Konfiguracja Wordpress czyli jak zwiększyć bezpieczeństwo strony?

Bezpieczeństwo strony WWW powinno być dla Ciebie bardzo ważne, szczególnie jeśli została ona stworzona w technologii WordPress. Okazuje się, że coraz częściej strony firmowej, blogi i sklepy postawione na WordPressie są atakowane przez hakerów.

Jak ustrzec się przed uszkodzeniem i przejęciem strony

Pomaga w tym bezpieczna konfiguracja WordPress. Przyjrzyj się dokładnie, jak ona przebiega.

Konfiguracja WordPress – Spis treści:

  1. Dlaczego dbać o bezpieczeństwo strony www / WordPressa?
  2. Poprawna instalacja WordPressa
  3. Ustawienie bezpiecznego hasła w WordPressie
  4. Podstawowe zabezpieczenie komputera
  5. Aktualizacja oprogramowania WordPress
  6. Ustawienia Komentarzy WordPress
  7. Backup WordPress – Kopia zapasowa
  8. Jak zabezpieczyć stronę www i komputer – Test
  9. Sygnały zawirusowania komputera i strony www
  10. Co jeśli ktoś zaatakuje naszą stronę?

1. Dlaczego dbać o bezpieczeństwo strony / WordPressa?

Posiadając stronę na WordPressie możemy spotkać się na początku ze spamem, jak i innymi zagrożeniami. Dobrze jest więc poczynić pewne starania, dzięki którym już niedługo nasza strona okaże się w pełni bezpieczna.

  •  Dbaj o bezpieczeństwo działania serwera i wszystkich witryn, które się na nim znajdują
  • Dbaj o użytkowników przeglądających stronę

Popularne zagrożenia bezpieczeństwa strony www:

  •  włamania sieciowe
  • nielegalne uzyskiwanie danych
  • wyłudzenia
  • oszustwa internetowe
  • infekcje wirusowe
  • spam

Po wprowadzeniu ciekawych wskazówek z tego artykułu w dużym stopniu zmniejszysz ryzyko ataku na stronę www, poznasz cenne aplikacje i techniki. A więc do dzieła, zadbaj o bezpieczeństwo strony. Dowiedz się, jakie możliwości zapewnia poprawna konfiguracja WordPress.

2. Poprawna instalacja WordPressa

Konfiguracja WordPress - Poprawna instalacja wordpressa

Na samym początku musisz mieć zainstalowaną aplikację WordPress na naszej stronie www. Zadbałeś o to korzystając z auto-instalatora na swoim serwerze ( ja miałem taką opcję w Direct Admin korzystając z serwera w Hekko, więc instalacja WordPressa zajmuje mi kilka minut. Zapraszam od razu do artykułu: Jak wygląda instalacja WordPressa w Direct Admin? ).

Innym razem instalację WordPressa zlecamy firmie hostingowej. Informację o poprawnym zainstalowaniu WordPressa otrzymujesz na podany adres email.

Po zainstalowaniu oczywiście musisz poczekać kilka godzin bądź dni, aby DNS zaczęły poprawnie działaś. Dopiero wtedy będziesz mogli już zalogować się na stronę do panelu administracyjnego WordPress pod linkiem:

http://twojastrona.pl/wp-admin

Oczywiście podczas instalowania możesz jeszcze ustawić inną ścieżkę zapisu naszego WordPressa, czyli nie na stronie głównej (np. http://naszastrona.pl/blog)

3. Ustawienie bezpiecznego hasła w WordPress

Zadbaj o bezpieczne dane do logowania na stronę www bez względu na to czy jest ona postawiona na WordPressie, czy nie. Poniżej przygotowałem instrukcję, jak umożliwia to poprawna konfiguracja WordPress 🙂

1. Logujesz się do WordPressa poprzez dane logowania, czyli nazwę użytkownika i hasło.

logowanie do panelu administracyjnego wp-admin WordPress

Jeśli Ty je utworzyłeś, to zapewne je zapisałeś i posiadasz do nich dostęp. Innym razem otrzymałeś takie dane do logowania na konto pocztowe. W każdym bądź radzie dobrze jest je sobie zapisać, a przy tym zadbać o zabezpieczenie takich folderów przed innymi, np. za pomocą zwykłego hasła czy aplikacji LastPass. Dzięki temu nikt, kto wkradnie się Ci w przyszłości na komputer, nie będzie miał dostępu do najważniejszych danych, a właśnie na tym powinno Ci zależeć.

