Jak zabezpieczyć stronę Wordpress

Jak zabezpieczyć stronę WordPress? 27 niezawodnych metod

Zastanawiasz się jak zabezpieczyć stronę WordPress? Chcesz spać spokojnie nie martwiąc się o to czy Twój blog lub witryna działa poprawnie? Spokojnie. Ten materiał wszystko rozjaśni.

Chciałbym również byś wiedział, iż artykuł ” Jak zabezpieczyć stronę WordPress ” jest trzecią i ostatnią częścią cyklu na temat bezpieczeństwa WordPress. Materiały w nim zebrane mają na celu pomóc Ci przewidzieć oraz zabezpieczyć stronę firmową lub blog przed komplikacjami i ogromnymi stratami.

Poprzednie części znajdziesz w tym miejscu:

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 

 

 

 

 

Jak zabezpieczyć stronę WordPress?

18. Kolekcjoner wtyczek

Zainstalowałeś motyw lub wtyczkę, a teraz jej nie używasz? To usuń. Czemu nieużywana wtyczka ma zjadać zasoby Twojego serwera? W ostateczności aktualizuj je. Aczkolwiek, dalej warto wrócić do wcześniejszego pytania. Czemu masz aktualizować nieużywaną wtyczkę? Ta w dalszym ciągu będzie zjadać zasoby Twojego serwera.

Często jest tak, że instalujesz jakiś plugin tylko po to, by wykonać jakąś czynność. Dobrym przykładem jest wtyczka Simple SSL, o której pisałem w punkcie 11. Jej zadanie jest jedno – poprawić wszystkie linki z WordPress i dostawać do działania z certyfikatem.

Prawda jest jednak taka, że jak już ktoś tą pracę wykona to drugi raz ta wtyczka nie będzie potrzebna. Można ją zatem usunąć!

19. Separacja stron

Jeżeli masz kilka stron na serwer to stosuj separację domen.

To, że pliki każdej strony na serwerze są przechowywane w oddzielnych katalogach to oczywistość. Ważne jest również by podczas konfigurowania domeny włączyć separację.

W takim przypadku podkatalog staje się katalogiem głównym Twojej strony WWW  i nie ma możliwości odwołania się do zawartości umieszczonej w nad katalogu. Co oznacza, że w przypadku pojawienia się złośliwych skryptów na jednej witrynie, ograniczymy szansę wystąpienia ich na drugiej stronie.

20. Polityka haseł

Może to mało popularne, jednak warto zastosować politykę haseł przy korzystaniu z WordPress. Z reguły stosują ją firmy, jednak warto również w życiu prywatnym zastosować metody, które utrudnią życie potencjalnym atakującym.

Ustal konkretne zasady dotyczące używania i logowania za pomocą bezpiecznego hasła. A jeżeli chcesz wiedzieć jakimi zasadami kierować się przy ustawianiu hasła, by było nie do złamania to zachęcam do mojego artykułu polityka haseł w firmie.

I niech Cię nie przerazi tytuł artykułu. Podane tam zasady możesz spokojnie zastosować podczas logowania do WordPress, banku czy jakiekolwiek innego systemu lub aplikacji.

Jak zabezpieczyć stronę WordPress w stylu zawodowca?

21. Optymalizacja

Wydawać by się mogło, że optymalizacja nie jest powiązana z bezpieczeństwem. Mimo wszystko, ten aspekt ma dosyć kluczowe znaczenie dla działania naszej strony. Szczególnie, że niektóre działania związane z optymalizacją powodują wręcz odwrotny skutek. Nie tylko spowalniają działanie strony lecz także zmniejszają jej bezpieczeństwo.

Jeżeli zastanawiasz się czy twoja strona jest wydajna to na początek warto skorzystać z jednego z wielu dostępnych w sieci narzędzi. Możesz na początek sprawdzić czy strona jest odpowiednio zoptymalizowana za pomocą oficjalnego narzędzia przygotowanego przez Google:

https://developers.google.com/speed/pagespeed/insights/?hl=pl&url=sgsystems.pl&tab=mobile

Raport ten pokaże Ci co dokładne należy zmienić. Warto podejść jednak do tematu ostrożnie. Jeżeli totalnie nie wiesz o co chodzi w przedstawionych wynikach to lepiej zwrócić się do specjalisty.

Przede wszystkim jedna, zanim zaczniesz kombinować – wykonaj backup. Osobiście jestem fanem zabezpieczenia oddzielnie bazy i danych z serwera. Jeżeli nie wiesz jak to zrobić to wykonaj chociaż kopię za pomocą jednej z wielu dostępnych wtyczek, które zautomatyzują Ci ten proces za pomocą kilku kliknięć.

Aczkolwiek, moje zdanie na temat tego typu wtyczek znasz. A jak nie znasz to oznacza, ze przegapiłeś punkt 3. Wróć tam!

Nic nie trwa wiecznie…

W skrócie jedynie przypomnę, że wtyczki lubią się wysypywać. W backupie najważniejsze jest to by dało się go odzyskać. Niestety, korzystając z różnych wtyczek w przeszłości zauważyłem, że te lubią się wyłożyć na procesie gdy działamy na dużych bazach. Dlatego, osobiście żadnej wtyczki nie polecę.

By Ci zobrazować jaki to problem, podam przykład jednej korporacji zajmującej się sprzedażą ubezpieczeń. Otóż firma ta zlecała za grube pieniądze wykonywanie backupu jednej firmie IT, która rzekomo  miała się specjalizować w takich zadaniach.

