Wiele osób twierdzi, że zabezpieczenie WordPressa to uciążliwe zadanie. Z powodu różnych form ataków złośliwych botów, jedna metoda nie wystarczy, by skutecznie uchronić się przed szkodliwymi wirusami na stronie internetowej. W tym poradniku przedstawiam skuteczne sposoby na stworzenie bezpiecznego i wolnego od ataków serwisu.
Nawet jeśli hosting wykonuje kopie za Ciebie, zawsze warto mieć własny backup. Możesz napotkać bowiem problemy z przywróceniem kopii z poziomu serwera. Wtyczki do WordPressa, takie jak UpdraftPlus czy WPvivid, umożliwiają automatyczne tworzenie kopii zapasowych, które mogą być wysyłane na inny serwer.
Przeczytaj więcej o tworzeniu kopii zapasowych w WordPressie.
Regularne aktualizacje systemu CMS są kluczowe dla zabezpieczenia strony, ponieważ nie tylko wprowadzają nowe funkcje, ale przede wszystkim zawierają istotne poprawki bezpieczeństwa. Pamiętaj również o aktualizowaniu wtyczek i szablonów, które są często celem ataków hakerskich. Utrzymywanie ich w najnowszej wersji znacznie zmniejsza ryzyko zagrożeń.
Przeczytaj więcej o aktualizacjach strony internetowej opartej na WordPress.
Standardowe adresy URL do logowania w WordPressie (np. /wp-login.php lub /wp-admin/) są dobrze znane i mogą być celem ataków brute-force.
Możesz zmniejszyć ryzyko, zmieniając je za pomocą wtyczek, jak np. WPS Hide Login. Pozwala to także na ograniczenie liczby prób logowania i blokadę użytkownika na określony czas. Warto wykazać się tutaj kreatywnością i stworzyć unikalny adres logowania, który będzie trudny do odgadnięcia.
Kolejną metodą jest zmiana nazwy użytkownika. Wiele osób wykorzystuje tutaj login o nazwie admin lub administrator. Ułatwiają tym samym robotę potencjalnym włamywaczom.
Po instalacji WordPressa mamy do dyspozycji kilka podstawowych motywów. Developerzy natomiast korzystają ze swoich ulubionych rozwiązań, do których są przyzwyczajeni. Zdarza się tym samym, że Twoja strona posiada wiele zainstalowanych szablonów i wtyczek, których nie używasz.
Warto odinstalować niewykorzystywane wtyczki, ale też takie, do których zaglądasz sporadycznie. Usunięcie niepotrzebnych elementów zmniejsza ryzyko i nie ułatwia życia hakerom oraz złośliwym robotom.
WordPress posiada plik konfiguracyjny o nazwie wp-config.php, w którym zawarte są wrażliwe informacje na temat Twojej witryny. Znajdziesz w nim między innymi hasło, login oraz nazwę bazy danych. Jeśli te informacje zostaną wykradzione, możesz paść ofiarą ataku hakerskiego.
Z reguły wirusy, które zostają wszczepione w bazę danych są trudniejsze do usunięcia niż infekujące pliki systemowe (tych pozbędziesz się przez edycję plików szablonu)
Warto więc zabezpieczyć swój wp-config.php przed niechcianym dostępem.
Zrobisz to za pomocą reguły w pliku .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
Bazę danych możesz dodatkowo zabezpieczyć przez zmianę domyślnego ciągu znaków występującego w nazwach tabel. WordPress ustawia tutaj zwykle prefiks wp_. Zmiana go wymaga jednak znajomości języka SQL, stąd lepiej pozostawić to specjalistom.
Złośliwe boty wykorzystują specyficzne aspekty platformy WordPress, by wejść w głąb plików lub dostać się do bazy danych. Oto najpopularniejsze metody wykorzystywane przez twórców złośliwego oprogramowania:
Jeśli Twoja strona internetowa stała się ofiarą ataku złośliwego bota, usunięcie wirusa może nie być proste. Korzystając z opieki nad stroną internetową, masz pewność, że wszelkie złośliwe skrypty zostaną usunięte.
Badania WPwhiteSecurity z 2019 roku wykazały, że Wordfence, jedna z popularniejszych wtyczek do zabezpieczania WordPressa, znajdowała się wśród czterech najbardziej podatnych na ataki.
Mimo to, wtyczki takie jak Wordfence, czy iThemes Security, dostępne również w płatnych wersjach, są często rekomendowane ze względu na łatwość instalacji i bogactwo funkcji. Jednak każda dodatkowa wtyczka może obniżać wydajność CMSa i stwarzać nowe luki bezpieczeństwa.
WordPressa możesz w skuteczny sposób zabezpieczyć, stosując sposoby opisane we wcześniejszej części tego poradnika. Sam nie jestem fanem instalowania pluginów bezpieczeństwa, które posiadają wszystkie funkcje w jednym.
Jestem raczej zwolennikiem dedykowanych rozwiązań, w zależności od problemów, z którymi boryka się dana witryna. Instalowanie wszystkiego według tego samego schematu może obciążyć całą stronę, znacznie spowalniając jej działanie.
Wypełnij poniższy formularz - odezwę się do Ciebie, by porozmawiać o Twojej stronie internetowej.