WordPress – metody zabezpieczania strony WWW

System zarządzania treścią (ang. CMS) WordPress jest bez wątpliwości najpopularniejszą aplikacją stosowaną do uruchamiania stron WWW. Z uwagi na jej popularność jest ona równie popularna wśród hakerów, którzy często przejmują kontrolę nad niezabezpieczonymi i/lub niezaktualizowanymi stronami WWW opartymi o ten system.

Poniżej przedstawiamy dobre praktyki, z których zachęcamy korzystać w celu zwiększenia poziomu bezpieczeństwa na Twojej stronie internetowej opartej o system WordPress.

Dobre praktyki poprawiające bezpieczeństwo w WordPress

  1. NAJWAŻNIEJSZE! Pamiętaj o aktualizacjach WordPressa oraz aktualizacjach wtyczek i motywów! To najważniejsza zasada, jeśli nie będziesz jej przestrzegać, to możesz darować sobie wszystkie następne wskazówki.
    Wraz z wersją WordPress 3.7 twórcy aplikacji wdrożyli mechanizm automatycznych aktualizacji. Funkcja ta bez Twojej ingerencji wykonuje aktualizacje systemu WordPress, gdy tylko producent publicznie wypuści aktualizacje dla użytkowników.
    WordPress - Kokpit - Aktualizacje - Wykonaj aktualizacje
  2. Zmień domyślny prefixu wp_ dla tabel w bazie danych. Zmianę domyślnego prefixu na własny prefix możesz wykonać już podczas instalacji WordPressa. Po instalacji, dla już działających, zmiana prefixu jest także możliwa. W tym celu możesz skorzystać z narzędzia phpMyAdmin. Po zalogowaniu do bazy, zaznacz wszystkie tabele, wybierz opcję 'Zmień przedrostek tabel’ i podaj nowy prefix, który chcesz ustawić dla tabel WordPressa.

    phpMyAdmin - Baza danych - Tabela - Zmień domyślny prefixu wp_ dla tabel w bazie danych

    Zmiana nazwy prefixu tabel wymaga także aktualizacji wpisów w dwóch tabelach WordPressa: xltw4_options oraz xltw4_usermeta. Zalecamy skorzystanie z poniższych poleceń, aby wyszukać wpisy ze starym prefixem tabel, który będziemy zmieniać:
    dla tabeli prefix_options:

    SELECT * FROM `xltw4_options` WHERE `option_name` LIKE '%wp_%';

    dla tabeli prefix_usermeta:

    SELECT * FROM `xltw4_usermeta` WHERE `meta_key` LIKE '%wp_%';

    W wyniku wykonania zapytania wyświetlona zostanie lista wierszy, w których stary prefix tabeli 'wp_’ powinniśmy zastąpić nowym, w naszym wypadku 'xltw4_’.

    phpMyAdmin - Baza danych - Tabela - Zmień przedrostek tabeli - Lista wierszy - Zastąp stary prefix tabeli wp_ na nowy xltw4_

    Pamiętaj! Po zmianie prefixu tabel w bazie zaktualizuj prefix w pliku wp-config.php. W przeciwnym wypadku strona przestanie się wyświetlać.
    wp-config.php - Prefiks bazy danych WordPress - Zaktualizuj prefix

    Po ustawieniu unikalnego prefiksu dla bazy danych (najlepiej losowy ciąg znaków), nasza strona będzie mniej podatna na zautomatyzowane ataki typu SQL Injection.
  3. Zmiana ID oraz loginu głównego administratora. Przy ID warto podać wysoką liczbę składającą się z wielu cyfr. Kwestia ze zmianą domyślnego loginu „admin” nie jest może jakoś szczególnie istotna (szczególnie, jeśli zastosujemy się do wszystkich innych naszych zaleceń), ale dla świętego spokoju, lepiej go nie używać. Jak zmienić nazwę użytkownika/login i hasło w WordPressie?
    phpMyAdmin - Baza danych - Tabela - Row - Zmień numer ID administratora

    Zmianę ID oraz loginu administratora możesz wykonać za pośrednictwem phpMyAdmin (łącząc się z bazą danych, w której został zainstalowany WordPress). Następnie w tabeli xxx_users możesz zmienić dane użytkowników (ID oraz login). Jak zalogować się do bazy MySQL korzystając z phpMyAdmin? 

