożliwić rejestrację użytkowników, pamiętaj, aby odpowiednio zabezpieczyć tę funkcję. Możesz to zrobić na wiele sposobów, takich jak dodanie dwustopniowego uwierzytelniania, ograniczenie liczby prób rejestracji z jednego adresu IP czy weryfikacja rejestrujących się użytkowników przez administratora. Kontrola nad procesem rejestracji jest kluczowa do utrzymania bezpieczeństwa Twojej strony WordPress.
Baza danych – serce twojej strony
Baza danych to miejsce, w którym przechowywane są wszystkie informacje o twojej stronie – treść wpisów, komentarze, ustawienia strony i wiele innych. Jeśli haker zyska dostęp do bazy danych, może zniszczyć lub zmienić te dane.
Użyj silnego hasła dla bazy danych
Podobnie jak dla panelu administracyjnego, silne, unikalne hasło jest kluczowe dla zabezpieczenia bazy danych.
Zmień domyślny prefiks tabel
Domyślny prefiks tabel w WordPressie to „wp_”. Zmieniając go na inny, utrudniasz hakerom pracę.
Zabezpiecz wp-config.php
Jak już wspomnieliśmy, plik wp-config.php zawiera informacje o połączeniu z bazą danych. Upewnij się, że jest on zabezpieczony przed dostępem z zewnątrz.
Kopia zapasowa – ostatnia linia obrony
Niezależnie od tego, jak dobrze zabezpieczysz swoją stronę, zawsze istnieje ryzyko, że coś pójdzie nie tak. Może to być atak hakerów, awaria serwera, czy nawet błąd po twojej stronie. Dlatego ważne jest, aby regularnie tworzyć kopie zapasowe swojej strony.
Częstotliwość kopii zapasowych
Częstotliwość tworzenia kopii zapasowych zależy od tego, jak często zmienia się zawartość twojej strony. Jeśli publikujesz nowe treści codziennie, powinieneś tworzyć kopię zapasową co najmniej raz dziennie.
Co powinna zawierać kopia zapasowa
Kopia zapasowa powinna zawierać całą zawartość twojej strony – pliki, bazy danych, wtyczki, motywy, i wszystko inne. Pamiętaj też, aby przechowywać kopie zapasowe w bezpiecznym miejscu, najlepiej poza serwerem na którym działa twoja strona. Możesz do tego wykorzystać chmurę, na przykład Google Drive lub Dropbox, lub fizyczne nośniki, takie jak dyski zewnętrzne.
Automatyzacja procesu
Ręczne tworzenie kopii zapasowych może być czasochłonne i łatwo o nim zapomnieć. Dlatego warto zautomatyzować ten proces za pomocą odpowiednich wtyczek, takich jak UpdraftPlus czy BackWPup.
Wtyczki zabezpieczające – dodatkowy poziom ochrony
Jedną z największych zalet WordPressa jest olbrzymia społeczność twórców wtyczek. Wśród nich znajdują się także wtyczki zabezpieczające, które mogą zautomatyzować wiele z opisanych powyżej kroków i dodać dodatkowe zabezpieczenia.
Wordfence
Jedną z najpopularniejszych wtyczek zabezpieczających jest Wordfence. Oferuje ona wiele funkcji, takich jak firewall aplikacji internetowej, skaner złośliwego oprogramowania, ochronę przed atakami typu brute force, i wiele innych.
iThemes Security
iThemes Security to kolejna popularna wtyczka, która oferuje wiele funkcji bezpieczeństwa. Możesz między innymi zmienić adres logowania, wyłączyć edycję plików, zabezpieczyć stronę hasłem i wiele innych.
Pamiętaj jednak, że wtyczki zabezpieczające to tylko dodatek do podstawowych zabezpieczeń. Sama instalacja wtyczki nie zabezpieczy twojej strony, jeśli nie zastosujesz podstawowych zasad bezpieczeństwa, takich jak silne hasła, aktualizacje i kopie zapasowe.
Podsumowując, bezpieczeństwo strony WordPress to nie jest jednorazowa akcja, ale proces, który wymaga regularnej uwagi i utrzymania. Pamiętaj o regularnych aktualizacjach, silnych hasłach, zabezpieczeniu panelu administracyjnego i bazy danych, oraz regularnych kopiach zapasowych. Zastosowanie tych zasad znacznie zmniejszy ryzyko ataku na twoją stronę.