Wordprees – jak zabezpieczyć swoją stronę
WordPress jest jednym z najbardziej popularnych systemów zarządzania treścią wykorzystywany przez osoby prywatne jak i duże firmy do tworzenia stron www. Dzięki otwartej strukturze daje możliwości tworzenia różnych modułów oraz wtyczek, które pozwalają na uzyskanie wielu nowych i lepszych funkcjonalności, a także atrakcyjnej szaty graficznej. Niestety im więcej zainstalowanych wtyczek z słabego źródła tym chętniej stają się one łupem hakerów, którzy próbują złamać zabezpieczenia i opanować daną aplikację. W 2016 roku według raportu Sucuri bardzo dużo zhakowanych stron dotyczyło właśnie tych wykonanych w WordPressie.
Niestety wersja 4.7.0 była dla hakerów łatwa do przejęcia, nawet bez znajomości loginu i hasła. System jest cały czas udoskonalany, poprawiane są zabezpieczenia aby uniknąć sytuacji ataków na strony. Można powiedzieć że nowa aktualizacja która poprawia nie tylko zabezpieczenia wychodzi co około 40 dni. Mimo wielu zabezpieczeń, należy pamiętać, że każda strona może paść ofiarą ataku cyberprzestępców. Jeśli już mamy swoją stronę www i nie macie pewności co do zabezpieczeń, warto wykonać te kilka kroków aby ochronić swoją stronę przed atakiem. Część rozwiązań wymaga podstawowej wiedzy z zakresu obsługi panelu phpMyAdmin. Należy pamiętać, że niewłaściwe operacje mogą spowodować częściową niedostępność strony a nawet całego serwisu.
1. Aktualizuj silnik strony – od razu jak to możliwe
Jednym z podstawowych zaniedbań jest brak aktualizacji WordPressa do najnowszej wersji oraz wszystkich wtyczek które używamy na naszej stronie. Jeśli chcemy chronić naszą stronę przed atakami hakerskimi musimy pamiętać aby zaktualizować silnik strony oraz wtyczki najszybciej jak to tylko możliwe. Wersja 3.7 i kolejne ma opcję automatycznej aktualizacji aplikacji, oraz wtyczek które są zainstalowane. Zaniedbanie aktualizacji i odkładanie ich w czasie jest bardzo ryzykowne dla naszej strony www.
2. Korzystaj z trudnych haseł (długie i skomplikowane)
Dobre hasło to długie i skomplikowane hasło. Czym bardziej urozmaicone hasło tym lepiej. Wordprees z automatu proponuje zapisać hasło które składa się z kilkunastu znaków losowych, składające się z małych i dużych liter, cyfr, oraz znaków specjalnych. Ważne jest że jeśli chcemy zmienić te hasło na swoje to aby podać jeszcze trudniejsze niż te zaproponowane z automatu. Jeśli wpiszemy słabe hasło Wordprees poprosi cię o zatwierdzenie takiego wyboru, i takie hasło zostanie zapisane.
Poniżej przykład bardzo słabego hasła (niestety często używane przez nieświadomych użytkowników), oraz silnego hasła w którym nie ma słownikowych fraz.
3. Automatyczny adres logowania do zaplecza zastąp na trudny i indywidualny
Po instalacji WordPressa adres strony logowania jest ustalany na www.twojastrona.pl/wp-admin. Skrypty odpowiedzialne za złośliwe ataki w pierwszej kolejności, atakują podstrony związane z edycją treści, a więc wspomniany /wp-admin. Instalując wtyczkę WPS Hide Login mamy możliwość zmiany tej części adresu na inny, trudniejszy. Oczywiście możemy zastąpić /wp-admin na:
/zaplecze
/panel
/administrator
ale dalej będziemy korzystać z fraz słownikowych, dlatego warto też w tym miejscu zastosować ciąg znaków specjalnych, pamiętając zasadę czym dłuższy i bardziej skomplikowany tym lepiej dla bezpieczeństwa naszej strony.
4. Wyłącz edycję plików wtyczek i motywów.
Jeśli już strona została stworzona, oraz wszystkie motywy i wtyczki zostały zainstalowane, zabezpiecz pliki uniemożliwiając dalsza edycje kodu w panelu WordPressa. Wystarczy że dodasz do pliki wp-config.php jedna linijkę kodu:
define('DISALLOW_FILE_EDIT', true);
5. Wyłącz rejestracje użytkowników
Opcja która jest w ustawieniach WordPressa, jest często pomijana przez niedoświadczonych użytkowników. Warto sprawdzić czy jest wyłączona na naszej stronie, i jeśli jakimś przypadkiem jest włączona koniecznie ją wyłączamy. Oczywiście jeśli na naszej blogu nie chcemy aby rejestrowali się użytkownicy.
