Zapytaj o ofertę już teraz! 791-557-343 biuro@erwd.pl

Bezpieczeństwo WordPress to podstawa!

Bezpieczeństwo WordPress

Ten wpis będzie poświęcony bezpieczeństwu, czyli jak nie dać się zhakować? Wierzę w to, że ten prosty artykuł pomoże zrozumieć podstawy bezpieczeństwa.

#1 Hosting

Ponad 40% ataków na WordPress zostaje uskutecznionych przez lukę zabezpieczeń hostingu.

Jaki hosting wybrać?

Przy wyborze hostingu warto zwrócić uwagę na:

  • Opinie użytkowników
  • Support dla użytkowników
  • Używaną wersję PHP
  • Politykę backupów
  • Separację różnych domen
  • Zabezpieczenia przeciw atakom DDoS
  • Połączenie SFTP

Co możesz zrobić sam?

  • nie używaj nazwy domeny jako login ani hasło
  • ustaw mocne hasło dla konta w hostingu, min. 8 znaków w tym przynajmniej 1 cyfra, 1 znak specjalny i 1 wielka litera

Nie zapominaj o porządku na serwerze

Zapominając o porządku na serwerze, sam się gubisz w tym co na nim masz, dzięki czemu łatwiej jest ukryć na nim malware czyli szkodliwy lub uciążliwy typ oprogramowania. Dlatego stosuj się do tych 4 zasad:

  • Twórz osobne bazy danych dla każdej ze stron
  • Stosuj separację dla każdej ze stron
  • Wymyśl strukturę katalogów, dzięki czemu utrzymasz porządek
  • Nie używaj serwera hostingowego do przechowywania różnych plików

#2 Serwer gotowy, instalujemy WordPress’a

Zalecane jest nie używanie automatycznych instalatorów

  • Po pierwsze chcemy się wyróżnić, a nie upodobnić do pozostałych.
  • Po drugie chcemy wiedzieć co instalujemy.
  • Po trzecie chcemy mieć kontrolę nad plikami

Kilka sugestii dotyczących tworzenia bazy danych…

  • oczywiście tworzymy osobną bazę danych dla każdej strony,
    najlepiej bez dostępu zdalnego
  • nazwa użytkownika bazy danych nie może być taka sama jak nazwa bazy danych
  • używamy mocnego hasła

… i kilka sugestii dla instalacji WP

  • stosujemy trudny prefiks tabel, najlepiej inny niż dla pozostałych stron internetowych
  • podajemy unikalną nazwę użytkownika… nie, admin nie jest taką nazwą!
  • tak jak w przypadku bazy danych, używamy mocnego hasła

#3 Dobre praktyki po instalacji CMS

Aktualizujemy na bieżąco

  • CMS (System Zarządzania Treścią) czyli nasz WordPress
  • motywy, wtyczki i inne dodatki
  • usuwamy wtyczki oraz jej pozostałości z serwera w przypadku kiedy z niej nie korzystamy
  • usuwamy również tematy, z których nie korzystamy, jednak pamiętajmy o pozostawieniu przynajmniej 1 domyślnego dla WordPress (może być pomocny w przypadku awarii naszego szablonu)
  • instalacja certyfikatu SSL

Czy wiesz, że:

ok. 30% ataków na WordPress kończy się powodzeniem przez podatność motywu na ataki, a nie wiele mniej bo ok. 20% przez podatność wtyczek?

Bądź ostrożny i uważaj skąd pobierasz!

Wielu z nas kusi pobranie płatnego motywu czy wtyczki, za darmo… Jednak może to się okazać bardzo kosztowne. Dlatego korzystaj tylko ze sprawdzonych źródeł, bo nigdy nie masz pewności czy nie pobierzesz jakiegoś malware, które narobi szkód na Twojej stronie.

