Ile zarobiłem z jednego programu afiliacyjnego przez rok
29 marca 2022
Jak cofnąć aktualizację wordpress?
22 kwietnia 2022
Spam, wirusy, boty, ataki hakerskie i inne zagrożenia to coś czego jesteś wstanie uniknąć w 99%
Wystarczy odpowiednio zabezpieczyć swoją stronę. Jeżeli chcesz się dowiedzieć jak to zrobić i od czego zacząć, zapraszam do artykułu.
Bezpieczeństwo to suma drobnych elementów
Najsłabszym ogniwem wszelkich zabezpieczeń i tak zawsze okazuje się człowiek. Niestety tak to już z nami jest, że głównie za sprawą lenistwa i nie zaprzątania sobie głowy błahostkami takimi jak hasła ponosimy potem dotkliwe konsekwencje.
Używanie prostych haseł lub zapisywanie ich na kartkach to zmora ale dzisiaj nie będzie o tym.
Z tego wpisu dowiesz się jak możesz w prosty sposób sprawić, że Twój blog będzie bardziej bezpieczny i odporny na niekorzystne działania z zewnątrz.
1. Zacznijmy od aktualizacji
WordPress potrafi mieć sporo dziur wykorzystywanych przez złośliwe boty lub hakerów do przejmowania kontroli nad naszymi stronami. Kończy się to najczęściej tym, że Twój blog staje się wylęgarnią malware starającymi się rozprzestrzenić na każdym urządzeniu które go odwiedzi.
Dziury są szybko łatane dlatego ważne jest aby instalować aktualizacje na bieżąco. Jeżeli tak jak ja nie zawsze o tym pamiętasz, możesz ten proces zautomatyzować.
Z innego mojego wpisu dowiesz się jak to zrobić: Jak włączyć automatyczne aktualizacje wordpress
Aktualizacje to nie tylko system wordpressa ale również wszystkie wtyczki, które masz zainstalowane. Te których nie używasz warto odinstalować. Podobnie z domyślnymi motywami, nie warto ich trzymać – nieużywane stanowią tylko zagrożenie.
2. Komentarze – wieczne źródło spamu
Komentarze na blogu to idealne miejsce na spam 🙂 dlatego pierwsze co musisz zrobić u siebie jeżeli jeszcze tego nie zrobiłeś to włączyć moderację komentarzy. Dzięki temu każdy komentarz, który pojawi się na blogu musi przejść przez Twoje ręce 🙂
U siebie rozwiązałem to tak, że wyłączyłem sekcje komentarzy we wpisach i zamiast tego zainstalowałem Diqus. Disqus to wtyczka która pozwala na komentowanie użytkownikom, którzy mają konta przypisane do tej platformy. Działa świetnie 🙂
3. Zabezpieczenie strony logowania
Pierwszym i najprostszym zabezpieczeniem dostępu do strony logowania jest zmiana ścieżki (czyli adresu do logowania)
Domyślna ścieżka to /wp-admin – dzięki prostej wtyczce możesz zmienić ją na taką którą znasz tylko Ty. Dzięki takiemu prostemu zabiegowi roboty które próbują łamać hasła do wordpress nie bedą się wstanie nawet dostać do formularze logowania.
Jaka to wtyczka i jak dokonać tej zmiany dowiesz się z innego wpisu na moim blogu, wystarczy przeszukać spis treści 😉
Kolejnym zabezpieczeniem które możesz łatwo wprowadzić jest wgranie poprzez FTP pliku .htpasswd do katalogu wp-admin. Plik ten wymusi konieczność podania loginu i hasła jeszcze przed samym logowaniem dając dodatkowe zabezpieczenie w postaci podwójnego hasła.
Hasło i login są niezależne od samego wordpressa i ustanawiasz je samodzielnie bezpośrednio w pliku htpasswd.
Edycja pliku .htaccess
Aby zabezpieczyć w ten sposób stronę logowania musisz najpierw ściągnąć i edytować swój plik .htaccess na serwerze. W tym celu zaloguj się na FTP poprzez klienta FTP i ściągnij plik .htaccess. Znajduje się on w głównym katalogu wordpressa.
Po tej zmianie możesz dokonać edycji pliku w notatniku by na jego końcu dopisać coś takiego:
AuthType Basic
AuthName „Logowanie”
AuthUserFile /domains/mattbox.pl/public_html/wp-admin/.htpasswd
Require valid-user
AuthUserFile to ścieżka do pliku .htpasswd który zaraz stworzysz, dla każdego hostingu ta ścieżką będzie unikalna, musisz ją sobie podejrzeć na swoim FTP.
Po tej zmianie ponownie usuwasz txt i dodajesz . z przodu czyli powracasz do postaci pliku .htaccess
Tworzymy .htpasswd
Do stworzenia pliku możesz użyć notatnika, treść piku możesz sobie wygenerować z tego generatora:
https://hostingcanada.org/htpasswd-generator/
Po wygenerowaniu przekopiuj treść i zapisz jako htpasswd.txt aby następnie w kliencie ftp zmienić postać pliku na .htpasswd i wgrać go do katalogu wp-admin.
4. Zmiana prefiksu w bazie danych
Punkt głownie dla ich którzy jeszcze nie instalowali wordpressa.
Oczywiście w momencie kiedy masz zainstalowany system też idzie dokonać tej zmiany ale tutaj nie będę tego omawiał.
Podczas pierwszej instalacji wordpressa w kroku w którym podajesz dane do logowania znajduje się pole prefix bazy danych. Standardowo prefiksem jest wp_ i możesz go zmienić na co tylko chcesz np. moja_tabela_
Jak już wspomniałem złośliwe boty nie śpią i używają do włamań również bazy danych dokonując wstrzyknięć złośliwego kodu poprzez sql. Dlatego pozostawienie domyślnego prefiksu jest ułatwianiem im zadania, nie kosztuje to wiele a zmiana może udaremnić taką próbę.
5. Wtyczki chroniące wordpress
Dodatkowym zabezpieczeniem Twojego wordpressa będzie zainstalowanie jednej z wtyczek chroniących przed podejrzanymi zachowaniami w okół bloga.
Jedną z takich wtyczek jest Wordfence którego osobiście używam.
Darmowa wersja wtyczki rejestruje i blokuje na bieżąco ataki tzw. metodą brut force zapisując logi w panelu wtyczki. Ponadto masz dostęp do listy prób logowania zarówno tych które zakończyły się powodzeniem jak i niepowodzeniem.
Wyczka korzysta z aktualizowanej na bieżąco bazy złośliwych IP dzięki temu jest wstanie blokować najnowsze zagrożenia które pojawiają się w sieci.
Jak wszystko wordfence nie zabezpieczy Ci w pełni bloga ale stanowi kolejny element który jest utrudnieniem dla chcących się dostać z zewnątrz.
6. ReCaptcha od google
Usługa od Gooole, która pozwoli Ci zabezpieczyć formularze kontaktowe przed spamem.
Instalacja reCaptcha jest banalnie prosta wystarczy, że zarejestrujesz się tutaj:
https://www.google.com/recaptcha/about/
i ściągniesz wtyczkę reCAPTCHA dla wordpress.
Całość konfiguracji opiera się na wygenerowaniu dwóch kluczy i dodaniu ich do wtyczki.
Następnie wystarczy dodać odpowiedni dla konkretnego formularza tag recaptcha.
Każdy z formularzy jak np. Contact Form 7 mają swoją wersję takiego tagu.
