WordPress to obecnie zdecydowanie najpopularniejszy skrypt wykorzystywany do tworzenia stron internetowych. Jest on przede wszystkim darmowy, intuicyjny w obsłudze i doskonały do rozbudowy poprzez instalację rozmaitych wtyczek. Niestety tak już jest, że im bardziej popularna jakaś aplikacja, tym większe ryzyko pokonania jej zabezpieczeń przez wszelkiej maści hakerów. Zamiast leczyć, lepiej jest zapobiegać i zadbać samemu o bezpieczeństwo WordPressa. Poniżej kilka porad, które może nie wyeliminują zagrożenia całkowicie, ale z pewnością pokrzyżują cyberprzestępcom niecne plany w stosunku do naszej strony.
1. Regularne aktualizacje
Może ten punkt brzmi banalnie, ale naprawdę jest bardzo ważny. Brak zaktualizowanych plików to bowiem świetny sposób na dotarcie do wnętrza strony. Powinniśmy aktualizować wszystkie elementy, czyli nasz motyw, wtyczki oraz oczywiście całego WordPressa, tak często, jak to tylko możliwe. W aktualizacjach znajdują się bowiem pewne usprawnienia i różne łatki bezpieczeństwa. Więcej na temat aktualizacji WordPressa można doczytać w tym artykule: Aktualizacja WordPressa.
2. Zmiana domyślnej nazwy użytkownika
Pod żadnym pozorem nie należy używać loginu „admin” dla naszego konta administracyjnego. Jest to domyślna nazwa proponowana przez WordPressa i jak łatwo się domyślić – łatwa do odgadnięcia komuś, kto będzie próbował zalogować się do kokpitu. Dobrze jest wybrać jakiś mniej oczywisty login lub zainstalować wtyczkę WP Email Login, która w sposób automatyczny zmieni login z nazwy użytkownika na adres e-mail do niej przypisany.
3. Dwustopniowe uwierzytelnianie znacznie wpływają na bezpieczeństwo wordpressa
Dwustopniowa autoryzacja to dodatkowe zabezpieczenie panelu administracyjnego, które wymaga nie tylko nazwy i hasła użytkownika, ale też przykładowo unikalnego kodu, który jest przesyłany na nasz smartfon. Aby skorzystać z takiego rozwiązania musimy zainstalować wtyczkę Two Factor Authentication oraz dodatkowo aplikację Google Authenticator na telefonie.
4. Bezpieczeństwo WordPressa to również certyfikat SSL.
Bezpieczeństwo WordPressa możemy też zwiększyć poprzez włączenie szyfrowania na stronie. Wdrażamy w tym celu certyfikat SSL, który gwarantuje bezpieczny przepływ danych między serwerem a przeglądarką, co jest oczywiście dodatkowym utrudnieniem dla hakerów. Warto skonfigurować sobie certyfikat SSL, gdyż oprócz zabezpieczenia, wpływa on też na ranking naszej strony w Google. Zachęcam do zapoznania się z artykułem, który wskazuje jak zainstalować darmowy certyfikat SSL na swoim WordPressie Darmowy certyfikat SSL.
5. Usuwanie niepotrzebnych wtyczek
Ogólnie rzecz ujmując, zasada jest taka, że im mniej wtyczek, tym mniej też luk bezpieczeństwa. Pozbywamy się zatem zarówno tych, których nie używamy, jak i tych, które są już nieaktualne. Należy być czujnym, bo jest cała masa wtyczek, w przypadku których ich wydawcy dawno już nie przeprowadzali aktualizacji. Mogą one zawierać błędy w zabezpieczeniu, a tym samym stanowić doskonałą sposobność włamania się na naszą stronę.
6. Wyłączenie rejestracji użytkowników
W ustawieniach domyślnych WordPress pozwala na rejestrację użytkowników, ale w większości stron opcja ta jest zupełnie nieprzydatna, więc lepiej ją od razu zablokować. Jest to tylko dodatkowe „okno”, które może skusić niepowołane osoby do ataku na naszą stronę.
7. Tworzenie regularnych kopii danych jest niezbędne by zachować bezpieczeństwo wordpressa.
Posiadanie kopii zapasowej jest bardzo ważne, gdyż pozwala przywrócić naszego WordPressa do stanu w dowolnym momencie, gdy zdarzy się tak, że strona się nam „posypie”. Niektórzy hostingodawcy mogą robić regularne backupy za nas. Warto to sprawdzić. Możemy też jednak sami zainstalować specjalne aplikacje dedykowane tworzeniu kopii zapasowych w WordPressie. Jedną z najczęściej polecanych jest Updraft.
8. Blokada XML-RPC
Usługa XML-RPC pozwala na zdalną komunikację z naszą stroną. Jeśli nie korzystamy z tego interfejsu, to sugerowane jest jego zablokowanie, by zabezpieczyć się przed atakami Brute Force. Wystarczy wpisać w pliku functions.php poniższą linijkę kodu:
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
Wymieniliśmy tu tylko kilka przykładowych rad pozwalających zwiększyć bezpieczeństwo WordPressa. Co prawda twórcy aplikacji robią wszystko, aby WordPress był bezpieczny i na bieżąco usuwają większe błędy w kodzie, co powoduje pojawianie się nowych aktualizacji średnio co około 40 dni. Jednak jak głosi mądre przysłowie: przezorny zawsze ubezpieczony. Warto więc zadbać też o swoją stronę samemu, by zminimalizować ryzyko i spać spokojnie.
