Zastanawiasz się jak zabezpieczyć WordPress? Chcesz spać spokojnie nie martwiąc się o to czy Twój blog lub witryna działa poprawnie? Spokojnie. Ten materiał wszystko rozjaśni.
Chciałbym również byś wiedział, iż ten artykuł jest pierwszą częścią z trzech “Jak zabezpieczyć WordPress“. Materiały w nim zebrane mają na celu pomóc Ci przewidzieć oraz zabezpieczyć stronę firmową lub blog przed komplikacjami i ogromnymi stratami.
Ostatni webinar w tym roku!
Zapraszamy na bezpłatny webinar poświęcony roli sztucznej inteligencji w zarządzaniu infrastrukturą IT, zarówno w dużych serwerowniach, jak i w środowiskach homelab.
W trakcie wydarzenia dowiesz się, jak AI może wspierać codzienną pracę administratora, pomagając w automatyzacji procesów, monitorowaniu zasobów, analizie danych oraz zwiększaniu efektywności operacyjnej.
Zapisy na: https://asdevops.pl/warsztaty/
Zachęcam również do odwiedzenia mojego kanału na Youtube:
27 niezawodnych metod na zabezpieczenie WordPress. Startujemy!
Jak zabezpieczyć WordPress?
1. Wtyczki do spamu
Zacznijmy od czegoś co możesz bardzo szybko naprawić. Mowa tu o spamie. WordPress ma to do siebie, że jeżeli nie zapanujesz nad tematem to dosyć szybko Twoja strona zostanie zaśmiecona całą masą niechcianych komentarzy.
Na szczęście można w dosyć szybki sposób się przed tym obronić. Pierwszą metodą jest włączenie weryfikacji komentarzy. Oznacza to, ze każdy komentarz przed publikacją musi zostać zaakceptowany przez Ciebie.
Odpowiednich zmian dokonasz w sekcji „Ustawienia \ Dyskusja”.
Druga sprawa to wtyczki.Na rynku jest cała masa wtyczek, które po zainstalowaniu szybko poradzą sobie ze spamerskimi komentarzami. Te które mogę polecić to:
- SI Captcha Anti-Spam
- WP-SpamShield
2. Monitoring
Ci którzy mnie znają, wiedzą, że jestem wielkim fanem monitoringu. Nie inaczej jest w przypadku WordPressa.
Warto skorzystać z narzędzi typu Wordfence, które na bieżąco monitoruje Twoją witrynę, a na maila wysyła raporty dotyczące wszelkich zagrożeń oraz wydarzeń z ostatnich dni. Jak choćby dotyczące tego z jakich adresów IP próbowano w ostatnim czasie zaatakować Twoją witrynę.
3. Archiwizacja
Coś o czym mówię nieustannie, czyli archiwizacja. Pytasz jak zabezpieczyć WordPress? Sprawa jest prosta. Backup mieć musisz! I tu również istnieją wtyczki. Oczywiście, jeżeli masz wiedzę to możesz sam taką archiwizację skonfigurować.
To co musisz zabezpieczyć to pliki z FTP oraz bazę danych. Osobiście, jestem fanem właśnie takie samodzielnego archiwizowania niż korzystania z wtyczek, które jednak mogą się wysypać i nie wykonać dokładnie kopii. Mimo wszystko, lepsza wtyczka niż nic.
W temacie wtyczek również masz spore pole do wyboru. Jest ich naprawdę dużo.
Mogę zasugerować ciekawe rozwiązanie jakim jest wykonywanie kopii bezpieczeństwa bezpośrednio do chmury Dropboxa. Nie musisz mieć wtedy regularnie uruchomionego komputera lub serwera, na który wykonywana byłaby kopia. Pamiętaj jedynie o monitorowaniu, by na Dropboxie nie wyczerpało się miejsce!
Jako, że już kiedyś przygotowałem szybki poradnik wykonania kopii na WordPress to zamiast powtarzać treści, odeślę w to miejsce zamiast powtarzać treści.
