Spis treści
Wbrew obiegowym opiniom zabezpieczenie WordPressa przed włamaniem nie jest wcale takie trudne i nie wymaga specjalistycznej wiedzy. Należy jedynie wykonać 10 prostych kroków. Część z nich wykonujemy raz, część mamy na uwadze non stop i pamiętamy o nich cały czas, dopóki używamy WordPressa, a część musimy po prostu zaakceptować.
Jakie to są kroki?
Wtyczka z dwustopniową weryfikacją
Pierwszą wtyczką, jaką będziesz instalować na WordPressie, musi być wtyczka o dwustopniowej weryfikacji. Po jej instalacji w WordPress w momencie logowania będzie wymuszać podanie dodatkowego kodu zabezpieczającego, który będzie wyświetlany np. w aplikacji Google, dzięki czemu nikt, kto pozyska nieautoryzowany dostęp do Twojej strony, Twój login i hasło nie będzie w stanie się na nią zalogować, ponieważ będzie musiał podać kod, do którego dostęp będziesz miał tylko Ty w swojej aplikacji generującej kody autoryzacyjne. Link do wtyczki znajdziesz w opisie tego podcastu.
Wyłączona rejestracja użytkowników
Wyłącz rejestrację użytkowników. Jako właściciel strony to Ty masz decydować o tym, kto uzyska do niej dostęp. Musisz posiadać pełną kontrolę nad tym, kto jest użytkownikiem w Twoim WordPressie, przydzielając dostępy, będziesz mieć pewność, że dostęp do niego posiada tylko ta osoba, która powinna posiadać w tym miejscu. Ważna uwaga – bardzo często obserwuję sytuację, w której właściciele stron przesyłają wszystkim zainteresowanym swój login i hasło – to duży błąd. Twój dostęp do WordPressa ma być tylko i wyłącznie Twoim dostępem do WordPressa. Nie możesz loginu i hasła przesyłać innym osobom. Na szczęście jeżeli zastosujesz się do porady numer jeden, to nawet jak komuś wyślesz login i hasło, to taka osoba nie będzie w stanie się zalogować, ponieważ będzie musiała podać kod autoryzacyjny, które zostanie wyświetlony na Twojej aplikacji Google, która takie kody generuje. Niezależnie jednak od tego czy wgrałeś wtyczkę do dwustopniowej autoryzacji – pamiętaj, koniecznie – wyłącz rejestrację użytkowników. To Ty masz decydować o tym, kto uzyska dostęp do twojego WordPressa.
Aktualizacja systemu
Dbaj o aktualizację systemu, aby WordPress był należycie zabezpieczony, musisz go na bieżąco aktualizować do najwyższej wersji i nie ma tutaj miejsca na żadną taryfę ulgową.
Jak tylko pojawi się nowa, stabilna wersja, to pierwszą rzeczą, którą musisz zrobić jest aktualizacja odpowiedniego elementu (silnika, wtyczki).
Zaufane wtyczki
Instaluj tylko takie wtyczki, którym ufasz. Stronę na WordPressie może postawić osoba, która nie ma żadnego doświadczenia. Ma to swoje plusy, ale także minusy, ponieważ często zdarza się, że instalowane są dodatki do WordPressa, które nie pochodzą z zaufanych źródeł. Pobierając wtyczkę z jakiejś nieznanej strony, ryzykujesz tym, że ta wtyczka może być zmodyfikowana i w momencie jej zainstalowania zainfekujesz sobie swoją stronę złośliwym kodem. Dzięki czemu np. haker będzie mógł wyczyścić ją albo też stworzyć z niej swoje zaplecze, dzięki któremu będzie pozycjonował swoją stronę. Aby uniknąć takiej sytuacji, zapamiętaj – po pierwsze, nigdy nie pobieraj wtyczek z niezaufanych źródeł, a po drugie najlepiej pobieraj je bezpośrednio ze strony WordPressa lub też instaluj bezpośrednio z poziomu Twojej strony, wybierając opcję Dodaj nową wtyczkę.
Usuwanie nieużywanych wtyczek
Usuwaj wtyczki, których nie używasz. Wiele osób wychodzi z założenia, że jeżeli wyłączy jakąś wtyczkę, to nawet jak jest ona nieaktualna, to nie niesie to za sobą żadnego niebezpieczeństwa. Nic bardziej błędnego. Wyłączona wtyczka też może zaszkodzić Twojej stronie, dlatego jeżeli zależy Ci na bezpieczeństwie, zrób (po odsłuchaniu tego odcinka) analizę zainstalowanych wtyczek i usuń te, których nie używasz.
