WordPress to z pewnością jeden z najczęściej używanych systemów CMS zarówno do projektowania stron biznesowych, zaawansowanych portali jak i prostych blogów, dlatego też coraz częściej staje się łatwym celem dla hakerów. Minimalne luki w stronie mogą z łatwością zostać wykorzystane i o włam już nietrudno – dlatego też tak istotna jest odpowiednia dbałość o bezpieczeństwo naszej strony. Dzisiaj chciałabym Wam przedstawić, na co zwrócić szczególną uwagę w trakcie budowy strony oraz w późniejszym jej zarządzaniu. Tych kilka naprawdę prostych kroków pozwoli nam spać spokojnie i zabezpieczy przed ewentualnymi nieprzyjemnościami.
Bezpieczny hosting to podstawa
Nie trzeba nikogo przekonywać o tym, że zakup odpowiedniego hostingu to kluczowa kwestia, jeżeli chodzi o bezpieczeństwo stron. Każdy atak może skutkować utratą danych, dlatego nie warto iść na skróty i korzystać z najtańszych ofert usług hostingowych. Solidny dostawca zapewni wysoką jakość usług a co za tym idzie – w należyty sposób zabezpieczy serwer przed niepożądanymi atakami ze strony hakerów. Warto zwrócić uwagę na kilka aspektów: przeczytać uważnie regulamin i widniejące w nim zapisy na temat ochrony danych za pomocą regularnej kopii bezpieczeństwa, przejrzeć opinie na temat poszczególnych usług hostingowych, a najlepiej skontaktować się wcześniej z wybranym przez nas hostingodawcą i zapytać m.in. o procedury postępowania w momencie awarii bądź złamania zabezpieczeń.
„Admin” jako nazwa użytkownika? Zapomnij!
W trakcie instalacji WordPress domyślnie tworzy nazwę użytkownika „admin” a wiele osób, twierdząc, że jest to najłatwiejsza opcja do zapamiętania, postanawia nie zmieniać nic w tej kwestii. Cóż, zapominamy chyba, że skoro dla nas jest to login, który z łatwością odgadniemy, to tym bardziej będzie to bułka z masłem dla hakerów i o włam już nietrudno. Tak więc trzymajmy się z dala od oczywistych nazw użytkownika typu admin, administrator czy nazwa naszej domeny. Kiedy już dobierzemy odpowiedni login, w panelu „użytkownicy” należy stworzyć nowego użytkownika z wybraną przez nas unikalną nazwą oraz przypisać mu uprawnienia administratora, a następnie usunąć nazwę użytkownika „admin”. Jeszcze lepszą opcją jest zmiana nazwy użytkownika już na etapie instalacji WordPressa.
Silne i unikatowe hasło
Podobnie jak w przypadku opisanym powyżej – jak ognia unikajmy haseł typu „admin123”, nasze imię, imię i data urodzenia, nazwa domeny itp. Najlepiej użyć kombinacji wielkich i małych liter, cyfr oraz symboli i nie tworzyć hasła dłuższego niż 10 znaków – od 8 do 10 w zupełności wystarczy. WordPress daje nam w momencie tworzenia hasła dostępu możliwość skorzystania z siłomierza, który w prosty sposób zmierzy moc naszego hasła i będziemy mieli pewność, że dobrze wybraliśmy. I jeszcze jedna ważna kwestia: starajmy się aktualizować nasze hasło, co jakiś czas.
Istotne aktualizacje
Koniecznie pamiętajmy o regularnych aktualizacjach wersji WordPressa, wtyczek oraz motywów. Każda poprawka powstaje nie tylko po to, aby dodać nowe funkcjonalności, ale również usunąć problemy i naprawić błędy – większe lub mniejsze. Każda niezaktualizowana wtyczka czy motyw mogą narazić naszą stronę na atak, dlatego też nie warto opóźniać tego procesu, lub co gorsza – ignorować go.
