/Jak zabezpieczyć wordpress’a?
Jak zabezpieczyć wordpress’a

Jak zabezpieczyć wordpress’a?

WordPress jest jednym z najpopularniejszy systemów CMS na świecie.  Jak wiadomo, to co jest popularne, oprócz przyciągnięcia rzeszy użytkowników zachęca także  osoby, ze złymi zamiarami do danego produktu. Dlatego warto zrobić wszystko by jak najbardziej utrudnić im te działania. Jak tego dokonać? Odpowiedź znajdziesz w poniższych punktach.

1. Nazwa użytkownika oraz hasło.

Częstym błędem użytkowników jakiegokolwiek serwisu jest ustawianie łatwego hasła oraz loginu, które są łatwe do zgadnięcia. Popularnym loginem  używanym przez włamywaczy jaki zdołałem zaobserwować jest admin, test oraz nazwa witryny. Podczas tworzenia go  postaraj się aby był on unikatowy. Najlepiej aby był to zlepek przypadkowych liczb, liter oraz znaków. Jeżeli chodzi o hasło, zasada jest taka sama z dodatkiem długości. Im dłuższe, tym lepiej.

Pewnie zadajesz pytanie: bezpieczeństwo bezpieczeństwem ale jak to zapamiętać? Najlepiej zapisać te parametry w swoim notesie bądź na kartce i włożyć do portfela.

2.Captcha.

Próby włamywania się na stronę często są przeprowadzane przez boty, dlatego warto zabezpieczyć się przed tym w odpowiedni sposób. Dobrym sposobem aby zminimalizować ten ruch bądź całkowicie zlikwidować jest instalacja captcha do panelu logowania. Pomocą w tym zabiegu służą nam wtyczki taki jak np. Captcha by BestWebSoft, Image Captcha bądź Super CAPTCHA Security Suite – Hardened 3D CAPTCHA.

3. Prób zalogowania się.

Podczas metod włamania się bezpośrednio przez panel logowania jest używana metoda łamania hasła słownikowo. Polega ona na próbowaniu zalogowaniu się na daną nazwę użytkownika dopasowując hasła, które włamywacz ma zapisane w swoim  słowniku haseł. Bazy te zbudowane są z setek tysięcy haseł. Bardzo często włamanie się za pomocą takiej metody kończy się sukcesem, z powodu ustawiania przez administratorów łatwych haseł. Ustawiając opcję blokowanie  próby zalogowania dla jednego adresu IP ograniczysz podatność na włamanie swojej strony. Jeżeli logujesz się ze stałego IP możesz w ustawieniach pliku .htaccess ograniczyć dostępność  do plików zaplecza tylko do tego Twojego adresu bądź całej podsieci.
Dokonasz tego w bardzo prosty sposób. Utwórz plik .htaccess o następującej treści:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Example Access Control”
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xxx.xx
W miejscu xx.xx.xxx.xx wspiszswój asres IP. Plik ten umieść w folderze WP-ADMIN

4. Panel logowania.

Domyślnie w WordPress strona logowania do panelu administracyjnego dostępna jest pod adresem twojastrona.pl/wp-admin. Każdy kto się na tym zna wie o tym. To czy masz WordPress jest łatwo sprawdzić np. poprzez spojrzenie na kod źródłowy strony. Aby zmniejszyć ryzyko przejęcia naszej strony zmień ten adres na unikalny. W tym celu pomocą może służyć Tobie wiele wtyczek. Jednym z bardziej popularnych pluginów jest Lockdown WordPress Admin. Wystarczy po instalacji w ustawieniach wpisać nową odpowiednią i znaną tylko Tobie nazwę.

5. Aktualizacja

Włamać się na stronę, można nie tylko poprzez panel logowania, ale także poprzez dziury, które występują w samym systemie bądź w wtyczkach. Dlatego Pamiętaj o jak najszybszych aktualizacjach. Ważny jest też dobór pluginów. Przed zainstalowaniem sprawdź źródło z jakiej on pochodzi oraz sprawdź opinie w internecie na temat jego  bezpieczeństwa.
Pamiętaj także aby logować się przy bezpiecznym połączeniu z internetem oraz na zaufanych urządzeniach.

6. Kopie zapasowe.

Kopie zapasowe są bardzo ważną rzeczą  o jakiej powinien  pamiętać każdy administrator stron. Pozwalają one nam w szybki sposób przywróć stronę do poprawnej wersji, a w razie włamania i zmiany zawartości do stanu jej użyteczności. Dlatego pamiętaj aby robić je jak najczęściej, najlepiej po każdej wprowadzonej zmianie oraz w godzinach wieczornych. Wtedy serwis będzie słabo obciążony dzięki czemu podczas backup’u serwer nie doświadczy dużego obciążenia. Kopie zapasową wykonuj na zewnętrzny serwer. W razie włamania na twój serwer nie doświadczysz utraty wersji zapasowych. Przydatne w tym przypadku będzie skorzystanie z możliwości jak daje nam DropBox. Możesz go wykorzystywać do przechowywania danych. Wiele instalatorów wbudowanych w konto administracyjne na serwerze daje możliwość skonfigurowania chmury DropBox’a wraz z narzędziem do tworzenia  wersji zapasowej.
TAGS: