Jak zabezpieczyć stronę na WordPress przed wirusami?

System zarządzania treścią WordPress jest najpopularniejszym CMSem na świecie. Ilość wirusów, które powstają każdego dnia jest przeogromna, więc łatwo narazić się na infekcję. Jeśli zabezpieczenia naszego serwisu nie są wystarczające istnieje spore ryzyko włamania lub zarażenia wirusem. Wszelkie infekcje wpływają także bardzo niekorzystnie na pozycjonowanie. Poniżej przestawiamy sprawdzone sposoby na zabezpieczenie serwisu.

Wybierz bezpieczny hosting

Ważne, żeby nasza strona była umiejscowiona na dobrym hostingu. Dobrze jeśli ma ochronę przeciwko atakom DDoS, obsługę najnowszej wersji PHP 7 oraz włączoną obsługę konfiguracji php w tym mod_rewrite. Dobrym znakiem jest także automatyczne robienie kopii zapasowych plików oraz bazy danych. Przy wyborze hostingu warto zainteresować się porównaniami firm hostingowych oraz wybór takiej, która dostosowana jest pod silnik WordPress.

Rób backupy!

Ludzie dzielą się na dwie grupy. Osoby, które robią kopie bezpieczeństwa oraz takie, które dopiero zaczną je robić. Automatyczne kopie zapasowe mają niebagatelne znaczenie w bezpieczeństwie stron. Warto je robić na bieżąco, a najlepiej automatycznie i przechowywać na zewnętrznym serwerze lub w chmurze. Pozwoli to szybko stanąć na nogi po niechcianym ataku.

Usuń nieużywane szablony

Bardzo często zdarza się, że standardowe szablony wordpressa są przyczyną włamań. Jeśli ich nie używasz to po prostu usuń foldery w których się znajdują wraz z zawartością (wp-content/themes/[nazwaszablonu]). Mowa o szablonach typu Twenty Seventeen, Twenty Sixteen itd.

Zainstaluj wtyczkę bezpieczeństwa

Obecnie na rynku istnieje wiele rozwiązań, które pomogą skutecznie zabezpieczyć serwis. Są to np. wtyczki Wordfence, iThemes Security, All in One WP Security lub Sucuri Security. Wszystkie mają za zadanie zabezpieczyć stronę przed atakami. Wyręczą nas także w niektórych zmianach w wordpressowym kodzie czy pliku .htaccess, które musielibyśmy wykonać ręcznie.

Co oferują wtyczki bezpieczeństwa?

  • banowanie potencjalnie niebezpiecznych IP, które próbowały zalogować się do admina
  • blokowanie podejrzanego ruchu
  • ochronę przed atakami typu brute-force, dzięki ograniczonej ilości niepoprawnych logowań
  • skanowanie plików pod kątem zagrożeń
  • generowanie długich, bezpiecznych haseł
  • sprawdzanie i zabezpieczanie plików źródłowych wordpress, a także sprawdzanie pod względem zmian w ich kodzie
  • naprawa uszkodzonych lub zawirusowanych plików
  • blokowanie niektórych ważnych plików przed niepożądaną edycją
  • monitorowanie ataków na stronę pod względem ilościowym, kraju oraz IP
  • dwustopniowe uwierzytelnianie
  • captcha przy logowaniu do panelu admina
  • …i wiele więcej!

Po instalacji wtyczki np. iThemes Security większość ustawień jest implementowana automatycznie. Warto jednak zwrócić uwagę na pewne opcje. Na początek zalecamy włączenie dwustopniowego logowania z podaniem kodu np. z Google Autenthicator. Zalecane jest także włączenie wygasania hasła po czasie i generowanie mocnych i trudnych do złamania haseł.

wordpress tweaks

Na koniec polecam zajrzeć w zakładkę WordPress Tweaks. Skonfigurujemy tam kilka opcji, które wzmocnią nasze bezpieczeństwo m.in. logowanie za pomocą adresu email, a nie nazwy użytkownika.

Wyłącz pingbacki

jak wylaczyc pingback wordpress

Pingbacki mają za zadanie informować administratora serwisu, że ktoś umieścił na swoim blogu link do Twojego wpisu. Po zaakceptowaniu pingbacka w panelu admina pojawi się komentarz pod Twoim postem wraz z linkiem do wzmianki w obcym serwisie. Obecnie jest to jedna z technik używanych przez spamerów do komentowania naszych wpisów z linkiem do serwisu. Jest to niekorzystne działanie z punktu widzenia seo. Pingbacki możemy wyłączyć w Ustawienia->Dyskusja. Sugerowałbym zaznaczenie środkowej opcji, jeśli nadal chcemy wiedzieć, że ktoś zamieścił linka do naszej strony.

