Bezpieczny WordPress

Jest jednym z najpopularniejszych CMS-ów używanych na świecie. Cenionym wśród wielu webmasterów za wygodny i prosty w użyciu panel administracyjny. Posiada tysiące bezpłatnych i wiele setek komercyjnych szablonów oraz rozszerzeń. O czym mowa? O Wordpressie.

W związku z tym, że produkt ten jest najczęściej wybieranym systemem zarządzania treścią do stworzenia strony internetowej, znajduje się na celowniku crackerów. Zazwyczaj tworzeniem stron WWW zajmują się agencje reklamowe, które nie mają pojęcia lub nie przykładają dużej wagi do zabezpieczenia strony dla Klienta końcowego. Dlatego też przygotowaliśmy krótki poradnik. Wystarczy kilka kroków, by strona wykorzystująca WordPress, była bezpieczna.

Krok 1. Bezpieczny komputer.

Rzeczą podstawową jest zadbać o bezpieczeństwo komputera komunikującego się z serwerem FTP oraz panelem administracyjnym strony WWW. Konieczne jest aktualizowanie systemu operacyjnego, wtyczek zainstalowanych na komputerze (JAVA, Flash) oraz posiadanie działającego i aktualnego programu antywirusowego. Pominięcie tego kroku, w kwestii zabezpieczenia WordPressa, przyniesie mizerny skutek i tylko uśpi naszą czujność. Zabezpieczenie to ma na celu wyeliminowanie zagrożenia w postaci keyloggerów oraz koni trojańskich, których zadaniem jest przechwycić Twoje hasła, wpisywane lub zapamiętane w systemie.

Krok 2. Aktualizacje wtyczek i CMS.

Zainstalowanie WordPressa, wgranie szablonu, wstępna konfiguracja - to czynności jakich podejmuje się firma tworząca stronę internetową. Zazwyczaj na tym kończy swoją pracę. A to dopiero początek. WordPress w związku, że jest systemem CMS Open Source ulega ciągłym modyfikacjom i aktualizacjom. Byłoby ogromnym błędem niedokonywanie uaktualnień swojej wersji CMSa oraz zainstalowanych rozszerzeń. Często może się wiązać to z tym, że zainstalowanie aktualizacji wprowadzi zamieszanie na naszej stronie - jest to zrozumiałe, jednak wszystko da się dostosować do aktualnej wersji WordPressa. Powierzając naszej firmie zadanie stworzenia strony WWW dla Ciebie lub Twojego Klienta zadbamy o pełen zakres bezpieczeństwa IT.

Krok 3. Jak to jest z tym Administratorem?

WordPress podczas instalacji umożliwia nadanie nazwy Administratorowi innej niż domyślna czyli "admin". Zwiększa to bezpieczeństwo witryny, ponieważ atakujący będzie musiał poradzić sobie z dwiema niewiadomymi: hasłem oraz loginem Administratora. W parze z unikalną nazwą użytkownika, z prawami administracyjnymi, powinno iść silne, długie hasło. Najlepiej zawierające losowe znaki alfanumeryczne oraz znaki specjalne jak np. %,&@.

Krok 4. Zmiana praw dostępu.

Sami twórcy oprogramowania WordPress zalecają zmianę uprawnień dla następujących katalogów:

Katalog główny strony: prawo do modyfikacji tylko przez właściciela - 644.
Katalog /wp-admin zawierający elementy administracyjne: prawo do modyfikacji tylko przez właściciela - 644.
Katalog /wp-includes biblioteki witryny: prawo do modyfikacji tylko przez właściciela - 644.
Katalog /wp-content/themes pliki szablonów strony:prawo do modyfikacji tylko przez właściciela - 644.
Katalog /wp-content/plugins zawierający zainstalowane wtyczki: prawo do modyfikacji tylko przez właściciela - 644.

Krok 5. Zabezpieczenie katalogu /wp-admin.

Najbardziej sensownym rozwiązaniem jest zablokowanie nieuprawnionym adresom IP dostępu do katalogu administracyjnego. Możemy to zrobić za pomocą pliku .htaccess, którego treść powinna wyglądać tak:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Biuro IP address
allow from xx.xx.xx.xx
# whitelist Dom IP address
allow from xx.xx.xx.xx
</LIMIT>

Oczywiście xx.xx.xx.xx to adres publiczny IP naszego komputera, z którego logujemy się do panelu zarządzania stroną WWW.

Dodatkowo dobrą praktyką jest wprowadzenie dwustopniowego uwierzytelniania. Może służyć do tego wtyczka: Google Authenticator. Kody nie będą wysyłane na telefon w formie SMSa, ale będzie je można odczytać za pomocą aplikacji dostępnych za darmo, praktycznie dla każdej platformy. Takie rozwiązanie wyklucza przejęcie strony przez osoby nieuprawnione.

Krok 6. Narzędzia zapewniające bezpieczeństwo. 

Ostatnim już zalecanym rozwiązaniem jest skorzystanie z darmowych wtyczek, a właściwie oprogramowania o nazwie: Wordfence oraz Securi Security. Są to o tyle ciekawe propozycje, ponieważ ułatwiają przeprowadzenie pełnego audytu strony internetowej. Zapewniają przeskanowanie strony i struktury plików na serwerze FTP w poszukiwaniu zagrożeń, wirusów oraz skryptów służących do wysyłania spamu.

Securi

Ponadto użytkownik ma dostęp do podglądu na żywo wszystkich działań jakie obecnie mają miejsce na serwerze w podziale na użytkowników, roboty wyszukiwarek i nie tylko.

live

Podsumowanie

Zastosowanie powyższych rad na pewno przyczyni się do wzrostu bezpieczeństwa naszej strony internetowej. Musisz pamiętać, by regularnie aktualizować system WordPress oraz wszystkie wtyczki (nawet te, które są wyłączone)! Korzystaj z dostępnych rozwiązań do audytu, które w kompleksowy sposób ochronią Ciebie i Twoją stronę przed atakiem.

Zapraszamy do kontaktu w sprawie aktualizacji Twojej dotychczasowej strony WWW.

Comments are closed.