Jeśli regularnie czytasz naszego bloga, wiesz, że bezpieczeństwo witryny i bezpieczeństwo hostingu to najważniejsze kwestie. Ważniejsze niż wydajność, grafika i funkcjonalności. Tworząc witrynę, musisz upewnić się, że jest bezpieczna. Ale bezpieczny hosting i bezpieczeństwo serwera nie wystarczą, jeśli nie zadbasz o bezpieczeństwo WordPressa. Dlatego w tym artykule przedstawię ci jak w 16 krokach zabezpieczyć stronę na WordPressie.
WordPress jest podatny na ataki
Im bardziej popularna aplikacja, tym większe ryzyko, że zostanie zhakowana przez hakerów. Obecnie WordPress obsługuje ponad połowę witryn na całym świecie. Jego sukces jest zasługą głównie połączenia prostoty i możliwości rozwoju. Otwarta struktura pozwala na rozwijanie witryn za pomocą wtyczek.
Niestety, liczba instalacji WordPressa przynosi również pewne haniebne wyniki. Według Wordfence, 9 grudnia 2021 roku ponad 1,5 miliona witryn opartych na WordPressie zostało zaatakowanych. W ciągu 36 godzin dokonano ponad 13 milionów prób przejęcia kontroli nad panelami zarządzania witryną.
Cyberprzestępcy nie próżnują i ciągle szukają słabości w witrynach i aplikacjach, dzięki którym mogą uzyskać cenne dane. Sucuri wskazuje na kolejny istotny element bezpieczeństwa. Ponad 50% zhakowanych stron na WordPressie jest związanych z przestarzałą wersją aplikacji. Keycdn.com dodaje inne statystyki: prawie 56% zagrożeń i podatności na ataki wynika z przestarzałych wtyczek lub motywów.
Jak zabezpieczyć stronę na WordPressie?
Sama aktualizacja systemu i pluginów nie gwarantuje bezpieczeństwa. Zadbaj o swoją witrynę samodzielnie. W tym artykule przedstawiliśmy ci wiele sposobów na to by zabezpieczyć stronę na WordPressie. Im więcej z nich zastosujesz, tym bezpieczniejszą uczynisz swoją witrynę.
Niektóre z rozwiązań wymagają podstawowej wiedzy o panelu phpMyAdmin, w którym można edytować bazę danych. Nieprawidłowa operacja na tabelach może skutkować częściową niedostępnością strony lub całej witryny.
Innym kluczowym czynnikiem bezpieczeństwa hostingu jest umieszczenie go na bezpiecznym serwerze. Masz dwie możliwości: hosting VPS lub hosting WordPress. Zalecam drugą opcję, ponieważ ma wbudowane środki bezpieczeństwa chroniące WordPress przed atakami. Teraz przejdźmy do listy.
Chcesz zabezpieczyć swojego WordPressa?
Postaw więc swoją stronę na specjalnie przystosowanych do tego serwerach, które przygotował zespół specjalistów od UltaHost. Dobrali oni najlepsze sposoby zabezpieczenia hostingu, które najlepiej radzą sobie ze stronami na WordPressie. Bezpieczny i w pełni zoptymalizowany hosting WordPress, oto co znajdziesz klikając link poniżej.
Aktualizacja WordPressa
Brzmi jak banał? Może tak, ale kluczem jest podwójne sprawdzenie, czy Twój WordPress nie jest przestarzały. Korzystanie z nieaktualnej wersji systemu to jeden z największych błędów użytkowników WordPressa. Od wersji 3.7 WordPress może aktualizować nie tylko sam CMS, ale też motywy i wtyczki automatycznie. Odkładanie aktualizacji jest bardzo ryzykowne.
Zmiana domyślnego prefiksu wp_ dla tabel w bazie danych
Dzięki prefiksowi dla tabel w bazie danych MySQL aplikacja może rozpoznać, które dane należą do niej. Przecież wiele aplikacji może korzystać z jednej bazy danych. Jedną ze słabości WordPressa jest pozostawienie domyślnego prefiksu wp_ w bazie danych; ułatwia to zadanie hakerom. Zmień ten prefiks na inny, mniej charakterystyczny (np. xtmx4_), a poczynisz istotny krok by zabezpieczyć stronę na WordPressie.
Możesz to zrobić na dwa sposoby – podczas instalowania WordPressa lub po jego instalacji, logując się do bazy danych MySQL za pomocą panelu phpMyAdmin. Dzięki tej zmianie strona oparta na WordPressie będzie mniej podatna na ataki typu SQL Injection.
