publikacja: 25 września 2008, autor: , komentarzy 126 https://wpninja.pl/artykuly/11-sposobow-na-zabezpieczenie-wordpressa/

11 sposobów na zabezpieczenie WordPressa

11 sposobów na zabezpieczenie WordPressa

Koszmar każdego WordPressowca dosięgnął wczoraj Antyweba. Jego blog został „zhakierowany” (przez Grzegorza). W mojej opinii „atak” miał charakter żartobliwy a Grzegorz zapewne chciał jedynie zwrócić uwagę posiadaczy WP na istniejące luki i jednocześnie zachęcić do zwiększania poziomu bezpieczeństwa.

W poniższym artykule przedstawię podstawowe sposoby, które zwiększą bezpieczeństwo naszego bloga. Lektura obowiązkowa! :-)

1. Aktualizuj skrypt

Wykryto nową wersję

Wykryto nową wersję

Nowe wersje WordPressa wypuszczane są stosunkowo często (większe wydania raz na 3-5 miesięcy, poprawki miesiąc później). Powinieneś zdać sobie sprawę, że nowa wersja nie zawiera tylko nowych funkcji ale także poprawki starych błędów (często krytycznych) oraz lepsze zabezpieczenia.

O nowej wersji powiadomi Cię sam WordPress – w panelu administracyjnym, tuż pod główną belką nawigacyjną pojawi się wówczas żółty boks ze stosowną informacją. Jeśli to dla Ciebie za mało to możesz jeszcze zapisać do swojego czytnika kanał RSS developerów.

2. Rób kopie bezpieczeństwa

Wtyczka WP-DB-Backup

Wtyczka WP-DB-Backup

Kopie powinieneś wykonywać cyklicznie co pewien okres czasu (w zależności od popularności bloga). Kopia taka powinna zawierać wszystkie pliki oraz bazy danych.

  • Kopię plików możesz wykonać poprzez połączenie z serwerem (FTP, SSH itp.) lub poprzez wywołanie specjalnej opcji w panelu administracyjnym serwera (niestety nie wszystkie firmy hostingowe oferują taką możliwość).
  • Kopię bazy danych możesz wykonać np. poprzez phpMyAdmina (eksport) lub specjalną wtyczkę, która pomoże Ci zautomatyzować cały proces.

Posiadając konto w profesjonalnej firmie hostingowej możesz liczyć także na automatyczny backup robiony przez administrację.

3. Usuń informację o używanej wersji skryptu

WordPress wyświetla w nagłówku informację o wersji skryptu:

<meta name="generator" content="WordPress x.x.x" />
Wersja skryptu jak na dłoni

Wersja skryptu jak na dłoni

Aby usunąć tą informację powinieneś otworzyć plik functions.php (lub go utworzyć jeśli go nie ma), który znajduje się w katalogu skórki, i dodać w nim następujące polecenie:

<?php remove_action('wp_head', 'wp_generator'); ?>

Warto sprawdzić jeszcze zawartość pliku header.php. Możliwe bowiem, że autor skórki wstawił dodatkowy zapis w następującej postaci:

<meta name=“generator” content=“WordPress <?php bloginfo(’version’) ?>” />

Jeśli coś takiego znajdziesz – usuń koniecznie.

4. Ogranicz dostęp do katalogu wp-admin

Ogranicz dostęp do katalogu tylko dla jednego numeru IP. Zrobisz to ustalając odpowiednie wpisy w pliku .htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
 
order deny,allow
deny from all
allow from xx.xx.xxx.xx

Plik należy umieścić w katalogu wp-admin (a nie w głównym). W miejsce xx.xx.xxx.xx wpisujemy nasz adres IP. Należy tutaj dodać, że sposób zadziała gdy mamy stały adres IP, przy zmiennym (np. Neostrada) nie osiągniemy zamierzonego efektu.

Jak sprawdzić czy blokada faktycznie działa? Spróbuj zalogować się do panelu administracyjnego z komputera o innym IP lub wejdź przez dowolną bramkę proxy – np. Anonymouse.

