aktualizacja: 29.06.2020
15 sposobów na zabezpieczenie strony opartej o WordPress
System zarządzania treścią WordPress jest najpopularniejszym CMSem na świecie. Ilość wirusów, które powstają każdego dnia jest przeogromna, więc łatwo narazić się na infekcję. Jeśli zabezpieczenia naszego serwisu nie są wystarczające istnieje spore ryzyko włamania lub zarażenia wirusem. Wszelkie infekcje wpływają także bardzo niekorzystnie na pozycjonowanie. Poniżej przestawiamy 15 sprawdzonych sposoby na zabezpieczenie serwisu. Mamy szczerą nadzieję, że po przeczytaniu tego artykułu, będziesz wiedzieć, jak zabezpieczyć WordPress przed atakami hakerskimi, jak i wirusami!
1. Wybierz bezpieczny hosting
Ważne, żeby nasza strona była umiejscowiona na dobrym hostingu. Dobrze jeśli ma ochronę przeciwko atakom DDoS, obsługę najnowszej wersji PHP 7 oraz włączoną obsługę konfiguracji php w tym mod_rewrite. Dobrym znakiem jest także automatyczne robienie kopii zapasowych plików oraz bazy danych. Przy wyborze hostingu warto zainteresować się porównaniami firm hostingowych oraz wybór takiej, która dostosowana jest pod silnik WordPress.
Dobrym rozwiązaniem będzie zorientowanie się, który hosting na rynku zapewnia bezpieczeństwo, szybkość i niezawodność. Wystarczy zapytać bardziej doświadczonych kolegów z branży czy poszukać odpowiedzi na specjalistycznych forach na Facebooku lub w całej sieci. Zwiększone ataki hakerów, przestoje czy niska wydajność, mogą wynikać właśnie z nieodpowiednich mechanizmów bezpieczeństwa.
Jeśli jesteś ofiarą słabego jakościowo hostingu, najlepszym wyjściem będzie po prostu zmiana na bezpieczniejszego i pewniejszego dostawcę usługi.
2. Rób backupy!
Ludzie dzielą się na dwie grupy. Osoby, które robią kopie bezpieczeństwa oraz takie, które dopiero zaczną je robić. Automatyczne kopie zapasowe mają niebagatelne znaczenie w bezpieczeństwie stron. Warto je robić na bieżąco, a najlepiej automatycznie i przechowywać na zewnętrznym serwerze lub w chmurze. Pozwoli to szybko stanąć na nogi po niechcianym ataku.
Jeśli masz kopię zapasową , możesz przywrócić witrynę WordPress do stanu roboczego w dowolnym momencie. W tworzeniu backupów mogą Ci pomóc wtyczki w WordPressie, ale równie dobrze możesz poradzić sobie samodzielnie tworząc backup plików za pomocą FTP (używając np. programu FileZilla) oraz kopię bazy danych (PHPMyAdmin).
W większości przypadków nie potrzebujesz wykonywać codziennie kopii zapasowej. Wystarczy raz na tydzień lub raz na miesiąc wykonać backup. Upewnij się również, że kopia zapasowa zostanie usunięta po utworzeniu nowej, ponieważ każdy kolejny plik zajmuje dodatkowe miejsce na dysku.
3. Usuń nieużywane szablony
Bardzo często zdarza się, że standardowe szablony wordpressa są przyczyną włamań. Jeśli ich nie używasz to po prostu usuń foldery w których się znajdują wraz z zawartością (wp-content/themes/[nazwaszablonu]). Mowa o szablonach typu Twenty Seventeen, Twenty Sixteen itd.
4. Zainstaluj wtyczkę bezpieczeństwa
Obecnie na rynku istnieje wiele rozwiązań, które pomogą skutecznie zabezpieczyć serwis. Są to np. wtyczki Wordfence, iThemes Security, All in One WP Security lub Sucuri Security. Wszystkie mają za zadanie zabezpieczyć stronę przed atakami. Wyręczą nas także w niektórych zmianach w wordpressowym kodzie czy pliku .htaccess, które musielibyśmy wykonać ręcznie.
Co oferują wtyczki bezpieczeństwa?