    WAŻNE! Po zmianie ID użytkownika, konieczne jest także wprowadzenie tych zmian (ustawienie NOWEGO ID) w tabeli xxx_usersmeta.
    phpMyAdmin - Baza danych - Tabela - Kolumna - user_id - Wprowadź nowe zmiany w tabeli
  4. Ogranicz dostęp do /wp-admin/ za pomocą .htaccess (dostęp do panelu administracyjnego WordPress tylko dla konkretnych adresów IP). Więcej informacji o ograniczeniu dostępu do stron znajdziesz tutaj. Aby ograniczyć dostęp dla jednego adresu IP, w pliku .htaccess umieść poniższy kod:

    AuthName "Example Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 212.85.96.1
    WAŻNE! Plik .htaccess z taką zawartością należy umieścić w katalogu /wp-admin/. W miejsce „212.85.96.1” wpisz Twój stały adres IP. Jeśli masz wątpliwości, czy dostawca Internetu przydzielił Ci stały adres IP, skontaktuj się z nim w celu ustalenia tych informacji.
  5. Zmień adres logowania do zaplecza WordPressa. Skrypty atakujące strony zbudowane na WordPressie zawsze próbują uzyskać dostęp do tej samej struktury adresów (np. /wp-content/, /wp-admin/ itd.). Dobrym rozwiązaniem jest zmiana adresu, pod którym logujesz się do panelu WordPressa, aby utrudnić próbę przejęcia konta. Polecamy wtyczkę WPS Hide Login – po instalacji ustalasz nową ścieżkę do logowania, do zaplecza serwisu i…to wszystko!

    WordPress - WPS Hide Login - Login URL - Ustal nową ścieżkę do logowania

    Pamiętaj – wtyczka zacznie działać natychmiast po zapisaniu zmian w ustawieniach, dlatego przy kolejnej próbie logowania do panelu WordPressa podaj nowy adres zaplecza.

  6. Włącz logowanie adresem e-mail Do wielu serwisów logujesz się podając, zamiast loginu, adres e-mail. Dlaczego nie skorzystać z tej opcji w WordPressie? Korzystając z wtyczki WP Email Login włączysz konieczność podawania adresu e-mail przy logowaniu do zaplecza WordPressa.WordPress - Okno logowania - Zaloguj się do serwisu używając adresu e-mail
  7. Jeśli nie korzystasz z edytora plików motywów i wtyczek w WordPress – wyłącz go! Możesz wyłączyć wszystkim administratorom możliwość wprowadzania zmian w plikach motywów i wtyczek za pomocą panelu administracyjnego WP. W takiej sytuacji tylko osoby posiadające dostęp do serwera FTP będą mogły wykonać zmiany na plikach. Aby to zrobić wystarczy do pliku wp-config.php dodać następującą linię:
    define('DISALLOW_FILE_EDIT', true);
    

    W ten sposób zmniejszysz ryzyko doklejenia złośliwego kodu na stronie przez osoby, które w nieautoryzowany sposób uzyskały dostęp do panelu administracyjnego WordPress.

  8. Wyłącz funkcję rejestracji użytkowników. Jeśli nie planujesz umożliwienia rejestracji kont na Twojej stronie internetowej, sugerujemy całkowicie wyłączyć możliwość rejestracji w ustawieniach WordPress (Ustawienia -> Ustawienia ogólne -> Członkostwo).
    WordPress - Ustawienia - Ustawienia ogólne - Członkostwo - Wyłącz funkcję Każdy może się zarejestrować
  9. Ustaw dwustopniowe uwierzytelnianie (2FA). Podwójne uwierzytelnianie (2FA) polega na dodaniu drugiego etapu w procesie logowania do WordPressa. Oprócz czegoś co pamiętasz (hasło), system będzie wymagał również czegoś, co zawsze masz przy sobie (smartfon). Dzięki temu nawet, jeżeli ktoś pozna Twoje hasło, to nie zaloguje się do WordPressa bez dostępu do Twojego smartfonu.
    WordPress - Ustawienia - Ustawienia ogólne - One Time Password (2FA) - Ustaw dwustopniowe uwierzytelnianie

    Do uruchomienia dwustopniowego uwierzytelniania w WordPress wymagana jest instalacja odpowiedniej wtyczki (np. Two Factor Authentication) oraz instalacja aplikacji Google Authenticator na smartfonie z Androidem lub iOS. Po zalogowaniu do WordPressa i zainstalowaniu wtyczki Two Factor Authentication, będziesz mógł połączyć ją z aplikacją Google Authenticator, która na telefonie będzie generowała kody niezbędne przy logowaniu.

  10. Dodatkowe wtyczki zabezpieczające. W sieci można znaleźć dodatkowe wtyczki do WordPressa służące do poprawy poziomu bezpieczeństwa WordPressa. Do tych najpopularniejszych należą bez wątpienia Shield, Sucuri, WordFence oraz iThemes Security.

    Każda z powyższych wtyczek pozwoli w prosty sposób zabezpieczyć instalację WordPressa, oferując funkcjonalności takie jak: zmiana prefixu tabel w bazie danych, zmiana identyfikatora głównego użytkownika, blokowanie ataków typu BruteForce, blokowanie ataków typu XSS, ukrywanie wersji WordPressa, monitorowanie zmian w plikach na serwerze i notyfikacje do administratora w przypadku wykrycia zmian, automatyczne tworzenie kopii bezpieczeństwa serwisu (najczęściej w wersjach płatnych)

    Reklama wtyczek - Securing your WordPress website - Wordfence Security - iThemes Security - Sucuri Security - Shield WordPress Security

    Którą wtyczkę zainstalować? Zdania co do skuteczności działania powyższych wtyczek wśród użytkowników WordPressa są podzielone. Znajdziemy tyle samo głosów ZA jak i PRZECIW instalacji tych pluginów. Decyzję co do wyboru pozostawiamy Wam.
  11. Wykonuj regularne kopie zapasowe (backup danych). Dane na wszystkich serwerach home.pl podlegają cyklicznej archiwizacji (codziennie w nocy). Archiwizacja danych zapasowych prowadzona jest w sposób punktowy o określonych porach w nocy. Z tego powodu warto mieć możliwość wykonania kopii zapasowej w dowolnym momencie (np. tuż po wykonaniu ważnych zmian na stronie WWW).

    W tym celu możesz skorzystać z popularnej wtyczki: Duplicator, która jest zaawansowanym, a zarazem prostym w obsłudze narzędziem do tworzenia kopii zapasowych. Dzięki temu będziesz mógł przywrócić Twojego WordPressa w sytuacji kryzysowej, gdy strona przestanie działać.

  12. Usuwanie zbędnych wtyczek oraz motywów. Usuwaj oprogramowanie, z którego nie korzystasz, ponieważ taka nieużywana i niezaktualizowana wtyczka lub motyw mogą posłużyć jako cel ataku w przyszłości.
    Zalecamy instalowanie wtyczek oraz szablonów tylko ze sprawdzonych źródeł!
    Pewnym miejscem do pobierania wtyczek i motywów dla WordPressa jest oficjalne repozytorium. Trafiające tam rozszerzenia, przed udostępnieniem przechodzą proces weryfikacyjny, w ramach którego sprawdzane są m.in. pod kątem występowania w nich złośliwego kodu. Z repozytorium korzysta codziennie tysiące użytkowników, którzy bardzo szybko wyłapują i zgłaszają wszelkie problemy.
  13. Włącz obsługę HTTPS:// (Certyfikat SSL). Certyfikaty SSL są już wymogiem dla większości stron WWW. Zwiększenie poziomu bezpieczeństwa danych przechowywanych na stronie, danych przesyłanych przez klientów (formularze kontaktowe, koszyki w sklepach internetowych), wreszcie – większa wiarygodność serwisu zarówno dla odwiedzających, ale i dla wyszukiwarek (np. Google).

    Poradnik wideo: Czym jest certyfikat SSL i gdzie należy go stosować?

