Prawidłowe zabezpieczenie WordPressa

Popularny system zarządzania treścią WordPressa jest obecnie bardzo rozpowszechniony. W tym artykule chcielibyśmy dać Ci kilka wskazówek, które pomogą zabezpieczyć Twoją instalację WordPressa.

Ze względu na wysoką dystrybucję wordpressu jest on niestety również popularnym celem hakerów i niestety zdarzają się również automatyczne ataki na instalacje WordPressa, gdzie sprawdza się, czy nie zawierają one znanych luk bezpieczeństwa.

Dlatego bardzo ważne jest, aby WordPress był zawsze aktualny. Dla użytku profesjonalnego rozsądne jest również wynajęcie agencji, która będzie na bieżąco aktualizować WordPress i wybierze webhostera, który będzie również używał zapory sieciowej do ochrony systemu przed znanymi atakami.

Wymieniliśmy najważniejsze punkty, jak chronić Twoją instalację WordPressa.

[tie_list type="checklist"]
  • Dbaj o to, by WordPress był zawsze na bieżąco
[/tie_list]

WordPress jest nie tylko oprogramowaniem dla blogów, ale może być również wyposażony w różne funkcje poprzez tzw. pluginy, czyli rozszerzenia. Wielu użytkowników korzysta ze specjalnych wtyczek i wzorów (motywów) dla poszczególnych stron internetowych. Głównym problemem ataków jest brak aktualizacji instalacji.

Wskazówka: Do instalacji WordPressa należy wybrać hosting z interfejsem administracyjnym, który pomaga w aktualizacji WordPressa i wtyczek. Naszą rekomendacją jest wykorzystanie Plesk jako oprogramowanie do zarządzania.

Aktywuj automatyczną aktualizację WordPressa.

Oprogramowanie jest wtedy zawsze aktualne. Jest to również możliwe w przypadku wielu Plusinów.

Zaleca się regularne logowanie do interfejsu administracyjnego wordpressu i sprawdzanie aktualnego stanu oprogramowania. WordPress pokazuje bezpośrednio, czy dostępne są aktualizacje.

Bardziej problematyczne są motywy, czyli gotowe projekty, które zazwyczaj zawierają płatne plusy. Te motywy zazwyczaj nie są instalowane automatycznie, ale muszą być aktualizowane ręcznie. W tym celu należy pobrać aktualną wersję tematu od producenta i skopiować ją do katalogu tematów. Po aktualizacji zazwyczaj wystarczy dokonać tylko kilku ustawień w Administracji tematycznej.

[tie_list type="checklist"]
  • Użyj połączeń szyfrowanych.
[/tie_list]

Dane do logowania WordPressa są bardzo potrzebne i można je łatwo odnaleźć w niepewnej sieci, np. podczas logowania do otwartego WLanu w restauracji lub hotelu.

Dlatego zawsze należy używać certyfikatu na stronie głównej. Najlepiej jest wybrać hostingowego, który może ustawić certyfikat dla Ciebie. Kosztuje to tylko kilka euro rocznie za profesjonalną ochronę instalacji.

Zawsze upewnij się, że masz zaszyfrowany dostęp do swojej instalacji WordPressa poprzez https://, a także bezpieczne pobieranie poczty e-mail i, w razie potrzeby, bezpieczne logowanie na FTP. Po użyciu niezaszyfrowanego połączenia zalecamy natychmiastową zmianę wszystkich haseł.

[tie_list type="checklist"]
  • Zapisz plik wp-login.php
[/tie_list]

Istnieje również możliwość zmiany nazwy katalogu wp-admin, ale może to prowadzić do problemów z funkcjonalnością WordPressa. Łatwym sposobem ochrony przed większością brutalnych ataków, w których hasła są po prostu odgadywane, jest umieszczenie kodu w pliku .htaccess. Można to dobrze połączyć z ochroną hasłem.

[tie_list type="checklist"]
  • Zabezpiecz swój katalog administracyjny hasłem.
[/tie_list]

Dodatkowo, należy zabezpieczyć ten katalog hasłem. Twój operator oferuje możliwość ustawienia ochrony katalogów dla niektórych katalogów. Chroń swój katalog administracyjny za pomocą skomplikowanej nazwy użytkownika i hasła o długości co najmniej 12 znaków, zawierającego znaki specjalne. Nigdy nie wybieraj haseł, które mają tylko 8 znaków. Są one obecnie powszechnie uważane za niepewne i zazwyczaj można je szybko złamać, ponieważ zostały wstępnie obliczone w zależności od rodzaju szyfrowania.