- banowanie potencjalnie niebezpiecznych IP, które próbowały zalogować się do admina,
- blokowanie podejrzanego ruchu,
- ochronę przed atakami typu brute-force, dzięki ograniczonej ilości niepoprawnych logowań,
- skanowanie plików pod kątem zagrożeń,
- generowanie długich, bezpiecznych haseł,
- sprawdzanie i zabezpieczanie plików źródłowych wordpress, a także sprawdzanie pod względem zmian w ich kodzie,
- naprawa uszkodzonych lub zawirusowanych plików,
- blokowanie niektórych ważnych plików przed niepożądaną edycją,
- monitorowanie ataków na stronę pod względem ilościowym, kraju oraz IP,
- dwustopniowe uwierzytelnianie,
- captcha przy logowaniu do panelu admina,
- …i wiele więcej!
Po instalacji wtyczki np. iThemes Security większość ustawień jest implementowana automatycznie. Warto jednak zwrócić uwagę na pewne opcje. Na początek zalecamy włączenie dwustopniowego logowania z podaniem kodu np. z Google Autenthicator. Zalecane jest także włączenie wygasania hasła po czasie i generowanie mocnych i trudnych do złamania haseł.
Na koniec polecam zajrzeć w zakładkę WordPress Tweaks. Skonfigurujemy tam kilka opcji, które wzmocnią nasze bezpieczeństwo m.in. logowanie za pomocą adresu email, a nie nazwy użytkownika.
5. Wyłącz pingbacki
Pingbacki mają za zadanie informować administratora serwisu, że ktoś umieścił na swoim blogu link do Twojego wpisu. Po zaakceptowaniu pingbacka w panelu admina pojawi się komentarz pod Twoim postem wraz z linkiem do wzmianki w obcym serwisie. Obecnie jest to jedna z technik używanych przez spamerów do komentowania naszych wpisów z linkiem do serwisu. Jest to niekorzystne działanie z punktu widzenia seo. Pingbacki możemy wyłączyć w Ustawienia->Dyskusja. Sugerowałbym zaznaczenie środkowej opcji, jeśli nadal chcemy wiedzieć, że ktoś zamieścił linka do naszej strony.
6. Zmień dane logowania do panelu admina
Duża część ataków brute-force przeprowadzana jest z sukcesem tylko dlatego, że dane logowania są łatwe do odgadnięcia lub nazwa użytkownika to admin. Login możemy zmienić przez edycję bazy danych w phpMyAdmin. Należy zalogować się do bazy oraz wejść w tabelę wp_users, a następnie edytować rekord z nazwą użytkownika, którą chcemy zmienić. W polu user_login wpisujemy nową nazwę i po zapisaniu możemy się nią logować.
Nieco bezpieczniejszym sposobem jest logowanie się za pomocą adresu email. Wymusza to wtyczka iThemes Security w zakładce WordPress Tweaks.
7. Zmień stronę logowania
Popularność WordPressa sprawia, że większość użytkowników, która miała styczność z tym CMS-em, wie doskonale, że do panelu należy zalogować się wpisując:
/wp-login.php /wp-admin
w ścieżce, po nazwie domeny. Ta reguła zdecydowanie nie pomaga w utrzymaniu bezpiecznie działającej witryny, nie narażonej na ataki hakerów czy wirusy.
Zalecamy także zmianę adresu logowania. Można to zrobić np. wtyczką WPS Hide Login, która jest lekka i nie będzie miała wpływu na prędkość strony. W ten sposób pozbywamy się ataków siłowych. Poprzednio ustawiliśmy nazwę użytkownika na adres e-mail, więc bezpieczeństwo WordPressa wzrasta diametralnie.
We wtyczce wystarczy wpisać nowy adres strony logowania i zapisać zmiany.
8. Instaluj sprawdzone wtyczki z bezpiecznych źródeł
Wtyczki z niesprawdzonych źródeł często mają wstrzyknięty złośliwy kod i mogą być przyczyną niekorzystnych zjawisk na stronie. Używaj wtyczek tylko ze sprawdzonych źródeł – kupionych przez siebie i na bieżąco aktualizowanych. Za wszelką cenę unikaj „darmowych” stron z wtyczkami, ponieważ istnieje wielkie prawdopodobieństwo, że narobią bałaganu lub dodadzą ukryte linki wychodzące do niekorzystnych stron.
Bezpieczne źródła to np. wtyczki z repozytorium wordpressa lub strony z płatnymi dodatkami tj. ThemeForest czy CodeCanyon. Dotyczy to także płatnych motywów stron, które łatwo możemy znaleźć w internecie za darmo.
9. Korzystaj z certyfikatów SSL
Po ostatnich zmianach w przeglądarce Chrome warto wdrożyć w serwisie certyfikat SSL, który szyfruje wszelką komunikację między użytkownikiem a serwisem. Strona będzie widoczna jako bezpieczna, a ryzyko przechwycenia danych „w locie” spada do minimum. Istnieją certyfikaty płatne jak i te darmowe. Jeśli Twój serwis nie jest duży, nie jest sklepem lub dużą marką, sugerujemy wdrożenie darmowego certyfikatu Let’s Encrypt lub certyfikatu z CloudFlare – także darmowego.