Jak zabezpieczyć WordPress? – Szybkie kroki na poprawę bezpieczeństwa
4. Loguj się mailem
Dotarliśmy do sekcji logowania. Jedną z dobrych praktyk jest nielogowanie się do panelu administracyjnego WordPressa za pomocą Twojego loginu. Tymczasem, możesz utrudnić atakującemu zadanie i zmienić formę logowania na email. Pomoże w tym choćby wtyczka WP Email Login.
5. Stwórz dodatkowego użytkownika
To, że na WordPressie domyślnie jest zakładany użytkownik o nazwie „admin” to wiedzą wszyscy. Drugi użytkownik to ten pod którym publikujesz posty na swoim blogu. Zatem, potencjalny atakujący już zna dwa konta, które może atakować, by dostać się do Twojej strony!
Napraw to. Przede wszystkim, załóż nowe konto.Wymyśl inną nazwę dla konta z uprawnieniami administracyjnymi niż „admin”. Następnie usuń standardowe konto admina, a użytkownikowi za pomocą którego publikujesz wpisy ogranicz uprawnienia do zwykłego redagowania i publikowania wpisów.
Zrobisz to w panelu administracyjnym. W sekcji „Użytkownicy\ Wszyscy użytkownicy”. Następnie klikasz „Dodaj nowego” i już dalej wprowadzasz swoje ustawienia użytkownika.
6. Dwustopniowa autoryzacja
Tzw 2FA, czyli two-factor authentication jest coraz bardziej popularne. W coraz większej liczbie serwisów możemy się logować za pomocą dwustopniowego poziomu autoryzacji.
Jeżeli nie wiesz na czym to polega to dodam, iż choćby poprzez dodanie dodatkowego kodu podczas logowania, który jest wysyłany do Ciebie mailem lub smsem. Innym sposobem jest Google Authenticator. Za pomocą specjalnej wtyczki możesz skonfigurować WordPressa w taki sposób, by przy logowaniu wymagał wpisania kodu, który znajdziesz w aplikacji swojego smartfonu.
7. Ukryj stronę logowania
Podobnie jak z kontem admina tak samo wszyscy dobrze znają adres używany do logowania.
Jest to standardowe www.twojastrona.pl/wp-admin
Zmień ten adres. Pomoże Ci w tym wtyczka Custom Login URL
Popuść wodze fantazji i ustaw coś nietrywialnego. Np. standardowe www.twojastrona.pl/szalonyadmin
Jak zabezpieczyć WordPress w stylu ninja?
Chcesz być jak ninja? Skorzystaj z kolejnych dwóch porad, a będziesz nieuchwytny i ukryty niczym tajny agent feudalnej Japonii!
8. Blokowanie witryny po nieudanych logowaniach
Czy wiesz co to jest brute force? Jest to sposób ataku hakerskiego podczas którego atakujący próbuje kolejnych haseł. Ma to pozwolić mu uzyskać dostęp do Twojej strony internetowej lub konta. Oczywiście, nie robi tego ręcznie. Wykorzystuje odpowiednie narzędzie, które próbuje wpisywania kolejnych kombinacji haseł. Do czasu aż się uda i któreś hasło zadziała.
Chciałbym byś miał świadomość zagrożenia. Gdy po wielu próbach atakujący w końcu trafi na hasło jakie wykorzystujesz to niestety, muszę Cię zmartwić. Haker ma dostęp do Twojej strony i może z nią zrobić co mu się żywnie podoba.
Jak się przed tym uchronić? Ustaw blokowanie witryny po nieudanych logowaniach. Przykładowo, gdy 3 razy zostanie źle wpisane hasło podczas logowania to nastąpi blokada, a następne próby będą niemożliwe.
Jak to można włączyć? Oczywiście, za pomocą wtyczki. Przykładowo iThemes Security. Nie tylko włączysz odpowiednie zabezpieczenie, lecz także będziesz mieć dostęp do podglądu adresów IP z których próbowano wykonać ataku. A to pozwoli Ci namierzyć włamywacza. Kto wie, może to ktoś z kręgu Twoich znajomych?
