11 sposobów na zabezpieczenie strony opartej o CMS WordPress

11 sposobów na zabezpieczenie strony opartej o CMS WordPress

Rating: 5.0. From 3 votes.
Please wait...

Bezpieczeństwo w sieci to temat, który stale zyskuje na popularności. To bardzo dobrze, ponieważ to zagadnienie dotyczy każdego z nas. Niestety, wciąż wiele osób nie zdaje sobie sprawy z tego, że ich strona internetowa również jest zagrożona. Dlatego, dzisiaj omówimy kilka prostych sposobów na zabezpieczenie swojej strony internetowej wykonanej w systemie WordPress.

WordPress to tak zwany system zarządzania treścią (CMS – z angielskiego Content Management System), który z założenia przeznaczony jest głównie do obsługi blogów. Jednakże, ze względu na swoją ogromną funkcjonalność, dużą liczbę dostępnych wtyczek i rozszerzeń a także łatwość w obsłudze, jest jednym z najpopularniejszych systemów na świecie, wykorzystywanym do projektowania nawet mocno rozbudowanych stron i sklepów internetowych.

Popularność i ogólna dostępność WordPress’a powoduje, że jest niestety „łakomym kąskiem” i łatwym celem dla hakerów. Na niekorzyść dodatkowo działa fakt, że wielu właścicieli stron internetowych bagatelizuje zagrożenie twierdząc, że ten problem ich nie dotyczy. Niektórzy błędnie zakładają, że atak hakerski wygląda co najmniej jak te przedstawione w amerykańskich filmach akcji i, że przecież nikt specjalnie nie będzie próbował się włamać do ich strony. Niestety, nie tak to wygląda, a większość ataków wykonywana jest z użyciem różnego rodzaju automatów, masowo skanujących strony internetowe.

11 SPOSOBÓW NA ŁATWE ZABEZPIECZENIE SWOJEJ STRONY OPARTEJ O SYSTEM WORDPRESS

1. Aktualizuj WordPress’a, wszystkie wtyczki i motywy najszybciej jak to możliwe

Niby banalne i oczywiste, a jednak wiele osób zapomina jak ważne są bieżące aktualizacje. Twórcy systemu WordPress bardzo często wypuszczają aktualizacje, które między innymi mają za zadanie zwiększyć bezpieczeństwo. Warto zapamiętać żeby przed aktualizacją, na wszelki wypadek, wykonać kopię zapasową strony.

kokpit wordpress

2. Korzystaj wyłącznie ze sprawdzonych źródeł, pobierając dodatki do WordPress’a

Często za włamanie na stronę odpowiada dziurawa wtyczka czy zarażony plik wątpliwego pochodzenia, wrzucony na serwer. Ważne, aby zawsze być pewnym pochodzenia plików, które umieszczamy na serwerze lub instalujemy w systemie WordPress. Hakerzy zostawiają sobie czasami „furtkę” i dokonują ataku np. kilka miesięcy po zainstalowaniu szkodliwego pliku. W takim przypadku powstaje problem, ponieważ nawet wczytanie kopii zapasowej strony sprzed ataku może nas przed nim nie uchronić, gdyż zarażony plik nadal się będzie znajdował na naszym serwerze.

