Bezpieczeństwo stron www na WordPressie w 2019

Blog Bezpieczeństwo stron www na WordPressie w 2019

Data

21 marca 2019

Kategoria

Developer

Tagi

Według raportu Website Hacked Trend Report 2018 WordPress był najczęściej atakowanym systemem zarządzania treścią w Internecie w pierwszym kwartale 2016 roku. Nie oznacza to jednak, że jest on najbardziej „dziurawym” systemem w sieci – tak duża liczba ataków wynika z tego, że jest on po prostu najpopularniejszy. Warto wiedzieć, że poprawnie zarządzany WordPress już w swoich podstawowych opcjach może być rozwiązaniem stosunkowo bezpiecznym. Niestety, częste praktyki, takie jak łatwe do złamania hasła, nazwa użytkownika pozostawiona jako “admin” czy też brak aktualizacji wtyczek i szablonów w znaczny sposób przyczyniają się do wzrostu zagrożenia strony www infekcją. Warto więc wspomóc się wtyczkami, które sprawią, że nasza witryna stanie się jedną z najbezpieczniejszych w sieci.

 

Jak najszybciej i najłatwiej zabezpieczyć naszą witrynę, nie znając tajemnych kodów?

  1. Wtyczka Word Fence
    Na stronie autora pluginu możemy przeczytać, że jest to najczęściej pobierana wtyczka bezpieczeństwa dla systemu zarządzania treścią WordPress. W jej silniku znajdziemy między innymi: firewall, ochronę przed atakami typu brute force oraz skaner plików. Autorzy chwalą się również, że wtyczka jest w kontakcie z ich serwerami w Seattle i Waszyngtonie. Przechowują na nich wszystkie wersje szablonów, wtyczek i samego WordPressa, tak, by móc porównać pliki oryginalne z tymi znajdującymi się na naszym serwerze. Dzięki temu minimalizujemy ryzyko funkcjonowania złośliwego kodu w plikach naszej strony. Oczywiście mamy również zapewnienia o ciągłych aktualizacjach ochrony przed malware, wirusami i atakami typu back-door. Dodatkowo wtyczka zapewnia ochronę przed linkami z czarnej listy Google. Jeśli w komentarzu, treści lub plikach pojawią się podejrzane linki, użytkownik zostanie o nich poinformowany.

 

Pierwszą rzeczą, którą powinniśmy wykonać, jest skorzystanie ze skanera plików. Z dostarczonych przez niego wyników dowiemy się, w jakiej kondycji obecnie jest strona. Zostaniemy poinformowani o większych problemach, takich jak kłopoty z plikami, ale też o mniejszych sprawach – jak nieaktualne pliki szablonów lub wtyczek. Część z nich uda nam się naprawić od razu z poziomu raportu. W przypadku dobrze napisanej strony praktycznie nie musimy się obawiać przeprowadzenia aktualizacji, jeśli jednak mamy wątpliwości, dobrze jest to skonsultować z developerem, który przygotował stronę.

 

  1. Wtyczka All In One WordPress Security
    Autor tejże wtyczki opisuje ją jako uzupełnienie zabezpieczeń w WordPressie. Osobiście używam jej jako uzupełnienie zabezpieczeń Wordfence. Jedną z głównych zalet wtyczki (jak słusznie zapewniają twórcy) jest prostota jej konfiguracji i łatwość zrozumienia jej działania.

    W kokpicie wtyczki dostajemy czytelną informację na temat tego, jak wtyczka ocenia obecny poziom zabezpieczeń, a także sugestie, które z nich wymagają wzmocnienia – może to być np. zmiana nazwy użytkownika (jeśli jest nią popularny “admin”), ustawienie limitu prób logowania z jednego adresu IP, sprawdzenie uprawnień plików czy aktywacja ochrony typu firewall.

    Użytkownik, nawigując po kolejnych opcjach programu, ma możliwość wdrożenia następujących rozwiązań: ukrywanie informacji o wersji WordPress przed botami, wykonanie kopii wrażliwych plików, np. wp-config.php czy .htaccess. Mamy również możliwość sprawdzenia siły hasła, dodania rozwiązania typu captcha do stron logowania i rejestracji, wykonania kopii bazy danych oraz ustawienia cyklicznego jej wykonywania, zmianę adresu do panelu administracyjnego czy rozwiązań przeciwspamowych.