Zajmij się jednak tym najważniejszym zabezpieczeniem związanym z ustawieniem właściwego hasła do WordPressa. Jeśli nie masz dostępu do panelu administracyjnego WordPress, to jeszcze masz sposobność zmiany hasła bezpośrednio w bazie danych MySQL.

Gdy jednak posiadasz dostęp do panelu administracyjnego WordPress, to logujesz się, a następnie przechodzisz po lewej stronie do zakładkiUżytkownicy„.

Logowanie do panelu administracyjnego WordPress - użytkownicy, jak zabezpieczyć wordpressa

Klikasz w „nazwę administratora” (w moim przypadku w „admin”), do którego chcesz ustawić hasło.

Zalogowanie do wordpressa w celu zabezpieczenia strony, klikamy w użytkownicy i nazwę administratora

Przechodzisz do „Zarządzanie kontem” i klikasz w „Generuj hasło

generowanie bezpiecznego hasła w wordpressie czyli jak zabezpieczyć stronę www

Widzisz poniżej, jak WordPress automatycznie zaproponował Ci silne hasło. Możemy je wybrać bądź przygotować własne. Istota, aby było bardzo trudne. Dzięki temu, kiedy ktoś będzie chciał złamać hasło do Twojej strony i wykorzysta w tym celu pewne boty, to wyszukanie poprawnego hasła może mu zająć nawet kilkaset lat. Gdybyś posiadał jednak słabe i popularne hasło, to czasami idzie je złamać w przeciągu kilku godzin, dni, tygodni bądź miesiąca czy roku. Pamiętaj więc o trudnym haśle!

Ustawienie bezpiecznego hasła w wordpressie

Recepta na trudne hasło WordPress:

  •  minimum 10 znaków alfanumerycznych + znaki specjalne
  • unikajmy imion, nazwisk, nazwy strony i innych popularnych nazw
  • stosujmy losowy ciąg znaków (bez tworzenia słów)

Na samym końcu schodzisz na dół i zapisujesz wszystko klikając wZaktualizuj profil„.

Zapisanie nowego bezpiecznego hasła w wordpressie

Dodatkowe zabezpieczenie logowania:

  • zmiana hasła (np. co miesiąc)
  • wtyczka limitująca błędne próby logowania
  • ustawmy unikalny adres url dla strony logowania (czyli nie standardowy typu http://naszastrona.pl/wp-admin)
  • ograniczajmy wyświetlania strony logowania dla określonych adresów IP i dodatkową warstwę logowania „Basic Auth”.
  • weryfikacja dwuetapowa. Wystarczy do tego wykorzystać specjalną wtyczkę, najlepiej pozwalającą na integrację z Google Authenticator.

4. Podstawowe zabezpieczenie komputera

Konfiguracja WordPress czyli Podstawowe zabezpieczenie komputera przed atakami na stronę www

Nad stroną www pracujesz często na 1 bądź kilku urządzeniach? Powinieneś zadbać o zainstalowanie na nich specjalnych programów antywirusowych. Dzięki temu zabezpieczysz już ten sprzęt przed włamaniem się kogoś z zewnątrz.

Do wyboru masz różnorodne antywirusy, dobrze jest zainwestować w płatny. Na ceneo i allegro jesteś w stanie wyszukać takie programy antywirusowe za kilkanaście czy kilkadziesiąt zł, więc polecam 🙂 Który jednak antywirus wybrać?

Lista 10 najlepszych antywirusów:

Te pogrubione antywirusy są przeze mnie szczególnie polecane. Pozostałe darze mniejszym zaufaniem!

5. Aktualizacja oprogramowania WordPress

aktualizacja oprogramowania wordpress uczy jak zwiększyć bezpieczeństwo strony

WordPress to oprogramowanie, które jest regularnie aktualizowane, w tym także wszelkie wtyczki, z których korzystasz. Jest możliwość wybrania opcji automatycznej aktualizacji WordPressa i wtyczek już za pomocą serwera w panelu Direct Admin. Wyjaśniam to w artykule „Jak zainstalować WordPress w Direct Admin„.

