Sposoby na zabezpieczenie WordPressa przed włamaniem

|
|
Kategorie: SEO

WordPress to platforma, z której korzystają miliony użytkowników na całym świecie. Między innymi z tego względu jest to często wybierany cel przez hakerów. Źle zabezpieczona strona może być narażona na ataki, które mogą być bolesne w skutkach. Włamanie niesie za sobą wiele konsekwencji, a często pozbycie się „dodatków” dołożonych przez hakerów jest bardzo ciężkie. Poznaj kilka sposobów na to, jak zminimalizować ryzyko włamania na stronę zbudowaną na Wordpress’ie.

 

Aktualizacje

Zanim przejdziemy do poszczególnych wtyczek i ich funkcjonalności, należy wymienić kilka podstawowych rzeczy, dzięki którym nasza strona stanie się bezpieczniejsza.

Pierwszą z rzeczy, o której musimy pamiętać, to aktualizacja skryptu oraz używanych wtyczek. Aktualne wersje skryptu zawierają poprawki błędów, czy oferują znacznie lepsze zabezpieczenia. Kolejny element to aktualizacja poszczególnych wtyczek, która jest bardzo istotna.

Ważne!!!

Zawsze aktualizujmy wtyczki pojedynczo – jeśli coś pójdzie nie tak, będziemy wiedzieć, która wtyczka spowodowała problem. Jeżeli zaktualizujemy jednocześnie kilkadziesiąt wtyczek, a po zakończeniu aktualizacji okaże się, że strona nie działa to znalezienie tej wtyczki, która spowodowała problem, będzie bardzo czasochłonne.

 

Kopia zapasowa

Temat związany z kopią zapasową strony jest powtarzany praktycznie w każdym poradniku i artykule związanym z Wordpressem. Niestety, mimo tego, wielu użytkowników całkowicie zapomina o tym punkcie. Posiadając kopię zapasową witryny i bazy danych, będziemy w stanie błyskawicznie przywrócić wersję sprzed ataku, czy po napotkaniu problemu, który „wykrzaczył” nam stronę.

 

Jak najlepiej tworzyć kopię bezpieczeństwa?

Na całe szczęście dostępny mamy szereg wtyczek, które na to pozwalają. Ogromnym plusem jest to, że możliwe jest ustawienie tworzenia automatycznych kopii bezpieczeństwa. Dzięki temu nie będziemy musieli pamiętać o systematyczności – kopie będą wykonywały się same.

Jedną z takich wtyczek jest BackWPup – WordPress Backup Plugin. Wtyczka ta tworzy automatycznie kopie plików oraz bazy danych. Możemy ustawić czas uruchomienia aktualizacji w zależności od potrzeb. Aktualizacja może tworzyć się w powtórzeniu dziennym, tygodniowym, czy miesięcznym. Zapis kopii zapasowej może być skierowany na nasz serwer czy Dropbox.

Kolejną wtyczką, która działa na podobnej zasadzie co BackWPup, jest UpdraftPlus WordPress Backup Plugin. Ma bardzo podobne opcje, co poprzednia wtyczka i także działa automatycznie, więc nie musimy pamiętać o wykonywaniu ręcznym kopii zapasowych.

Jeśli chcemy zachować jeszcze większe bezpieczeństwo podczas wykonywania kopii zapasowych, warto raz na jakiś czas zgrać taką kopię na nośnik danych, aby mieć pewność, że mamy kopię także poza siecią.

Dodatkową wtyczką, z której korzystam, jest All-in-One WP Migration. Wtyczka ta, może być wykorzystana do stworzenia kopii zapasowej – jednak w tym wypadku trzeba robić ją ręcznie. Wtyczki All-in-One WP Migration najczęściej używa się do migracji stron. Działa ona jednak bardzo szybko, więc stworzenie kopii zapasowej przy pomocy tej wtyczki nie zajmie nam wiele czasu. Należy jednak dodać, że darmowa wersja tej wtyczki pozwala na stworzenie kopii zapasowej dowolnej wielkości, jednak jeśli będziemy chcieli ją wgrać, to ograniczenie jest do 512 MB.

Oczywiście wtyczki te musimy dopasować do rodzaju strony, którą posiadamy. Jeśli przykładowo nasza witryna jest aktualizowana przez nas raz w miesiącu, to nie ma potrzeby robienia kopii zapasowej częściej, niż w takim okresie czasu. W przypadku sklepów internetowych czy stron, na których codziennie dzieje się coś nowego, najlepszym rozwiązaniem są kopie zapasowe tworzone w powtórzeniu codziennym.

Jeśli twoja witryna na Wordpressie nie posiada kopii zapasowej, proponuję od razu wyposażyć się w jedną z wyżej wymienionych wtyczek i rozpocząć wdrożenie.

 

Silne hasło

Tutaj istotne jest to, aby nasze hasło składało się z co najmniej kilkunastu znaków, w których zawarte będą małe i duże litery, cyfry oraz znaki specjalne. Ustawienie hasła „qwerty” nie jest dobrym pomysłem.Unikajmy także używania haseł stworzonych przez różnego rodzaju generatory haseł. Sami postarajmy się wymyślić silne hasło.

