Powszechnie wiadomo, że z racji swojej popularności WordPress jest narażony na nieustanne ataki. Aby zminimalizować szansę na to, że i nasza strona padnie ofiarą ataków, warto się odpowiednio zabezpieczyć. Już nawet podstawowe zabezpieczenie jest lepsze, niż jego brak. Poniżej przedstawiamy kilka sposobów na zabezpieczenie strony opartej o WordPress
Nie używaj nazwy admin jako nazwy użytkownika
To jeden z najczęściej popełnianych błędów podczas instalacji. Jest nim wybranie jako nazwy użytkownika słowa admin. Fakt, brzmi to profesjonalnie. Admin to jest ktoś. Najważniejsza osoba na stronie. Ma pełnię władzy i może wszystko. I dlatego tak często automatyczne skrypty starają się zalogować na to konto i przejąć witryną.
Celem ataku są bardzo często adresy wp-admin / wp-login.php, nazwa użytkownika admin i losowe, lub słownikowe, hasła. Taki atak nosi nazwę ataku brute force i jest wykonywany automatycznie. Dlatego warto zrezygnować z nazwy użytkownika admin i zastąpić ją czymś mniej oczywistym. Pamiętajcie, że każdy użytkownik może mieć uprawnienia administratora i nie jest to zależne od jego nazwy.
Jak usunąć konto admina?
Jeśli masz już użytkownika o nazwie admin, to po zalogowaniu się do swojego bloga udaj się do UŻYTKOWNICY / WSZYSCY UŻYTKOWNICY i stwórz nowego użytkownika. Teraz możesz przejść do procedury usuwania użytkownika admin. Aby nie stracić wszystkich wpisów, które zostały stworzone przez tego użytkownika, należy przypisać je do nowo utworzonego użytkownika. W tym celu wybieramy opcję przypisz całą treść i z rozwijanej listy wybrać nazwę użytkownika, do którego zostaną przypisane wpisy admina. Na koniec pozostaje nacisnąć przycisk potwierdź usuwanie i… admin usunięty.
Nie używaj prostych i powtarzających się haseł
Hasło powinno być długie, niepowtarzalne i unikalne. Używania haseł typu: admin, 123456, qwerty, 1qaz2wsx nie jest dobrym, ani bezpiecznym rozwiązaniem. Cały problem w trudnych hasłach polega na tym, że ciężko je zapamiętać. Dlatego warto do generowania i zapamiętywania haseł skorzystać z 1Password lub LastPass. Dzięki tym aplikacjom można łatwo zapanować nawet nad najtrudniejszymi hasłami.
Używaj dwuskładnikowego uwierzytelniania
Nawet jeśli nie używasz łatwej nazwy użytkownika (np. admin) i używasz silnego, losowo wygenerowanego hasła, ataki brute force mogą być problemem. Aby go rozwiązać warto zastosować uwierzytelnienie dwuskładnikowe. W celu łatwego wdrożenia dwuskładnikowego uwierzytelniania najlepiej skorzystać z wtyczki Google Authenticator lub Rublon.
Ukryj plik wp-config.php oraz .htaccess oraz XML-RPC
W celu ukrycia pliku wp-config.php i uchronienia go przed nieautoryzowanym dostępem wystarczy, że dodasz do swojego pliku .htaccess poniższą formułę:
| 1 2 3 4 | <Files wp-config.php> order allow,deny deny from all </Files> |
Podobny kod należy użyć w celu ochrony pliku .htaccess:
| 1 2 3 4 | <Files .htaccess> order allow,deny deny from all </Files> |
Jeśli nie używasz XML-RPC, lub nie wiesz co to jest i do czego służy, warto całkowicie zablokować do niego dostęp. Zrobisz to dodając do .htaccess następujący wpis:
| 1 2 3 4 | <files xmlrpc.php> order deny,allow deny from all </files> |
Wyłącz możliwość edycji plików
Jeżeli dojdzie do włamania, to najłatwiejszym sposobem na zmianę twoich plików będzie użycie edytora plików. Można go znaleźć w menu po zalogowaniu się na blogu i wybraniu menu WYGLĄD > EDYTOR. W celu lepszej ochrony strony najlepiej wyłączyć możliwość edytowania i zapisywania plików przy użyciu tego edytora. W tym celu wystarczy w pliku wp-config.php dodać ten kod:
| 1 | define('DISALLOW_FILE_EDIT', true); |
Nadal będzie można edytować pliki motywów i pluginów, ale trzeba będzie to robić na swoim komputerze i później wysyłać na serwer przy użyciu FTP. Może nie jest to specjalnie wygodne, ale służy bezpieczeństwu.
Zmień adres strony logowania
Zmiana adresu strony logowania wpływa w znaczący sposób na bezpieczeństwo naszej strony. Co prawda, w ten sposób nie ukrywamy tej strony. Jednak zmieniając jej adres utrudniamy przeprowadzanie ataków typu brute force. Gdyż większość skryptów używanych do tego celu atakuje skrypt wp-login.php i nie radzą sobie z przekierowaniami. W celu zmiany adresu strony logowania warto skorzystać z wtyczki WP Cerber. O tym jak jej używać, przeczytacie w tym wpisie.
Dbaj o regularne aktualizacje
Warto systematycznie przeprowadzać aktualizacje czy to samego systemu WordPress, czy wtyczek, czy motywów. Dzięki temu mamy pewność, że wszystkie odkryte podatności zostaną załatane i nasza strona będzie bezpieczniejsza. Szacuje się, że ponad połowa wszystkich instalacji WordPress jest nieaktualizowana. Strony te są znacznie bardziej podatne na ataki, gdyż zawierają znane błędy, z których korzystają osoby chcące uzyskać nieautoryzowany dostęp. Dlatego tak ważne jest systematyczne aktualizowanie zarówno WordPressa jak i jego komponentów.
