Jak zabezpieczyć WordPress’a?
WordPress jest obecnie najpopularniejszą platformą CMS. Stworzony do blogowania, a używany dosłownie do wszystkiego. Niesamowita popularność poza ogromną ilością wtyczek niesie za sobą również zagrożenia. Proporcjonalnie do wzrostu popularności wśród użytkowników rośnie popularność wśród spamerów i hakerów. Szukają oni słabych punktów w danej wersji WordPressa oraz dostępnych wtyczek, następnie skanują sieć w poszukiwaniu stron www z zainstalowaną określoną wersją i przystępują do ataku, którego wynikiem będzie wyświetlanie dodatkowych reklam na stronie lub nawet przejęcie serwera i wysyłanie za jego pomocą ogromnych ilości spamu, a w skrajnych przypadkach dołączenia do tzw. botnetu i użycie do zmasowanych ataków.
Więc jak zabezpieczyć WordPress’a?
Zmień prefix
1. Jeśli przystępujesz dopiero do instalacji WordPressa, pierwszym zalecanym zabiegiem będzie zmiana domyślnego prefixu tabeli w bazie danych. Nie zalecane jest instalowanie WordPressa z domyślnym prefixem:
'wp_’
Dlaczego? Spamboty i hakerzy maksymalnie automatyzują swoje ataki. Bot w razie znalezienia dziury w systemie i udanego włamania będzie próbował dostać się do bazy danych używając domyślnych parametrów, w tym wypadku prefixu 'wp_’.
Ukryj wersję WordPress’a
2. Kolejną istoną rzeczą jest ukrycie dla odwiedzających wersji WrodPressa z jakiej korzystamy. Utrudnia to zadanie botom szukającym starszych, podatnych na ataki wersji. Ukrywanie wersji możemy ustawić w pliku functions.php. W tym celu należy dodać linijkę:
remove_action('wp_header', 'wp_generator');
Możemy to zrobić po zalogowaniu do panelu administratora, Widok -> edycja i po prawej szukamy pliku functions.php, dodajmy powyższą linijkę, klikamy Zapisz.
Zmień standardowy login
3. Nie używaj standardowego loginu 'admin’. Ataki brute-force skupiają się głównie na domyślnym loginie 'admin’ oraz 'admin1′. Dodatkowo skorzystaj z wtyczki która blokuje adres IP po określonej licznie niepoprawnych logowań (np 3). Wtyczka Sucuri Security (https://wordpress.org/plugins/sucuri-scanner/) posiada taką funkcję a także moze wysyłać na e-mail informację o udanych i nieudanych logowaniach a także modyfikacjach wpisów na stronie. Posiada też funkcjonalność zarządzania blacklistą adresów IP oraz skaner Antywirusowy (aczkolwiek do skanowania polecam inną wtyczkę na końcu wpisu).
Aktualizuj WordPressa i Wtyczki
4. Zawsze dbaj aby wersja WordPress’a była aktualna. Poszczególne wersje wprowadzają udogodnienia, ale przede wszystkim łatają dziury pozwalające na ataki.
5. Aktualizuj wtyczki i sprawdzaj czy support jest nadal prowadzony. Niektórzy developerzy porzucają nawet świetne projekty ale przeważnie informują o tym w opisie wtyczki. Wtyczka bez supportu, nie będzie aktualizowana – poszukaj wspieranego odpowiednika z częstymi aktualizacjami. WordPress w wewnętrznej wyszukiwarce pluginów podaje informacje o ostatniej dacie aktualizacji.
Chroń pliki na serwerze
6. Istotnym zabiegiem jest skorzystanie ze specjalnego pliku znajdującego się w katalogu domowym naszej strony www. Chodzi o plik .htaccess znajdujący się przeważnie w lokalizacji nazwadomeny.p/public_html/.htaccess
Definiuje on między innymi prawa dostępu i widoczność z zewnątrz konkretnych plików i folderów naszej strony WWW.
Zabieg polega na ukryciu przed potencjalnym skanem samego pliku .htaccess oraz pliku wp_config.php zawierającego login i hasło do naszej bazy danych.
Dodajmy poniższy kod w pliku .htaccess:
<Files wp-config.php> order allow,deny deny from all </Files> <Files .htaccess> order allow,deny deny from all </Files>
7. w poniższych lokalizacjach utwórz puste pliki o nazwie index.html aby zapobiec ich wyświetlaniu:
/wp-content/themes/
/wp-content/plugins/
Profilaktyka
- Sprawdź czy Twoja strona jest na spamliście: https://sitecheck.sucuri.net
- Przeskanuj wewnętrzne pliki strony WWW wtyczką 'Anti-Malware and Brute Force Security by ELI’ https://wordpress.org/plugins/gotmls/
Dodaj komentarz
Chcesz się przyłączyć do dyskusji?Feel free to contribute!