Choć WordPress jest jednym z najpopularniejszych darmowych systemów CMS, jakie dostępne są na rynku, to jednak wciąż nieco brakuje mu do bycia rozwiązaniem idealnym – złośliwe oprogramowanie nieustannie znajduje coraz to lepsze sposoby, aby wykorzystywać pojawiające się w systemie luki. Warto być świadomym tego, jakie niebezpieczeństwa czyhają na użytkowników. Co zrobić, aby uczynić swoją stronę znacznie bezpieczniejszą i mniej podatną na ataki?
CMS WordPress – dlaczego bezpieczeństwo jest tak ważne?
Poprawa bezpieczeństwa strony opartej o WordPress ma na celu nie tylko ochronę przed dostępem osób trzecich, ale również przed niebezpiecznymi skryptami, które mogą jakkolwiek naruszyć bezpieczeństwo użytkowników.
Okazuje się również, że wiele działań zabezpieczających CMS WordPress pozytywnie wpływa na optymalizację strony – także pod kątem jej widoczności w wynikach wyszukiwania. Warto wiedzieć, że dzięki poprawieniu bezpieczeństwa można nie tylko ochronić stronę, czy też znajdujących się na niej użytkowników, ale także znacznie zminimalizować ryzyko wystąpienia niepożądanych działań związanych z ingerencją innych osób.
Nie każdy zdaje sobie sprawę z faktu, iż poprawienie bezpieczeństwa CMS WordPress nie zawsze wiąże się z wykonywaniem zaawansowanych operacji, do których niezbędna jest równie zaawansowana wiedza techniczna – wiele istotnych i zarazem prostych kroków można wykonać samodzielnie.
Regularne aktualizacje
Pierwszym niezwykle istotnym sposobem, który pozwoli znacznie zwiększyć bezpieczeństwo strony opartej o system WordPress, jest wykonywanie regularnych aktualizacji. Nie warto więc wyłączać funkcji automatycznych aktualizacji do najnowszych wersji. System jest w stanie samodzielnie je pobierać i instalować – zadaniem użytkownika jest w tym przypadku wykonywanie kopii zapasowych, które mogą być szczególnie cenne, jeśli nie wszystko pójdzie zgodnie z planem. Niemniej jednak nie należy zbyt długo zwlekać z instalowaniem aktualizacji – najnowsze wersje systemu zapewniają najwyższy poziom bezpieczeństwa, minimalizując podatność strony na ataki niepożądanych osób.
Wtyczki i szablony
Wykonywanie aktualizacji systemu to nie wszystko. Nie można bowiem zapomnieć o wtyczkach i szablonach, które także podlegają możliwości uaktualnienia do nowszych wersji. Warto więc regularnie sprawdzać dostępność aktualizacji – przedawnione wersje wtyczek i szablonów mogą stanowić zagrożenie dla całej strony. W przypadku, kiedy pojawi się możliwość pobrania i zainstalowania uaktualnienia, WordPress powiadomi o tym użytkownika za pomocą stosownej ikony znajdującej się w kokpicie. Ciężko więc o przegapienie aktualizacji – wystarczy jedynie zwracać uwagę na to, co podpowiada sam system.
Warto również zdawać sobie sprawę z zagrożeń czyhających na użytkownika, który decyduje się instalować wtyczki z nieznanych źródeł. Najlepiej stawiać jedynie na sprawdzone i aktualizowane pluginy – dzięki temu można mieć pewność, że do systemu nie dostaną się niepożądane pliki. Dobrą praktyką jest także usuwanie tych rozwiązań, z których już się nie korzysta – piętrzące się wyłączone wtyczki lub nieużywane motywy powinny znaleźć się w koszu.
