+48 575 455 366

Jak zabezpieczyć WordPress

Większość z nas jest zachwycona dobrodziejstwami WordPressa, jego możliwościami edycji, ogromem wtyczek dostępnych do pobrania za darmo oraz łatwością użytkowania. Mało osób zastanawia się jednak nad bezpieczeństwem.

WordPress bywa atakowany i nie jest to zjawisko niecodzienne. Niewiele jednak osób zdaje sobie sprawę z faktu, że tak duży fan base tego oprogramowania i miliony użytkowników na całym świecie to dla pewnych osób potencjalne źródło dochodu. Mówimy tutaj o wszelkiego rodzaju hackerach, wyłudzaczach i innych mówiąc wprost – przestępcach. Jest to niestety bardzo częste zjawisko i nie trzeba nawet być w branży specjalnie długo, żeby nie zauważyć w prasie nagłówków pokroju „Atak hackerski na WordPress przez dziurawą wtyczkę” itd. Ba, wystarczy mieć kilka swoich wordpressowych stron i już bez odpowiedniej wiedzy nadarza się okazja do ataku osób trzecich.

To właśnie dlatego zabezpieczenie strony internetowej jest bardzo ważne. Żeby oszczędzić sobie nieprzyjemności, postarajmy się choć w niewielkim stopniu zadbać o bezpieczeństwo swojej witryny. Jak to zrobić? Możliwości jest wiele, ale trzeba pamiętać, że najsłabszym ogniwem jest zawsze człowiek. Zabezpieczenia WordPress to temat dzisiejszego poradnika.

Setki realizacji, tysiące rozwiązanych problemów

Skontaktuj się już teraz!

Jak zabezpieczyć stronę

Co więc zrobić, żeby Twoja strona była bezpieczniejsza? Przede wszystkim powinieneś ustalić odpowiednią politykę haseł. Oznacza to mnie więcej tyle, żeby wyrobić sobie kilka nawyków. Pierwszym z nich, nazywam go złotą zasadą: nigdy nie zapisywać swoich prywatnych haseł na kartkach, ani w notesach. Wyciek takich danych jest często równoznaczny z tym, że ktoś ma dostęp do wszystkich Twoich kont, a hasło jest na wyciągnięcie ręki. Spójrzmy prawdzie w oczy – czy do każdego jednego konta, których zapewne wszyscy mamy dziesiątki masz różne hasła? Raczej wątpliwe – a jest to jeden z wyznaczników dobrej polityki haseł.

Jak więc sobie z tym poradzić? Nie ma innej rady, niektóre hasła po prostu musimy zapamiętać, przynajmniej kilka. Później możemy skorzystać z np. wtyczek do przeglądarki, takich jak LastPass, które zapamiętają wszystko za nas. Można też zdać się na zapamiętywanie haseł w samej przeglądarce, jednak nie jestem fanem takiego rozwiązania – z doświadczenia wiem, że różnie z tym bywa. Jeżeli już koniecznie musimy zapisać jakieś dane dostępowe w pliku, to zróbmy to przynajmniej w zaszyfrowanym arkuszu Excela i wrzućmy do zabezpieczonego archiwum .rar / .zip. I te hasła musimy już pamiętać.

Jak stworzyć bezpieczne hasło?

Ile osób tyle definicji dobrego, bezpiecznego hasła. Im więcej zamków w drzwiach, tym większa szansa, że włamywacz sobie odpuści. Są również takie hasła, które są dosłownie niemożliwe do złamania bez użycia (przynajmniej) superkomputera. Polecam zastosować kilka, w sumie dobrze znanych i oklepanych metod. Bezpieczne hasło:

  1. Powinno być długie – im więcej znaków, tym lepiej,
  2. Powinno zawierać litery (małe i wielkie), cyfry i znaki specjalne – to wszystko sprawi, że algorytmy rozszyfrowujące będą mieć naprawdę trudną robotę
  3. Nie powinno zawierać imion i nazw własnych – to tylko ułatwia sprawę hackerom

Czym jest WordPress Brute Force

Aby zwiększyć bezpieczeństwo swojej strony internetowej możemy zrobić dużo więcej, niż ustalić dobre, mocne hasło. W przypadku wordpressa jesteśmy niestety narażeni na ciągłe ataki robotów, które wchodzą w link z dopiskiem „/wp-admin” i próbują się dostać do środka. Jest to tak zwany „brute force”, czyli technika łamania haseł / kluczy, która sprawdza wszystkie teoretyczne możliwości. Oto kilka porad, co zrobić, aby robotom nigdy nie udało się przebić przez mur obronny:

  • Korzystanie z innych loginów niż „admin” – nieszczęsny admin jest najczęściej atakowany przez roboty i to na nim są próbowane dziesiątki, setki najczęściej stosowanych haseł w nadziei, że ktoś popełnił błąd. Dlatego warto tworzyć innych użytkowników. Jestem pewny, że zamiast „admin” lepiej sprawdzi się „paweladmin92”.
  • Mocne i bezpieczne hasło – nie pozostawiające cienia wątpliwości, że robot się nie przedostanie. Temat opisany wcześniej.
  • Korzystanie z wtyczek bezpieczeństwa. Blokowanie IP to moja ulubiona metoda. Dla WordPressa jest wiele naprawdę solidnych wtyczek bezpieczeństwa, takich jak iThemes Security lub WordFence, które pozwalają na naprawdę wiele fajnych rzeczy. Możemy dla przykładu ograniczyć ilość możliwych prób logowania. Czyli robot wchodzi na stronę, wpisuje admin, 5 prób i już ląduje w liście zablokowanych adresów IP. Fajna sprawa, co nie? Pójdźmy krok dalej. Możemy zmienić nasze loginy, tak, że w ogóle nie będziemy mieli usera „admin” i ustalić, że każda próba zalogowania się jako „admin” od razu kończy się banem. Są to naprawdę żelazne reguły, nie pozwalające na wiele błędów ludzkich – dlatego polecam zastanowić się kilka razy, czy aby na pewno zapamiętamy login i hasło na pamięć i nie pomylimy się przy wpisywaniu.