9. Ukryj wersję WordPressa
Czy wiesz, ze bez problemu można sprawdzić jaką wersję WordPress używasz? Oczywiście o ile nie zastosujesz się do omawianej w tym punkcie poprawki.
Wystarczy przeskanować twoją stronę i dokładny numer wersji jest już znany. Co to daje? Przede wszystkim, dzięki poznaniu konkretnej wersji o wiele łatwiej jest sprawdzić na jakie podatności cierpi wykorzystywana przez Ciebie strona i tym samym uruchomić taki atak na który jest jeszcze skuteczny. W późniejszych wersjach konkretna dziura w zabezpieczeniach mogła zostać naprawiona, ale cóż… Ty nie zastosowałeś się do porady numer 10 i dalej masz starą wersje.
Zresztą, nawet jak wykonujesz aktualizacje to jednak lepiej utrudnić zadanie atakującemu i ukryć takie informacje.
Jak ukryć wersję WordPress? Wystarczy wy edytować plik functions.php Możesz to zrobić zarówno z poziomu ftp jak i w panelu WordPress. Wklej do pliku poniższy fragment kodu i załatwione.
// remove version from head
remove_action(’wp_head’, 'wp_generator’);
// remove version from rss
add_filter(’the_generator’, '__return_empty_string’);
// remove version from scripts and styles
function shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, 'ver=’)) {
$src = remove_query_arg(’ver’, $src);
}
return $src;
}
add_filter(’style_loader_src’, 'shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(’script_loader_src’, 'shapeSpace_remove_version_scripts_styles’, 9999);
10. SFTP
Połączenie FTP umożliwia Ci dostęp do serwera plików na którym przechowywane są dane Twojej strony internetowej. Jako, że z pomocą tej usługi możesz przesyłać ważne dane to wypadałoby takie połączenie zabezpieczyć.
Włącz sFTP. jest to połączenie szyfrowane. Dodatkowo, ustaw każdorazowo pytanie o hasło. I oczywiście, nie zapisuj hasła na stałe.
Jak zabezpieczyć WordPress?
11. Aktualizuj i skanuj
Kolejna ważna kwestia to aktualizacje. Z reguły wymienia się ją na początku wszelkich porad dotyczących bezpieczeństwa WordPress. Zatem, zapewne każdy o niej wie. Tylko czy stosuje? No właśnie… Robisz aktualizacje WordPress? Mówisz, ze tak? W takim razie jak często?
Osobiście mam przypomnienie w kalendarzu, by robić to raz na tydzień. Zawsze w niedzielę. Wtedy mam najmniejszy ruch na blogu i jak coś się wydarzy nieprzewidzianego to problem będzie miał najmniejszą skalę. Zrób podobnie.
A czemu jest to tak ważne? Starsze wersje wtyczek, szablonów czy przede wszystkim wersje WordPress posiadają podatności na konkretne rodzaje ataków. Ich twórcy po wykryciu danej dziury łatają je. Wystarczy wtedy dokonać aktualizacji. Jednak jeżeli tego nie zrobisz to Twoja witryna dalej jest podatna na włamanie.
Mało tego, gdy haker wyceluje Twoją stronę to w pierwszej kolejności przeskanuje ją odpowiednim narzędziem. Takich skanerów jest cała masa. Przede wszystiim znany:
I gdy atakujący za pomocą skanera wychwyci, że masz na swoim serwerze wtyczkę w starej wersji to w pierwszej kolejności sprawdzi jakie możliwości włamania daje mu dana wersja i od tego rozpocznie swoje działania.
Jak zabezpieczyć WordPress? – Część 2
W tym momencie przerwiemy. Druga część w tym miejscu. A tam kolejne, jeszcze ważniejsze kwestie, o których musisz pamiętać!
Miłego dnia!
Arek