Informacje dotyczące bazy danych
Niezwykle istotnym krokiem, jaki należy podjąć, chcąc uchronić swoją witrynę przed czyhającymi na nią zagrożeniami, jest ukrycie informacji dotyczących bazy danych – mowa tutaj o loginach i hasłach, które zapisane są w pliku wp-config.php. Dlaczego jest to tak istotne? Otóż w momencie, kiedy na serwerze znajdzie się złośliwe oprogramowanie poszukujące sposobu na połączenie się z bazą danych, kluczowe staje się utrudnienie znalezienia niezbędnych informacji. Można to zrobić, przenosząc dane o bazie do innego pliku – w tym celu należy zastąpić sekcję:
define('DB_NAME', 'nazwa_bazy_danych');
define('DB_USER', 'nazwa_uzytkownika_bazy_danych');
define('DB_PASSWORD', 'haslo_uzytkownika_bazy_danych');
define('DB_HOST', 'localhost');
jedną linijką kodu:
require_once "wp-config-database.php";
Dane dotyczące bazy danych należy z kolei przenieść do nowego pliku utworzonego na serwerze, którym w tym przypadku jest wp-config-database.php. Oprogramowanie poszukujące ważnych dla siebie informacji charakteryzuje się innym sposobem działania niż człowiek – jeśli w pliku wp-config.php nie znajdzie tego, czego szuka, prawdopodobnie nie będzie w stanie dostać się do interesujących danych. Chcąc jeszcze bardziej zwiększyć bezpieczeństwo pliku z informacjami niezbędnymi, aby zalogować się do bazy danych, dobrym pomysłem jest wyniesienie pliku wp-config-database.php poza główny katalog strony. Koniecznie należy jednak pamiętać o zmienieniu prowadzącej do niego ścieżki!
Ochrona adresu logowania do panelu
Zmiana adresu logowania do panelu WordPress pozwoli natychmiastowo zwiększyć bezpieczeństwo witryny. Nic w tym dziwnego – większość stron opartych o CMS WordPress pozwala zarządzać treścią po załadowaniu podstrony wp-admin. Dobrą praktyką jest więc zmiana tego adresu na inny, który będzie znacznie mniej oczywisty dla osób trzecich chcących uzyskać dostęp do strony.
Zmianę adresu można wykonać w bardzo łatwy sposób – jedyne, co należy zrobić, to zainstalować wtyczkę WPS Hide Login. Konfiguracja pluginu jest bardzo prosta, wobec czego bez najmniejszego problemu poradzi sobie z nią niemalże każda osoba. Po dostosowaniu wtyczki do własnych preferencji logowanie do panelu będzie odbywało się za pomocą nowego adresu.
Nieco bardziej zaawansowanym sposobem na zabezpieczenie strony logowania jest użycie do tego celu pliku .htaccess, a także odwołanie do pliku .htpasswd – w ten sposób dostęp do katalogu będą miały jedynie konkretne adresy IP lub osoby, które znają login oraz hasło.
Certyfikat SSL
Od pewnego czasu certyfikat SSL nie tylko chroni dane użytkowników za pomocą szyfrowania, ale również wpływa na pozycję witryny w wynikach wyszukiwania. Chcąc więc, aby strona zajmowała wyższe miejsce, należy pamiętać o instalacji i aktywacji certyfikatu SSL. W dużej ilości przypadków wystarczający będzie darmowy certyfikat Let’s Encrypt. Koniecznie należy jednak pamiętać o podmienieniu linków w bazie danych z http na https. Do tego celu można użyć wtyczki Easy HTTPS Redirection (SSL), która zautomatyzuje cały proces.
Dwuetapowa weryfikacja
Coraz większa ilość serwisów wymaga od użytkowników dwuetapowej weryfikacji. Nie bez powodu – w takim przypadku atakującemu znacznie ciężej jest przejąć kontrolę nad stroną. Dlaczego? Otóż dwuskładnikowe uwierzytelnianie wymaga podania konkretnej informacji lub wykonania dodatkowej operacji w celu zautoryzowania logowania. Nierzadko niezbędne jest kliknięcie w link otrzymany na skrzynkę mailową lub podanie kodu z wiadomości SMS – mowa więc o takich informacjach, do których nie mają dostępu osoby trzecie, próbujące dostać się nie na swoje konto.
