WordPress jest obecnie najpopularniejszą platformą CMS. Stworzony do blogowania, a używany dosłownie do wszystkiego. Niesamowita popularność poza ogromną ilością wtyczek niesie za sobą również zagrożenia. Proporcjonalnie do wzrostu popularności wśród użytkowników rośnie popularność wśród spamerów i hakerów. Szukają oni słabych punktów w danej wersji WordPressa oraz dostępnych wtyczek, następnie skanują sieć w poszukiwaniu stron www z zainstalowaną określoną wersją i przystępują do ataku, którego wynikiem będzie wyświetlanie dodatkowych reklam na stronie lub nawet przejęcie serwera i wysyłanie za jego pomocą ogromnych ilości spamu, a w skrajnych przypadkach dołączenia do tzw. botnetu i użycie do zmasowanych ataków.

Więc jak zabezpieczyć WordPress’a?

Zmień prefix

1. Jeśli przystępujesz dopiero do instalacji WordPressa, pierwszym zalecanym zabiegiem będzie zmiana domyślnego prefixu tabeli w bazie danych. Nie zalecane jest instalowanie WordPressa z domyślnym prefixem:

‚wp_’

Dlaczego? Spamboty i hakerzy maksymalnie automatyzują swoje ataki. Bot w razie znalezienia dziury w systemie i udanego włamania będzie próbował dostać się do bazy danych używając domyślnych parametrów, w tym wypadku prefixu ‚wp_’.

Ukryj wersję WordPress’a

2. Kolejną istoną rzeczą jest ukrycie dla odwiedzających wersji WrodPressa z jakiej korzystamy. Utrudnia to zadanie botom szukającym starszych, podatnych na ataki wersji. Ukrywanie wersji możemy ustawić w pliku functions.php. W tym celu należy dodać linijkę:

Możemy to zrobić po zalogowaniu do panelu administratora, Widok -> edycja i po prawej szukamy pliku functions.php, dodajmy powyższą linijkę, klikamy Zapisz.

Zmień standardowy login

3. Nie używaj standardowego loginu ‚admin’. Ataki brute-force skupiają się głównie na domyślnym loginie ‚admin’ oraz ‚admin1’. Dodatkowo skorzystaj z wtyczki która blokuje adres IP po określonej licznie niepoprawnych logowań (np 3). Wtyczka Sucuri Security (https://wordpress.org/plugins/sucuri-scanner/) posiada taką funkcję a także moze wysyłać na e-mail informację o udanych i nieudanych logowaniach a także modyfikacjach wpisów na stronie. Posiada też funkcjonalność zarządzania blacklistą adresów IP oraz skaner Antywirusowy (aczkolwiek do skanowania polecam inną wtyczkę na końcu wpisu).

Aktualizuj WordPressa i Wtyczki

4. Zawsze dbaj aby wersja WordPress’a była aktualna. Poszczególne wersje wprowadzają udogodnienia, ale przede wszystkim łatają dziury pozwalające na ataki.

5. Aktualizuj wtyczki i sprawdzaj czy support jest nadal prowadzony. Niektórzy developerzy porzucają nawet świetne projekty ale przeważnie informują o tym w opisie wtyczki. Wtyczka bez supportu, nie będzie aktualizowana – poszukaj wspieranego odpowiednika z częstymi aktualizacjami. WordPress w wewnętrznej wyszukiwarce pluginów podaje informacje o ostatniej dacie aktualizacji.

Chroń pliki na serwerze

6. Istotnym zabiegiem jest skorzystanie ze specjalnego pliku znajdującego się w katalogu domowym naszej strony www. Chodzi o plik .htaccess znajdujący się przeważnie w lokalizacji nazwadomeny.p/public_html/.htaccess

Definiuje on między innymi prawa dostępu i widoczność z zewnątrz konkretnych plików i folderów naszej strony WWW.
Zabieg polega na ukryciu przed potencjalnym skanem samego pliku .htaccess oraz pliku wp_config.php zawierającego login i hasło do naszej bazy danych.

Dodajmy poniższy kod w pliku .htaccess:

7. w poniższych lokalizacjach utwórz puste pliki o nazwie index.html aby zapobiec ich wyświetlaniu:

/wp-content/themes/
/wp-content/plugins/

Profilaktyka

Jeśli jesteś osobą początkującą

Niedawno dowiedziałeś się czym jest domena, hosting i z czym to się je, a ponadto używasz jako platformy swojej strony WWW CMSa typu WordPress lub Joomla – najlepszym wyborem będzie dla Ciebie hosting na Zenbox.pl.

Zalety:

  • niespotykana szybkość odpowiedzi na wątki (w sensie masz problem lub pytania = zakładasz nowy wątek)
  • wydajna platforma bez ograniczeń transferu, pojemności, ilości domen i baz danych (bazują na chmurze Beyond)
  • zintegrowany system Installatron który jednym kliknięciem tworzy bazę danych i instaluje gotowego WordPressa pod wskazaną domeną, a dodatkowo pilnuje aktualizacji
  • rozliczanie za ilość Unikalnych Użytkowników – jeśli Twoje strony mają niewiele wyświetleń – zapłacisz odpowiednio mało. Natomiast jeśli Twoje strony będą przeżywały oblężenie Zenbox zadba o zwiększenie zasobów aby serwery nie padły
  • wszelkie prośby np. o instalację certyfikatu SSL, rejestrację i podpięcie domeny, zmianę przekierowań .htaccess, przywrócenie plików czy bazy danych (kopie zapasowe co kilka godzin), a także wątki typu – przestało działać, możecie zerknąć – są rozwiązywane pozytywnie, a co najważniejsze w bardzo krótkim czasie

Wady:

  • rozliczenie za ilość Unikalnych Użytkowników…. tak, szczególnie gdy Twoja strona przypadkiem trafi na jakieś hasło na pierwszą stronę na kilka dni. Osobiście doznałem dosłownie oblężenia po tym jak obrazek pozycji „na pieska” z jednego z blogów moich klientów trafił w TOP wyszukiwanie Google Images. Na szczęście Zenbox przewiduje takie sytuacje i dostajemy na dzień dobry pakiet bonusowych UU (unikalnych użytkowników) do wykorzystania. Kolejnym wyjściem jest próba odwołania się przez BOK.
  • użytkownik zaawansowany nie zazna tutaj takich technologi jak Node.js czy Ruby on Rails, ogólnie bieda straszna w tym zakresie, jak to bywa na serwerach współdzielonych (wyjątkiem jest linuxpl.com o czym w dalszej części tekstu), np wersje pakietów są „globalne” czyli nie ma możliwości instalacji starszej lub nowszej wersji specjalnie dla klienta
  • czasami mam wrażenie, że obsługa techniczna, a raczej administratorzy pierwszego kontaktu za priorytet mają czas odpowiedzi a nie jej jakość
  • wątki obsługuje cała masa ludzi – zdarzyło mi się że wątek był obsługiwany przez ponad 5 osób przy czym co druga pytała o rzeczy, które były już wcześniej wyjaśniane – kolejne osoby obsługujące wątek nie czytają całego przebiegu sprawy tylko pędzą aby jak najszybciej odpisać – przyłapałem na tym obsługę techniczną pierwszego kontaktu kilka razy

Jeśli jesteś zaawansowany…

ogarniasz i potrzebujesz wielu technologii polecam dla mniejszych platform usługi linuxpl.com, a dla dużych komercyjnych rozwiązań iq.pl