Warto dodać, aby nie używać tego samego hasła do kilku różnych kont wykorzystywanych w Internecie – dzięki temu zabiegowi znacznie zminimalizujemy ryzyko stracenia czegoś więcej, niż strony internetowej.

 

Zmiana loginu

Używanie domyślnego loginu „admin” również nie jest dobrym pomysłem. Warto zastanowić się nad innym, który nie będzie domyślnie atakowanym przez wszelkiego rodzaju złośliwe oprogramowania. Do takiej operacji nie potrzebujemy żadnej wtyczki. Login ustawiamy przy zakładaniu konta na Wordpressie. W przyszłości możemy zmienić go w sekcji „Użytkownicy”. Login może być stworzony z losowych znaków czy słów nawet kompletnie niezwiązanych z tematyką strony. Nie jest on bowiem wyświetlany na stronie jako nazwa autora – tę możemy zmienić w edycji użytkownika.

Oprócz zmiany samego loginu warto pokusić się o zaglądnięcie do bazy danych oraz zmianę ID administratora, który docelowo ma ID: 1. Liczbę tą zmieńmy na losowy ciąg cyfr. Użytkowników wraz z adminem znajdziemy w tabeli – standardowo: wp_users. Jeśli prefix tabel został zmieniony, to będzie to [wybrany prefix]_users.

 

Prefix tabel

Jeśli już poruszyliśmy temat związany z bazą danych, to kolejnym krokiem, który pomoże nam zabezpieczyć Wordpresa, jest zmiana prefixu bazy danych. Standardowo WordPress narzuca „wp_”. Prefix ustalamy podczas instalacji WordPressa. Warto zmienić go na dowolny inny ciąg znaków. Dzięki temu witryna stanie się znacznie mniej podatna na atak SQL Injection. Co jednak, gdy przy instalacji pozostawiliśmy domyślny prefix? W jego zmianie pomogą nam wtyczki. Jest ich przynajmniej kilka. Należy jednak pamiętać, aby przed taką zmianą zawsze zrobić kopię bezpieczeństwa witryny i bazy danych, aby w razie niepowodzenia móc bezproblemowo powrócić do sprawnej wersji strony.

Prefix bazy danych możemy zmienić choćby nawet przy pomocy wtyczki WP-DBManager, czy iThemes Security (formerly Better WP Security).

Oto kolejny prosty sposób, który pomoże zabezpieczyć naszą witrynę na Wordpressie. 

 

Role dla użytkowników

Jeśli dostęp do panelu WordPressa ma więcej osób niż jedna, to należy bardzo dokładnie rozważyć ich role i właśnie dokładnie takie im nadać. Dostępne są następujące role dla użytkowników: Subskrybent, Współpracownik, Autor, Redaktor oraz Administrator. Pod żadnym pozorem nie wręczajmy roli administratora osobom, których jedynym zadaniem jest dodawanie postów. Problem w takim przypadku nie polega tylko i wyłącznie na większym ryzyku włamania, lecz również na przypadkowym przestawieniu istotnych opcji przez osoby, które mają dostęp do panelu.

 

Instalacja certyfikatu SSL

Od pewnego czasu strony, które nie posiadają szyfrowanego połączenia, są oznaczane jako „niezabezpieczone” przez przeglądarkę Chrome. Jest to jeden ze znaków, który może zniechęcić użytkownika do dalszego przeglądania strony. Co więcej, w przypadku stron, które posiadają formularze, rejestracje itp. Certyfikat SSL jest niezbędny. Nie dopuśćmy do tego, aby dane naszych użytkowników zostały przejęte przez osoby trzecie.

Certyfikaty SSL są płatne, lecz gdy nie chcemy wydawać na nie pieniędzy, to możemy skorzystać z darmowej alternatywy, którą jest Let’s Encrypt.

 

WPS Hide Login

Przechodząc do wtyczek, które pomogą nam zabezpieczyć naszego WordPressa, pierwszą, którą polecę jest WPS Hide Login. Dzięki tej wtyczce zmienimy adres logowania do strony ze standardowego /wp-admin. Należy pamiętać, że wszelkiego rodzaju złośliwe oprogramowania najczęściej atakują właśnie ten adres. Nie ma sensu ułatwiać im tego zadania poprzez pozostawienie domyślnego adresu logowania.

Mały tip

Istnieją wtyczki do zmiany wyglądu strony logowania, jeśli chcemy ją delikatnie urozmaicić. Może nie ma to tak wielkiego sensu przy stronach prywatnych, tak już przy sklepach internetowych lub portalach, które umożliwiają rejestrację, może to być atrakcyjne z punktu widzenia użytkownika. Przykładem takiej wtyczki jest Birds Custom Login.