3. Twórz kopie zapasowe swojej strony

Posiadanie kopii swojego serwisu jest bardzo istotne. W razie udanego ataku na stronę, możemy w łatwy i szybki sposób przywrócić jej wcześniejszą, oryginalną wersję. Niestety, tak jak wspomniałem wcześniej, w kopii zapasowej (zwłaszcza gdy jest świeża, tzn. sprzed kilku dni czy tygodni) mogą w dalszym ciągu znajdować się zarażone pliki. Ponadto, samo wczytanie kopii zapasowej nie powoduje, że dziura którą dostał się haker do naszej strony, w cudowny sposób znika. Niemniej jednak, to najlepsze rozwiązanie na szybkie usunięcie skutków ataku i szansa na znalezienie zarażonych plików lub słabych ogniw naszej strony i ich wyeliminiowanie przed kolejnym atakiem. Kopie zapasowe powinny być wykonywane cyklicznie co pewien czas, zależny od popularności strony i aktualizacji treści na niej się znajdujących. Kopia powinna zawierać wszystkie pliki oraz bazy danych.
Na szczęście większość firm hostingowych wykonuje automatycznie kopie zapasowe stron swoich klientów. Niestety często się okazuje, że dysponują wyłącznie kopiami sprzed maksymalnie kilku dni. Atak hakerski, zwłaszcza gdy jest nieoczywisty i dobrze ukryty, łatwo przegapić i dlatego warto robić kopie zapasowe na własną rękę i przechowywać je przez dłuższy czas.

4. Stosuj skomplikowane loginy i hasła

Według badań firmy Keeper, w roku 2016 dziesięcioma najczęściej wykorzystywanymi hasłami stosowanymi przez internautów były:
– 123456,
– 123456789,
– qwerty,
– 12345678,
– 111111,
– 1234567890,
– 1234567,
– password,
– 123123,
– 987654321.

Im prostsze hasło stosujesz do swojej strony internetowej, tym łatwiej będzie je złamać. Domyślnym loginem do logowania do kokpitu WordPress’a jest „admin”. Nie zmienienie loginu powoduje, że do złamania zostało wyłącznie hasło! Jeżeli należy ono do jednego z najczęściej stosowanych przez internautów, to praktycznie jakby go w ogóle nie było :) Zarówno login jak i hasło powinny być kompilacją małych i dużych liter, cyfr i znaków specjalnych. Ważna wskazówka – nie używaj jednego hasła w kilku miejscach!
Jeżeli podczas instalacji WordPress’a został zachowany domyślny login, możesz zmienić go w ustawieniach WordPress’a na niektórych serwerach lub poprzez phpMyAdmin w tabeli users.

phpMyAdmin wordpress

W tym samym miejscu możesz zmienić hasło użytkownika. Ważne żeby w kolumnie „funkcja” przy „user_pass” wybrać „MD5″. MD5 to algorytm kryptograficzny, który z ciągu danych o dowolnej długości generuje 128-bitowy skrót.

phpMyAdmin wordpress2

5. Zmień domyślny adres logowania do kokpitu WordPress’a

Domyślanie po zainstalowaniu WordPress’a adres do logowania do kokpitu będzie wyglądał następująco:

http://twojastrona.pl/wp-admin

Warto rozważyć zmianę domyślnego adresu logowania z „/wp-admin” na inny, mniej oczywisty dla hakerów. Możesz wykorzystać w tym celu szereg wtyczek, np. WPS Hide Login. Konfiguracja wtyczki zajmnie mniej niż minutę.

6. Zabezpiecz plik wp-config.php WordPress’a za pomocą pliku .htaccess

Plik wp-config.php jest niezwykle ważny w przypadku WordPress’a, ponieważ znajdują się w nim wszystkie dane dostępowe do bazy danych MySQL. Możemy w łatwy sposów zablokować dostęp do pliku za pomocą innych metod niż poprzez serwer FTP. W tym celu wystarczy na górze pliku .htaccess wkleić poniższą regułę:

<files wp-config.php>
order allow,deny
deny from all
</files>

7. Wyłącz funkcję XML-RPC za pomocą pliku .htaccess

Plik xmlrpc.php jest bardzo pomocny przy wykorzystywaniu zewnętrznych narzędzi do łączenia się z naszą stroną na WordPress’ie, np. do dodawania nowych wpisów (bez konieczności logowania się do kokpitu i wykonywania tego ręcznie). Jednakże, dostęp do pliku może umożliwość dostanie się do naszej strony osobom nieporządanym. Jeżeli nie korzystasz z zewnętrznych narzędzi do obsługi swojego WordPress’a poprzez xmlrpc.php warto zablokować ten plik w sposób analogiczny do blokady wp-config.php:

<files xmlrpc.php>
order deny,allow
deny from all
</files>

8. Zablokuj dostęp do pliku .htaccess

Plik .htaccess jest kolejnym niezwykle ważnym plikiem nie tylko w przypadku stron opartych o system CMS WordPress. To w tym pliku możemy blokować dostęp do wybranych zasobów (patrz punkt 6 i 7), to w nim stosuje się przekierowania adresów URL, blokuje niechciane boty i wiele innych. W związku z tym należy również pamiętać o zabezpieczeniu tego pliku przed dostępem z zewnątrz. W tym celu wklejamy w nim nastepującą regułę:

<files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

9. Ogranicz dopuszczalną ilość błędów przy logowaniu

Kolejną rzeczą, na którą trzeba zwrócić uwagę jest ograniczenie możliwości błędnych prób zalogowania się do systemu w celu uniemożliwienia próby odgadnięcia hasła. Można w tym celu wykorzystać wiele dostępnych wtyczek, np. Limit Login Attempts. W prosty sposób możemy ustawić po ilu błędnych logowaniach możliwość rejestracji dla danego adresu IP zostanie zablokowana i na jak długi okres czasu.

ograniczenie liczby logowania wordpress

10. Usuń informację o zainstalowanej wersji WordPress’a

Po zainstalowaniu WordPress’a w kodzie strony można podglądnąć jego aktualną wersję. Jest to duże ułatwienie dla hakerów, ponieważ będą wiedzieć jakie potencjalne dziury mogą wykorzystać dla danej wersji. Na szczęście można w łatwy sposów zablokować tę informację poprzez edycję pliku functions.php. W tym celu należy zalogować się do WordPress’a, wybrać z lewego menu zakładkę „Wygląd”, następnie „Edytor”, odnaleźć plik „functions.php” i np. na końcu wkleić regułę:

function remove_wp_version() {
return ”;
}
add_filter(‚the_generator’, ‚remove_wp_version’);

11. Zablokuj edytowanie plików z poziomu panelu administratora

Jeżeli ktoś zdoła złamać Twoje hasło i zalogować się do kokpitu WordPress’a może w pierwszej kolejności (i często tak robi) zacząć edytować Twoje pliki i robić z nimi praktycznie wszystko na co ma ochotę. Możemy to utrudnić blokując dostęp do edycji plików poprzez kokpit. W tym celu musimy zalogować się do serwera i w pliku „wp-config.php” dodać:

define(‚DISALLOW_FILE_EDIT’, true);

przed komentarzem:

/* That’s all, stop editing! Happy blogging. */

Zastosowanie powyższej komendy spowoduje, że z zakładki „wygląd” zniknie możliwość wejścia w edycję plików czy opcje zainstalowanego motywu.

PODSUMOWANIE

System WordPress jest jednym z najbardziej popularnych na świecie nie bez powodu. Łatwość w zarządzaniu treścią i praktycznie nieograniczone możliwości dzięki instalowaniu różnych motywów i wtyczek dają mu znaczną przewagę nad konkurencją. Niestety jego popularność niesie ze sobą również zagrożenia, takie jak zwiększona szansa na próbę włamania się na naszą stronę. Każdy właściciel strony opartej o system WordPress musi mieć świadomość tego, że konieczne jest jej jak najlepsze zabezpieczenie. Niestety, niektóre ataki wręcz sieją spustoszenie, np. poprzez utratę widoczności w wyszukiwarce czy oznaczenie naszej strony jako niebezpieczną. Zastosowanie powyższych wskazówek uchroni stronę przed większością ataków więc na pewno warto je wcielić w życie. Niestety istnieją również inne mniej lub bardziej zaawansowane metody włamania się na stronę internetową, dlatego nawet gdy zastosujesz wszystkie wymienione we wpisie porady, nie zostawiaj strony samej sobie tylko cyklicznie doglądaj czy wszystko z nią w porządku.

Rating: 5.0. From 3 votes.
Please wait...