Zmiana domyślnego prefiksu
Nie jest tajemnicą, że podczas instalacji CMS WordPress domyślnym prefiksem dla bazy danych jest wp_. Chcąc jednak zwiększyć bezpieczeństwo strony zaleca się jego zmianę – używając domyślnego prefiksu można w łatwy sposób narazić swoją bazę danych na ataki SQL Injection. Aby temu zapobiec, wystarczy zmienić prefiks na jakiś inny, wyjątkowy.
Wyłączenie edytora motywów i wtyczek
Użytkownicy, którzy nie korzystają z edytora motywów i wtyczek powinni zdecydować się na jego wyłączenie – dzięki temu zmiany na plikach będą mogły wykonywać jedynie osoby, które posiadają dostęp do serwera FTP.
Edytor motywów i wtyczek wyłączyć można poprzez dodanie do pliku wp-config.php następującej linijki kodu:
define('DISALLOW_FILE_EDIT', true);
Wyłączenie funkcji rejestracji
Dobrą praktyką pozwalającą zwiększyć bezpieczeństwo witryny opartej o CMS WordPress jest wyłączenie funkcji rejestracji kont. W bardzo łatwy sposób można to zrobić w ustawieniach – w tym celu wystarczy odnaleźć zakładkę ustawienia ogólne, a następnie członkostwo.
Po wykonaniu tych kroków nowi użytkownicy, którzy znajdą się na stronie, nie będą mogli się już rejestrować – dzięki temu niepożądane osoby nie przejmą kontroli nad witryną, tworząc konto nowego administratora. Co więcej, w ten sposób można również uniknąć zagrożenia związanego z masową rejestracją kont, co mogłoby doprowadzić do zablokowania usługi przez usługodawcę.
Silne hasło i indywidualny login
W trakcie instalacji CMS WordPress należy zdefiniować login, który umożliwia logowanie się do kokpitu. Standardowym loginem jest „admin”, dlatego chcąc zwiększyć bezpieczeństwo swojej strony, dobrym rozwiązaniem będzie zmiana tej nazwy na inną – indywidualną.
Nie można również zapomnieć o niezwykle istotnej kwestii, jaką jest silne hasło, które stanowi podstawowy element umożliwiający autoryzację. Jeśli wybrane hasło będzie zbyt słabe – innym użytkownikom stosunkowo łatwo będzie przejąć kontrolę nad stroną. Koniecznie należy więc zadbać o to, aby wybrane hasło było silne i bezpieczne.
Dobrym wyborem może także okazać się skorzystanie z wtyczki Loginizer, która pozwoli ochronić stronę przed atakami brute-force.
Dodatkowe sposoby na zwiększenie bezpieczeństwa
Wartym uwagi pluginem do CMS WordPress jest między innymi Shield Security. Wtyczka ta została nawet wspomniana w oficjalnej dokumentacji WordPressa – oferuje szereg możliwości, z czego niezwykle istotną jest wykrywanie dużej ilości połączeń w krótkim czasie.
WP All In One Security & Firewall pozwoli z kolei w łatwy sposób sprawdzić najczęstsze podatności i zautomatyzować wdrażanie poprawek. Warto jednak dokładnie zapoznać się z opcjami, które oferuje ta wtyczka, bowiem nie każda rekomendacja faktycznie zasługuje na włączenie – niekiedy bez odpowiedniej konfiguracji łatwo o przeciążenie hostingu czy też spowolnienie bazy danych.
Niezależnie od tego, jak wiele kroków podejmie się w celu zwiększenia bezpieczeństwa strony internetowej, nie można zapomnieć, jak istotne jest wspomniane już wcześniej odpowiednio silne hasło, które często jest wystarczające, aby uniemożliwić atak brute-force – nawet bez stosowania dodatkowych zabezpieczeń.
Jeżeli nie dysponujesz odpowiednią ilością czasu bądź nie czujesz się na siłach, aby samemu zabezpieczyć swoją stronę samemu, to serdecznie zapraszamy do skorzystania z naszej usługi administracji stron internetowych WordPress
