Popularność WordPressa stale rośnie, a wraz z nią zwiększa się liczba ataków, wirusów i innych zagrożeń. Cyberprzestępcy mogą sprawić poważne problemy właścicielom stron internetowych i sklepów online. Ten artykuł pomoże Ci skonfigurować zabezpieczenia WordPressa, które pomogą ochronić twoją stronę przed wirusami i atakami.
Złośliwe oprogramowanie, które atakuje strony oparte na WordPressie, aktywnie wyszukuje i wykorzystuje luki, przede wszystkim we wtyczkach i w motywach. Następnie wstrzykuje szkodliwy kod, który może wykonywać różne zadania, w zależności od rodzaju wirusa.
Zanim przejdę do omówienia zabezpieczenia WordPressa przed wirusami, ważne jest zrozumienie potencjalnych zagrożeń w internecie, z jakimi możesz się spotkać.
Wirusy i strony WordPress
Wielu uważa, że sam WordPress jest bardzo bezpieczną platformą. Dzięki deweloperom na całym świecie, którzy nieustannie pracują nad jego ulepszaniem, luki w zabezpieczeniach są szybko identyfikowane i naprawiane.
Jednak mimo swojej reputacji jako bezpieczna platforma, dlaczego wirusy tak często atakują i przełamują zabezpieczenia WordPressa? Odpowiedź leży w jego ogromnej popularności jako najczęściej używanego systemu zarządzania treścią, który zasila około 40% wszystkich stron internetowych na świecie. Jego powszechne użycie czyni go także głównym celem ataków.
Sama natura WordPressa znacząco przyczynia się do jego problemów z bezpieczeństwem. Od samego początku deweloperzy projektowali go jako platformę modułową i przyjazną dla użytkownika. Jego największą zaletą jest możliwość tworzenia profesjonalnych i zaawansowanych stron internetowych bez konieczności posiadania wiedzy na temat HTML, CSS czy PHP. Ta wygoda jest możliwa dzięki szerokiemu wykorzystaniu wtyczek, które dodają różne funkcje.
Motywy i wtyczki stanowią dodatkowy potencjalny słaby punkt bezpieczeństwa WordPressa, zwłaszcza gdy pochodzą od mniej doświadczonych firm lub zwykłych użytkowników. Błędy w kodzie i niespójności w tych wtyczkach mogą stanowić otwarte zaproszenie dla cyberzagrożeń.
Nawet najskuteczniejsze zabezpieczenia WordPressa, takie jak zapory sieciowe, programy antywirusowe, uwierzytelnianie dwuskładnikowe, szare i czarne listy czy proaktywne monitorowanie, mogą nie wystarczyć, aby powstrzymać zdeterminowanego atakującego.
Ponadto ryzyko wzrasta, gdy za zarządzanie stroną odpowiedzialna jest osoba niedoświadczona — scenariusz często związany z łatwością obsługi WordPressa. Takie osoby mogą nieświadomie popełniać poważne błędy, które sprawiają, że strona WordPress staje się podatna na ataki, przez co nawet najbezpieczniejsze usługi hostingowe WordPress nie są w stanie zapewnić pełnej ochrony.
Jak sprawdzić, czy moja strona jest zainfekowana?
Zanim przystąpisz do zabezpieczania WordPressa, ważne jest, aby sprawdzić, czy nie doszło już do nieautoryzowanego dostępu.
- Odwiedź swoją stronę i przeglądaj różne produkty, kategorie i oferty. Dodaj przedmioty do koszyka i przejdź do modułu płatności. Jeśli wszystko przebiega gładko, bez żadnych nietypowych incydentów, takich jak wyskakujące okienka czy nagłe przekierowanie na niepowiązane strony, Twoja strona wydaje się być w dobrym stanie.
- Użyj FTP, aby przeglądać foldery i wyszukiwać pliki o losowych nazwach, takich jak “46fr1s55p9_index.php”, “cl03haxmng_index.php” lub “q9z91fmzq6_index.php”, lub jakiekolwiek inne w podobnym stylu.
- Sprawdź główne pliki, takie jak index.php, wp-config.php i wp-settings.php pod kątem obecności złośliwego kodu. Aby to zrobić skutecznie, włącz wyświetlanie spacji i tabulatorów w edytorze plików. Zobacz zrzut ekranu poniżej. Początkowo może wydawać się, że to standardowy plik WordPressa, ale zwróć uwagę na szare kropki wskazujące na nadmierną liczbę spacji.