Zmiana nazwy prefiksu tabeli wymaga zmodyfikowania wpisów w dwóch tabelach WordPressa: xtmx4_options i xtmx4_usermeta. Możesz to zrobić za pomocą jednego z dwóch poleceń SQL (należy podać prefiksy zaproponowane przez siebie):
- SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
- SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;
Pamiętaj, aby po tej zmianie zmodyfikować linię z prefiksem w pliku wp-config.php.
Zmień nazwę użytkownika i ID administratora
Domyślna nazwa logowania proponowana przez WordPressa to “admin” – jest łatwa do odgadnięcia przez osobę próbującą zalogować się do panelu sterowania. Warto ją zmienić na inną, mniej “logiczną” z punktu widzenia zewnętrznego użytkownika podczas instalacji. Pamiętaj, że nazwa logowania nie będzie wyświetlana pod artykułami na blogu, ponieważ nazwa wyświetlana jest konfigurowana indywidualnie w panelu WordPressa.
Zmień login po instalacji za pomocą phpMyAdmin w tabeli (twój-prefix)_users. W tym samym miejscu zmienisz również ID konta. Najlepiej wpisać wysoki numer z losowym ciągiem cyfr (np. zamiast 333333, wpisz 158062).
Ogranicz dostęp do panelu WordPressa za pomocą .htaccess
Ograniczenie dostępu do strony logowania to bardzo rozsądne rozwiązanie. W pliku .htaccess wystarczy skonfigurować dozwolone połączenia do wybranego adresu IP. Poniżej znajduje się poprawna formuła do uwzględnienia w treści:
- AuthName “Example Access Control”
- AuthType Basic
- order deny, allow
- deny from all
- allow from Adres_IP
W miejsce “Adres_IP” wpisz adres, z którego chcesz uzyskać dostęp do panelu.
Zmień adres logowania do panelu administracyjnego WordPressa
Złośliwe skrypty atakują głównie podstrony związane z treścią i jej edycją, czyli “/wp-admin”. Warto więc rozważyć zmianę tego adresu na inny, bardziej przyjazny i mniej oczywisty dla cyberprzestępców. Zainstaluj wtyczkę WPS Hide Login i skonfiguruj ją według własnych potrzeb. Nowy adres logowania do panelu będzie dostępny od razu.
Inny rodzaj ochrony przed “przechwyceniem” strony logowania WordPressa to wykorzystanie pliku .htaccess na serwerze hostingowym oraz odwołanie do pliku .htpasswd, w którym konfigurujesz dane dostępowe do wyświetlenia strony logowania.
Zmień metodę logowania na adres e-mail
Zmiana sposobu weryfikacji użytkownika zwiększa bezpieczeństwo panelu administracyjnego WordPressa. Aby to zrobić, zainstaluj wtyczkę WP Email Login i zastąp nazwę logowania adresem e-mail przypisanym do użytkownika. Po zapisaniu zmian, zmień standardowe logowanie na zestaw losowych znaków (szczególnie, jeśli używałeś “admin”).
Włącz dodatkową ochronę aplikacji na hosting (WAF)
Bezpieczny Hosting WordPress zapewnia dodatkową warstwę zabezpieczeń – Zaporę Aplikacji Sieciowej. Jeśli korzystasz z innego dostawcy niż UltaHost, zapytaj go o WAF. W UltaHost możesz być o to spokojny, nawet korzystając z najtańszego hostingu WordPressa zawsze będziesz chroniony przez wiele warstw zabezpieczeń, w tym WAF. Chroni on przed atakami z wykorzystaniem podatności związanych z bazami danych MySQL lub z użyciem złośliwych nagłówków.
Wyłącz edycję plików wtyczek i motywów
Skończyłeś personalizować swój motyw i uruchamiać wtyczki? Zabezpiecz pliki, uniemożliwiając dalszą edycję kodu w panelu WordPress. Aby to zrobić, dodaj jedną linię do pliku wp-config.php:
- define (‘DISALLOW_FILE_EDIT’, true);
Wyłącz rejestrację użytkowników
WordPress domyślnie pozwala na rejestrację użytkowników, ale jeśli prowadzisz stronę, która nie potrzebuje tej opcji (np. jest wyłącznie zorientowana na czytanie), lepiej ją zablokować w ustawieniach WordPress. Jest to kolejne “okno” do potencjalnej próby ataku.
Włącz autoryzację dwuetapową
Dodatkowy poziom bezpieczeństwa podczas logowania nikomu jeszcze nie zaszkodził. Użyj wtyczki Autoryzacja Dwuetapowa, aby skonfigurować podwójne logowanie do panelu. Po wprowadzeniu loginu i hasła musiałbyś wprowadzić unikalny kod wysłany na twój smartfon. Ta rozwiązanie wymaga zainstalowania aplikacji Google Authenticator na twoim smartfonie, dostępnej na Androidzie i iOS.