Zmień dane logowania do panelu admina

Duża część ataków brute-force przeprowadzana jest z sukcesem tylko dlatego, że dane logowania są łatwe do odgadnięcia lub nazwa użytkownika to admin. Login możemy zmienić przez edycję bazy danych w phpMyAdmin. Należy zalogować się do bazy oraz wejść w tabelę wp_users, a następnie edytować rekord z nazwą użytkownika, którą chcemy zmienić. W polu user_login wpisujemy nową nazwę i po zapisaniu możemy się nią logować.
Nieco bezpieczniejszym sposobem jest logowanie się za pomocą adresu email. Wymusza to wtyczka iThemes Security w zakładce WordPress Tweaks.

email login wordpress

Zalecamy także zmianę adresu logowania. Można to zrobić wtyczką WPS Hide Login, która jest lekka i nie będzie miała wpływu na prędkość strony.

Instaluj sprawdzone wtyczki z bezpiecznych źródeł

Wtyczki z niesprawdzonych źródeł często mają wstrzyknięty złośliwy kod i mogą być przyczyną niekorzystnych zjawisk na stronie. Używaj wtyczek tylko ze sprawdzonych źródeł – kupionych przez siebie i na bieżąco aktualizowanych. Za wszelką cenę unikaj „darmowych” stron z wtyczkami, ponieważ istnieje wielkie prawdopodobieństwo, że narobią bałaganu lub dodadzą ukryte linki wychodzące do niekorzystnych stron. Bezpieczne źródła to np. wtyczki z repozytorium wordpressa lub strony z płatnymi dodatkami tj. ThemeForest czy CodeCanyon. Dotyczy to także płatnych motywów stron, które łatwo możemy znaleźć w internecie za darmo.

Korzystaj z certyfikatów SSL

Po ostatnich zmianach w przeglądarce Chrome warto wdrożyć w serwisie certyfikat SSL, który szyfruje wszelką komunikację między użytkownikiem a serwisem. Strona będzie widoczna jako bezpieczna, a ryzyko przechwycenia danych „w locie” spada do minimum. Istnieją certyfikaty płatne jak i te darmowe. Jeśli Twój serwis nie jest duży, nie jest sklepem lub dużą marką, sugerujemy wdrożenie darmowego certyfikatu Let’s Encrypt lub certyfikatu z CloudFlare – także darmowego.

Usuwaj nieaktualne wtyczki

Nieaktualizowane i nieużywane wtyczki mogą być przyczyną infekcji. Jeśli nie używasz wtyczek a mimo wszystko są zainstalowane to po prostu je usuń. Zmniejszy to ryzyko ewentualnego włamania. Pamiętaj też, żeby aktualizować wtyczki na bieżąco.

Zablokuj dostęp do pliku wp-config

Plik wp-config.php zawiera w sobie dane logowania do serwisu oraz bazy danych. Łatwo możemy zablokować do niego dostęp z zewnątrz. Dzięki temu wgląd do pliku będzie miał jedynie sam wordpress. Wystarczy, że dodamy kilka linijek kodu do pliku .htaccess, który znajduje się w głównym folderze wordpressa na serwerze. Najlepiej dodać kod na samej górze pliku.

#blokada pliku wp-config
<files wp-config.php>
order allow,deny
deny from all
</files>

Zabezpiecz plik htaccess

Uzyskanie dostępu do pliku htaccess przez niepożądane osoby także może skutkować infekcją lub np. przekierowaniem stron serwisu na niepożądane, zewnętrzne adresy URL. W łatwy sposób możemy zablokować dostęp do tego pliku. Wystarczy, że dodasz do pliku .htaccess następującą regułę:

#blokada htaccess
<files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,denny
deny from all
satisfy all
</files>

Mamy nadzieję, że podane wyżej porady pozwolą uniknąć niechcianych włamań oraz infekcji. Jeśli uważasz, że na Twoim serwisie obecny jest wirus, możesz sprawdzić nasz poradnik jak usunąć wirus z wordpressa, a potem wrócić do tego artykułu żeby sprawdzić jak się dobrze zabezpieczyć.

Autor wpisu
Patryk
SEO Specialist
Pasjonat poszukiwania nowych sposobów na promocję. Tester nietypowych rozwiązań. Dąży do perfekcji w każdym calu. Prywatnie związany z branżą rozrywkową.
KOMENTARZE

DO WPISU