Aktualizacja wtyczek
Dbaj o aktualizację wtyczek. Aktualizacja WordPressa, o której mówiłem w poradzie numer 3 to tylko jeden krok do tego, aby Twój ekosystem był aktualny. WordPress jak już na pewno zdążyłeś się zorientować, składa się także ze wtyczek, które nie tylko ułatwiają życie, ale także i niosą za sobą niebezpieczeństwo włamania na stronę w sytuacji, gdy są nieaktualne. Dlatego tak jak musisz dbać o aktualizację systemu. Tak samo musisz dbać o aktualizację wtyczek. Na szczęście twórcy WordPressa poszli użytkownikom bardzo na rękę i od pewnego czasu istnieje możliwość włączenia automatycznej aktualizacji wtyczek. Stosowną opcję znajdziesz w panelu służącym do zarządzania wtyczkami. Zachęcam Cię do tego, aby jak tylko jest to możliwe w przypadku danej wtyczki włączyć taką opcję. Dzięki temu zyskasz dużo czasu, które inaczej musiałbyś poświęcić na ręczne aktualizowanie wtyczek, a tak pozwoli, żeby Word Press robił to za Ciebie, a ty zyskasz czas, który będziesz mógł wykorzystać na przykład na napisanie kolejnego artykułu na swoim blogu.
Przydzielanie dostępu do WordPressa
Jeżeli przydzielać komuś dostęp do WordPressa, wymuszaj, aby taki użytkownik logował się do niego za pomocą dwustopniowej weryfikacji. Dlaczego jest to takie ważne? No cóż, możesz przez przypadek dać komuś dostęp administracyjny i nie przydzielić mu zabezpieczenia w postaci dwustopniowej weryfikacji, przez co taka osoba – zgubi login zgubi hasło, ktoś się włamie i będziesz mieć problemy. A tak jeżeli każdy użytkownik nawet ten o najniższym poziomie dostępu, będzie musiał logować się na WordPressa, podając dodatkowy kod z aplikacji, która generuje kody zabezpieczające. Będziesz mieć dzięki temu pewność, że nikt nieautoryzowany nie uzyska dostępu do Twojej strony.
Wtyczki, które wolno działają
Nie używaj wtyczek zabezpieczających WordPressa pokroju na przykład WordPressa. Dlaczego o tym mówię? Tego typu rozwiązania nie zabezpieczają strony we właściwy sposób, mówiąc bardzo obrazowo – uruchamiają się one po prostu zbyt późno, aby zabezpieczyć Twoją stronę np. przed wstrzyknięciem złośliwego kodu. Poza tym monitoring strony powinien być robiony poza ekosystemem strony, którą badamy, a nie znajdować się na tym WordPressie, który jest monitorowany. Zdaje sobie sprawę, że to może brzmieć jak herezja, ale porozmawiaj z osobami, które pracują na WordPressie od wielu już lat i zobaczysz, co ci odpowiedzą w tej kwestii.
Dostęp do plików na serwerze
Jeżeli udostępniasz komuś dostęp do serwera, aby móc przesłać lub pobrać z niego pliki, to nigdy nie używaj FTP, tylko co najmniej połączenia typu FTPPS, a najlepiej SFTP.
Co oznaczają te skróty?
FTP to rozwiązanie, które ma już ponad pół wieku i powinno zostać zakazane do stosowania. Dlaczego? Otóż przesyłane za jego pośrednictwem pliki nie są zaszyfrowane, a login i hasło można w prosty sposób podsłuchać. Dlatego, zamiast FTP należy używać co najmniej FTPPS, które szyfruje dane dostępowe podczas połączenia z serwerem, czyli nasz login i hasło. Jednak to rozwiązanie nie szyfruje nam plików, które wciąż mogą być przechwycone i dlatego najlepiej do wgrywania plików na serwer używać jest SFTP. W porównaniu do wcześniej omówionych połączeń, połączenie typu SFTP zapewnia szyfrowanie zarówno przesyłanych plików, jak i loginu oraz hasła dostępu. Mam nadzieję, że od dzisiaj zapomniałeś o FTP na dobre, a jeżeli jakiś webmaster będzie chciał od ciebie dostęp do ftp, a to pamiętaj, aby mu nie przydzielać, tylko przydzielić co najmniej FTPPS najlepiej SFTP.
Usuwanie (niepotrzebnego) dostępu
Udzielając komuś dostęp do WordPresa lub dostęp do serwera, usuń ten dostęp tak szybko, jak tylko będzie to możliwe. Bardzo często logując się na serwer, widzę wiele połączeń typu nawet i FTP, które są aktywne na serwerze. Niektóre z nich zostały stworzone nawet jej wiele lat temu, kiedy to jeszcze poprzedni webmaster klienta dbało jego stronę. Dlatego jeżeli zleciłeś np. komuś aktualizację WordPressa i przydzieliłeś mu dostęp do strony, to zaraz po tym jak prace zostaną wykonane – pamiętaj o tym, aby po pierwsze usunąć takiej osobie dostęp do WordPressa, a także, aby usunąć dostęp do serwera. Dzięki temu będziesz mieć pewność, że ze strony takiej osoby nic złego nie możecie spotkać, nawet jeżeli jej komputer zostanie zainfekowany, a dostęp do serwera wycieknie.
—
Sprawdź już teraz, jak wyglądają te kwestie na Twoim WordPressie.