Zabezpieczenie WordPress.

Posted by on Marzec 20, 2012 in Bezpieczeństwo, Narzędzia ebiznesu, WordPress | 0 comments

Zabezpieczenie WordPressBezpieczeństwo stron postawionych na WordPressie jest często lekceważoną kwestią przez ich właścicieli. Jak poprawić zabezpieczenie WordPress na przykładzie bloga i co może się zdarzyć w przypadku ataku hakerskiego, dowiesz się czytając ten artykuł. Przez to, że ten CMS jest darmowy i ogólnie dostępny dla wszystkich (otwarty kod), dostęp posiada właściciel strony jak i haker, a nawet małe luki w zabezpieczeniu w ekspresowym tempie obiegają cały świat.

Zabezpieczenie WordPress

Co z tego jak będziesz miał super wybajerzonego bloga z tłumem odwiedzających. Możesz dzięki seo pozycjonowaniu dzierżyć czołowe miejsca w Google na bardzo konkurencyjne frazy. Możesz też zarabiać niezłe pieniądze na swoim marketingu sieciowym, ze sprzedaży reklam, czy sprzedając własne produkty, bądź polecając produkty innych. Jednak to wszystko możesz stracić dosłownie w jednej chwili, kiedy nie będziesz stosował się do pewnych zabezpieczeń.

Internet rozwija się bez przerwy, a co się z tym wiąże wzrasta też liczba hakerów, wirusów i tym podobnych rzeczy. Co chcę tym podkreślić? Już dziś zabezpiecz swoje strony postawione na WordPressie, bowiem zagrożenie jest coraz większe i jeśli zlekceważysz ten temat, w krótce możesz zostać nie mile zaskoczony.

Co zatem robić, aby zabezpieczenie WordPress Twojego bloga przed ewentualnymi zagrożeniami było na odpowiednim poziomie? Przedstawię kilka rozwiązań, które pomogą Ci znacząco wzmocnić bezpieczeństwo na Twoim blogu, oraz utrudnić życie potencjalnym agresorom. Zapamiętaj, aby przed każdą zmianą zrobić porządny backup strony!

Wskazówki na bezpieczeństwo WordPressa

Zwiększ ochronę dostępu

Przy stawianiu WordPressa masz możliwość już z poziomu instalacji zapewnić lepsze bezpieczeństwo. Rezygnujesz z domyślnych ustawień. Bardzo często ludzie jako login zostawiają domyślny: admin. Nie jest to jednak najszczęśliwsze rozwiązanie ze względu na popularność stosowania. Warto więc wymyślić sobie inny login. Zmianę loginu możesz łatwo zrobić przy pomocy phpMyAdmin. Kiedy będziesz wybierał hasło dla administratora, pokaże Ci się miernik jego siły. Najlepiej jakbyś postarał się wymyśleć takie hasło, aby miernik pokazał je jak silne. Tego hasła nie zapisuj w przeglądarce. W zamian zapamiętywania haseł w przeglądarce polecam Ci narzędzie LastPass z, którego ja korzystam na co dzień. Ten darmowy menadżer haseł nigdy mnie nie zawiódł. Już na starcie dzięki tym dwóm czynnościom pozbawisz hakera możliwości złamania Twojego hasła, kiedy będzie tego próbował używając jako loginu wyrażenia admin.

Możesz też zainstalować wtyczkę Login Lockdown, by mieć kontrolę nieudanych logowań do panelu admina. Z tym pluginem ustawisz po ilu błędnych próbach logowania zostanie zablokowany dany adres IP.

Zadbaj o bezpieczeństwo ustawień strony

Staraj się regularnie wykonywać kopie zapasowe bazy danych i plików na serwerze. Do robienia backupu używam wtyczki WordPress Database Backup. Dzięki tej wtyczce z łatwością pobierzesz całą kopię bazy danych na dysk swojego komputera. Ja ustawiłem wysyłanie kopii na adres e-mail raz dziennie.

Co pewien czas zrób sobie jeszcze kopię zapasową plików na serwerze i chociaż raz na miesiąc zmień hasło do konta FTP. Wiedz, że jest to najczęściej wybierana droga ataku na dostęp do Twojej strony.

Mała przestroga

Aktualizuj WordPressa i wtyczki

Nie muszę Ci chyba tłumaczyć, jak wielkie znaczenie mają takie aktualizacje dla Twojego bloga. Przy każdej nowej wersji skryptu poprawiane są błędy czy luki w zabezpieczeniach. Niby takie banalne sprawy, abyś robił takie aktualizacje. Jednak lepiej nie odkładaj tego w czasie. Ja w marcu 2012 nie zaktualizowałem WordPressa do najnowszej wersji i to stało się główną przyczyną paru niemiłych niespodzianek. Miało miejsce włamanie na moje konto FTP na, którym mam wszystkie swoje strony i został przeprowadzony atak na inny serwis www.

