Panel Klienta

7 porad jak zabezpieczyć WordPressa

Michał Okoń

8 min.

WordPress

Dziś nieco odmienny wpis, nie będę pisać o graficznych rzeczach, a raczej o praktyce, którą stosuje podczas budowania stron internetowych dla moich klientów. Czas na trochę odmienne tematy niż proces powstawania logo czy kolejna cześć pytań do grafika… Temat jak zabezpieczyć WordPressa jest przewijany bardzo często, a zdania, co do niektórych metod są bardzo podzielone.

Słowem wstępu, które nie będzie zbyt optymistyczne napiszę, że nigdy nasza strona nie będzie w 100% bezpieczna! Więc po co te 7 porad jak zabezpieczyć WordPressa, ktoś zapyta? Prawda jest taka, że choć nigdy nie uda nam się uzyskać złotego środka na bezpieczeństwo naszego portalu, strony czy sklepu, to można znacznie utrudnić włamanie się do naszego systemu. Do rzeczy…

#1 Certyfikat SSL

Certyfikat SSL to bardzo dobry sposób na zabezpieczenie danych przesyłanych pomiędzy przeglądarką użytkownika przeglądającego naszą stronę internetową, a serwerem. Taki certyfikat to realne zabezpieczenie przed atakami. Poza samym bezpieczeństwem, SSL umożliwia nam lepsze pozycjonowanie w przeglądarce Google, to dodatkowy atut. Dodatkowym plusem korzystania z szyfrowanego połączenia https:// to również dostęp do HTTP/2, które przyspiesza czas ładowanie się strony www. O certyfikacie SSL można pisać bardzo dużo, ale nie oto tutaj chodzi.

Czy będzie to darmowa wersja certyfikatu, czy płatna, ważne aby był u nas na stronie. Dobra! Mamy certyfikat, co dalej?

Jak włączyć certyfikat SSL

Jeśli instalujemy WordPressa od razu korzystając z https:// to wystarczy, że np. za pomocą pliku .htaccess zrobimy przekierowanie na szyfrowaną wersję strony. Umieszczamy następujący kod w pliku .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Jeśli chcemy włączyć certyfikat na istniejącej już stronie, należy pamiętać, aby oprócz zmiany w pliku .htaccess zmienić również wszystkie adresy naszej strony w bazie danych z http://twojastrona.pl na https://twojastrona.pl.

Jak nie włączać certyfikatu SSL

Nie zaleca się włączanie certyfikatu SSL za pomocą wtyczek. Dlaczego? Podczas każdorazowego wczytywania strony wtyczka od SSL też zaczyna działać, co spowalnia naszą stronę. Plugin najpierw znajduje wszystkie adresy http i zamienia je na https co wydłuża ładowanie się strony. Instalacje SSL jest i powinna zostać jednorazową czynnością.

#2 Aktualizacje

WordPress – bardzo ważną rzeczą są aktualizacje samego systemu zarządzania treścią. Nie chodzi tutaj nawet tylko o WordPressa, każdy system powinien być na bieżąco aktualizowany. Dzięki temu unikniemy niepotrzebnych, niechcianych wizyt w naszym panelu administracyjnym przez „sieciowych łobuzów”. Aktualizacje przede wszystkim mają za danie łatać dziury, przez które istnieje ryzyko włamania do naszego systemu.

wpwhitesecurity.com

Ataki na WordPressa:
29% – podatnościom motywu
22% – podatnościom wtyczek

Wtyczki – podobnie jak w przypadku samego WordPressa aktualizacja wtyczek również jest bardzo ważna. Na ten przykład ostatnia akcja z wtyczką od WPDesk – Flexible Checkout Fields, przez którą instalował się wirus na naszym serwerze. Dzięki użytkownikom wtyczki, i bardzo szybkiej reakcji zespołu WP Desk w ciągu godziny udało się wypuścić odpowiednią aktualizację łatającą lukę dzięki której złośliwy kod dostawał się do naszego systemu.oprócz aktualizacji wtyczek pamiętajmy o instalowaniu ich tylko ze sprawdzonych źródeł, no i oczywiście im jest ich mniej tym lepiej.

Motywy – aktualizacje są bardzo ważne jeśli korzystamy z komercyjnych lub darmowych gotowców. Motywy te tworzone są w sposób, który pozwala na zastosowanie ich w różnych kategoriach. Posiadają niekiedy dużo opcji, z których nawet nie korzystamy, a im więcej opcji tym większe możliwości znalezienia luki w kodzie. Warto też usunąć zbędne motywy z naszego serwera i zostawić tylko ten jeden, z którego aktualnie korzystamy.

Wersja PHP oraz MySQL – pamiętaj aby używać zawsze najnowszej wersji języka PHP i bazy danych. Dzięki temu nasza strona nie tylko będzie bezpieczniejsza, ale również może zyskać na wydajności.

#3 Bezpieczeństwo bazy danych

Jeśli chodzi o bezpieczeństwo informacji, na które ma wpływ nasza baza danych to pierwsza bardzo ważna rzecz, aby nazwa bazy danych nie była taka sama jak nazwa użytkownika bazy danych. Utrudni to odgadnięcie danych logowania do naszej bazy.

