Bezpieczeństwo WordPress – 13 prostych kroków do poprawy bezpieczeństwa

Czy WordPress jest bezpieczny i jak możesz to zwiększyć? Postępuj zgodnie z naszymi prostymi krokami, aby zapewnić maksymalne bezpieczeństwo.

WordPress security

Jeśli chodzi o bezpieczeństwo WordPress, to normalne, że wiele osób po prostu instaluje wtyczkę bezpieczeństwa i sądząc, że wszystko zostało załatwione oraz myśląc, że ich witryna jest teraz całkowicie bezpieczna.

Jednak wtyczka poprawiająca bezpieczeństwo często powoduje, że Twoja witryna staje się bardzo powolna no i nie jest kompletnym rozwiązaniem bezpieczeństwa oraz może dawać nam również fałszywe poczucie bezpieczeństwa.

Twoja witryna jest tak samo bezpieczna, jak jej najsłabsze ogniwo, dlatego ważne jest, aby wziąć pod uwagę cały obraz i spróbować poprawić jak najwięcej aspektów bezpieczeństwa.

W tym artykule zebraliśmy listę różnych środków zaradczych, które każdy może łatwo wdrożyć oraz które mogą znacznie poprawić bezpieczeństwo Twojej witryny.

Czy WordPress jest bezpieczny?

Tak! w istocie WordPress jest bardzo bezpieczny, ale w dużej mierze ponosisz sam odpowiedzialność za to, jak bezpieczna będzie Twoja strona internetowa.

WordPress ma bardzo rygorystyczną kontrolę jakości i bezpieczeństwa oraz można często bardzo szybko naprawiać wszelkie wykryte luki. Oznacza to, że jeśli jesteś w stanie aktualizować instalację WordPress, istnieje bardzo małe ryzyko, że Twoja witryna zostanie kiedykolwiek „zhakowana” z powodu WordPress.

Najczęstszym powodem włamań do witryny internetowej jest to, że administrator w jakiś sposób zaniedbał zabezpieczenia i nie zastosował się do wszystkich dostępnych porad dotyczących zapewnienia bezpieczeństwa dla swojej witryny.

Haker WordPress?

1 – Aktualizuj WordPress, wtyczki i motywy

Najważniejszym środkiem bezpieczeństwa, jaki możesz podjąć, jest aktualizowanie WordPress, wtyczek oraz motywów.

Ponieważ WordPress jest projektem open source, każdy może przeczytać cały podstawowy kod, a także pomóc go ulepszyć, co oczywiście ma wiele zalet. Ale oznacza to również, że hakerzy i inne osoby o złych zamiarach mogą odczytać kod i znaleźć luki w zabezpieczeniach oraz wykorzystać je do przejęcia kontroli nad witrynami innych osób.

Za każdym razem, gdy do zespołu odpowiedzialnego za WordPress zostanie zgłoszona luka w zabezpieczeniach, możesz być pewien, że aktualizacja zabezpieczeń zostanie opublikowana tak szybko, jak to tylko możliwe.

Oznacza to, że jeśli nie korzystasz z najnowszej wersji WordPress, najprawdopodobniej użyjesz wersji, która zawiera jedną lub więcej znanych luk w zabezpieczeniach. Hakerzy mogą z kolei wyszukiwać strony internetowe ze starym oprogramowaniem i przeprowadzać na nie ukierunkowane ataki.

Dlatego niezwykle ważne jest, aby aktualizować WordPress, motywy i wtyczki tak często, jak to tylko możliwe.

Aktualizacja strony internetowej może być czasami trochę przerażająca, zwłaszcza jeśli jest to witryna e-commerce, ale często lepiej jest, gdy spowodujesz trochę przestoju z powodu złej aktualizacji (pod warunkiem, że masz kopię zapasową), niż ktoś nieuprawniony uzyska dostęp, ponieważ zna luki w zabezpieczeniach.

Rdzeń, wtyczka i motywy WordPress są aktualne. Dokładnie tak, jak chcesz je mieć.

Automatyczne aktualizacje
W WordPress 3.7 wprowadzono automatyczne aktualizacje, które umożliwiają automatyczne instalowanie drobnych aktualizacji i poprawek bezpieczeństwa WordPress na Twojej stronie internetowej.