- Przewiń okno w prawo lub włącz zawijanie wierszy, aby odkryć ukryty złośliwy kod, jak pokazano w przykładzie.
- Podejdź do sprawdzania wszystkich plików WordPress na swojej stronie w sposób dokładny, zwłaszcza plików PHP, ponieważ złośliwy kod może być ukryty w różnych częściach witryny.
- Sprawdź wyniki organicznych wyszukiwań w Google, wpisując pełną nazwę twojej strony. Jeśli Twoja strona jest zainfekowana, Google może wyświetlić wiele niepowiązanych wyników promujących kasyna, gry hazardowe, aplikacje, a nawet nielegalne treści, takie jak pornografia czy sprzedaż broni.
- Aby zwiększyć bezpieczeństwo swojej strony, rozważ zainstalowanie programu do wyszukiwania złośliwego oprogramowania, takiego jak WebDefender Security – Protection & AntiSpam. Ta wtyczka umożliwia wyszukiwanie ukrytych wirusów na stronie.
Jednak każde wykryte zagrożenie wymaga indywidualnej analizy i weryfikacji, aby ustalić, czy rzeczywiście jest to złośliwe oprogramowanie czy może inna forma ataku, jak np. atak DDoS. Niektóre używane przez nas wtyczki mogą zawierać kod, który może zostać uznany za złośliwy, co nie jest rzadkością.
Jak chronić WordPressa przed wirusami?
Oto lista proaktywnych kroków, które niewątpliwie stwarzają przeszkody dla cyberprzestępców i minimalizują ryzyko, że Twoja strona padnie ofiarą wirusa. Ważne jest jednak uznanie, że te sugestie mogą nie zapewnić pełnej ochrony, w zależności od rodzaju wirusa lub atakujących botów. Twórcy oprogramowania antywirusowego i wirusów toczą ciągłą walkę.
Za każdym razem, gdy pojawia się nowa forma ataku lub wirusa, twórcy antywirusów starają się jak najszybciej go unieszkodliwić. Podobnie środki bezpieczeństwa są stale aktualizowane, ale ostatecznie przestępcy znajdują sposoby, aby je obejść. Dlatego osiągnięcie absolutnej odporności na wirusy jest niemożliwe, ale można znacznie obniżyć ryzyko infekcji.
Hosting
Wybór odpowiedniego dostawcy hostingu WordPress jest kluczowym aspektem każdej strony internetowej. Wielu właścicieli stron często podejmuje decyzję na podstawie cen lub rekomendacji innych. Jednak to nie jest takie proste. Przede wszystkim powinieneś sprawdzić, czy dostawca hostingu:
- Posiada najnowszą wersję PHP – obecnie 8.2,
- Regularnie tworzy kopie zapasowe bazy danych i plików oraz czy masz do nich łatwy dostęp,
- Oferuje ochronę przed atakami DDoS.
Poza względami bezpieczeństwa, ważne jest także sprawdzenie parametrów serwera (procesora, pamięci RAM, pojemności, limitów) oferowanych przez firmę hostingową.
Zadbaj o bezpieczeństwo!
Wybór UltaHost, który stawia na bezpieczeństwo, to mądry wybór. Wykracza on poza wdrożenie wielowarstwowych systemów zabezpieczeń na różnych poziomach infrastruktury. UltaHost samodzielnie buduje centra danych na całym świecie, aby utrzymać pełną kontrolę nad jakością oferowanych usług. Z UltaHost możesz mieć pełne zaufanie do bezpieczeństwa swoich danych i stron internetowych.
Certyfikat SSL
Zabezpieczenia WordPressa warto wzbogacić o certyfikat SSL, który szyfruje wszystkie informacje wymieniane między przeglądarką użytkownika a stroną internetową. Każda renomowana firma hostingowa oferuje zarówno płatne, jak i darmowe certyfikaty SSL (np. Let’s Encrypt) w ramach swoich pakietów. Więcej informacji na ten temat znajdziesz w tym artykule:
Aktualizacje WordPressa
Regularne aktualizacje WordPressa nie tylko wprowadzają różnorodne nowe funkcje i możliwości, ale również zawierają istotne poprawki zabezpieczenia WordPressa. Równie ważne jest, aby utrzymywać aktualność wtyczek. Wtyczki i motywy są szczególnie podatne na ataki wirusów, dlatego upewnienie się, że są zawsze zaktualizowane, jest kluczowe, aby zminimalizować ryzyko.