Ustaw odpowiednie prawa dostępu do plików i ich widoczności

Warto, abyś ukrył niektóre pliki WordPressa np. zawartości katalogów z wtyczkami (wp-content/plugins) i zawartości katalogu z szablonami (wp-content/themes). Najłatwiej jest je zablokować wrzucając do nich pusty plik o nazwie index.php.

Możesz też zablokować listowanie wszystkich folderów dodając do .htaccess wpis

Options All -Indexes

Zabezpiecz dostęp do pliku konfiguracyjnego wp-config.php

Zrobisz to jeżeli w głównym katalogu do pliku .htaccess dodasz poniższe wpisy:

01 <Files .htaccess>
02
03 order deny,allow
04
05 deny from all
06
07 </Files>
08
09 <Files wp-config.php>
10
11 order allow,deny
12
13 deny from all
14
15 </Files>

Pierwsza część odpowiedzialna jest za blokadę dostępu do samego pliku .htaccess. Druga do pliku konfiguracyjnego WordPressa.

Sprawdź poziom bezpieczeństwa WordPressa i zmień prefix bazy danych

Do sprawdzenia zabezpieczenia Twojego bloga polecam Ci zainstalować wtyczkę WP Security Scan, którą sam używam. Kiedy ją włączysz zobaczysz panel pokazujący bezpieczeństwo Twojego bloga.Inteli scan

 

 

 

 

 

 

 

W raporcie wynika, że powinieneś zmienić prefix Twojej bazy z domyślnego na inny. O tym napiszę w dalszej części tego artykułu.

Poza tym plugin informuje, że nazwa użytkownika jest już zmieniona z domyślnej admin (pisałem o tym w pierwszej wskazówce). Ostatni komunikat dotyczy pliku .htaccess, który powinien się znajdować w katalogu wp-admin. Możesz w tym pliku umieścić ograniczenie logowania do panelu admina tylko z danych adresów IP:Htaccess

 

 

 

 

Jednak sam musisz mieć stałe IP, bo inaczej nie zalogujesz się do panelu admina.

W zakładce scanner masz analizę chmodów do katalogów na Twoim FTP i zaproponowanie tych właściwych.

Chmody

 

Na kolejnej zakładce masz możliwość przeskanować siłę Twojego hasła.Scanner

W zakładce Database zrobisz kopię bazy, a później bezpieczną nazwę bazy danych.

Gdy w czasie instalacji bloga nie wybrałeś innego prefixu dla bazy danych, to ta wtyczka daje Ci taką możliwość.

Database

 

Nie instaluj bezmyślnie

Uważaj, abyś nie „przedobrzył” z instalacją zbyt wielu wtyczek. Pluginy nie zawsze są dobrze przetestowane, co może być powodem ewentualnych luk w zabezpieczeniach. Niektóre z nich będą niekompatybilne między sobą, także może to skutkować wykrzaczaniem bloga. Także ilość zainstalowanych wtyczek ma wpływ na znaczne spowolnienie WordPressa, bo pluginy ingerują w stronę główną bloga. Jestem zdania, że powinno się używać tylko najpotrzebniejszych wtyczek.

Zabezpiecz swój sprzęt komputerowy

Zabezpiecz swój komputer

Chociaż będziesz się stosował do powyższych wskazówek, to może się okazać, że Twój komputer nie jest właściwie chroniony i z tego powodu możesz również mieć kłopoty związane z zagrożeniami w sieci. Dlatego nie lekceważ tych rzeczy:

– rób instalacje najnowszych poprawek do systemu operacyjnego i do przeglądarki internetowej,

– postaraj się o porządny program antywirusowy i aktualizuj bazę danych sygnatur wirusów,

– zainstaluj zaporę sieciową (firewalla),

– wystrzegaj się programów nie wiadomego pochodzenia, szczególnie tych z licencją adware.

Mam nadzieję, że tym artykułem pomogę Ci w zabezpieczaniu Twojego bloga opartego na skrypcie WordPress. Napisz co o tym myślisz w komentarzu pod spodem, a jeśli będziesz miał jakieś pytania pisz na skype: piotridziksukces. Z chęcią pomogę. Jeśli uznasz wpis za wartościowy kliknij Lubię to na moim FANPAGE http://www.facebook.piotridzik.pl i plus jedynkę. Pozdrawiam serdecznie. Piotrek Idzik.

 

 

 

 

Be Sociable, Share!

Leave a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

CommentLuv badge

Copy Protected by Chetan's WP-Copyprotect.