Możesz także aktywować automatyczne aktualizacje motywów i wtyczek, dodając następujący kod do pliku functions.php motywu:

 add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Najpierw zweryfikuj aktualizacje w środowisku testowym
W przypadku niektórych bardziej krytycznych dla systemu witryn, które absolutnie muszą być cały czas aktywne i nie powinniśmy ryzykować ich awarii z powodu aktualizacji, która się nie powiodła, dobrym pomysłem jest zawsze najpierw aktualizować na stronie testowej i sprawdzać, czy aktualizacje działają tam poprawnie przed aktualizacją właściwej strony internetowej.

W ten sposób możesz mieć pewność, że podczas aktualizacji Twojej aktywnej witryny nie pojawią się żadne niespodziewane problemy.

2 – Odinstaluj nieaktywne wtyczki i motywy

Powszechnym błędnym przekonaniem, które większość osób ma, jest to, że nieaktywne wtyczki nie mogą mieć żadnego negatywnego wpływu na witrynę, ale faktem jest, że haker może wykorzystać znane luki nawet w wtyczkach i motywach, które są nieaktywne.

Ponadto, jeśli masz zainstalowane wtyczki na swojej stronie, których nie używasz, łatwo jest zapomnieć o ich aktualizacji, co oczywiście może oznaczać dodatkowe zagrożenie bezpieczeństwa.

Dlatego zalecamy, aby zawsze utrzymywać liczbę wtyczek na jak najniższym poziomie i odinstalowywać wtyczki, których nie używasz, ponieważ ich dezaktywacja nie wystarczy.

3 – Użyj właściwych (restrykcyjnych) uprawnień do plików

Uprawnienia do plików określają, kto i co może czytać, pisać i modyfikować w plikach tworzących WordPress, a także we wszystkim, co zainstalowałeś w WordPress. Jeśli Twoje pliki nie mają najsurowszych możliwych uprawnień, hakerzy mogą łatwiej modyfikować pliki i atakować Twoją witrynę.

Uprawnienia do plików są zwykle określane w postaci 3 cyfr, np. 755, gdzie każda cyfra reprezentuje grupę użytkowników i do czego ta grupa ma uprawnienia.

Pierwsza grupa od lewej to prawa „użytkownika” (lub „właściciela”), druga to prawa „grupy”, a trzecia to prawa „innych”.

W uproszczeniu można powiedzieć, że im wyższa liczba, tym więcej uprawnień ma użytkownik. Dla zainteresowanych, oto wyjaśnienie, co tak właściwie oznaczają poszczególne liczby:

4 = odczyt (r)
2 = zapis (w)
1 = wykonanie (x)
0 = brak uprawnień (-)

Odczyt + zapis + wykonanie = 7
Odczyt + zapis = 6
Odczyt + wykonanie = 5

Wszystkie foldery powinny mieć 755 lub 750.

Wszystkie pliki powinny mieć 644 lub 640, z wyjątkiem wp-config.php, który powinien mieć 440 lub 400, aby uniemożliwić innym dostęp do niego.

Żaden folder nie powinien być ustawiony na 777, co daje wszystkim użytkownikom pełne prawa. Nigdy nie powinno być to konieczne, ponieważ proces PHP jest uruchamiany przez właściciela pliku, a zatem może pisać w folderach z 755.

Ścisłe uprawnienia do plików są bardzo ważne w środowisku „współdzielonego hostingu”, w którym udostępniasz serwer nieznajomym, aby zapewnić, że inni użytkownicy na serwerze nie będą mieli dostępu do twoich plików.

Jak zmienić uprawnienia do plików?

Zmiana uprawnień do plików jest łatwa i można to zrobić za pomocą prawie każdego klienta FTP, takiego jak bardzo popularny i darmowy klient FTP FileZilla.

Aby zmienić uprawnienia do plików w FileZilla, kliknij prawym przyciskiem myszy plik lub folder, dla którego chcesz ustawić uprawnienia, i naciśnij „Uprawnienia do plików…”

HJak zmienić uprawnienia do plików w FileZilla?