Kopia zapasowa
Bezwzględnie musimy pamiętać również o regularnym tworzeniu kopii zapasowej, ponieważ w przypadku włamania możemy mieć problemy z odzyskaniem danych. Najlepiej zapisywać kopię zapasową regularnie, średnio raz w tygodniu lub częściej – w końcu nigdy nie wiemy, kiedy nasza strona padnie ofiarą ataku. Twórzmy kopie zapasowe również przed każdą aktualizacją WordPressa, wtyczek i motywów. W razie niepowodzenia w trakcie aktualizacji z łatwością przywrócimy naszą stronę.
Osobiście polecam wtyczkę BackupBuddy, która posiada również szereg innych możliwości jak np. archiwizacja i przenoszenie stron na inny serwer. Wtyczkę możecie zakupić tutaj: http://ithemes.com/purchase/backupbuddy/
Proste stworzenie kopii zapasowej przy użyciu wtyczki Backup Buddy
Usuwaj zbędne wtyczki
Przed każdą instalacją nowej wtyczki zastanówmy się, czy rzeczywiście jej funkcjonalność jest niezbędna dla naszej strony. Duża ilość niepotrzebnych wtyczek i szablonów, (które pozostały np. w wyniku testów motywów przed wyborem tego właściwego) to dodatkowe kody w PHP czy JavaScripcie, które mogą być przedmiotem ataku.
Inne możliwości
Istnieje wiele dodatków do WordPressa za pomocą których jeszcze lepiej zabezpieczymy naszą stronę przed potencjalnym atakiem hakerskim. Na przykład darmowa wtyczka Better WP Security pozwoli nam na ustawienie unikalnego adresu logowania, zamiast standardowego /wp-login, popularny Akismet uchroni nas przed spamem a wtyczka Limit Login Attempts pozwoli nam ustawić limit logowania do np. 3 prób, (co również możemy ustawić w autoinstalatorze WP). Powyższe propozycje to podstawy bezpieczeństwa WP, które możemy oczywiścieszerzej rozwinąć, stosując jeszcze więcej zaawansowanych działań.
Szef wszystkich szefów. Na jego głowie leży zarządzanie "kreatywnym zamieszaniem" jakim jest Netim. Optymalizacja czasu pracy i nadanie priorytetów zadaniom to główna idea przyświecająca Pawłowi. Z zamiłowania piłkarz.
Ja bym jeszcze dodał usunięcie footprintów, meta name mówiące o tym, że to Wordpess, oraz blokada w robotach odpowiednich katalogów.
Masz racje, zmniejsza to nawet ilość spamu blokowana przez Akismet.
Ja miałem dwa razy włamanie i dwa razy moim zdaniem zawinił serwer.
Polecam również co jakiś czas sprawdzać pliki szablonu, cz np instalacja jakiejś wtyczki nie spowodowała doklejenia jakiegoś cholerstwa do kodu.
> Usuwaj zbędne wtyczki
Najlepiej nie używać w ogóle dodatkowych wtyczek tylko trzymać się tego co mamy domyślnie. Ale czasami trzeba odwiedzającym lub nam samym x możliwości ułatwić lub oddać do użytku x funkcje.
Słaby wpis. To tylko podstawowe informacje. A co ze stopkami jak zostało wspomiane wcześniej? A co z panelem admina, który jest bombardowany próbami zalogowania? Jest tego znacznie więcej. Takie porady są dostępne wszędzie.
Tak jak wspomniałam wcześniej, we wpisie przedstawionych jest tylko kilka podstawowych, prostych kroków. Jest to jedna z najważniejszych kwestii dla każdego użytkownika WordPressa, stąd tematyka będzie z pewnością rozwijana na blogu w przyszłości.
Według mnie warto jeszcze stworzyć oddzielne konto dla admina a oddzielne „reprezentacyjne” – z drugiego konta publikujemy wpisy, dzięki temu nawet jeżeli komuś uda złamać hasło to nie zyska dostępu do najważniejszych ustawień.
Dobry pomysł. Pierwszy raz słyszę i skorzystam!