Nawet jeśli ich nie używasz aktywnie i są one wyłączone, nadal mogą stanowić punkt wejścia dla cyberprzestępców. Z tego względu kluczowe jest aktualizowanie wszystkich zainstalowanych wtyczek na swojej stronie WordPress.
Odinstaluj niepotrzebne wtyczki i motywy
Kierując się tą samą zasadą, lepiej odinstalować nieużywane wtyczki lub motywy, niż tylko je wyłączać. Jest to zalecane podejście. Nawet jeśli okazjonalnie potrzebujesz konkretnej wtyczki, odinstaluj ją, gdy tylko skończysz ją używać.
Ponowne zainstalowanie zajmie tylko kilka chwil. Nie warto ryzykować potencjalnych ataków na swoją stronę, aby zaoszczędzić dwie minuty miesięcznie. Podobnie, jeśli masz zainstalowanych kilka motywów, odinstaluj wszystkie, oprócz tego, który jest aktualnie używany. Tylko aktywny motyw jest niezbędny dla twojej strony, podczas gdy pozostałe mogą stanowić furtkę dla cyberprzestępców.
Minimalizacja ryzyka tam, gdzie to możliwe, jest kluczowa. Nie ułatwiaj zadania hakerom i złośliwym botom poprzez pozostawianie potencjalnych błędów w WordPressie.
Ukrywanie wersji WordPressa i wtyczek
Domyślnie WordPress pokazuje zainstalowaną wersję w kodzie źródłowym strony, dodając tag w sekcji HEAD:
<meta name=”generator” content=”WordPress 5.6.4″ />
Dla wtyczek WordPress dodaje ?ver=X.X
do adresów URL plików CSS i JS.
Ujawienie wersji komponentów używanych na naszej stronie ułatwia atakującym celowanie, ponieważ są oni świadomi luk w zabezpieczeniach specyficznych dla każdej wersji oprogramowania.
Aby zablokować wyświetlanie informacji o wersji, możemy dodać następujący kod do pliku functions.php
w naszym szablonie:
remove_action(‘wp_head’, ‘wp_generator’);
add_filter(‘the_generator’, ‘__return_empty_string’);
function shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
Regularne zmiany haseł
Zmiana haseł dla wszystkich administratorów strony co kilka miesięcy lub nawet częściej to dobra praktyka, zwłaszcza jeśli twoja nazwa użytkownika to “adm”, “admin”, “administrator” lub nazwa domeny.
Zmiana loginu administratora
Odnosząc się do poprzedniego punktu, jeśli twoja nazwa użytkownika to “adm”, “admin”, “administrator” lub nazwa domeny, najlepiej zmienić ją jak najszybciej. Najczęściej wybieraną nazwą użytkownika jest “admin”, a jej zmiana ograniczy możliwość ataków brute-force na twoją stronę. Używanie jednej z najpopularniejszych nazw użytkowników ułatwia cyberprzestępcom celowanie w twoją stronę.
Jak zmienić login w WordPressie?
Metoda I:
- Zaloguj się do bazy danych przez phpMyAdmin.
- Znajdź tabelę
wp_users
. - Znajdź swoje konto i kliknij “edytuj”.
- W kolumnie
user_login
zmień starą nazwę użytkownika na nową.
Metoda II:
- W panelu WP dodaj nowego użytkownika z uprawnieniami administratora.
- Zaloguj się na nowe konto.
- Usuń stare konto.
Zmiana strony logowania
Domyślnie każda strona WordPress jest dostępna pod adresami URL, takimi jak:
example.com/wp-login.php,
example.com/wp-admin/
Aby zmniejszyć liczbę ataków brute-force, możesz użyć wtyczki Limit Login Attempts, aby ograniczyć liczbę prób logowania i zablokować użytkownika na określony czas. Jednak jeśli chcesz w pełni zabezpieczyć formularz logowania, możesz zmienić jego lokalizację za pomocą wtyczki WPS Hide Login.