4 – Wyłącz wbudowany edytor plików

Czy wiesz, że WordPress ma wbudowany edytor plików dla motywów i wtyczek? Ułatwia edycję plików w witrynie bezpośrednio w WP Admin, co dla niektórych może być wygodne, ale może również stwarzać pewne ryzyko.

Gdy edytor plików jest włączony, administratorzy mogą edytować kod w motywach i wtyczkach bezpośrednio w przeglądarce. Stanowi to potencjalne zagrożenie bezpieczeństwa, ponieważ możesz łatwo popełniać błędy, które spowodują, że cała strona przestanie działać po wprowadzeniu zmian, a także zapewnia hakerom szybki dostęp do wszystkich plików, które składają się na Twoją witrynę.

Zalecamy całkowite wyłączenie tego wbudowanego edytora plików i edycję za pomocą plików przez SFTP.

Wbudowany edytor plików można łatwo wyłączyć w wp-config.php, dodając następujący fragment kodu:

define( 'DISALLOW_FILE_EDIT', true );
Wbudowany edytor plików w WordPress, który zalecamy wyłączyć

5 – Ustaw niestandardowy prefiks bazy danych

WordPress używa prefiksu przed wszystkimi tabelami w bazie danych, którym domyślnie jest wp_.

Niektóre ataki na bazę danych zakładają ten konkretny prefiks, więc jeśli zamiast tego użyjesz innego prefiksu, możesz chronić swoją witrynę przed niektórymi atakami.

Liczba ataków, które zakładają domyślny prefiks, prawdopodobnie nie będzie duża, a zmiana prefiksu w istniejącej instalacji WordPress nie jest całkowicie wolna od ryzyka. Dlatego zalecamy wybór innego prefiksu tylko wtedy, gdy zamierzasz skonfigurować nową instalację WordPress i nie zmieniać prefiksu na istniejącej stronie.

Rozsądne może być użycie prefiksu bazy danych innego niż domyślny wp_

6 – Używaj silnych nazw użytkownika oraz haseł

Jednym z najczęstszych sposobów, w jaki haker dostaje się na stronę internetową, jest „zgadywanie” hasła.

Jeśli używasz prostych i powszechnie używanych haseł, możliwe jest, że nieupoważnione osoby z łatwością uzyskają dostęp do Twojej witryny poprzez tzw. atak brute-force, w którym atakujący podaje dużą liczbę różnych haseł tak długo, aż się dostanie na stronę. Jeśli użyjesz silnego hasła, taki atak będzie w rzeczywistości niemożliwy do zrealizowania.

Używanie silnych haseł może niektórym wydawać się oczywiste, ale wciąż jest wielu osób, które używa bardzo słabych haseł. Firma zajmująca się bezpieczeństwem SplashData co roku opracowuje listę najpopularniejszych haseł. 5 najczęstszych haseł w 2019 roku to:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567

Upewnij się, że używasz długiego i złożonego hasła, które jest generowane losowo i najlepiej wyłącznie dla Twojej witryny.

Często zdarza się również, że niektórzy używają nazwy użytkownika „admin” na swoim koncie administratora. Zamiast tego, dla dodatkowego bezpieczeństwa, zaleca się użycie innej nazwy użytkownika, co jeszcze bardziej utrudni hakerowi odgadnięcie prawidłowej nazwy użytkownika oraz hasła.

Hasła powinny być długie i najlepiej niepowtarzalne

7 – Zmień klucze bezpieczeństwa w wp-config.php

Klucze bezpieczeństwa WordPress to zbiór losowo generowanych zmiennych, które pomagają poprawić szyfrowanie danych przechowywanych w plikach cookie odwiedzających i administratorów.

Istnieją cztery różne klucze bezpieczeństwa: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY i NONCE_KEY.

Po zainstalowaniu WordPress są one generowane losowo oraz są unikalne dla Twojej witryny. Jeśli jednak kiedykolwiek przeniosłeś się z jednego hosta internetowego na drugiego lub przejąłeś swoją witrynę po innym właścicielu, dobrą praktyką może być wygenerowanie nowych kluczy bezpieczeństwa.