Gdy jednak przyszło do odzyskiwania to okazało się, ze backup nie działa… Nieźle utopione pieniądze.

W temacie wtyczek do WordPress mogę jedynie zwrócić uwagę na wtyczkę All-In-One WP Migration. Zwracam jednak uwagę, że nawet ta potrafiła się zawiesić podczas wykonania backupu.

Jak ze wszystkim w Wordpresie, również do optymalizacji istnieją wtyczki. Jedną z nich jest WP-Optimize – Clean, Compress, Cache

Na szczęście w porównaniu do wtyczek archiwizujących, te działają o wiele lepiej. Naturalnie, nie ryzykuj jednak ich wykorzystania bez przeprowadzenia punktu 3. 

Optymalizację wypada wykonać na kilku elementach:

baza danych

grafiki

cache

Oczywiście, nie gwarantuję Ci, że wtyczka załatwi Ci całą optymalizację. Niestety, często trzeba też posiedzieć i „pogrzebać” w kodzie WordPress. Często również szablonów z których korzystasz. A jeżeli nie masz wiedzy jak to robić to czasami lepiej oddać zadanie specjalistom.

Jak zabezpieczyć stronę WordPress szybkimi metodami?

22. Baza

Wirusy często modyfikują bazę danych. Jeżeli uważasz, ze coś się dzieje z Twoim WordPressem, np. mocno zwolnił to przyjrzyj bazę. Sprawdź tabele. Jeżeli pojawiły się jakieś nowe, dziwne to warto to sprawdzić

23. Indeksowanie

Wirusy dodają i indeksują koleje strony. Warto zajrzeć czy coś nietypowego pojawiło się ostatnio na Twoej stronie. Zrobisz to wpisując w wyszukiwarce:

site:twojadomena.pl

Zawęź wyszukiwanie czasowo (np. do ostatniego tygodnia) :

Jak zobaczysz dziwne podstrony, których nie tworzyłeś to wiesz, ze coś się dzieje.

24. Zablokuj protokół XML-RPC

Protokół XML-RPC jest w WordPress wykorzystywany do zdalnej edycji i dodawania nowych postów. Jeżeli nie korzystasz z tej opcji to ją wyłącz. Zrobisz to w pliku wp-content/themes/nazwa szablonu/functions.php

Dodaj tam ten kawałek kodu:

add_filter( ‘xmlrpc_enabled’, ‘__return_false’ );

25. Ograniczenie dostępu do panelu administracyjnego

Innym, świetnym sposobem jest ograniczenie dostępu do panelu administracyjnego tylko dla konkretnych adresów IP. Jeżeli pracujesz nad blogiem tylko ze stałych miejsc, przykładowo z biura czy domu to skonfiguruj WordPress, by akceptował dostęp do ustawień administracyjnych tylko dla Twoich adresów IP.

Wykonasz to poprzez zmodyfikowanie pliku wp-admin/.htaccess:

order deny,allow
deny from all
allow from 11.22.33.444
allow from 11.22.33.444

Oczywiście, zamiast 11.22.33.444, podajesz swoje adresy IP.

26. Listowanie zawartości katalogu

Niektóre hostingi pozwalają w łatwy sposób wyświetlić katalog z używanymi przez daną stronę pluginami. Sprawdzisz to wpisując:

adresstrony.pl/wp-content/plugins

Warto to zablokować!

Zrobisz to poprzez dodanie w tym katalogu plik index.php lub index.html. Niech te pliki będą puste. Wtedy wyświetlony zostanie właśnie taki pusty plik.

Gdybyś chciał zablokować wyświetlanie wszystkich plików we wszystkich folderach to dodaj do pliku .htaccess ten krótki kawałek kodu:

Options -Indexes

27. Jak zabezpieczyć stronę WordPress, by była zgodna z RODO?

Dotarliśmy już prawie do końca, ale… to jeszcze nie wszystko. Czeka nas jeszcze jedna, bardzo ważna kwestia. RODO. Ochrona danych klientów i czytelników Twojej strony to niezwykle istotna sprawa.

Nie tylko z tego powodu, że PUODO może nałożyć Ci wysoką karę finansową za wyciek danych. Również dlatego, iż powinieneś podchodzić do sprawy jak najbardziej moralnie i chronić dane swoich czytelników.

Na szczęście, stosując wszystkie wymienione do tej pory 26 sposobów znacząco podnosi bezpieczeństwo Twojego bloga. Mimo wszystko, należy dopełnić jeszcze dodatkowych obowiązków jak choćby stworzenie polityki prywatności czy stosowania umów powierzenia.

Na szczęście, większość przypadków zostało przeze mnie już wcześniej opracowane. Aby nie powtarzać materiałów, zamieszczam linki do tych artykułów:

Politykę możesz sobie pobrać i skopiować. Nie mam z tym problemu 🙂 Tylko pamiętaj, by zmienić dane i przerobić ją pod specyfikę Twojego bloga. – LINK

Jak zabezpieczyć stronę WordPress

To wszystko. 3 części naszego cyklu wyczerpały szczegółowo temat bezpieczeństwa WordPress. Mam nadzieję, że cykl przypadł Ci do gustu. Jeżeli masz dodatkowe pytania lub chcesz być na bieżąco z kolejnymi materiałami to poniżej znajdziesz sekcję z komentarzami i linki do moich profili społecznościowych. Nie krępuj się i pytaj! 🙂

 

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 
 
 

Miłego dnia!

Arek

Promocja na trzy najnowsze kursy w ofercie!

X