WordPress - zadbaj o jego bezpieczeństwo

Wordpress to jeden z najpopularniejszych obecnie systemów CMS. Wykorzystuje go ogromna ilość blogów i stron internetowych. Istnieje również multum dodatków tworzonych przez społeczność użytkowników tego CMS-a takich jak wtyczki i motywy. Warto zadbać o bezpieczeństwo swojej witryny opartej o WordPressa i właściwie zabezpieczyć ją przed atakami z zewnątrz.

WordPress zalicza się do oprogramowania typu open source co oznacza, że jego kod źródłowy jest dostępny dla wszystkich. Ma to swoje zalety, ale też i poważną wadę - zwiększa prawdopodobieństwo ataku na stronę. Jest też dobra wiadomość - możemy znacznie zwiększyć bezpieczeństwo swojej strony. Wystarczy zastosować się do kilku poniższych porad.

Przede wszystkim należy upewnić się czy posiadamy najnowszą wersję WordPressa. Jeżeli nie - czym prędzej przystąpmy do aktualizacji skryptu. Kolejne wersje WP wnoszą nie tylko dodatkowe funkcjonalności, ale także zawierają niezwykle istotne poprawki bezpieczeństwa. Następny krokiem jest zaktualizowanie pluginów. Jest to równie ważna czynność, gdyż atakujący często właśnie przez luki w kodzie wtyczek potrafią przejąć kontrolę nad stroną.

Bezpieczeństwo strony opartej o WordPressa poprawimy instalując dedykowane temu wtyczki:

  • Secure WordPress - plugin ten zawiera szereg funkcji, które znacząco poprawią bezpieczeństwo skryptu. Przede wszystkim – ukrywa informacje, które mogą być przydatne dla hakerów, takie jak na przykład wersja tego CMS-a. Ukrywa także, poza obszarem administrowania, informacje na temat aktualizacji wtyczek. Secure WordPress dodaje również index.html do katalogów wtyczki, co uniemożliwi innym osobom podejrzenie listy zainstalowanych wtyczek i blokuje wszelkie próby ingerencji z zewnątrz.
  • WordPress Database Backup - wtyczka ta umożliwia wykonanie kopii zapasowej danych witryny takich jak posty, komentarze czy ustawienia. Przydaje się to w szczególności, gdy podczas aktualizacji skryptu wystąpią błędy i wymagane będzie przywrócenia bazy danych lub gdy w jakiś inny sposób utracimy nasze zasoby treści. Proces tworzenia kopii zapasowych można zautomatyzować, dzięki czemu nie musimy pamiętać o tym na co dzień. WordPress Database Backup posiada opcję przesyłania stworzony kopii na wybrany przez nas adres e-mail.
  • WP Security Scan - ten plugin pozwala na przeskanowanie naszego WordPressa od strony bezpieczeństwa i proponuje działania mające na celu naprawienie wykrytych błędów. Zawiera też bardzo istotną opcję - pozwala na zmianę prefiksów tabel baz danych. Domyślny prefiks to "wp_", zmiana go na inny, trudniejszy do zgadnięcia podniesie poziom zabezpieczeń naszej witryny.
  • Login Lock - wtyczka ta chroni przed atakami typu brute force. Jej działanie polega na tym, że po kilku nieudanych próbach logowania z danego adresu IP blokuje go na pewien okres czasu, który możemy ustalić w ustawieniach wtyczki.

Aktualne oprogramowanie i dodatkowo zabezpieczające wtyczki na nic się jednak zdadzą, gdy nasze hasło będzie łatwe do odgadnięcia. Mocne hasło to podstawa bezpieczeństwa. Tworząc je warto przestrzegać następujących reguł:

  • Nie używaj samych liter lub cyfr
  • Unikaj informacji związanych z Tobą - takich jak imię, nazwisko, miejsce urodzenia czy pseudonim
  • Użyj kombinacji małych i dużych liter oraz cyfr i znaków specjalnych (np. !@$%)
  • Zadbaj o odpowiednią długość hasła - im dłuższe tym bezpieczniejsze

Warto również w ustawieniach WordPressa zmienić domyślny login administratora - "admin" na inny. Stosując się do przedstawionych w tym artykule reguł zwiększymy bezpieczeństwo i znacząco zminimalizujemy ryzyko ataków i włamania na stronę internetową opartą o WordPressa.


Zobacz również