Można je łatwo wymienić w dowolnym momencie, ale oznacza to, że każdy, kto jest zalogowany do Twojej witryny, zostanie wylogowany.

Możesz łatwo uzyskać kolekcję nowo wygenerowanych kluczy bezpieczeństwa za pomocą inteligentnego narzędzia na WordPress.org, a następnie wkleić je do wp-config.php.

Najlepiej wymienić klucze bezpieczeństwa w wp-config.php po przeniesieniu od jednego hosta do drugiego

8 – Wyłącz XML-RPC

XML-RPC to funkcja WordPress, która była wcześniej używana do komunikacji między WordPress a niektórymi innymi systemami, takimi jak inne sieci blogowe. Jednak w ostatnich latach funkcja została osłabiona, ponieważ jej użycie stale spada, a w przyszłości planuje się jej całkowite usunięcie i zastąpienie własnym API WordPress.

Obecnie rzeczywiste przypadki użycia XML-RPC są dość nieliczne. Zamiast tego stał się popularnym „narzędziem” dla hakerów, ponieważ umożliwia testowanie setek kombinacji haseł za pomocą jednego polecenia.

Jeśli używasz Templ jako hosta internetowego, wtedy XML-RPC jest już wyłączony od samego początku, a jeśli używasz innego hosta internetowego, stosunkowo łatwo jest wyłączyć tę funkcję w inny sposób.

Możesz wyłączyć XML-RPC za pomocą wtyczki lub wkleić kod do pliku functions.php motywu:

add_filter( 'xmlrpc_enabled', '__return_false' );

.. lub jeszcze lepiej jest wyłączyć go za pomocą .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

9 – Ukryj wersję WordPress, której używasz

Wersja WordPress, która jest używana w Twojej witrynie, jest zwykle widoczna w kodzie HTML Twojej witryny, więc jeśli masz starą wersję WordPress ze znanymi lukami, haker może bardzo łatwo uzyskać dostęp do tych informacji.

Chociaż oczywiście zalecamy, aby zawsze uruchamiać najnowszą wersję WordPress, nadal dobrą praktyką może być ukrycie numeru wersji dla odwiedzających. Im mniej osób postronnych wie o Twojej instalacji WordPress, tym trudniej jest przeprowadzić ukierunkowane ataki.

Łatwo ukryć wersję WordPress za pomocą małego kodu w functions.php:

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
Wersja WordPress, której używasz, jest widoczna w kodzie HTML, jeśli jej nie ukryjesz

10 – Używaj SSL i HTTPS

Chociaż SSL stał się obecnie czymś powszechnym, nie zaszkodzi po raz kolejny podkreślić znaczenie SSL, jeśli chcesz mieć bezpieczną stronę internetową.

Z certyfikatem SSL możesz używać szyfrowanego protokołu HTTPS zamiast starego i niezaszyfrowanego HTTP. Oznacza to, że gdy wypełnisz na przykład formularz logowania na stronie z protokołem HTTPS, informacje, w tym hasła i inne poufne informacje, są szyfrowane, co uniemożliwia podpatrzenia ich przez nikogo innego.

Chociaż największą zaletą SSL jest bezpieczeństwo, obecnie jest również silnie związana z korzyściami płynącymi z SEO (ponieważ Google oraz inni producenci preferują HTTPS od HTTP) oraz zwiększonym zaufaniem odwiedzających.

Posiadanie certyfikatu SSL i prowadzenie witryny przez HTTPS jest czymś co jest konieczne.

11 – Zmień WP Admin URL

Wszystkie witryny WordPress początkowo używają jednego i tego samego adresu URL dla WP Admin, a mianowicie example.com/wp-admin. Jednym z potencjalnych problemów jest to, że wszyscy wiedzą o tym adresie, w tym boty i hakerzy.

Zmieniając adres URL na WP Admin, możesz uczynić witrynę mniej podatną na ataki.

Możesz łatwo zmienić adres WP Admin, korzystając z wtyczki WPS Hide Login plugin. Szczegółowy opis, jak to skonfigurować, znajduje się w innym poście na blogu.

