Jak zabezpieczyć stronę w wordpress

Spam, wirusy, boty, ataki hakerskie i inne zagrożenia to coś czego jesteś wstanie uniknąć w 99%
Wystarczy odpowiednio zabezpieczyć swoją stronę. Jeżeli chcesz się dowiedzieć jak to zrobić i od czego zacząć, zapraszam do artykułu.




Bezpieczeństwo to suma drobnych elementów

Najsłabszym ogniwem wszelkich zabezpieczeń i tak zawsze okazuje się człowiek. Niestety tak to już z nami jest, że głównie za sprawą lenistwa i nie zaprzątania sobie głowy błahostkami takimi jak hasła ponosimy potem dotkliwe konsekwencje.

Używanie prostych haseł lub zapisywanie ich na kartkach to zmora ale dzisiaj nie będzie o tym.
Z tego wpisu dowiesz się jak możesz w prosty sposób sprawić, że Twój blog będzie bardziej bezpieczny i odporny na niekorzystne działania z zewnątrz.

1. Zacznijmy od aktualizacji

WordPress potrafi mieć sporo dziur wykorzystywanych przez złośliwe boty lub hakerów do przejmowania kontroli nad naszymi stronami. Kończy się to najczęściej tym, że Twój blog staje się wylęgarnią malware starającymi się rozprzestrzenić na każdym urządzeniu które go odwiedzi.

Dziury są szybko łatane dlatego ważne jest aby instalować aktualizacje na bieżąco. Jeżeli tak jak ja nie zawsze o tym pamiętasz, możesz ten proces zautomatyzować.

Z innego mojego wpisu dowiesz się jak to zrobić: Jak włączyć automatyczne aktualizacje wordpress

Aktualizacje to nie tylko system wordpressa ale również wszystkie wtyczki, które masz zainstalowane. Te których nie używasz warto odinstalować. Podobnie z domyślnymi motywami, nie warto ich trzymać – nieużywane stanowią tylko zagrożenie.

2. Komentarze – wieczne źródło spamu

Komentarze na blogu to idealne miejsce na spam 🙂 dlatego pierwsze co musisz zrobić u siebie jeżeli jeszcze tego nie zrobiłeś to włączyć moderację komentarzy. Dzięki temu każdy komentarz, który pojawi się na blogu musi przejść przez Twoje ręce 🙂

U siebie rozwiązałem to tak, że wyłączyłem sekcje komentarzy we wpisach i zamiast tego zainstalowałem Diqus. Disqus to wtyczka która pozwala na komentowanie użytkownikom, którzy mają konta przypisane do tej platformy. Działa świetnie 🙂

3. Zabezpieczenie strony logowania

Pierwszym i najprostszym zabezpieczeniem dostępu do strony logowania jest zmiana ścieżki (czyli adresu do logowania)

Domyślna ścieżka to /wp-admin – dzięki prostej wtyczce możesz zmienić ją na taką którą znasz tylko Ty. Dzięki takiemu prostemu zabiegowi roboty które próbują łamać hasła do wordpress nie bedą się wstanie nawet dostać do formularze logowania.

Jaka to wtyczka i jak dokonać tej zmiany dowiesz się z innego wpisu na moim blogu, wystarczy przeszukać spis treści 😉

Kolejnym zabezpieczeniem które możesz łatwo wprowadzić jest wgranie poprzez FTP pliku .htpasswd do katalogu wp-admin. Plik ten wymusi konieczność podania loginu i hasła jeszcze przed samym logowaniem dając dodatkowe zabezpieczenie w postaci podwójnego hasła.

Hasło i login są niezależne od samego wordpressa i ustanawiasz je samodzielnie bezpośrednio w pliku htpasswd.

Edycja pliku .htaccess

Aby zabezpieczyć w ten sposób stronę logowania musisz najpierw ściągnąć i edytować swój plik .htaccess na serwerze. W tym celu zaloguj się na FTP poprzez klienta FTP i ściągnij plik .htaccess. Znajduje się on w głównym katalogu wordpressa.

