,

Jak zabezpieczyć WordPress’a?

WordPress jest obecnie najpopularniejszą platformą CMS. Stworzony do blogowania, a używany dosłownie do wszystkiego. Niesamowita popularność poza ogromną ilością wtyczek niesie za sobą również zagrożenia. Proporcjonalnie do wzrostu popularności wśród użytkowników rośnie popularność wśród spamerów i hakerów. Szukają oni słabych punktów w danej wersji WordPressa oraz dostępnych wtyczek, następnie skanują sieć w poszukiwaniu stron www z zainstalowaną określoną wersją i przystępują do ataku, którego wynikiem będzie wyświetlanie dodatkowych reklam na stronie lub nawet przejęcie serwera i wysyłanie za jego pomocą ogromnych ilości spamu, a w skrajnych przypadkach dołączenia do tzw. botnetu i użycie do zmasowanych ataków.

Więc jak zabezpieczyć WordPress’a?

Zmień prefix

1. Jeśli przystępujesz dopiero do instalacji WordPressa, pierwszym zalecanym zabiegiem będzie zmiana domyślnego prefixu tabeli w bazie danych. Nie zalecane jest instalowanie WordPressa z domyślnym prefixem:

‚wp_’

Dlaczego? Spamboty i hakerzy maksymalnie automatyzują swoje ataki. Bot w razie znalezienia dziury w systemie i udanego włamania będzie próbował dostać się do bazy danych używając domyślnych parametrów, w tym wypadku prefixu ‚wp_’.

Ukryj wersję WordPress’a

2. Kolejną istoną rzeczą jest ukrycie dla odwiedzających wersji WrodPressa z jakiej korzystamy. Utrudnia to zadanie botom szukającym starszych, podatnych na ataki wersji. Ukrywanie wersji możemy ustawić w pliku functions.php. W tym celu należy dodać linijkę:

Możemy to zrobić po zalogowaniu do panelu administratora, Widok -> edycja i po prawej szukamy pliku functions.php, dodajmy powyższą linijkę, klikamy Zapisz.

Zmień standardowy login

3. Nie używaj standardowego loginu ‚admin’. Ataki brute-force skupiają się głównie na domyślnym loginie ‚admin’ oraz ‚admin1’. Dodatkowo skorzystaj z wtyczki która blokuje adres IP po określonej licznie niepoprawnych logowań (np 3). Wtyczka Sucuri Security (https://wordpress.org/plugins/sucuri-scanner/) posiada taką funkcję a także moze wysyłać na e-mail informację o udanych i nieudanych logowaniach a także modyfikacjach wpisów na stronie. Posiada też funkcjonalność zarządzania blacklistą adresów IP oraz skaner Antywirusowy (aczkolwiek do skanowania polecam inną wtyczkę na końcu wpisu).

Aktualizuj WordPressa i Wtyczki

4. Zawsze dbaj aby wersja WordPress’a była aktualna. Poszczególne wersje wprowadzają udogodnienia, ale przede wszystkim łatają dziury pozwalające na ataki.

5. Aktualizuj wtyczki i sprawdzaj czy support jest nadal prowadzony. Niektórzy developerzy porzucają nawet świetne projekty ale przeważnie informują o tym w opisie wtyczki. Wtyczka bez supportu, nie będzie aktualizowana – poszukaj wspieranego odpowiednika z częstymi aktualizacjami. WordPress w wewnętrznej wyszukiwarce pluginów podaje informacje o ostatniej dacie aktualizacji.

Chroń pliki na serwerze

6. Istotnym zabiegiem jest skorzystanie ze specjalnego pliku znajdującego się w katalogu domowym naszej strony www. Chodzi o plik .htaccess znajdujący się przeważnie w lokalizacji nazwadomeny.p/public_html/.htaccess

Definiuje on między innymi prawa dostępu i widoczność z zewnątrz konkretnych plików i folderów naszej strony WWW.
Zabieg polega na ukryciu przed potencjalnym skanem samego pliku .htaccess oraz pliku wp_config.php zawierającego login i hasło do naszej bazy danych.

Dodajmy poniższy kod w pliku .htaccess:

7. w poniższych lokalizacjach utwórz puste pliki o nazwie index.html aby zapobiec ich wyświetlaniu:

/wp-content/themes/
/wp-content/plugins/

Profilaktyka