#4 Pamiętaj o kopiach bezpieczeństwa (backup)

Najlepszym rozwiązaniem jest wykonywanie własnych backup’ów:

  • zdalnie lub w chmurze
  • przynajmniej raz dziennie (jak najczęściej)
  • automatycznie

Codzienne zautomatyzowane tworzenie kopii bezpieczeństwa może być kluczowe w ograniczeniu strat i czasu naprawy uszkodzonej strony. Możemy skorzystać z wtyczki, która nam w tym pomoże, przykładowe pierwsze 3 po wpisaniu słowa ‚backup’ w wyszukiwarkę wtyczek dla WP:

#5 Zrób to sam – zabezpiecz WP

Wygeneruj własne klucze

W pliku wp-config.php w głównym folderze instalacji WordPress’a, znajdziemy taki kod:

define('AUTH_KEY',         'C/)DPfqvzeoh|/oOT-J{z(V[+[Mn ++/D+`_dh9tX7LYU|?+28f_lbT=WHKF4BCM');
define('SECURE_AUTH_KEY',  '`mKd|)+^gP1s_wJ%kxP2 rXOz#/ZzjHVe~X{|GcYs1H1orEF-z<<[Ju#u:e9LRYQ');
define('LOGGED_IN_KEY',    'N^%>1>i! +hjv*>P0D5u3poBYlK(IN&**+?++tyc)(6-xDe!/N@DjLi88`$N_0}U');
define('NONCE_KEY',        '~_n.:U8$`I{=ltwys.,$%=,R:|7(=Wr0-|h,eX-D 8v_%!H_/&]&1*kF)wySt_Wj');
define('AUTH_SALT',        '8QM_2F^3Jk|yVa3w|fN ;a1dj$ioVsiqvlCz3w7d%;+xv_Pra!Q|(y*9lQ5k|fnX');
define('SECURE_AUTH_SALT', '@{Yt!-JaMVATa|etByEH6R%BM;mQmx&&Xf!D?=yn+8>vG{-l-/sG:.aPFvJ78)@i');
define('LOGGED_IN_SALT',   '|E#`+1Nbh+]C-9FgVEFe&h$lMn{dC/-x.eu-3I`s6;E+;eAMP$.G0B,e0!c2N&:w');
define('NONCE_SALT',       'wH49P{#>+v_B*SxHbS^kw`H/6a%1Hz9e*I)4IPGnlR}^ -qD#LS((H-EjS[tws~8');

Klikając w następujący link, wygenerujesz losowe klucze: GENERUJ KLUCZE

Zmień domyślną lokalizację danych do bazy danych

Również w pliku wp-config.php znajdziemy kod:

define('DB_NAME', 'nazwa_bazy');
define('DB_USER', 'nazwa_uzytkownika');
define('DB_PASSWORD', 'haslo_do_bazy');
define('DB_HOST', 'adres_do_bazy');
define('DB_CHARSET', 'utf8');
define('DB_COLLATE', '');

Dane do bazy znalezione we własnym pliku wp-config.php wytnij i wklej do innego pliku, np.: db-wp-config.php, jednocześnie pamiętając o zrobieniu odwołania do nowego pliku, umieszczając:

require_once "db-wp-config.php";

w pliku wp-config.php.

Wyłącz edytor plików w panelu administracyjnym

Jest to rozwiązanie dosyć wygodne jednak powinniśmy z niego zrezygnować dla własnego bezpieczeństwa.

W pliku wp-config.php, na samym dole dopisz następujący kod:

/* Wyłączamy edytor tekstowy */
define('DISALLOW_FILE_EDIT', true);

Zablokuj newralgiczne pliki WP

Nikt nie powinien mieć dostępu do plików, które za chwilę zablokujemy poniższym kodem, dopisując go na początku pliku .htaccess

<FilesMatch "wp-config.*\.php|\.htaccess|readme\.html">
     Order allow, deny
     Deny from all
</FilesMatch>

Plik .htaccess również znajduje się w głównym folderze WordPressa. Uwaga! Dla systemów linuksowych (potocznie pisząc) jest on ukryty, a wszystko to za sprawą „.” kropki, która poprzedza nazwę pliku.

To już jest koniec… 🙂

To już wszystko dziękuję za uwagę i proszę o wyrozumiałość, to mój pierwszy artykuł.


Komentarze sa wyłączone.

Facebook Logo eRWD.pl