Jak zwiększyć bezpieczeństwo WordPressa w 10. prostych krokach? [Poradnik]

23.04.2018    /    Bartosz Rzepka

WordPress to obecnie jedna z największych platform do zarządzania treścią w sieci – jeśli wierzyć danym z serwisu wordpress.org, to wybrało go już ponad 60 milionów użytkowników na całym świecie. Tak duża popularność niesie za sobą jednak szereg problemów i wyzwań, a jednym z największych jest zapewnienie bezpieczeństwa jego użytkownikom.

Nie ma się co oszukiwać – jako najczęściej wybierany CMS na świecie, WordPress jest też jednym z najbardziej narażonych na ataki hakerskie systemów w sieci. Nie oznacza to oczywiście, że rozpakowując na nasz serwer paczkę instalacyjną WP otwieramy od razu drzwi dla hakerów. Wręcz przeciwnie – dzięki otwartej strukturze WordPressa i jego mocno zaangażowanej społeczności, błędy naprawiane są niejednokrotnie szybciej, niż zdążymy się o nich w ogóle dowiedzieć.
Decydując się na tę platformę musimy jednak pamiętać, że bezpieczeństwo naszych danych w dużym stopniu zależy od nas samych, i wielu potencjalnych problemów można uniknąć trzymając się kilku prostych zasad.

1) Zawsze używaj silnych haseł!

Zasada, która powinna być numerem jeden nie tylko dla osób korzystających z WordPressa, ale i dla każdego użytkownika Internetu. Stworzenie zróżnicowanego, długiego hasła chroni nas zarówno przed botami, jak i ludźmi którzy mogą próbować się do naszych danych dobrać. Dobre hasło powinno być wygenerowane losowo, składać się z minimum kilkunastu znaków i zawierać co najmniej kilka znaków specjalnych. Jeśli nie chcemy być na celowniku botów pamiętajmy też, żeby konta administracyjnego nie nazywać „admin”.

2) Korzystaj z firewalla

Monitorowanie ruchu sieciowego i automatyczne blokowanie podejrzanych aktywności jest dla bezpieczeństwa naszego WordPressa niezwykle ważne. Do tej roli najlepiej sprawdzą się wtyczki takie jak WordFence lub All In One WP Security & Firewall, które posiadają mnóstwo opcji konfiguracyjnych, i co najważniejsze, są regularnie aktualizowane. Korzystając z tych wtyczek możemy m.in. ustawić zaporę firewall, przeskanować nasz serwis w poszukiwaniu złośliwego kodu czy monitorować ruch na stronie w czasie rzeczywistym. Dostępne są one w wersji darmowej oraz premium, z dodatkowymi opcjami.

3) Zmień ścieżkę dostępową do panelu administracyjnego (wp-admin)

Każdy kto choć raz operował na WordPressie wie, jak łatwo dostać się do panelu administracyjnego niemal każdego serwisu postawionego na tym CMSie. Domyślne ścieżki wp-admin oraz wp-login.php mogą być jednak w prosty sposób zastąpione, np. przy pomocy wymienionych w poprzednim punkcie wtyczek WordFence lub All In One WP Security & Firewall.
Pamiętajmy jednak, by dobrze zapamiętać naszą nową ścieżkę – jeśli zapomnimy adresu do logowania, będziemy musieli zresetować dane wtyczki przez FTP lub bazę danych.

4) Ogranicz ilość nieudanych prób logowania

Jeśli nasza strona jest w sieci popularna, to istnieje spora szansa na to, że pada ona ofiarą ataków nawet każdego dnia. Złośliwe boty będą próbowały dostać się do naszego panelu administracyjnego wpisując różne kombinacje nazw i haseł, dlatego warto ograniczyć im tę możliwość poprzez ustalenie limitu nieudanych prób logowania. Pomóc nam w tym mogą ponownie wtyczki WordFence lub All In One WP Security & Firewall, dzięki którym w prosty sposób zabezpieczymy się przed atakami brute force, włączymy blokowanie dla podejrzanych adresów IP, ustalimy liczbę dozwolonych prób logowania i będziemy je mogli na bieżąco monitorować.

5) Zablokuj dostęp do edycji plików z poziomu CMS

Domyślnie WordPress posiada opcję edytowania plików wtyczek i szablonów z poziomu naszego kokpitu. I choć może nam się to wydawać wygodne, to posiadanie tej funkcji włączonej jest dla naszego bezpieczeństwa mocno ryzykowne. Wystarczy bowiem że haker dostanie się na jedno z kont administracyjnych, i w prosty sposób będzie mógł uzyskać dostęp nawet do całego serwera. Rozwiązać ten problem można jedną linijką kodu, którą należy dodać w pliku konfiguracyjnym wp-config.php:
define( ‚DISALLOW_FILE_EDIT’, true );
Dzięki temu dostęp do edycji plików z kokpitu zostanie zablokowany, a my zmniejszymy ryzyko wkradnięcia się do serwera FTP poprzez WordPressa.

