Jak zadbać o bezpieczeństwo strony na Wordpressie - Edyta Subik

Jak zadbać o bezpieczeństwo strony na WordPressie

System WordPress ma wiele zalet, ale niestety ma też swoje minusy. Jednym z nich jest podatność na ataki hackerskie, dlatego tak ważne jest, aby zadbać o bezpieczeństwo swojej strony. W tym wpisie przybliżę trochę ten temat i podpowiem co możesz zrobić, aby Twoja strona była bezpieczna.

Dlaczego ktoś miałby włamać się na moją stronę?

Prowadzisz mały lokalny biznes, posiadasz stronę, na której są najważniejsze informacje o Twojej firmie i kilka zdjęć, dlaczego ktoś chciałby się włamać właśnie na Twoją stronę? Ataki hackerskie nie są skierowane osobiście w Ciebie, nie chodzi tutaj o Twój biznes, a o samą przestrzeń na której znajduje się strona.

Ataki przeważnie przeprowadzane są z pomocą robotów (botów) – skryptów, które automacztynie szukają luk w systemie i próbują dostać się na stronę. Jeśli złamią hasło lub znajdą inną lukę, mogą wtedy umieścić na stronie swój kod. Kod ten może być wykorzystany do przekierowania Twojej strony na inną stronę, dodawania niechcianych reklam, niestosownych zdjęć czy podstron na Twoją stronę. Mogą dodać tzw. malware (złośliwy kod), który może nawet infekować inne strony (np. na tym samym serwerze). Boty mogą wykorzystywać też zasoby serwera np. do kopania kryptowalut lub wysyłania spamu.

Hackerzy skanują tysiące stron dziennie i jak znajdą w którejś słaby punkt, może ona paść ofiarą ataku. Nie ułatwiamy więc im zadania i zadbajmy o bezpieczeństwo strony.

Dlaczego ktoś miałby włamać się na moją stronę?

Jak zabezpieczyć stronę na WordPressie

Jest kilka ważnych punktów, które trzeba spełnić, aby Twoja strona na WordPressie była bezpieczna. Pamiętaj jednak, że mimo wszystko, zawsze istnieje prawdopodobieństwo włamania. Nie ma metody, która zapewni 100% bezpieczeństwa, ale ma się też co stresować 🙂 jeśli spełnisz poniższe punkty, możesz spać spokojnie, boty będą szukać stron, do których będzie im się jak najłatwiej dostać.

Hasło i login do Worpdressa

To najbardziej oczywista sprawa, a niestety często pomijana. Hasło powinno być mocne, tzn. minimum 8 znaków. Najlepiej jak hasło zawiera wielkie i małe litery, cyfry i znaki specjalne. Im krótsze hasło tym szybciej automat może je złamać. Hasło nie powinno się też powtarzać – nie używaj jednego hasła do logowania do kilku stron (np. do maila i Worpdressa), bo gdy hacker włamie się do jednego konta, to będzie miał już dostęp do wszystkiego.

Jeśli więc Twoje hasło ma mniej niż 8 znaków albo, o zgrozo, Twój login i hasło to admin, admin (niestety widziałam takie przypadki) – zmień je jak najszybciej!

TIP – polecam zainstalować sobie program do zapamiętywania haseł, np. LastPass czy 1Password. Dzięki niemu możesz wygenerować losowy ciąg znaków, który będzie hasłem (oczywiście do każdej strony inny), a program je wszystkie zapamięta. Będziesz potrzebować wtedy jedynie hasła do samego programu – pamiętaj, aby było ono super mocne. 😉

TIP 2 – Na stronie haveibeenpwned.com możesz sprawdzić czy Twoje hasła gdzieś wyciekły.

Mocne hasło to podstawa bezpiecznego WordPressa
Mocne hasło to podstawa bezpiecznego WordPressa

Logowanie do WordPressa

Oprócz mocnego hasła warto też zadbać o ograniczenie ilości nieudanych prób logowania do WordPressa. Kiedy bot będzie próbował włamać się na stronę, automatycznie będzie logował się kilkaset razy, próbując złamać hasło – warto go więc zawczasu zablokować. Taką fukncję znajdziesz we wtyczkach do bezpieczeństwa (np. iThemes Security, Wordfence).

Warto też włączyć podwójną weryfikacje podczas logowania – będziesz się wtedy logował_a w dwóch etapach – wpisując swoje hasło oraz podając wysłany przez system kod. Dzięki temu, gdy ktoś inny będzie próbował się zalogować na Twoje dane, nie przejdzie drugiego etapu, bo jedynie Ty dostaniesz kod weryfikacyjny. Taką opcję rownież możesz włączyć za pmocą wtyczki (funkcja podwójnej weryfikacji nazywa się Two-Factor Authentication (2FA)).

Dodatkowo: Możesz również włączyć opcję brute force protection network (znajdziesz ją we wtyczce iThemes Security). Polega ona na tym, że gdy na innej stronie zostanie zablokowane IP (adres IP atakującego), to to IP zostaje zapisane w bazie i zostaje zablokowane na wszystkich stronach, które używają tego zabezpieczenia (czyli wtedy również do Ciebie nie dostanie się nikt z tego adresu IP).