Pamiętaj, że nie jest to rozwiązaniem wszystkich problemów, ale z pewnością może utrudnić hakerom dostęp do Twojej witryny.

TAdres URL WP Admin można łatwo zmienić za pomocą wtyczki WPS Hide Login

12 – Upewnij się, że wykonujesz codzienne kopie zapasowe

Tworzenie kopii zapasowej witryny nie jest oczywiście działaniem, które chroni ją przed jakimkolwiek atakiem, ale z drugiej strony jest absolutnie nieocenione na wypadek jakieś katastrofy i musisz „cofnąć wszystko”, aby uratować swoją stronę internetową.

Bez względu na to, jakie środki zapobiegawcze podejmiesz, Twoja witryna nigdy nie będzie w 100% bezpieczna. Dlatego zawsze należy dbać o to, aby kopie zapasowe swojej witryny były wykonywane na bieżąco.

Większość firm hostingowych w segmencie premium codziennie wykonuje kopie zapasowe wszystkich stron internetowych, podobnie jak my w Templ. W przypadku, gdy Twój hosting nie oferuje automatycznych kopii zapasowych, dość łatwo można to rozwiązać samodzielnie, używając na przykład wtyczki UpDraft, ale powinieneś pamiętać, że wtyczka do tworzenia kopii zapasowych wpłynie na wydajność Twojej witryny i wykorzysta większość przestrzeni dyskowej, za którą płacisz w swoim hostingu.

Zdecydowanie zalecamy codzienne tworzenie kopii zapasowych witryny WordPress

13 – Wybierz bezpieczne rozwiązanie hostingowe

Jeśli chodzi o bezpieczeństwo i WordPress, istnieje wiele czynników, które leżą głębiej niż sama witryna. Istnieje również wiele środków bezpieczeństwa, które należy podjąć na poziomie serwera, za który odpowiada Twój host internetowy. W Templ bardzo poważnie traktujemy bezpieczeństwo i zawsze mamy je na uwadze we wszystkim, co robimy.

Bardzo ważne jest, aby wybrać hosta internetowego, któremu naprawdę możesz zaufać, lub sam posiadasz bardzo dobrą wiedzę na temat bezpieczeństwa, że jeśli zdecydujesz się umieścić swoją witrynę na VPS, sam poniesiesz całą odpowiedzialność za bezpieczeństwo.

Ważne jest również, aby wiedzieć, że różne firmy hostingowe mają bardzo różne zasady dotyczące tego, co robią, gdy witryna zostanie zhakowana. Niektórzy usługodawcy hostingowi po prostu zamykają witryny, które zostały zhakowane i nie chcą o nich wiedzieć, podczas gdy my w Templ oferujemy bezpłatną pomoc w ratowaniu zhakowanej witryny.

Host internetowy, który poważnie traktuje bezpieczeństwo, często ma:

  • Zaporę, która chroni przed różnymi atakami
  • Najnowszą wersję PHP, MySQL oraz innego oprogramowania
  • Codzienne kopie zapasowe
  • Wsparcie dostępne przez całą dobę
  • Całodobowy monitoring wszystkich stron internetowych
  • Oraz szereg innych zaawansowanych funkcji zwiększających bezpieczeństwo

Podsumowanie

Podsumowując, warto powtórzyć, że sam WordPress jest bardzo bezpieczny, ale ważne jest, aby wszystko na bieżąco aktualizować i kierować się zdrowym rozsądkiem.

Należy również pamiętać, że istnieje wiele czynników, które wpływają na bezpieczeństwo witryny, które są „głębsze” niż sam WordPress. Dlatego ważne jest, abyś sam miał bardzo dobre pojęcie o bezpieczeństwie IT lub wybrał hosting, który poważnie traktuje bezpieczeństwo.

Codzienne kopie zapasowe własnej strony internetowej są również absolutną koniecznością, aby mieć na czym się oprzeć w razie poważnego incydentu ze stroną.

Jeśli masz jakiekolwiek pytania dotyczące bezpieczeństwa WordPress, możesz je zadać na czacie tutaj na tej stronie lub opublikować w polu komentarza poniżej.

Powodzenia! 🙂

Leave a Reply

Your email address will not be published.