Jak zabezpieczyć stronę na WordPress
Spis Treści
Bezpieczeństwo WordPress – główne zasady
Zabezpieczanie WordPress przed atakami hakerów to ciągły proces, ponieważ zagrożenia wciąż ewoluują. Odpowiednie skonfigurowanie Twojej strony internetowej może przypominać przygotowanie twierdzy do obrony przed spodziewanym oblężeniem. Możesz nawet poczuć lekką ekscytację wdrażając kolejne elementy obronne.
Jeśli wykorzystasz większość z poniższych wskazówek, szanse na powodzenie ataku z zewnątrz mogą zmaleć niemal do zera. Oto kilkanaście kroków, które można podjąć, aby znacząco zwiększyć bezpieczeństwo swojej witryny WordPress:
Aktualizacje systemu WordPress
Upewnij się, że zarówno WordPress, jak i wszystkie zainstalowane wtyczki i motywy są regularnie aktualizowane do najnowszych wersji. Nowe aktualizacje często zawierają poprawki bezpieczeństwa. Kto wie, czy to nie najważniejsze zabezpieczenie dla WordPress mieć zawsze najbardziej aktualną wersję systemu i wtyczek.
Zabezpieczenie WordPress – silne hasła
Używaj silnych i unikalnych haseł zarówno dla konta administratora WordPress, jak i dla wszystkich innych kont użytkowników. Zarówno login jak i hasło mogą i powinny być ciągiem przypadkowych znaków. W tworzeniu dobrych haseł pomocne są m.in. przeglądarki np. chrome, ale również darmowe generatory, jak choćby: passwordsgenerator.net
Limit prób logowania do panelu WordPress
Ustaw limit błędnych prób logowania, aby uniemożliwić hakerom łamanie haseł przez metodę prób i błędów. Tu pomocna może być wtyczka – Limit Login Attempts Reloaded. Wtyczka jest tak dobra, że ogranicza również Twoje niepoprawne logowania i nieraz musimy odczekać po 3 krotnym wprowadzeniu nieprawidłowego hasła.
WordPress – kontrola uprawnień użytkowników
Starannie zarządzaj uprawnieniami użytkowników (zakładka Użytkownicy w panelu). Daj im tylko te uprawnienia, które są niezbędne do wykonywania ich funkcji. Użytkownicy mogą mieć nazwy do logowania inne niż prawdziwe dane osobowe, co dodatkowo utrudnia złamanie dostępu. Ja nie stosuję imienia czy nazwiska w swoich loginach do WordPress.
Zabezpiecz WordPress i rób regularne backupy
Regularnie twórz kopie zapasowe swojej witryny. W razie ataku hakerskiego lub awarii będziesz mógł przywrócić działającą wersję witryny. Ewentualnie upewnij się, że Twój hostingodawca robi to za Ciebie.
WordPress – zabezpieczenia na poziomie serwera
To działanie zasadniczo nie jest zależne od platfromy WordPress. Skontaktuj się z dostawcą hostingu i dowiedz się, jakie zabezpieczenia oferują na poziomie serwera. Warto mieć zapory sieciowe, WAF (Web Application Firewall) czy ochronę przed atakami DDoS. Obecne zabezpieczenia są w stanie odróżnić zwykłego użytkownia od mechanizmu próbującego zainfekować stronę i zablokować takie działanie. Jest to jednak zależne od hostingodawcy i tu należy wybrać odpowiednią usługę.
Zabezpieczenie WordPress – wybieraj zaufane wtyczki
Instaluj tylko wtyczki i motywy z zaufanych źródeł. Staraj się unikać wtyczek z niskimi ocenami, które nie są aktywnie rozwijane. Jeśli masz wątpliwości, co do instalowanej wtyczki poczytaj opinie o niej. Zerknij też na dotychczasową liczbę pobrań danej wtyczki i średnią opinię o niej, to powinno dać Ci pogląd, czy dany plugin ma odpowiednią popularność.
Zabezpieczenie WordPress – usuwaj nieużywane wtyczki
Regularnie przeglądaj swoje wtyczki i usuwaj te, których już nie używasz, aby ograniczyć potencjalne luki bezpieczeństwa. Jeśli dana wtyczka jest wykorzystywana tylko do jednej czynności, np. do dodawania jakiegoś skryptu, być może warto pomyśleć o innym rozwiązaniu zamiast niej. W tym kontekście dobrze jest orientować się, jakie dokładnie możliwości dają posiadane wtyczki, ponieważ niejednokrotnie zdarza się, że dublujemy narzędzia i instalujemy kolejne pluginy, a pod ręką mamy wtyczkę, która realizuje potrzebne czynności.
Adresy URL i linki jako zabezpieczenie logowania do WP
Unikaj używania domyślnych adresów URL, takich jak /wp-admin/ dla panelu logowania. Możesz je zmienić na coś bardziej unikalnego. Tu mamy dwie możliwości, albo zmianę wykonujesz poprzez wtyczkę, lub w wersji bardziej zaawansowanej modyfikujesz plik functions.php dodając do niego adres nowej podstrony logowania.
Protokół HTTPS – bezpieczeństwo użytkowników
Upewnij się, że Twoja strona działa w protokole HTTPS, co zapewni szyfrowanie komunikacji między użytkownikiem a serwerem. Certyfikat SSL umożliwiający szyfrowanie strony na ogół uzyskujesz przez swój hosting. Jeśli szyfrowanie działa poprawnie zobaczysz kłódkę z lewej strony adresu swojej strony w oknie adresowym przeglądarki. Obecnie bez szyfrowanej w ten sposób strony trudno być widocznym w wyszukiwarce Google. Odwiedzający taką witrynę musi przeklikać się przez kilka ostrzeżeń o nieszyfrowanej treści, także https to must have każdego serwisu.
ModSecurity
Jeśli Twój hosting obsługuje ModSecurity najprawdopodobniej masz to już włączone, ta funkcja wspiera w wykrywaniu i blokowaniu niebezpiecznych żądań HTTP. Warto rozejrzeć się za hostingiem, który posiada również takie zabezpieczenie.
Modyfikacja prefixów tabel w bazie danych
Podczas instalacji WordPress zmień domyślne prefixy tabel w bazie danych, aby utrudnić ataki hakerów. Domyśłny prefix dla plików WordPress to wp, należy zastąpić ten skrót własnym ciągiem, a w ostatnim kroku zmodyfikować plik wp_config i zamieścić w nim informację o nazwie nowego prefixu.
Konfiguracja pliku wp-config.php
Ogranicz dostęp do pliku wp-config.php, który zawiera kluczowe informacje o Twojej witrynie.
Zabezpieczenie WP w formie monitorowania aktywności
Używaj narzędzi monitorujących, które informują Cię o podejrzanej aktywności na stronie. Tu z pomocą jeszcze raz przychodzi wcześniej wspomniana wtyczka – Limit Login Attempts Reloaded, która monitoruje i raportuje próby logowania do panelu WordPress.
Pamiętaj, że żadna witryna nie jest w pełni odporna na ataki, ale podejmując te kroki, możesz znacznie zwiększyć bezpieczeństwo swojej witryny WordPress.