Po zabezpieczeniu hasłem, otwórz plik .htaccess i wprowadź następujący kod powyżej

ErrorDocument 401 "Zamknięty
ErrorDocument 403 "Zamknięty

# Umożliwia wtyczkom dostęp do admin-ajax.php pomimo ochrony hasłem


Porządek pozwala, zaprzecza.
Pozwólcie wszystkim
Zadowolić każdego

Gwarantuje to, że wtyczki WordPressa mogą nadal wywoływać pliki.

[tie_list type="checklist"]
  • Używaj wtyczek i motywów, które są tak szeroko stosowane, jak to tylko możliwe
[/tie_list]

Wtyczki są zazwyczaj odpowiedzialne za luki w zabezpieczeniach w Twoim WordPressie. Wtyczki i motywy są małymi pakietami oprogramowania, które są dostarczane przez zewnętrznych dostawców. W zasadzie pomysł jest dobry, ale obecnie jest wielu wątpliwych dostawców, a także dostawców, którzy po prostu nie mają wiedzy i w ten sposób tworzą oprogramowanie, które zawiera luki w zabezpieczeniach. Nie ma przed tym praktycznie żadnej ochrony dla laika. Dlatego zalecamy stosowanie tylko tych wtyczek, które zostały zainstalowane bardzo często i mają dobrą ocenę.

Nie używaj darmowych tematów, które możesz pobrać z dowolnej strony internetowej. Kupić motyw np. w Themeforest lub Templatemonster od tak zwanego elitarnego dostawcy, czyli profesjonalnych zespołów programistycznych, które wygenerowały dużą rotację.

Należy również zwrócić uwagę na datę ostatniej instalacji. Dostawcy, którzy nie aktualizują swoich wtyczek i motywów lub już wstrzymali rozwój, nie są zalecani.

[tie_list type="checklist"]
  • Usuwanie nieużywanych tematów i wtyczek
[/tie_list]

Jeśli Twoja strona jest gotowa i chcesz zacząć, zawsze zalecamy usunięcie wszystkich nieużywanych wtyczek i motywów. Dotyczy to również tematów własnych WordPressa, których nie można łatwo usunąć. Ewentualni napastnicy lubią ukrywać swoje pliki w tych standardowych katalogach, dlatego wskazane jest całkowite usunięcie nieużywanych plików. Można to zrobić przez interfejs administracyjny, a w razie potrzeby także przez FTP. Po prostu usuń katalogi z katalogu motywów, których nie używasz.

[tie_list type="checklist"]

Użyj firewalla aplikacyjnego

[/tie_list]

Jeśli to możliwe, należy użyć firewalla aplikacji. Jest to oprogramowanie, które sprawdza każde połączenie i oferuje wiele możliwości zapobiegania potencjalnym atakom.

W przypadku wielu dostawców dostępne są darmowe opcje, takie jak fail2ban (zalecane), mod_security WAF do blokowania znanych ataków lub podejrzanych znanych adresów IP. Z udostępnionych środowisk hostingowych, tj. małych kont hostingowych, to zwykle nie jest możliwe, ponieważ istnieje zbyt wiele specjalnych funkcji, które nie mogą być ustawione globalnie. Dla profesjonalnego użytku, zalecamy w każdym przypadku, aby użyć zarządzanego serwera V, więc oddzielne środowisko tylko dla Twojej witryny.

Z niektórymi dostawcami usług premium można również skorzystać z zewnętrznego rozwiązania firewall dla swojej strony internetowej. W tym przypadku odpowiednie są systemy np. Barracuda, Sonicwall lub Imperva. Systemy te filtrują ruch zanim dotrze on do serwera WWW i w ten sposób blokują większość ataków. Takie rozwiązanie jest stosunkowo drogie - 50-250 euro miesięcznie i nadaje się tylko do użytku profesjonalnego.

Wniosek: samodzielne stworzenie strony internetowej jest bardzo łatwe dzięki WordPressowi. Również automatyczna aktualizacja, którą oferuje wielu webhosterów, jest pomocna w porównaniu z innymi systemami zarządzania treścią. Jeśli zawsze upewniasz się, że rozszerzenia są aktualne (przynajmniej raz w tygodniu), to nic wielkiego nie może ci się stać.

To, co nic nie kosztuje, nie jest też dobre. Niestety jest to prawda w przypadku wielu wtyczek i motywów. Należy pamiętać, że wielu oszustów infekuje motywy złośliwym kodem, a następnie rozprowadza je jako swój własny motyw za darmo. Jak tylko zainstalujesz coś takiego, Twoja strona będzie używana w mgnieniu oka do wysyłania Spam lub nadużywa ataków na innych.

 

Artykuły bieżące