Drugą ważną rzeczą jest zmiana domyślnego prefixu tabel w bazie danych. Najlepiej jest to o to zadbać już podczas instalacji WordPressa, później jest nieco więcej zachodu ze zmianą tych rzeczy.

Kolejnym elementem zabezpieczającym dane naszej strony to oddzielne bazy danych i użytkownicy bazy danych dla poszczególnych stron. Trzeba o tym pamiętać, że jedna instalacja = jedna baza danych + użytkownik. Ta zasada pozwoli nam nie tylko na zabezpieczenie danej strony ale także pomaga zachować porządek.

#4 Jak zabezpieczyć WordPressa

  • Nie używaj auto instalatorów. Dzięki manualnej instalacji mamy większy wpływ choćby na rzeczy, o których już wspomniałem wcześniej, np. możliwość zmiany prefixu tabel w bazie danych.
  • Aby utrudnić dodatkowo zdobycie danych logowania do bazy warto jest umieścić dane połączenia z bazą danych w oddzielnym pliku php. Jak to zrobić?

W pliku config.php znajdź i przenieś poniższy kod do nowego pliku php, np. do pliku dane-baza.php.

/** The name of the database for WordPress */
define( 'DB_NAME', 'nazwa_bazy' );
/** MySQL database username */
define( 'DB_USER', 'uzytkownik_bazy' );
/** MySQL database password */
define( 'DB_PASSWORD', 'haslo_bazy' );
/** MySQL hostname */
define( 'DB_HOST', 'adres_bazy' );

Powyższe dane w pliku config.php zastępujemy jedną linijką kodu:

require_once "dane-baza.php";
  • Wybierając nazwę użytkownika, który będzie administratorem naszego serwisu zadbajmy o to, aby nie był to „admin”. Zamiast tego jako login może posłużyć nasz adres email.
  • Domyślnie WordPress pozwala na nieograniczoną ilość prób zalogowania się do Panelu Administracyjnego, co jest często wykorzystywane przez atakujących. Warto jest ograniczyć tą ilość do np. 3-5 prób, co skutecznie upszykszy próby włamania się.
  • WordPress umożliwia edycję plików wtyczek i motywów z poziomu samego Panelu Administracyjnego. Bardzo łatwo można wyłączyć tą możliwość umieszczając jedną linijkę kodu w plik wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );

Taką opcję umożliwiają również wtyczki, ale czy jest sens ich używanie? Jeśli ktoś dostanie się do panelu administracyjnego to na pewno taką wtyczkę wyłączy aby móc edytować kod źródłowy. Dlatego polecam zrobić to ręcznie.

  • Usuń nieużywane wtyczki. Po co mają nam zalegać skoro ich nie używamy?

#5 Kopie zapasowe

Bardzo ważna rzecz, a uświadamiamy sobie o tym niestety dopiero po fakcie. Fajnie jeśli nasza firma hostingowa oferuje tworzenie automatycznych kopii zapasowych naszej bazy danych oraz plików. Oprócz tego, warto dodatkowo tworzyć takie kopie samemu. Jest dużo wtyczek oferujących tworzenie kopii na zewnętrznym serwerze, w chmurze lub wielu innych miejscach.

#6 Mocne hasła

Zarówno baza danych jaki i Panel Administracyjny powinien być chroniony mocnym hasłem. Wiele ataków na WordPressa przeprowadzane są metodą słownikową, dlatego warto jest posiadać długie niestandardowe, nielogiczne hasło. Utrudni to jego odgadnięcie przez osoby trzecie.

#7 Jak nie zabezpieczać

  • Jak już wspomniałem wcześniej przy okazji opisywaniu włączania certyfikatu SSL, starajmy się nie zabezpieczać naszego WordPressa wtyczkami jeśli możemy to zrobić w sposób nie wymagający instalacji dodatkowego pluginu.
  • Ukrywanie wersji systemu. Aktualnie uważam, że jest to zbędne, ponieważ aktualne metody polegają głównie na szukanie dziur, a wersja systemu nie ma dla nich większego znaczenia.
  • Używanie wtyczek-kombajnów do zabezpieczeń. Te dają fałszywe poczucie bezpieczeństwa. Wtyczki zawsze można wyłączyć, zawsze istnieje również szansa, że z jakiegoś powodu przestanie działać itd.
  • Nie warto zmieniać ścieżki do wp-admin

To jedynie garść informacji mówiących jak zabezpieczyć WordPressa. Możemy tak zabezpieczać i zabezpieczać, ale i tak nie uda nam się otrzymać 100% pewności, że nasz system jest nie do przejścia. Powyższe rady nie są złotym środkiem, ale na pewno pomogą znacznie utrudnić osobom niepowołanym kradzież naszych danych.

0 0 votes
Jak bardzo przydał/spodobał Ci się ten artykuł?

Bądź na bieżąco z nowymi wpisami

Włącz subskrypcję i bądź na bieżąco z nowymi wpisami na blogu i promocjami w sklepie! ZERO spamu, same konkrety!

Subscribe
Powiadom o
guest
0 komentarzy
najnowszy
najstarszy oceniany
Inline Feedbacks
View all comments
1716