Użytkownicy w WordPress

Do panelu WordPress możesz dodać dodatkowych użytkowników. Dodawaj ich tak, aby mieli tyle uprawnień, ile faktycznie potrzebują. Jeśli dostęp do konta ma mieć osoba, która jedynie będzie dodawać wpisy, przypisz jej użytkonikowi uprawnienia autora, a nie np. admina. Dzięki temu ten użytkownik nie będzie miał dostępu do najważniejszych funkcji systemu i w razie ataku przez jego konto, boty nie będą mogły za wiele zdziałać.

Aktualizacje Worpdressa i jego modułów

System WordPress oraz wyokrzystane wtyczki i motywy są cały czas rozwijane i ulepszane, ale w międzyczasie mogą pojawić się w nich błędy. Te słabe punkty mogą prowadzić do luk, które wykorzystają boty. Twórcy wtyczek łatają takie luki i wypuszczają aktualizacje, zapewniając większe bezpieczeństwo. Dlatego tak ważne jest regularne aktualizowanie Worpdressa oraz zainstalowanego motywu i wtyczek.

Tutaj dowiesz się więcej o aktualizacji. Możesz też skorzystać z oferty opieki nad stroną, dzięki której zajmę się aktualizacjami na Twojej stronie.

aktualizacje WordPress

Zabezpieczenia w WordPressie

Wtyczki – pamiętaj, aby instalować wtyczki tylko ze sprawdzonego źródła (z repozytorium WordPressa) i przy okazji sprawdzać też kiedy ostatnio były aktualizowane.

Usuń wtyczki, których nie używasz lub nie są Ci potrzebne.

Motyw – wybieraj motywy jedynie ze sprawdzonych źródeł (np. darmowe z repozytorium WordPressa, lub płatne ze stron themeforest.net lub templatemonster.com). Sprawdź również czy autor motywu nadal nad nim czuwa i czy pojawiają się do niego aktualizacje.

Usuń motywy, których nie używasz.

Captcha – jeśli na Twojej stronie jest możliwość logowania się do systemu (czyli np. użytkonicy w sklepie mogą wejść na swoje konto), warto na stronie zainstlować reCaptchę od Google. Zabezpieczy ona formularze logowania przed botami.

Dodatkowo: Możesz też zainstalować wtyczki do bezpieczeństwa (polecam iThemes Security lub Wordfence). Pamiętaj jednak, że sama instalcja nie wystarczy 🙂 trzeba również sprawdzić ich ustawienia. Wtyczki te mogą np. blokować wiele nieudanych prób logowania, dodawać podwójną weryfikację, blokować próby zmiany w plikach, skanować Twojego WordPressa.

Dodatkowe rady

Hosting – wybór hostingu również może wpływać na bezpieczeństwo strony. Wybierz sprawdzony hosting.

SSL – certyfikat SSL również ma wpływ na bezpieczeństwo strony. Oprócz tego wpływa też na odbiór strony przez użytkowników oraz na SEO. Certyfikat SSL teraz to już mus. Sprawdź czy Twój hosting oferuje darmowy SSL w ramach ceny serwera – taki zdecydowanie wystarczy na prostą stronę firmową.

Zabezpiecz i skanuj też swój komputer (z niego również może przejść złośliwe oprogramowanie) i pamiętaj o aktualizacji swojego systemu i przeglądarki.

Kopia zapasowa strony na wszelki wypadek

Backup, czyli kopia zapasowa strony, przyda się gdy na stronie coś się zepsuje lub gdy mimo starań zdarzy nam się atak. Możemy wtedy wgrać poprzednią wersję strony bez złośliwego kodu.

Pamiętaj aby wykonywać kopię zapasową regularnie, aby mieć jak najbardziej aktualną wersję strony do przywrócenia.

Większość hostingów wykonuje kopie zapasowe strony na serwerze – sprawdź jak jest u Ciebie i jak długo takie kopie są przetrzymywane. Często jest to np. 14 dni, więc jeśli atak wydarzył się miesiąc temu, to taka kopia niestety nam nie pomoże. Również w przypadku infekcji serwera lub po prostu jakiegoś nieszcześliwego błędu na serwerze, taka kopia może się nie przydać. Dlatego warto robić własne kopie zapasowe i trzymać je na zewnętrznym serwerze.

W ramach opieki nad stroną wykonuję również kopie zapasową Twojej strony i przywracam ją w razie potrzeby.

Bezpieczna strona Worpdress

Podsumowując: pamiętaj o mocnym haśle do WordPressa, sprawdź swoje wtyczki i regulanie wykonuj aktualizacje wszystkich modułów. Na wszelki wypadek twórz kopie zapasowe swojej strony, bo niestety żadna metoda nie zapewni 100% pewności.

Oczywiście możesz też zlecić opiekę nad swoją stroną specjaliście_stce, który_a zadba o bezpieczeństwo Twojej strony, a w wypadku ataku pomoże Ci ją oczyścić ze złośliwego kodu i przywrócić do poprzedniego stanu.

Zadbaj o swojego Worpdressa. 🙂

Ten post ma 2 komentarzy

Dodaj komentarz