10. Usuwaj nieaktualne wtyczki
Nieaktualizowane i nieużywane wtyczki mogą być przyczyną infekcji. Jeśli nie używasz wtyczek a mimo wszystko są zainstalowane to po prostu je usuń. Zmniejszy to ryzyko ewentualnego włamania. Pamiętaj też, żeby aktualizować wtyczki na bieżąco.
11. Zablokuj dostęp do pliku wp-config
Plik wp-config.php zawiera w sobie dane logowania do serwisu oraz bazy danych. Łatwo możemy zablokować do niego dostęp z zewnątrz. Dzięki temu wgląd do pliku będzie miał jedynie sam WordPress. Wystarczy, że dodamy kilka linijek kodu do pliku .htaccess, który znajduje się w głównym folderze wordpressa na serwerze. Najlepiej dodać kod na samej górze pliku.
#blokada pliku wp-config
<files wp-config.php>
order allow,deny
deny from all
</files>
Ochrona pliku wp-config oznacza zabezpiecznie rdzenia WordPressa.
12. Zabezpiecz plik htaccess
Uzyskanie dostępu do pliku htaccess przez niepożądane osoby także może skutkować infekcją lub np. przekierowaniem stron serwisu na niepożądane, zewnętrzne adresy URL. W łatwy sposób możemy zablokować dostęp do tego pliku. Wystarczy, że dodasz do pliku .htaccess następującą regułę:
#blokada htaccess
<files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,denny
deny from all
satisfy all
</files>
13. Ukryj wersję WordPressa
Twój aktualny numer wersji WordPress można bardzo łatwo znaleźć, w widoku źródłowym witryny. Możesz go również zobaczyć na dole pulpitu nawigacyjnego.
Jeśli hakerzy wiedzą, z której wersji WordPress korzystasz, łatwiej jest im stworzyć idealny atak. Możesz ukryć swój numer wersji dzięki wtyczkom zapewniającym bezpieczeństwo WordPressa.
W celu bardziej ręcznej ingerencji (a także usunięcia numeru wersji z kanałów RSS) rozważ dodanie następującej funkcji do functions.php:
function wpbeginner_remove_version() { return ''; } add_filter('the_generator', 'wpbeginner_remove_version');
14. Zmieniaj hasła
Ta metoda wydaje się banalna, jednak jest niezwykle skuteczna i odnosi się nie tylko do WordPressa, a do całej aktywności w sieci. Proponujemy regularnie zmieniać swoje hasła do panelu admina, zwiększając ich siłę i stosując się do podstawowych zasad ich tworzenia.
Sposobem na „zapamiętanie” nowych haseł jest po prostu używanie menedżerów haseł wysokiej jakości. Takie narzędzia pozwolą zarówno na bezpieczne przechowywanie danych, jak i generowanie losowych, silnych haseł. Przykładem oprogramowania, które oferuje nam takie możliwości jest LastPass.
15. Aktualizuj WordPressa i wtyczki
Aktualizacje mają na celu naprawianie błędów i czasami zawierają istotne poprawki bezpieczeństwa. WordPress i jego wtyczki nie różnią się niczym. Brak aktualizacji motywów i wtyczek może oznaczać problemy. Wielu hakerów polega na tym, że ludzie nie zadają sobie trudu, aby aktualizować wtyczki i motywy. Najczęściej hakerzy wykorzystują błędy, które zostały już naprawione.
W miarę możliwości, staraj się aktualizować WP, jak i wtyczki (szczególnie te dotyczące bezpieczeństwa).
Podsumowanie
Mamy nadzieję, że podane wyżej porady pozwolą uniknąć niechcianych włamań oraz infekcji. Jeśli uważasz, że na Twoim serwisie obecny jest wirus, możesz sprawdzić nasz poradnik jak usunąć wirusa z WordPressa, a potem wrócić do tego artykułu żeby sprawdzić jak się dobrze zabezpieczyć.
Wymieniliśmy 15 porad, które przyczynią się do wzmocnienia bezpieczeństwa witryny. Z pewnością, istnieją jeszcze dodatkowe możliwości w tej kwestii, jednak możemy zapewnić, że zastosowanie się do tej listy znacznie wpłynie na uniknięcie niepożądanych sytuacji.