Jak zabezpieczyć WordPress ?

Ponieważ CMS WordPress jest najpopularniejszy systemem  do zarządzania  treścią, posiada wiele funkcji które poprzez wtyczki znacznie ułatwiają jego funkcjonowanie, jest on obecnie najczęstszym obiektem ataków, skanów, oraz innych działań mających na celu złamanie, przejęcie, dostęp do konta administratora przez osoby nieuprawnione do tego. 

zabezpieczenia, wordpress, bezpieczny cms,

Jak zabezpieczyć WordPress ?
Zabezpiecz swojego Wordpressa przed zagrożeniami
Wraz z udostępnieniem jakiegokolwiek programu w internecie, narażamy się na znaczne niebezpieczeństwo uszkodzenia tego oprogramowania. Częstymi powodami działań które utrudniają nam funkcjonowanie w internecie jest chęć nauki atakującego, lub umieszczenie złośliwego skryptu, linków w celach zarobkowych, poprzez wykorzystanie twojego miejsca hostingowego, oraz domeny. Jak można spróbować zabezpieczyć CMS, przez niebezpieczeństwami z internetu ? 1) Wybranie odpowiedniego miejsca hostingowego jest o tyle ważne, że przekłada się na twoje umiejętności zabezpieczenia go przez nieautoryzowanym dostępem. Wykupując hosting, który jest zarządzany przez specjalistów, masz pewność że: serwer, który na którym działa twoje oprogramowanie jest zaktualizowany do najnowszej wersji. Posiada zainstalowane oprogramowanie antywirusowe, oraz programy ograniczające dostęp do zarządzania nim (firewall). Oprócz instalacji Wordpressa, nie potrzebujesz wykonywać dodatkowych instalacji, nie masz dostępu do logów, możliwości optymalizacji wydajności serwera. Warto zainteresować się hostingami specjalizującymi się w obsłudze Wordpressa. Wykupując VPS / serwer dedykowany, musisz go zabezpieczyć, tworząc ograniczenia dla użytkownika, zainstalować dodatkowe oprogramowanie ( firewall, antywirusa, moduły potrzebne do jego prawidłowego funkcjonowania). Decydując się jednak na takie rozwiązanie, masz również możliwość ograniczenia rodzaju połączeń, np. same https, ograniczenie dostępu, identyfikacji serwera (wyłączenie informacji o serwerze) oraz instalacji dodatkowych modów, np. http2, innych zabezpieczeń. Odpowiednia konfiguracja może znacząca wpłynąć na jego bezpieczeństwo, ponieważ zabezpieczenia w przypadku hostingu muszą być mniej restrykcyjne ze względu na innych użytkowników hostingu 2) Instalując szablon graficzny dla twojego CMS, zwróć uwagę na twórcę tego szablonu, czasami warto zastanowić się nad płatnym rozwiązaniem, które daje pewność braku furtki dostępu do twojego programu. Używając bezpłatnego rozwiązania, dobrze jest wziąć pod uwagę przyczyny dla którego zostało ono stworzone. 3) Ponieważ ten system zarządzania treścią posiada możliwość instalacji dodatkowych pluginów, weź pod uwagę dodatkowe funkcje które mogą wpłynąć na bezpieczeństwo twojego oprogramowania. Ciekawym rozwiązaniem jest Sucuri Security, dzięki któremu możesz monitorować integralność plików Wordpress, oraz zapobiegać ich modyfikacji. 4) Używaj silnego hasła administratora, ponieważ prawdopodobnie wielokrotnie ktoś będzie próbować złamać to hasło przy użyciu np. brutall force. Jeżeli ty możesz się zalogować na konto administratora, ktoś może próbować używając słowników odgadnąć to hasło, dlatego koniecznie używaj haseł składających się ze znaków specjalnych @#%^, dużych i małych liter oraz liczb. Złożoność hasła, opóźni ewentualne złamanie hasła, lub całkowicie uniemożliwi jego złamanie. 5) Zmień link logowania, standardowy link do logowania na Wordpresie to twojastrona.pl/wp-admin, ewentualnie rozważ zainstalowanie pluginu Two Factor Authentication, dzięki któremu będzie wymagana podwójna weryfikacja, przed logowaniem do Wordpressa 6) Ogranicz ilość możliwości nieudanych logowań do maksymalnie 3, wykorzystując plugin WordPress login limit attempts plugin, który umożliwi ci zabezpieczenie konta administratora przed atakami typu BrutalForce. 7) Zawsze aktualizuj CMS do najnowszej wersji tak aby, w przypadku wykrycia błędu zabezpieczeń w Wordpresie, miał najnowszą wersję, pozbawioną już tego błędu. Warto jest ograniczać ilość zainstalowanych pluginów, oraz zawsze je aktualizować, jeżeli dany plugin dawno nie uzyskał aktualizacji rozważ odinstalowanie go. Oprócz wyżej wymienionych możliwości, istnieją również zabezpieczenia z wykorzystaniem .htaccess. Ponieważ Wordpress daj ci nieograniczone możliwości, rozważ czy oprócz pluginów poniższe zabezpieczenia sprawdzą się w twoim przypadku. ( wszystkie wpisy należy umieścić w pliku .htaccess pod istniejącymi już wpisami, pamiętaj o zrobieniu kopi zapasowej pliku) 1) Ochraniaj .htaccess order allow,deny deny from all satisfy all 2) Ochraniaj wp-config.php order allow,deny deny from all 3) Ochraniaj /wp-contents/ Stwórz oddzielny plik .htaccess w edytorze tekstowym, oraz skopiuj go do twojastrona.pl/wp-contents/ Order deny,allow Deny from all Allow from all Dzięki temu ograniczysz możliwość wgrywania plików do tego folderu do ściśle określonych typów XML, CSS, JPG, JPEG, PNG, Gif, oraz Javascript 4) Ogranicz możliwość dostępu do panelu admina tyllko dla jednego adresu IP. Stwórz oddzielny plik .htaccess w edytorze tekstowym, oraz skopiuj go do twojastrona.pl/wp-admin/ order deny,allow deny from all allow from 123.345.56.78 To ograniczenie spowoduje możiwośc do strony logowania tylko dla jednego adresu IP, w sytuacji kiedy posiadasz zmienne IP, nie będzie to dla ciebie przydatne, chyba, że chcesz każdorazowo przed zalogowaniem, zmieniać adres IP, na aktualnie posiadany przez ciebie. Linki: Sucuri Security: https://pl.wordpress.org/plugins/sucuri-scanner/ Two Factor Authentication: https://wordpress.org/plugins/two-factor-authentication/ WordPress login limit attempts plugin: https://pl.wordpress.org/plugins/wp-limit-login-attempts/