Jeżeli jesteś niespecjalnie zaawansowanym użytkownikiem WordPressa – ten tekst jest dla Ciebie. W 10 krokach przedstawię co powinieneś zrobić, by poprawić bezpieczeństwo strony, którą administrujesz. Jasne, strony te nie będą od razu całkowicie bezpieczne, ale tego typu stron, czy też systemów można szukać ze świecą. Zapewniam jednak, że zastosowanie się do tych porad i wdrożenie poniższych zastosowań przyczyni się do tego, że bezpieczeństwo Twojej strony stanie osiągnie wyższy poziom.

1. Usuń nieobowiązkowe pluginy

Liczba wtyczek wpływa nie tylko na wydajność strony, ale również na jej bezpieczeństwo. Każda kolejna wtyczka zwiększa prawdopodobieństwo znalezienia w jednej z nich luki, która może przyczynić się do przejęcia kontroli nad Twoją witryną. Jeżeli są wtyczki, które możesz niewielkim kosztem zastąpić (np. poprzez zlecenie doprogramowania kilku funkcji programiście) korzystając z dopisanego kodu, to powinieneś to bezwzględnie zrobić.

Zrzut ekranu 2015-11-21 o 20.46.55

 

2. Nie korzystaj z darmowych odpowiedników lub skrakowanych wtyczek/motywów

Nie chodzi tutaj o kwestie moralne. Wiele z udostępnionych przez hakerów wtyczek zawiera backdoory lub zaszyte wirusy, które trywialnie mówiąc tylko czekają, aż aktywujesz na swoim WordPressie zainfekowaną wtyczkę lub motyw.

 

3. Rozważ automatyczne uaktualnienia

Przy publikacji praktycznie każdej nowej wersji WordPressa mówi się o bezpieczeństwie, a to dlatego że podawane są informacje o tym, gdzie były luki. Jeżeli zostajesz z wersją wcześniejszą (czyt. nie aktualizujesz wersji WordPressa na swojej stronie), hakerzy wiedzą jak się dobrać do Twoich danych. O ile od wersji 3.7 mniejsze uaktualnienia odbywają się automatycznie, to nadal ręcznie należy zatwierdzić każde większe uaktualnienie (np. z wersji 4.2 na 4.3). Aby temu zapobiec należy dodać dwie linijki do pliku plik wp-config.php:

# Pozwalaj na automatyczne mniejsze i większe uaktualnienia:
define( 'WP_AUTO_UPDATE_CORE', true );

Zrzut ekranu 2015-11-21 o 20.47.44

 

4. Pozwól wtyczkom i motywom aktualizować się automatycznie

Podobnie jak w punkcie powyższym, „pozostanie w tyle” może dać nam w kość. Aby temu zapobiec i pozwolić wtyczkom aktualizować się automatycznie należy dodać do pliku wp-config.php następującą linijkę:

add_filter( 'auto_update_plugin', '__return_true' );

W przypadku zgody na automatyczne aktualizacje szablonów komenda (także dodawana do wp-config.php) powinna wyglądać tak, jak poniższa:

add_filter( 'auto_update_theme', '__return_true' );

 

5. Wyłącz możliwość edycji kodu wtyczek i motywów przez panel administracyjny

Jeżeli modyfikujesz kod wtyczek lub motywów korzystasz zapewne z klienta FTP i ulubionego edytora kodu i niechętnie zaglądasz na niepokolorowaną składnię we wbudowanym w WordPressa edytorze kodu. Dlatego też tym bardziej będziesz spał spokojnie blokując go, a na dodatek nawet gdy ktoś pozyska Twoje hasło do panelu administratora, utrudnisz mu życie. Aby to zrobić dodaj do pliku wp-config.php następujący kod:

define( 'DISALLOW_FILE_EDIT', true );

Zrzut ekranu 2015-11-21 o 20.45.19

 

