Kilka prostych kroków do bezpiecznego Wordpressa

Blog page

WordPress to z pewnością jeden z najczęściej używanych systemów CMS zarówno do projektowania stron biznesowych, zaawansowanych portali jak i prostych blogów, dlatego też coraz częściej staje się łatwym celem dla hakerów. Minimalne luki w stronie mogą z łatwością zostać wykorzystane i o włam już nietrudno – dlatego też tak istotna jest odpowiednia dbałość o bezpieczeństwo naszej strony. Dzisiaj chciałabym Wam przedstawić, na co zwrócić szczególną uwagę w trakcie budowy strony oraz w późniejszym jej zarządzaniu. Tych kilka naprawdę prostych kroków pozwoli nam spać spokojnie i zabezpieczy przed ewentualnymi nieprzyjemnościami.

Bezpieczny hosting to podstawa

Nie trzeba nikogo przekonywać o tym, że zakup odpowiedniego hostingu to kluczowa kwestia, jeżeli chodzi o bezpieczeństwo stron. Każdy atak może skutkować utratą danych, dlatego nie warto iść na skróty i korzystać z najtańszych ofert usług hostingowych. Solidny dostawca zapewni wysoką jakość usług a co za tym idzie – w należyty sposób zabezpieczy serwer przed niepożądanymi atakami ze strony hakerów. Warto zwrócić uwagę na kilka aspektów: przeczytać uważnie regulamin i widniejące w nim zapisy na temat ochrony danych za pomocą regularnej kopii bezpieczeństwa, przejrzeć opinie na temat poszczególnych usług hostingowych, a najlepiej skontaktować się wcześniej z wybranym przez nas hostingodawcą i zapytać m.in. o procedury postępowania w momencie awarii bądź złamania zabezpieczeń.

„Admin” jako nazwa użytkownika? Zapomnij!

W trakcie instalacji WordPress domyślnie tworzy nazwę użytkownika „admin” a wiele osób, twierdząc, że jest to najłatwiejsza opcja do zapamiętania, postanawia nie zmieniać nic w tej kwestii.  Cóż, zapominamy chyba, że skoro dla nas jest to login, który z łatwością odgadniemy, to tym bardziej będzie to bułka z masłem dla hakerów i o włam już nietrudno. Tak więc trzymajmy się z dala od oczywistych nazw użytkownika typu admin, administrator czy nazwa naszej domeny. Kiedy już dobierzemy odpowiedni login, w panelu „użytkownicy” należy stworzyć nowego użytkownika z wybraną przez nas unikalną nazwą oraz przypisać mu uprawnienia administratora, a następnie usunąć nazwę użytkownika „admin”. Jeszcze lepszą opcją jest zmiana nazwy użytkownika już na etapie instalacji WordPressa.

Silne i unikatowe hasło

Podobnie jak w przypadku opisanym powyżej – jak ognia unikajmy haseł typu „admin123”, nasze imię, imię i data urodzenia, nazwa domeny itp. Najlepiej użyć kombinacji wielkich i małych liter, cyfr oraz symboli i nie tworzyć hasła dłuższego niż 10 znaków – od 8 do 10 w zupełności wystarczy. WordPress daje nam w momencie tworzenia hasła dostępu możliwość skorzystania z siłomierza, który w prosty sposób zmierzy moc naszego hasła i będziemy mieli pewność, że dobrze wybraliśmy. I jeszcze jedna ważna kwestia: starajmy się aktualizować nasze hasło, co jakiś czas.

Istotne aktualizacje

Koniecznie pamiętajmy o regularnych aktualizacjach wersji WordPressa, wtyczek oraz motywów. Każda poprawka powstaje nie tylko po to, aby dodać nowe funkcjonalności, ale również usunąć problemy i naprawić błędy – większe lub mniejsze. Każda niezaktualizowana wtyczka czy motyw mogą narazić naszą stronę na atak, dlatego też nie warto opóźniać tego procesu, lub co gorsza – ignorować go.

Kopia zapasowa

Bezwzględnie musimy pamiętać również o regularnym tworzeniu kopii zapasowej, ponieważ w przypadku włamania możemy mieć problemy z odzyskaniem danych. Najlepiej zapisywać kopię zapasową regularnie, średnio raz w tygodniu lub częściej – w końcu nigdy nie wiemy, kiedy nasza strona padnie ofiarą ataku. Twórzmy kopie zapasowe również przed każdą aktualizacją WordPressa, wtyczek i motywów. W razie niepowodzenia w trakcie aktualizacji z łatwością przywrócimy naszą stronę.

Osobiście polecam wtyczkę BackupBuddy, która posiada również szereg innych możliwości jak np. archiwizacja i przenoszenie stron na inny serwer. Wtyczkę możecie zakupić tutaj: http://ithemes.com/purchase/backupbuddy/

wtyczka

 

backup

Proste stworzenie kopii zapasowej przy użyciu wtyczki Backup Buddy

Usuwaj zbędne wtyczki

Przed każdą instalacją nowej wtyczki zastanówmy się, czy rzeczywiście jej funkcjonalność jest niezbędna dla naszej strony. Duża ilość niepotrzebnych wtyczek i szablonów, (które pozostały np. w wyniku testów motywów przed wyborem tego właściwego) to dodatkowe kody w PHP czy JavaScripcie, które mogą być przedmiotem ataku.

Inne możliwości

Istnieje wiele dodatków do WordPressa za pomocą których jeszcze lepiej zabezpieczymy naszą stronę przed potencjalnym atakiem hakerskim. Na przykład darmowa wtyczka Better WP Security pozwoli nam na ustawienie unikalnego adresu logowania, zamiast standardowego /wp-login, popularny Akismet uchroni nas przed spamem a wtyczka Limit Login Attempts pozwoli nam ustawić limit logowania do np. 3 prób, (co również możemy ustawić w autoinstalatorze WP). Powyższe propozycje to podstawy bezpieczeństwa WP, które możemy oczywiścieszerzej rozwinąć, stosując jeszcze więcej zaawansowanych działań.

 

Paweł Sądaj

Szef wszystkich szefów. Na jego głowie leży zarządzanie "kreatywnym zamieszaniem" jakim jest Netim. Optymalizacja czasu pracy i nadanie priorytetów zadaniom to główna idea przyświecająca Pawłowi. Z zamiłowania piłkarz.