 

Dbaj o czystość w Wordpressie

Często dochodzi do sytuacji, w której korzystamy z różnych motywów czy wtyczek, a po jakimś czasie są nam one zbędne. Nie zostawiajmy ich włączonych i zainstalowanych. Warto usunąć je od razu po zaprzestaniu ich użytkowania. Takie postępowanie przyczyni się zarówno do większego bezpieczeństwa, jak i przyśpieszy ładowanie strony.

Jeśli już jesteśmy na etapie użytkowania wtyczek, to musimy pamiętać, aby instalować je tylko i wyłącznie z oficjalnej strony WordPressa. Instalacja wtyczek pobranych z różnych innych źródeł w Internecie (najczęściej utrzymywanych na prywatnych serwerach, czy portalach typu „chomikuj”) wiąże się z ryzykiem instalacji zainfekowanej wtyczki. Oficjalne, przetestowane wtyczki znajdziemy pod adresem: https://pl.wordpress.org/plugins/

 

Wersja PHP

Używanie starych i nierozwijanych już wersji PHP może stwarzać niebezpieczeństwo dla naszej strony. Starajmy się więc zawsze utrzymywać najnowszą dostępną wersję PHP dla witryny. Ustawienia używanej wersji PHP znajdziemy w panelu administracyjnym u naszego hostingodawcy, gdzie będziemy mogli również dokonać zmiany.

 

xmlrpc.php

Zarządzać WordPressem można na różne sposoby np. ręcznie poprzez zalogowanie się do panelu lub poprzez używanie różnych zewnętrznych aplikacji. Jeśli jednak wykorzystujemy tylko zarządzanie ręczne, to koniecznie musimy wyłączyć dostęp do pliku xmlrpc.php. Plik xmlrpc.php może być wykorzystywany do przeprowadzenia ataku typu Brute Force.

Blokadę możemy wykonać ręcznie poprzez dodanie w pliku .htaccess:

<files xmlrpc.php>

order deny,allow

deny from all

</files>

Jeśli chcemy zrobić to za pomocą wtyczki, to proces wykonamy poprzez instalację: Disable XML-RPC. Wtyczkę wystarczy zainstalować i włączyć – nie ma konieczności konfigurowania jakichkolwiek dodatkowych ustawień. Obecnie z wtyczki korzysta ponad 100 tysięcy użytkowników.

 

Limit Login Attempts

Wtyczka Limit Login Attempts służy do zablokowania adresu IP po wyznaczonej ilości błędnych prób logowań. Ilość prób możemy zdeklarować w ustawieniach wtyczki. Prosta, a zarazem skuteczna wtyczka blokująca ataki DDOS. Jedna dodatkowa tego typu wtyczka nie obciąży nadmiernie strony, a może przynieść spore korzyści.

 

Wyłączenie rejestracji użytkowników

Jeśli nie ma potrzeby, aby na naszej stronie była możliwość rejestrowania się, to w panelu WordPressa, warto wyłączyć rejestrację. Przechodzimy do zakładki Ustawienia -> Ogólne i w tym miejscu odznaczamy „Każdy może się zarejestrować” na poziomie podmenu „Członkostwo”.

 

Wordfence Security

Wordfence Security jest popularną wtyczką do Wordpressa, która wesprze bezpieczeństwo naszej witryny. Obecnie posiada ona ponad 2 miliony aktywnych instalacji. Wordfence Security chroni przed włamaniami oraz złośliwym oprogramowaniem i zatrzyma ataki brute force. Wtyczka dostępna jest w wersji darmowej oraz płatnej. Oczywiście wersja płatna znacznie rozszerza możliwości wtyczki.

Wtyczek typu Wordfence Security znajdziemy znacznie więcej, lecz ta jest jedną z najpopularniejszych. Jako przykłady innych wtyczek możemy wymienić tutaj iThemes Security lub Sucuri Security.

 

Po co to wszystko? Czy na pewno warto?

Jak na pewno zauważyliście, sposobów pozwalających zabezpieczyć stronę opartą na Wordpressie jest całkiem sporo, lecz warto poświęcić czas i postarać się wdrożyć większość z nich. Jeśli zależy nam na naszej witrynie zbudowanej na Wordpressie, to z pewnością warto. Przecież nie po to budujemy stronę, aby ktoś zniszczył efekty naszej pracy.

Pamiętajmy, że zagrożona jest nie tylko sama strona, lecz również domena. Spotykałem się już z różnymi atakami, których skutkiem było przykładowo zaindeksowanie setek podstron o tematyce erotycznej. Zanim kogoś rozbawi perspektywa zostania baronem pornografii, skutki mogą być drastyczne Taki atak ma długofalowe konsekwencje, jeśli brać pod uwagę widoczność strony w wyszukiwarce. Często też może zakończyć się karą od Google, która wydłuży czas powrotu do normalności naszej witrynie. Nie ma więc na co czekać – zachęcam do wdrażania zabezpieczeń krok po kroku. 

Komentarze do artykułu: Sposoby na zabezpieczenie WordPressa przed włamaniem