PORADNIK & BEZPIECZEŃSTWO

Jak utrzymać bezpieczeństwo strony opartej na WordPress

23 Maj 2019

WordPress jest najpowszechniejszym w Internecie systemem zarządzania treścią. Jest łatwy i prosty w obsłudze i darmowy, do tego z sieci można pobrać za darmo wiele wtyczek, rozbudowujących jego mozliwości. Szacuje się, że ponad 25 proc. stron internetowych działa w WordPress. Niestety, jego popularność sprawia, że jest też jednym z najczęściej atakowanych przez hakerów. Oto kilka wskazówek, jak zadbać o bezpieczeństwo WordPressowej strony.

 

Aktualizacje

Aktualizowanie na bieżąco zarówno systemu operacyjnego, jak i oprogramowania użytkowego jest podstawową zasadą bezpieczeństwa. Dotyczy to oczywiście także WordPressa. Jego aktualizacje pojawiają się stosunkowo często z uwagi na popularność, a co za tym idzie – wciąż nowe metody hakerskie. Na stronie WordPress Codex dostępna jest bieżąca lista aktualizacji, ponadto informacje o nowej wersji pojawiają się każdorazowo w panelu administracyjnym. Użytkownik ma również możliwość zainstalowania wtyczki, dzięki której powiadomienia o dostępnej aktualizacji przychodzą na wskazaną pocztę elektroniczną.

Warto jednak ułatwić sobie życie, korzystając z aktualizacji automatycznej, wbudowanej w oprogramowanie. Trzeba ją tylko odpowiednio skonfigurować, edytując główny plik konfiguracyjny wp-config.php i definiując dyrektywę: WP_AUTO_UPDATE_CORE.

 

Logowanie

Odpowiedni login, silne hasło i dwustopniowa autoryzacja są zasadniczymi elementami bezpieczeństwa strony. Nie należy zatem podawać nazwy „admin” jako loginu. Jest ona pospolita i najłatwiejsza do złamania. Warto natomiast zainstalować wtyczkę, zamieniającą automatycznie login z nazwy użytkownika na adres e-mail, który przypisany jest do strony. Wystarczy po instalacji wylogować się ze strony, a następnie ponownie się zalogować już za pomocą adresu e-mail.

Hasło musi być silne, czyli:

  • Musi zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry i znaki specjalne
  • Nie może być powiązane z loginem, imionami użytkownika i jego bliskich, imionami jego zwierząt, datą urodzenia, adresem zamieszkania, numerem telefonu, PESEL i innymi danymi, które mogą być znane osobom trzecim
  • Nie może stanowić jakiejkolwiek sekwencji klawiszy na klawiaturze komputera: w prawo, w lewo, w górę, w dół czy po skosie, ani też następujących po sobie według tej samej zasady

Oprócz unikatowego loginu i silnego hasła ważna jest dwuetapowa autoryzacja (2FA). Dokonuje się jej w panelu logowania. Polega ona na wprowadzeniu dodatkowej, ściśle poufnej informacji, znanej jedynie użytkownikowi. Najlepszym rozwiązaniem jest token, generujący kilkucyfrowe kody jednorazowe, podobne do kodów, przesyłanych wiadomością sms podczas dokonywania transakcji bankowych z konta internetowego. Wystarczy zainstalować wtyczkę Google Authenticator, zarówno na stronie, jak i w smartfonie, gdzie będą się wyświetlać kody.

 

Zarządzanie treścią

Bezpieczeństwo zarządzania treścią WordPressową zapewni wtyczka Wordfence. Zawiera ona m.in. firewall, skaner plików, a także umożliwia ochronę przed atakami brute force. Zapewnia również ochronę przed linkami z czarnej listy Google – użytkownik otrzyma komunikat o pojawieniu się podejrzanego linku w plikach, treści lub komentarzach. Na bieżąco jest też aktualizowana ochrona przed wirusami, malware i innymi atakami.

Zabezpieczenia Wordfence można rozszerzyć, instalując dodatkowo prostą do skonfigurowania wtyczkę All In One WordPress Security. Dzięki niej użytkownik otrzymuje informację o jakości aktualnych zabezpieczeń strony i ewentualne sugestie odnośnie ich wzmocnienia, np. możliwości ustawienia limitu logowań z jednego urządzenia (adresu IP), weryfikacji uprawnień, dodania opcji captcha do logowania, ustawienia okresowego wykonywania kopii zapasowych, itp. Wtyczka umożliwia wdrożenie tych rozwiązań.

Wykonywanie kopii zapasowych jest bardzo ważnym elementem ochrony treści, bowiem może ona zostać utracona nie tylko na skutek ataku, ale również błędu samego użytkownika – np. zainstalowania nieodpowiedniej wtyczki, odinstalowania szablonu lub przypadkowego usunięcia kodu strony. Do wykonywania backupów przeznaczona jest spora liczba darmowych wtyczek, np. UdraftPlus, która po utworzeniu pełnej kopii zapasowej wysyła ją na serwer lub pocztę. Dla bardziej wymagających użytkowników przeznaczone są rozwiązania płatne, jak VaultPress by Automattic, które tworzy backup co pół godziny, a dodatkowo wykrywa złośliwe oprogramowanie. Kosztuje 39 euro rocznie.

 

Szyfrowanie danych

Jest to kolejny sposób na zwiększenie bezpieczeństwa strony. Certyfikat SSL (Secure Socket Layer) umożliwia przepływ danych z urządzenia użytkownika do serwera bez przerwania go lub zafałszowania informacji przez hakera. Certyfikat można uzyskać samodzielnie i bezpłatnie, generując go ze strony https://letsencrypt.org lub poprosić o niego dostawcę hostingu.

Certyfikat SSL nie tylko zapewnia bezpieczny transfer danych, ale także podnosi pozycję strony w Google.

Autor: Konrad Bielawski, Specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.

0 komentarzy

Wyślij komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Dołącz do naszej społeczności.