Ważne: forma zapisu pliku z kropką z przodu jest widoczna tylko dla środowisk serwerowych i po ściągnięciu na dysk może być niewidoczna, dlatego korzystając z klienta FTP zmień nazwę plik z .htaccess na htacess.txt.

Po tej zmianie możesz dokonać edycji pliku w notatniku by na jego końcu dopisać coś takiego:

AuthType Basic
AuthName „Logowanie”
AuthUserFile /domains/mattbox.pl/public_html/wp-admin/.htpasswd
Require valid-user


AuthUserFile to ścieżka do pliku .htpasswd który zaraz stworzysz, dla każdego hostingu ta ścieżką będzie unikalna, musisz ją sobie podejrzeć na swoim FTP.

Po tej zmianie ponownie usuwasz txt i dodajesz . z przodu czyli powracasz do postaci pliku .htaccess

Tworzymy .htpasswd

Do stworzenia pliku możesz użyć notatnika, treść piku możesz sobie wygenerować z tego generatora:

https://hostingcanada.org/htpasswd-generator/

Po wygenerowaniu przekopiuj treść i zapisz jako htpasswd.txt aby następnie w kliencie ftp zmienić postać pliku na .htpasswd i wgrać go do katalogu wp-admin.

Dzięki powyższemu generatorowi zabezpieczysz hasło kodując je w pliku.

4. Zmiana prefiksu w bazie danych

Punkt głownie dla ich którzy jeszcze nie instalowali wordpressa.

Oczywiście w momencie kiedy masz zainstalowany system też idzie dokonać tej zmiany ale tutaj nie będę tego omawiał.

Podczas pierwszej instalacji wordpressa w kroku w którym podajesz dane do logowania znajduje się pole prefix bazy danych. Standardowo prefiksem jest wp_ i możesz go zmienić na co tylko chcesz np. moja_tabela_

Jak już wspomniałem złośliwe boty nie śpią i używają do włamań również bazy danych dokonując wstrzyknięć złośliwego kodu poprzez sql. Dlatego pozostawienie domyślnego prefiksu jest ułatwianiem im zadania, nie kosztuje to wiele a zmiana może udaremnić taką próbę.

5. Wtyczki chroniące wordpress

Dodatkowym zabezpieczeniem Twojego wordpressa będzie zainstalowanie jednej z wtyczek chroniących przed podejrzanymi zachowaniami w okół bloga.

Jedną z takich wtyczek jest Wordfence którego osobiście używam.

Darmowa wersja wtyczki rejestruje i blokuje na bieżąco ataki tzw. metodą brut force zapisując logi w panelu wtyczki. Ponadto masz dostęp do listy prób logowania zarówno tych które zakończyły się powodzeniem jak i niepowodzeniem.

Wyczka korzysta z aktualizowanej na bieżąco bazy złośliwych IP dzięki temu jest wstanie blokować najnowsze zagrożenia które pojawiają się w sieci.

Jak wszystko wordfence nie zabezpieczy Ci w pełni bloga ale stanowi kolejny element który jest utrudnieniem dla chcących się dostać z zewnątrz.

6. ReCaptcha od google

Usługa od Gooole, która pozwoli Ci zabezpieczyć formularze kontaktowe przed spamem.

Instalacja reCaptcha jest banalnie prosta wystarczy, że zarejestrujesz się tutaj:

https://www.google.com/recaptcha/about/

i ściągniesz wtyczkę reCAPTCHA dla wordpress.

Całość konfiguracji opiera się na wygenerowaniu dwóch kluczy i dodaniu ich do wtyczki.
Następnie wystarczy dodać odpowiedni dla konkretnego formularza tag recaptcha.
Każdy z formularzy jak np. Contact Form 7 mają swoją wersję takiego tagu.

Blogujesz? Mam dla Ciebie listę narzędzi które pokochasz.

Pobierz darmowy e-book.