Bezpieczeństwo WordPressa

Wielu użytkowników narzeka na bezpieczeństwo WordPressa, a obiegowa opinia głosi, że skrypty oparte na licencji open source są mniej odporne na różnego rodzaju hackerskie ataki. W niektórych przypadkach jest to rzeczywiście prawda, ale na pewno nie jest to wina WordPressa, a co więcej, w przypadku większości oprogramowania open source rzeczy mają się zupełnie odwrotnie.

Niestety najczęściej za ataki hackerskie na witrynę odpowiadają jej użytkownicy. Jako użytkownik musimy pamiętać, że w dużej mierze to właśnie MY odpowiadamy za jej bezpieczeństwo. Należy więc zadać sobie następujące pytanie: Co JA mogę zrobić, aby zabezpieczyć swoją stronę przed atakami?

Poniżej postaram się udzielić kilku krótkich rad, które choć dla niektórych użytkowników są oczywiste, w dość prosty sposób mogą pomóc Ci w zabezpieczeniu swojej strony w WordPressie:

1. Pamiętaj o aktualizacjach

Aktualizacje, oprócz ulepszeń funkcjonalności, obejmują poprawę zabezpieczeń, poprzez naprawę bugów i eliminację luk w zabezpieczeniach. Pamiętaj więc o regularnej aktualizacji WordPressa oraz wszystkich swoich wtyczek i skórek.

2. Pamiętaj o kopii zapasowej

Jest to istotna sprawa, którą należy wziąć pod uwagę na wypadek (odpukać w niemalowane drewno) udanego ataku hackerskiego. Taki atak może spowodować nieodwracalne uszkodzenie zawartości witryny, a w takim wypadku posiadanie kopii zapasowej pozwoli nam łatwo przywrócić utraconą zawartość. W przypadku witryn w WordPressie istnieje wiele opcji wykonania kopii zapasowej i aby dowiedzieć się na ten temat więcej, można na przykład zwrócić się do jednego z dostawców usług hostingowych na rynku, takich jak Servizza (https://servizza.com/).

3. Dostosuj ustawienia blokowania strony i banów użytkownika

Blokowanie strony po nieudanym loginie może być świetnym rozwiązaniem w celu ograniczenia liczby ataków typu brute force przy pomocy algorytmu siłowego. Po zastosowaniu takiego rozwiązania, podczas próby zhackowania strony, po kilku nieudanych próbach wprowadzenia hasła strona zostaje zablokowana, a administrator otrzymuje powiadomienie o próbie nieautoryzowanego dostępu. Implementację takiej funkcji w WordPress umożliwia kilka wtyczek, z których warto wymienić na przykład Login lockdown.

4. Wykorzystaj uwierzytelnianie dwuskładnikowe

Kolejnym ciekawym sposobem zapobiegania atakom jest uwierzytelnianie dwuskładnikowe, w którym użytkownik podczas logowania musi podać dane składające się z dwóch różnych komponentów. Administrator strony może wybrać czy oprócz standardowego hasła będzie to na przykład dodatkowe pytanie, kod, ciąg znaków, lub inny identyfikator. Jedną z popularniejszych wtyczek umożliwiających wykorzystanie tej funkcji jest np. Two Factor Authentication.

5. Zamiast standardowego loginu wykorzystaj do logowania adres email

Login jest domyślnie stosowaną nazwą użytkownika. Natomiast wykorzystanie adresu email to znacznie lepsze zabezpieczenie. Powód jest prosty – loginy są najczęściej mniej złożone i bardziej przewidywalne niż nazwy stosowane w adresach email, co utrudnia “zgadnięcie” hasła algorytmowi podczas ataków typu brute force.

6. Zmień adres logowania.

Domyślnie dostęp do URL strony logowania można uzyskać po dodaniu do adresu strony głównej sufiksu wp-login.php lub wp-admin. Taki łatwy dostęp do strony logowania także zwiększa prawdopodobieństwo ataków siłowych. Zmianę domyślnego adresu strony logowania można dokonać na przykład za pomocą wtyczki iThemes Security.

7. Zadbaj o hasło

Pobaw się nieco hasłem witryny i zmieniaj je w regularnych odstępach czasu. Pamiętaj o odpowiednio trudnej kombinacji znaków (litery duże i małe, cyfry i znaki specjalne). Możesz zrobić to samemu lub skorzystać z jednego z generatorów haseł, np.

8. Zabezpiecz panel administracyjny

Dla hackera atrakcyjny może być dostęp do panelu administracyjnego strony, który z racji stosowanych w nim zabezpieczeń jest najlepiej chroniony, ale udany atak na tę część witryny może narobić bardzo dużo szkody. Jednym ze sposobów na zabezpieczenie katalogu wp admin jest zastosowanie osobnego hasła. W ten sposób dostępu do panelu będą w rzeczywistości chronić dwa hasła – hasło logowania i hasło dostępu do panelu administratora. Oprócz tego warto też zastanowić się nad dostosowaniem odpowiednich uprawnień dostępu do poszczególnych składników panelu administracyjnego. Do zabezpieczenia tego obszaru witryny doskonale nadaje się na przykład wtyczka AskApachePasswordProtect, która oprócz innych funkcji oferuje automatyczne generowanie i szyfrowanie hasła oraz ułatwia konfigurację uprawnień dostępu do plików katalogu.

9. Korzystaj z SSL

Implementacja szyfru SSL zapewnia bezpieczne przesyłanie danych pomiędzy użytkownikami przeglądarek a serwerem utrudniając hakerom dostęp do przesyłanych treści. Otrzymanie certyfikatu SSL nie jest trudne. Można go zakupić od jednej z dedykowanych firm lub ewentualnie porozmawiać na ten temat ze swoim dostawcą hosta (często jest to element pakietów hostingowych – na przykład oferowanych przez firmę hostingową Servizza). Certyfikat SSL spowoduje też, że Twoja strona znajdzie się wyżej w wynikach wyszukiwania Google, co dla Ciebie oznacza lepszy ruch sieciowy ­– same korzyści.

10. Przyglądaj się kontom użytkowników

W przypadku obsługi złożonego bloga w WordPressie konieczne jest zapewnienie dostępu do panelu administracji kilku osobom. Można wtedy na przykład skorzystać wtyczki takiej jak Force Strong Passwords, aby lepiej monitorować w jaki sposób logują się poszczególni użytkownicy i że hasła przez nich stosowane są bezpieczne.