6. Wyłącz wyświetlanie błędów PHP

Jeżeli wtyczka lub motyw nie działają prawidłowo i powodują błędy, często domyślnie wyświetla się informacja o zaistniałej nieprawidłowości. Hakerzy często szukają tego typu informacji, które mogą przybliżyć im ścieżki dostępowe, a także wskazać potencjalne wąskie gardła kodu Twojej strony. Aby nie podawać im tych rzeczy na srebrnej tacy dodaj kolejne dwie linijki do pliku wp-config.php

error_reporting(0);
@ini_set(‘display_errors’, 0);

 

7. Podaj rękę antywirusowi na swoim komputerze

Może i brzmi to banalnie, ale to dość istotny punkt. Nie trudno zarazić swój dysk wirusem, który może być przeznaczony na Twojego WordPressa. Jako że lepiej zapobiegać niż leczyć, warto zaopatrzyć się w sprawdzonego antywirusa. Szczególnie jeśli korzystasz z systemu Windows. Zapytaj zaufanych znajomych lub ludzi z branży, który z nich jest najskuteczniejszy w wykrywaniu zagrożeń.

 

8. Twórz automatyczne kopie zapasowe plików i bazy danych

Upewnij się, że Twój hosting cyklicznie tworzy kopie zapasowe plików oraz bazy danych, a następnie przetrzymuje je chociaż 30 dni. W przypadku włamania lub zainfekowania strony będziesz mógł szybko przywrócić poprzedni stan witryny i równolegle zacząć prace nad załataniem luk. Jeżeli hosting tego typu kopii nie zapewnia, powinieneś rozejrzeć się za innym (czytaj: takim, który traktuje klientów poważnie), a do czasu przeniesienia witryny skorzystać choćby z wtyczki BackupBuddy.

 

9. Zmień lokalizację formularza do logowania

Naturalne stało się pozostawianie formularza do logowania na stronie domena/wp-admin czy też domena/wp-login.php. Jest to jednak błąd, bo większość niepowołanych osób, które chcą spróbować zalogować się na Twoją witrynę szukają formularza właśnie tak. Aby zmienić jego lokalizację możesz skorzystać z wtyczki-kombajnu, która potrafi właśnie to, ale również o wiele więcej (będzie o niej już niedługo). Plugin ten nazywa się iThemes Security i jest dostępny bezpłatnie. W jego ustawieniach znajdź sekcję Hide Login Area, a następnie wprowadź żądaną lokalizację. Pamiętaj jednak, by nie wpisać logowanie, login, admin czy czegoś równie oczywistego.

Zrzut ekranu 2015-11-21 o 21.11.06

10. Wymuś silne hasła użytkowników

Metoda łamania hasła za pomocą brute force jest znana od dawna. Jednak warto osobie mającej złe zamiary napsuć trochę krwi i wycisnąć z jej Hydry siódme poty wymuszając silne hasła użytkownikom WordPressa, którego administrujesz. Znając zasadę Pareta, 80% użytkowników przeklnie Ciebie pod nosem, ale może w 20% z nich wyrobisz nawyk tworzenia silniejszego hasła także na ich prywatnych kontach w mediach społecznościowych. Aby łatwo wymusić silne hasło skorzystaj z pluginu Force Strong Passwords.

 

DODATKOWO: 11. Ukryj informację o wersji WordPressa

Każde uaktualnienie systemu WordPress pozostawia po sobie plik readme.html, który informuje o wersji oraz jej zmianach. Podstawową metodą by sprawdzić, którą wersję CMSa WordPress posiada wybrana strona polega na otwarciu w przeglądarce następującej lokalizacji – DOMENA/readme.html. Aby się przed tym zabezpieczyć można ręcznie usuwać ten plik po każdym uaktualnieniu lub zdać się na mały plugin – Readme Detonator.

1 KOMENTARZ

ZOSTAW ODPOWIEDŹ