Znacznie trudniej będzie zgadnąć, że panel administracyjny znajduje się pod adresem
example.com/milypluszowymis.
Blokowanie dostępu do plików
Za pomocą określonych reguł w pliku .htaccess
możesz zabezpieczyć zewnętrzny dostęp do poszczególnych plików lub folderów.
W głównym folderze WP znajdziesz pliki xmlrpc.php
i wp-config.php
, które przechowują dane do bazy danych MySQL. Dlatego zaleca się dodanie dodatkowej warstwy bezpieczeństwa dla tych plików, dodając następującą regułę do pliku .htaccess
znajdującego się w tym samym folderze:
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
Dodatkowo w katalogu /wp-content/uploads/
, jeśli nie istnieje, utwórz plik .htaccess
i dodaj następującą regułę, aby zablokować wykonywanie niektórych wirusów:
<Files ~ “.ph(?:p[345]?|t|tml)$”>
deny from all
</Files>
Wyłączanie niepotrzebnych funkcji
WordPress oferuje różne funkcje, które często są nieużywane, dlatego warto wyłączyć niektóre z nich. Jeśli używasz komentarzy, rozważ wyłączenie dwóch pierwszych pól wyboru w Ustawienia → Dyskusja.
Pingbacki służą do informowania administratora strony, gdy ktoś linkuje do jego wpisu. Jeśli nie korzystasz z wbudowanych komentarzy WordPressa, zainstaluj wtyczkę Disable Comments.
Wtyczki zabezpieczające
W miarę pojawiania się nowych ataków i wirusów, które celują w strony oparte na WordPressie, wiele firm wprowadziło dodatkowe zabezpieczenia WordPressa w postaci wtyczek, pomagające się przed nimi bronić. Przykłady takich wtyczek to Wordfence Security, All In One WP Security & Firewall i iThemes Security.
Te wtyczki skupiają się głównie na zapewnieniu bezpieczeństwa naszych stron poprzez wykrywanie złośliwego oprogramowania i blokowanie ataków brute-force. Warto jednak zauważyć, że korzystanie z tych wtyczek może prowadzić do niewielkiego spadku prędkości strony.
Kopie zapasowe
Tworzenie regularnych kopii zapasowych jest kluczowe, nawet jeśli Twój dostawca hostingu już się tym zajmuje – tak jak UltaHost, który automatycznie wykonuje codzienne kopie zapasowe twojego hostingu WordPress.
Zachowanie ostrożności oznacza dodatkowe zabezpieczenie, dlatego nadal zaleca się dbanie o swoje kopie zapasowe, zwłaszcza przed i po dokonaniu znaczących zmian na stronie, nawet jeśli ufasz swojemu dostawcy hostingu.
WordPress oferuje liczne wtyczki do tworzenia kopii zapasowych, ale warto polecić UpdraftPlus. Ta wtyczka umożliwia automatyczne tworzenie kopii zapasowych, które można wysłać na inny serwer.
Podsumowanie
Zabezpieczenie WordPressa przed wirusami jest niezwykle istotne w dzisiejszym cyfrowym świecie. Wraz ze wzrostem popularności WordPressa znacząco rośnie ryzyko ataków, wirusów i innych zagrożeń. Cyberprzestępcy mogą wyrządzić poważne szkody właścicielom stron internetowych i firmom online, jeśli nie są one odpowiednio chronione.
Postępując zgodnie z tymi zaleceniami, możesz znacznie zmniejszyć ryzyko, że twoja strona WordPress padnie ofiarą cyberataków. Pamiętaj, że utrzymywanie proaktywnego podejścia do bezpieczeństwa i bycie na bieżąco z najnowszymi zagrożeniami przyczyni się do bardziej solidnego i bezpiecznego doświadczenia z WordPress. Bądź czujny i kontynuuj priorytetowe traktowanie ochrony swoich cennych zasobów online.
Obawiasz się, że musisz zapłacić więcej za bezpieczną platformę hostingową? Nie martw się, UltaHost oferuje nie tylko bezpieczny, ale jednocześnie tani hosting WordPress! Ponadto, otrzymasz całodobowe wsparcie od naszego zespołu. Nasza zaawansowana infrastruktura skupia się na automatycznym skalowaniu, wydajności i bezpieczeństwie. Pokażemy Ci różnicę! Sprawdź nasze plany hostingowe WordPress!