Jak zabezpieczyć stronę na WordPress przed włamaniem?
WordPress jest jednym z najpopularniejszych systemów CMS. To oznacza niestety, że jest bardzo często atakowany przez hakerów. Właściciel strony na WordPress nie jest jednak bezbronny. Podpowiadamy, jak zwiększyć bezpieczeństwo serwisu działającego na tym CMS-ie.
Według szacunków WP White Security, ponad 70% działających na WordPress stron jest narażonych na ataki hakerskie. Przykładem mogą być wydarzenia z lutego 2017 roku, gdy w ciągu tylko 48 godzin zaobserwowano aż 800 tys. ataków, w wyniku których na całym świecie zostało zniszczonych ponad 1,5 mln stron www zbudowanych na WordPress. Jak się uchronić przed takimi zdarzeniami? Nie można zupełnie wyeliminować zagrożeń, ale za to można znacznie je ograniczyć, przestrzegając kilku podstawowych zasad.
Kurs WordPress - tworzenie stron od podstaw
Stwórz samodzielnie nowoczesną stronę z WordPress i naucz się nią zarządzać. Dowiedz się jak wykorzystać najlepsze wtyczki, instalować motywy i wdrożyć stronę na serwer... Dowiedz się więcej
1. Aktualizacje
Gdy już zdecydujemy się na WordPress, nie powinniśmy zaniedbywać tak istotnej kwestii, jak aktualizowanie naszego systemu CMS. Platforma przez cały czas się rozwija, jednakże ciągle pojawiają się nowe informacje o lukach w zabezpieczeniach i błędach. Na szczęście te problemy są szybko eliminowane wraz z pojawianiem się aktualizacji, dlatego nie wolno ich odkładać. Należy pamiętać, że aktualizowany powinien być nie tylko sam CMS, ale również używane motywy i wtyczki.
2. Regularny backup
Nawet pomimo częstych aktualizacji, atak hakerski, który uszkodzi stronę www, nie jest wcale wykluczony. Mogą pojawić się również inne problemy z funkcjonowaniem naszego serwisu, dlatego warto zabezpieczyć i zawsze dysponować aktualną kopią zapasową strony www. Regularne wykonywanie backupu jest szczególnie istotne przy stronach bardzo często aktualizowanych. Nie musimy jednak pamiętać o tworzeniu kopii zapasowej. Zrobi to za nas oprogramowanie. Do tego celu można wyposażyć się w odpowiednie wtyczki. Na rynku znajdziemy ich mnóstwo, na przykład BackWPup, WordPress Database Backup itp.
3. Wtyczki bezpieczeństwa=niebezpieczeństwo
WordPress oferuje mnóstwo wtyczek, które jak sama nazwa mówi powinny zwiększyć bezpieczeństwo systemu, jednak w większości przypadków jest to złudne wrażenie. Instalując pluginy zwiększamy jedynie powierzchnię ataku, ponieważ każdy z nich to dodatkowy kod, który może zostać dokładnie przeanalizowany przez potencjalnego włamywacza, a znalezione dziury wykorzystane na naszą niekorzyść.
4. Dobra firma hostingowa
Okazuje się, że 41% włamań odbywa się z wykorzystaniem luk w zabezpieczeniach firm hostingowych. Dlatego należy szukać takiego dostawcy usług, który ma dużą renomę i znany jest z tego, że bardzo dba o kwestie bezpieczeństwa. Wybierając hosting, musimy zwrócić uwagę, czy dostawca zapewnia wsparcie dla najnowszych wersji PHP i MySQL, czy hosting jest zoptymalizowany pod WordPress, posiada funkcje skanowania zagrożeń i czy dostawca dokonuje częstych aktualizacji.
5. Bezpieczeństwo na etapie instalacji
O kwestiach bezpieczeństwa powinniśmy myśleć już na etapie instalacji WordPress. Wszelkie ustawienia konfiguracyjne zawarte są w pliku wp-config.php, dlatego należy go odpowiednio chronić. Dobrym rozwiązaniem jest zmiana kluczy zabezpieczających plik. Można do tego wykorzystać WordPress Secret Key Generator. Należy także stosować unikalną nazwę bazy danych, zmienić prefiks tabeli z wp_ na inny i generować mocne hasła. Nie można również zaniedbać ustawienia odpowiedniego prawa dostępu do folderów i plików – katalogi zmieniamy na 755 lub 750, a pliki na 644 lub 640 (tylko wp-config.php powinno być 600).
6. Ochrona panelu logowania
Oprócz tego, że należy bezwzględnie zmienić login w panelu administratora, a także ustawić mocne hasło, warto zadbać o dodatkowe zabezpieczenia. WordPress ma niestety tę słabość, że większość osób, a szczególnie hakerów, doskonale wie, gdzie szukać panelu administratora. Dlatego powinniśmy rozważyć dostęp do niego tylko z wybranego IP wykorzystując przy tym plik .htaccess. Skuteczną formą zabezpieczenia się przed atakami typu bruteforce jest dwuskładnikowe uwierzytelnianie. Polega ona na wprowadzeniu dodatkowego etapu podczas procesu logowania - oprócz hasła będziemy musieli wykorzystać specjalny kod wygenerowany przez token.
Zobacz również jak zabezpieczyć się na WP:
wpmagus.pl
Nie można zupełnie wyeliminować zagrożenia atakami na WordPress, ponieważ hakerzy wymyślają ciągle nowe sposoby i wynajdują nowe luki. Można jednak znacząco podnieść bezpieczeństwa naszej witryny internetowej i warto poświęcić temu trochę czasu oraz wysiłku.
Opublikowane 3 kwietnia 2017 r. w kategorii: Programowanie
ŚCIEŻKA KARIERY
Twórz atrakcyjne i funkcjonalne strony internetowe z użyciem nowoczesnych technik. Opanuj kluczowe podstawy, niezbędne narzędzia i zacznij tworzyć wspaniałe strony! Dowiedz się więcej