5. Nie pozwól na wyświetlanie zawartości katalogu wtyczek i skórek

Ogólnodostępna lista skórek

Ogólnodostępna lista skórek

Informacja o tym jakich używasz wtyczek może być źródłem cennych danych dla wszelakich szkodników sieciowych. Wtyczki są bowiem z reguły tworzone przez fanów a nie przez programistów WordPressa i mogą zawierać błędy.

Aby zapobiec wyświetleniu zawartości katalogu należy umieścić w nim pusty plik index.html.

6. Używaj bezpieczniejszego połączenia z serwerem

Połączenie przez SSH

Połączenie przez SSH

Jeśli Twój hosting udostępnia (często bezpłatnie) możliwość łączenia się z serwerem przez SSH, wykorzystaj to. Przesyłane w tej sposób dane dostępowe w postaci loginu i hasła będą dużo bezpieczniejsze.

7. Zabezpiecz kluczowe foldery przed indeksacją

Zaindeksowane katalogi wtyczek

Zaindeksowane katalogi wtyczek

W katalogu głównym stwórz plik robots.txt i za jego pomocą ogranicz dostęp robotów wyszukiwarek do kluczowych folderów.

Zobacz przykład pliku robots.txt.

8. Zmień standardowy login administratora (admin)

Zmiana loginu

Zmiana loginu

Połącz się z bazą danych np. poprzez phpMyAdmina, odszukaj tabelę wp_users a w niej rekord z nazwą „admin”. Uzupełnij pola „user_login” oraz „user_nicename” o nową nazwę loginu.

9. Wyłącz możliwość rejestracji użytkowników

Wyłączenie rejestracji

Wyłączenie rejestracji

(Oczywiście jeśli nie jest Ci ona do niczego potrzebna. :-))

W panelu administracyjnym wejdź w zakładkę ustawienia-ogólne i odznacz checkboks znajdujący się przy „funkcje użytkowników” – „każdy może się zarejestrować”.

10. Dbaj o podstawowe zasady bezpieczeństwa

  • zabezpiecz dostęp do swojego konta silnym hasłem,
  • nie używaj jednego hasła do wszystkich swoich kont w internecie,
  • nie korzystaj z ogólnie dostępnych komputerów a jeśli już to po pracy dokładnie usuń wszystkie prywatne dane zgromadzone przez przeglądarkę,
  • korzystaj z bezpiecznych przeglądarek (np. Firefox, Opera),
  • używaj oprogramowania antywirusowego.

11. Twój własny sposób na zabezpieczenie

Jeśli znasz jeszcze jakiś inny sposób na zabezpieczenie WordPressa to podziel się nim z nami w komentarzach do artykułu. :-)

Dodaj własny komentarz

Odnośniki z innych stron

Lista innych stron, które w jakiś sposób odnoszą się do opublikowanej tutaj treści:

  1. Zmiana podpisu w komentarzach

    […] które są kombinacją uzupełnionych wcześniej pól (nazwa użytkownika jest wygaszona ponieważ można ją zmienić tylko z poziomu bazy […]

  2. Bezpieczny blog – WordPress « inzaghi89 weblog

    […] jest zabezpieczyć swoje “dane” w możliwie najlepszy sposób. WPNinja opisał 11 sposobów na zabezpieczenie bloga – ja… postanowiłem je zebrać u siebie w celu odświeżenia tematu zabezpieczeń […]

  3. Automatyczne tworzenie kopii zapasowej WordPressa | WPNinja

    […] zapasowa, w przeciwieństwie do innych typów zabezpieczeń, nie ochroni przed włamaniem, nieumyślnym skasowaniem zawartości, spaleniem dysku w serwerowni […]

  4. Jak zabezpieczyć WordPressa przed atakiem „brute force” i dlaczego jeszcze tego nie zrobiłeś? | WPNinja

    […] Oprócz powyższego na pewno warto jeszcze zadbać o niestandardową nazwę użytkownika (możesz to zrobić w dowolnym momencie) oraz o silne hasło, najlepiej wygenerowane […]