6) Nie nadawaj uprawnień administracyjnych użytkownikom, którzy ich nie potrzebują

Pracując w branży webdevu często spotykam się z serwisami, na których utworzonych jest kilku różnych użytkowników z rolą „Administrator”. Zadaję sobie wtedy pytanie, czy aby na pewno każde z tych kont potrzebuje aż takich uprawnień?
WordPress domyślnie posiada aż 5 stopniowanych ról dla użytkowników, dlatego pamiętajmy o tym by dobierać je adekwatnie do potrzeb. Osobie wprowadzającej treści na naszą stronę w zupełności wystarczy „Redaktor”, natomiast „Administratora” zostawmy dla developerów. Jeśli jednak chcemy rozszerzyć jedną z ról nie dając jej przy tym pełnego dostępu, możemy skorzystać z wtyczki User Role Editor.

7) Nigdy nie używaj porzuconych lub pochodzących z niezaufanych źródeł wtyczek i szablonów

W chwili pisania tego artykułu w repozytorium WordPressa znajduje się ponad 45,000 różnych wtyczek. Czy mamy pewność, że każda z nich jest bezpieczna dla naszego serwisu? Na pewno nie, dlatego ważnym jest by przed zainstalowaniem jakiegokolwiek pluginu dokładnie sprawdzić kiedy był on ostatnim razem aktualizowany, jakie posiada opinie i czy jest odpowiednio udokumentowany. WordPressowa baza wtyczek posiada bardzo przejrzysty interfejs, w którym wszystkie te dane mamy dostępne na wyciągnięcie ręki. Jeśli widzimy, że dana wtyczka nie była aktualizowana od kilku miesięcy, nie jest zgodna z wersją naszego systemu lub posiada negatywne opinie, powinniśmy mocno zastanowić się nad jej zainstalowaniem – jest bowiem duża szansa na to, że gdzieś w bazie znajdziemy dla niej lepszą i bezpieczniejszą alternatywę.

8) Regularnie aktualizuj WordPressa, szablony i wtyczki

Co prawda od wersji 3.7 mniejsze aktualizacje instalowane są przez WordPressa automatycznie, mimo to warto monitorować nasz system i co jakiś czas sprawdzać, czy nie wyszła nowa wersja silnika lub nie pojawiły się aktualizacje do używanych przez nas wtyczek. Oczywiście możemy w plikach konfiguracyjnych ustawić automatyczne aktualizowanie wszystkich wersji systemów oraz wtyczek, ale ze względu na stabilność lepiej robić to ręcznie. Czasem może się okazać, że dana aktualizacja WordPressa lub pluginu wywoła konflikt np. z naszym szablonem, i wtedy będziemy musieli szybko zareagować. Ważne jest też, by przed każdą większą aktualizacją zrobić backup całego WordPressa – zarówno plików jak i bazy danych.

9) Cyklicznie archiwizuj swoją stronę

Każdy serwis powinien mieć utworzonych co najmniej kilka kopii bezpieczeństwa. W razie jakiegokolwiek problemu, czy to związanego z opisanymi w poprzednim punkcie aktualizacjami, czy też atakami hakerskimi, regularny backup będzie naszym przyjacielem. Możemy takowy zrobić manualnie lub ustawić automatycznie, z wykorzystaniem jednej z dostępnych wtyczek. Doskonale sprawdzą się tu m.in. BackupBuddy (premium), lub darmowe UpdraftPlus czy BackWPUp. Ważne jest, by takie kopie były robione cyklicznie – czasem nasz serwis może paść ofiarą ataku na kilka miesięcy wcześniej niż się o tym dowiedzieliśmy. Wtedy możliwość dostępu do starszej wersji takiej kopii będzie nieoceniona.

10) Korzystaj z HTTPS

Jeśli nasz serwis nie korzysta z certyfikatu SSL, to niestety jest on narażony na przechwycenie danych m.in. przy logowaniu do panelu administracyjnego. O niebezpieczeństwach związanych z dostępem do kokpitu pisałem już wcześniej, więc dodam jeszcze tylko, że bez HTTPS na przejęcie danych narażone jest konto nie tylko administracyjne, ale tak naprawdę każdego użytkownika naszego serwisu. Ponadto przeglądarki zaczynają mocno naciskać na użytkowników HTTP – zarówno Google Chrome jak i Mozilla Firefox zaczynają oznaczać takie strony jako „niebezpieczne”. Posiadanie szyfrowanego połączenia wpływa również na pozycjonowanie naszego serwisu, gdyż Google już od 2015 roku obniża w swojej wyszukiwarce rankingi SEO stronom, które z HTTPS nie korzystają.

Mając na uwadze powyższe porady będziemy już o krok do przodu z bezpieczeństwem naszego serwisu. WordPress to w tej chwili najszybciej rozwijający się CMS na rynku, i dzięki ciągle rosnącej społeczności programistów i testerów, z roku na rok staje się on coraz bezpieczniejszy. Sam system nie zrobi jednak wszystkiego za nas, dlatego pamiętajmy, by zarządzając WordPressem monitorować bezpieczeństwo zarówno plików, jak i naszych użytkowników.

x
Zainteresował
Cię ten artykuł?
Subskrybuj nas

Powiązane artykuły

Brak komentarzy

Bądź pierwsza albo pierwszy, żeby skomentować. Bądź sobą.

Dodaj komentarz

Text formatting is available via select HTML.

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*