    Zamów certyfikat SSL już dziś. Zadbaj o bezpieczeństwo swojej strony WWW, poczty e-mail, danych użytkowników. Zarejestruj SSL w home.pl i kontroluj wszystkie usługi z jednego Panelu klienta. Kliknij i przejdź do oferty aby zamówić certyfikat SSL.

    Nawet autorzy WordPressa oficjalnie komunikują konieczność instalacji certyfikatów SSL na stronach bazujących na WordPressie (zobacz: W 2017 WordPress tylko z certyfikatem SSL).

    Jeśli na Twoim serwerze zainstalowany jest już certyfikat SSL, włącz jego obsługę w WordPressie. Operacja ta sprowadza się do podania poprawnego adresu (https:// zamiast http://) w ustawieniach aplikacji (Ustawienia -> Ogólne)

    WordPress - Ustawienia - Ogólne - Adres WordPressa (URL) i Adres Witryny (URL) - Zamień w adresach http:// na https://

    Dodatkowo, do pliku .htaccess w katalogu głównym WordPressa warto dodać poniższy zapis:

    RewriteEngine on
    RewriteCond %{HTTPS} !=on [NC]
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    
  14. Korzystaj z długich bezpiecznych haseł dostępu (m.in. do panelu administracyjnego WordPressa oraz serwera FTP) oraz korzystaj z aktualnego oprogramowania antywirusowego, np. Kaspersky.

    WordPress - Ustawienia - Ogólne - Zarządzanie kontem - Wygeneruj nowe silne hasło

    Żadne zabezpieczenia nie będą skuteczne, jeśli używasz łatwego do złamania hasła!

Podsumowanie – pamiętaj o sprawdzaniu swojej strony WWW! Większość złośliwych skryptów atakujących strony oparte na WordPressie, nie ma na celu zniszczenia zdobytego serwisu. Z reguły doklejają one do stron kody, powodujące wysyłanie spamu lub przekierowujące odwiedzających na inne adresy URL (może też ładować złośliwe strony do ukrytej ramki iframe). Użytkownicy strony WWW mogą być całkowicie nieświadomi tego, że złośliwe skrypty zostały doklejone do ich strony WWW.

Jak mogę sprawdzić moją stronę WWW pod kątem złośliwego oprogramowania?

Możesz skorzystać z dodatkowej usługi o nazwie SiteLock, która jest zbiorem narzędzi, zapewniających kompleksową ochronę Twojej strony WWW, bazując na trzech składowych mechanizmach: wyszukiwania, raportowania i naprawiania. SiteLock skutecznie skanuje strony WWW w poszukiwaniu złośliwego oprogramowania, przy okazji porównując kod źródłowy Twojej witryny z pełną bazą znanych metod włamań, zagrożeń i sygnatur.
SiteLock usunie niebezpieczne złośliwe oprogramowanie z Twojej strony WWW, zanim stanie się przyczyną poważnych kłopotów. SiteLock nie tylko skanuje strony WWW, ale również usuwa z nich wykryte złośliwe oprogramowanie.

W ramach Usług informatycznych w home.pl możesz skorzystać z usługi skanowania antywirusowego przeprowadzanego przez administratorów, dzięki czemu otrzymasz raport z podejrzanymi i/lub zainfekowanymi plikami, które następnie będziesz mógł naprawić lub przywrócić z kopii zapasowej.

Możesz też na własną odpowiedzialność (opinie o tych wtyczkach są podzielone) wypróbować inne wtyczki skanujące system WordPress. Niektóre z nich mogą też wskazać słabe punkty Twojego serwisu, np.: brak odpowiednich uprawnień dla katalogów i plików, czy inne problemy z konfiguracją WordPress.

SiteLock - Zapewnij ochronę Twojej stronie WWW - Codzienne skanowanie strony WWW i usuwanie złośliwego oprogramowania
  • Czy artykuł był pomocny ?
  • Tak   Nie

Hosting stworzony dla WordPressa

Masz stronę WWW na WordPressie? My też uwielbiamy ten system dla stron internetowych. Dlatego stworzyliśmy hosting specjalnie dla jego użytkowników.