Skontaktuj się już teraz!

Wystarczy, że wypełnisz poniższy formularz, a z przyjemnością Ci pomożemy!

    Wysyłając wiadomość wyrażasz zgodę na przetwarzanie swoich danych osobowych zgodnie z RODO (Rozporządzenie 2016/679) przez administratora danych Rekurencja.com Sp. z o.o. (NIP: 5472217092) celem przygotowania oferty. Więcej informacji znajdziesz w naszej polityce prywatności

    • Skorzystanie z Google Captcha – również polecam, jako dodatkowa metoda przeciwko robotom. Tak, wiele się mówi o skryptach, które rzekomo łamią tę technologię, jednak ja uważam, że lepiej dmuchać na zimne. Skorzystanie z captchy (zwłaszcza w wersji 3 – invisible) na pewno pomoże.
    • Zmiana adresu logowania. Fajna metoda – logowanie się do witryny zachodzi w innym miejscu niż klasyczny „wp-admin”. Sami ustalamy nowy adres i cieszymy się z tego, że ktoś nie wie o co chodzi.
    • Blokowanie dostępu do niektórych plików i folderów poprzez htaccess. To najczęściej zrobi za nas odpowiednia wtyczka, tak jak wspomniałem wcześniej. Jednak na pewno warto sprawdzić, czy aby na pewno nie pozwalamy potencjalnym hackerom na zbyt wiele.

    Regularna aktualizacja WordPressa i wszystkich wtyczek

    Powiedziałbym nawet, że bezzwłoczna. Aktualizacje WordPressa to należy kojarzyć z uciążliwymi wyskakującymi informacjami na pomarańczowo. Są to w 9 na 10 przypadków istotne poprawki zabezpieczeń, więc powinniśmy zaktualizować swój software jak najszybciej, a nawet bezzwłocznie. To samo tyczy się wtyczek. Instalacja wtyczki na stronie to tak naprawdę bardzo duży kredyt zaufania. Twórcy to bardzo często młodzi i ambitni ludzie, którzy skończywszy kilka poradników jak pisać oprogramowanie zabierają się za wtyczki wordpressowe. Niestety nie zawsze mamy pewność, że nie są one dziurawe, w sumie to nigdy.

    Dlatego dobrym wyznacznikiem są przede wszystkim: data ostatniej aktualizacji wtyczki, czy wspiera obecną wersję WordPressa, oraz globalna ilość pobrań. Zapamiętajmy raz na zawsze, nigdy nie pobieramy porzuconych wtyczek, lub nawet wyglądających podejrzanie. Nawiasem mówiąc powinniśmy zawsze dążyć w stronę redukcji wtyczek w naszym serwisie, im mniej tym lepiej.

    Automatyczne kopie bezpieczeństwa strony www

    Jak mówi klasyk, ludzie dzielą się na dwie grupy: tworzących regularnie kopie zapasowych, oraz na tych, którzy dopiero będą to robić. Ludzie z jakiegoś powodu wolą uczyć się na własnych błędach, a nie czyichś. Jest to smutne, ale prawdziwe – tacy już jesteśmy. Jednak koszty popełnienia takiego błędu mogą być w niektórych przypadkach kolosalne i niekiedy niełatwo jest się po tym podnieść.

    Dlatego tak ważne jest tworzenie kopii zapasowych. Dlaczego regularne chyba nie muszę tłumaczyć. Jeżeli wczoraj upadła nam strona, to nie chcemy mieć kopii sprzed 2 lat, tylko sprzed tygodnia, a najlepiej sprzed wczoraj. Dlaczego automatyczne? Bo ręczne tworzenie kopii i wysyłanie ich na serwer zajmie nam zbyt dużo czasu i w efekcie będzie dosłownie zbyt żmudne. Jeżeli możemy coś zautomatyzować – zróbmy to.

    Zabezpieczanie strony WordPress – zleć to specjalistom

    W Proud Media zajmujemy się stronami internetowymi od lat. Szczególnie witrynami postawionymi na WordPressie – jest to nasz chleb powszedni. Możemy pochwalić się już wieloma atakami, burzami mózgów, grzebaniem w kopiach zapasowych itd. Niestety na początku również uczyliśmy się na swoich błędach. Dzisiaj wiemy już, że lepiej jest przewidywać niektóre rzeczy, na przykład takie związane z bezpieczeństwem – chyba nie ma niczego ważniejszego niż spokojny sen z wiedzą, że wszystko jest pod kontrolą. 

    Dlatego polecamy się – zwłaszcza jeżeli nigdy wcześniej nie myślałeś nawet o tym, jak zabezpieczyć swoją stronę internetową. Powtórzę to już po raz kolejny na naszej stronie – tak, możesz próbować zrobić to wszystko sam, decyzja należy do Ciebie. Oboje jednak wiemy, że nikt nie zrobi tego lepiej i sprawniej, niż profesjonaliści działający w swoim zawodzie. Zadzwoń już dzisiaj.