Wtyczki zabezpieczeń dla WordPress – dlaczego NIE warto ich używać?
Na rynku znajdziesz kilka dodatkowych wtyczek, które zawierają kilka z powyższych funkcji i dodatkowo chronią WordPressa przed atakami typu brute force. Dzięki nim zaoszczędzisz czas (wszystko, co musisz zrobić, to zainstalować jedną z nich i skonfigurować w kilka minut) i (teoretycznie) zadbasz o kilka tematów związanych z bezpieczeństwem.
Ale czy jesteś pewien? Nie zapominajmy, że to po prostu kolejna wtyczka. Nawet wtyczki zabezpieczeń mogą zawierać podatności, które ułatwiłyby potencjalnemu hakerowi dostęp do twojego pulpitu WordPress.
Wtyczki takie jak Wordfence, Sucuri czy iThemes Security są modne, oferują różnorodne funkcje i wyglądają kusząco, ale statystyka z badania WPwhiteSecurity budzi niepokój. Spośród 10 najbardziej podatnych wtyczek WordPress w 2019 roku, Wordfence zajął 4. miejsce.
Wykonuj dodatkowe kopie zapasowe swoich danych
Na serwerach UltaHost, backup jest wykonywany cyklicznie w nocy, punktowo. Wszystkie pliki i bazy danych w kopii zapasowej odzwierciedlają stan serwera z danej godziny. W każdym przypadku użytkownik może przywrócić takie dane z ostatnich 16 dni. To jedna z najlepszych ofert na rynku, ale nie powinno to być zaskoczeniem. UltaHost ma politykę zorientowaną na bezpieczeństwo.
Jeśli twoja strona internetowa jest dynamiczna i publikujesz na niej dużo treści (np. w formie portalu reklamowego), zainstaluj dodatkowe aplikacje do tworzenia kopii zapasowych WordPress. Jedną z nich jest Updraft, dzięki której możesz zaprogramować kopię zapasową nawet co 60 minut. Pamiętaj, aby wykonywać kopie zapasowe wtedy, gdy ruch na twojej stronie jest niewielki, ponieważ każda operacja tworzenia kopii zapasowej to duże obciążenie dla serwera.
Usuń niepotrzebne wtyczki i motywy
WordPress pozwala tworzyć stronę internetową do dowolnego celu. Nic dziwnego, że będziesz na niej testować nowe motywy i wtyczki. Pamiętaj, aby usunąć je, jeśli ich nie będziesz używać. Nawet dezaktywowane, ale przestarzałe wtyczki mogą być powodem ataku na twoją stronę.
Pobieraj wtyczki tylko z zaufanego źródła. Nie musi to koniecznie być oficjalne repozytorium WordPress, ponieważ istnieją wtyczki premium, których można pobierać tylko z witryny autora. Jednak unikaj wtyczek z niepewnych źródeł, takich jak poczta e-mailowa czy darmowe usługi plików. Nie przechodzą one żadnej weryfikacji ani kontroli.
Regularnie aktualizuj motyw
To trzecie potencjalne źródło problemów, z którym może się spotkać strona oparta na WordPressie. Deweloperzy motywów powinni wydawać aktualizacje tak często, jak to możliwe, aby naprawić błędy i podatności oprogramowania. Mogą być one wykorzystane przez hakerów i nie mogą być lekceważone.
Używaj certyfikatu SSL
WordPress zapewnia pełne wsparcie dla zaszyfrowanego połączenia HTTPS przez przeglądarkę. Od 2017 roku aplikacja CMS wymaga, aby serwer obsługiwał ten protokół. Certyfikat SSL jest również istotny ze względu na optymalizację SEO.
Ponadto najpopularniejsze przeglądarki (Google Chrome, Mozilla Firefox) oznaczają strony bez certyfikatu SSL jako “niezabezpieczone”. Z psychologicznego punktu widzenia jest to równoznaczne z zniechęcaniem użytkownika do odwiedzenia witryny w przyszłości.
Używaj długich haseł
Im dłuższe i bardziej zróżnicowane hasło, tym lepiej. WordPress automatycznie proponuje zapisanie hasła w postaci kilku znaków bez fraz ze słownika. Zazwyczaj w tym kroku chcemy zaproponować swoje hasło, ale w większości przypadków nie będzie ono wystarczająco silne.
Jeśli podobał Ci się ten artykuł, to pokochasz bezpieczną i szybką platformę hostingową dla WordPressa od UltaHost. Skorzystaj z pomocy naszego zespołu wsparcia dostępnego 24/7. Nasza wysokiej jakości infrastruktura koncentruje się na automatycznym skalowaniu, wydajności i bezpieczeństwie. Pozwól nam pokazać Ci różnicę! Sprawdź nasze plany hostingu WordPress!
