Zabezpieczanie WordPress – 8 porad z bezpieczeństwa
Zabezpieczanie WordPress jest ważne, bo WordPress to najpopularniejszy system zarządzania treścią na świecie. Obsługuje około 25% z wszystkich stron w internecie, a najpopularniejsze pluginy są zainstalowane w milionach WordPressów. Z tego powodu twórcy złośliwego oprogramowania chętnie szukają i wykorzystują błędy w samym WordPressie i pluginach. Jak się zatem bronić przed atakami?
Zabezpieczanie WordPress przed atakującymi
1. Częste aktualizacje WordPressa i pluginów
Sam WordPress jest dość często uaktualniany, zwłaszcza kiedy zostaną znalezione błędy. W przypadku pluginów to już zależy od autora. Jednak jeśli tylko masz dostępną aktualizację, to ją zrób. Najlepiej będzie włączyć automatyczną aktualizację. W WordPressie są 4 rodzaje automatycznych aktualizacji:
- aktualizacje samego systemu WordPress,
- aktualizacje pluginów,
- aktualizacje szablonów,
- oraz plików z tłumaczeniami.
Natomiast aktualizacje WordPress dodatkowo dzielą się na 3 kategorie:
- główne, zawierające nowe funkcjonalności
- duże, zawierające więcej zmian
- drobne, poprawiające błędy i bezpieczeństwo
Jęśli chcesz włączyć automatyczne aktualizacje WordPressa również do głównych wydań, możesz w pliku wp-config.php umieścić:
define( 'WP_AUTO_UPDATE_CORE', true );
2. Zainstaluj plugin Jetpack
Jetpack jest pluginem tworzonym przez firmę Automattic, tą samą która jest czuwa nad rozwojem samego WordPressa. Ze względów bezpieczeństwa warty jest zainstalowania z dwóch powodów:
- posiada opcję Protect, dzięki temu Twój WordPress będzie chroniny przed atakami typu brute-force (zgadywanie loginu i hasła)
- możesz aktualizować swojego WordPressa i dodatki z poziomu swojego konta w wordpress.com, kiedy masz więcej stron znacznie to ułatwia zarządzanie
Z reszty opcji Jetpacka możesz korzystać wedle uznania i potrzeby, ale feature Protect bardzo polecam.
3. Ustaw cykliczne kopie zapasowe (backupy)
Nie jest to stricte porada zwiększająca bezpieczeńtwo, ale ułatwiająca życie kiedy już dojdzie do zawirusowania WordPressa. Często złośliwe oprogramowanie nie tylko jest umieszczane w header.php aktywnego szablonu, ale też rozmieszczane jest po wielu plikach, które trudno wyśledzić.
Możesz korzystać z wtyczki o nazwie UpdraftPlus Backup/Restore i przechowywać kopie na dropboxie. Na serwerze ze stroną nie trzymaj, gdyż taka kopia też może zostać zainfekowana.
4. Wykorzystaj logowanie komórką
Jest taki dodatek, który nazywa się Clef. Dzięki niemu i zainstalowanej apce na smartfonie o tej samej nazwie, nie będziesz musiał podawać hasła do WordPressa przy logowaniu, a samo logowanie będzie bezpieczniejsze. Wystarczy nakierować komórką (z włączonym internetem) na ekran monitora i automatycznie zostaniesz zalogowany.
5. Nie korzystaj z loginu o nazwie admin
Większość witryn zapewne posiada konto administratora o nazwie admin, dlatego jest ten login najczęściej wykorzystywany do odgatywania hasła. O loginie takim samym jak nazwa domeny też zapomnij.
6. Zainstaluj na serwerze tani certyfikat SSL
Kiedy kupisz i zainstalujesz tani certyfikat SSL to cała komunikacja „ze stroną” będzie odbywać się przez protokół HTTPS i będzie szyfrowana. Nawet tani certyfikat za 30zł na rok, zwiększy bezpieczeństwo i poufność przekazywanych informacji. Najtańsze certyfikaty SSL znalazłem tutaj. Tak jak pisałem, ceny zaczynają się już od 30zł za najtańszy certyfikat Comodo Standard SSL. Taki też wykupiłem do tego bloga.
7. Odradzam korzystanie z Contact Form 7
Jest to najpopularniejszy dodatej do tworzenia formularzy w WordPressie, a wszelkie formularze to szczególnie podatne miejsca na luki bezpieczeństwa.
8. Usuń wersję WordPressa ze źródła strony
WordPress automatycznie dodaje wersję Twojego WordPressa do źródła strony. Przez to może zostać odczytana przez wszystkich, również przez atakujących stronę. Dzięki temu wiedzą jaką wersję mają atakować. W źródle to wygląda tak:
<meta name="generator" content="WordPress 4.7.4" />
Usunąć wersję można różnymi pluginami, albo wstawiając do functions.php szablonu następujący filtr:
function farmastron_remove_version() {
return '';
}
add_filter('the_generator', 'farmastron_remove_version');
Najlepiej w funkcji wykonywanej na akcję after_setup_theme.
Zabezpieczanie WordPress, tak jak samochodu, polega na stosowaniu większej ilości zabezpieczeń niż pozostali. Warto zatem wdrożyć kilka dodatkowych zabezpieczeń.
Posty do dalszej lektury:
- WordPress Multisite – Włączanie krok po kroku
- Podfoldery lub Subdomeny – Zmiana w WordPress Multisite
- Jaki Plugin WordPress pownieneś zainstalować?
- Co to jest WordPress? Jak stworzyć stronę na WordPress?
- Instalacja szablonu WordPress – 3 sposoby
- WordPress Gutenberg – Nowy edytor WYSIWYG
- Jak założyć bloga WordPress krok po kroku?
- Szablony WordPress po polsku
- Aktualizacja do WordPress 5 – bać się nowego edytora?