Inna opcja: po prostu co pewien czas loguj się na WordPress i samodzielnie aktualizuj oprogramowanie, jak i wszystkie wtyczki.

Instaluj tylko sprawdzone aplikacje i wtyczki WordPress

Pojawia się ogrom aplikacji i wtyczek WordPress, które możesz zainstalować, natomiast wiele z nich służy do zorganizowania skutecznego ataku na naszej stronie. Dobrze jest więc przyjrzeć się wtyczkom, które instalujesz. Bierz pod uwagę takie parametry, jak: ocena użytkowników, ilość osób instalujących daną wtyczkę.

Jeśli więc wtyczkę zainstalowało tylko kilkaset bądź kilkatysięcy osób, opinia jest negatywna i dodatkowo nie jest ona dostosowana do najnowszego oprogramowania WordPress, to rezygnuj z jej zainstalowania. Instaluj wtyczki, które posiadają 4.5 bądź 5 gwiazdek i zostały już zainstalowane przez setki tysięcy osób, dostosowane do najnowszego wordpressa. Masz wtedy pewność, że są one bezpieczne.

6. Konfiguracja WordPress – Ustawienia komentarzy

Przejdź do zakładkiUstawienia„, a następnie „Dyskusja„. Tutaj staraj się odznaczyć pozycjępingbagi i track pagi„, „powiadamiaj bloggerów„. Zaznacz następnie jakie komentarze mają pojawiać się na blogu i jak mają być przez nas sprawdzane.

Ustawienia komentarzy w WordPressie, bezpieczna konfiguracja wordpress

Dodatkowe ustawienia komentarzy w WordPressie:

  1. Jeśli mniejsza ilość komentarzy, to zaznaczasz opcję ręczna akceptacja.
  2. Ograniczasz ręczną akceptację jedynie dla nowych komentujących.
  3. Ograniczasz, że użytkownicy muszą być zarejestrowani i zalogowani, aby móc dodawać komentarze.
  4. Zaznaczasz opcję, że komentarz automatycznie trafia do moderacji, gdy zawiera więcej linków, niż 1. Czynisz tak, ponieważ komentarze spam cechują się dużą ilością odnośników w wiadomości).
  5. Wykorzystaj jeszcze 2 pola, gdzie masz sposobność wpisać słowa. I jeśli pojawią się one w treści komentarzu, nazwie użytkownika, adresie url, email i adresie ip, to komentarz zostanie automatycznie przeniesiony do kolejki SPAM bądź do moderacji.

Wtyczka Antispam Bee

Dodatkowe zabezpieczenie przed spamem to wtyczki antyspamowe WordPress. Najlepsza z nich to: Antispam Bee.

Podstawowe ustawienia wtyczki Antispam Bee:

Pozostawiacie domyślne ustawienia bądź takie, które szczególnie Wam odpowiadają. Możecie np. zaznaczyć opcję, aby komentarze uznane za spam zostały automatycznie usuwane.

Ustawienia wtyczki antispam bee

Ja jeszcze zaznaczyłem opcję, że z kilku krajów zagranicznych nie chcę otrzymywać komentarzy, a przyzwalam tylko na komentarze z Polski. Wy również macie taką możliwość. Wszystko zależy od tego, do kogo kierujecie treść na swojej stronie bądź blogu.

ustawienia wtyczki antispam bee zablokowanie komentarzy z krajów zagranicznych i przyzwolenie na komentarze z polski

Do wyboru jeszcze Captcha?!

Macie jeszcze możliwość zastosowania wtyczki, która podczas dodawania komentarza wymaga wpisania kodu Captcha. Taki kod użytkownik musi przepisać ze zdjęcia, formularza. Innym razem wymaga się obliczenia pewnego działania matematycznego bądź innego.

Polecam takie formy zabezpieczenia przed spamem, ale gdy captcha jest prosta dla użytkowników. Trudniejsze captcha są negatywnie odbierane, a nie chcesz, aby przez to wyszli z naszej strony. Jeśli mimo wcześniejszych zabezpieczeń nie radzisz sobie ze spamem to wykorzystaj jej możliwości. W takim razie polecam zajrzeć tutaj „wtyczki WordPress Captcha„.

7. Backup WordPress – kopia zapasowa plików i bazy danych

Twoja strona postawiona na WordPressie składa się z bazy danych, jak i plików. Jeśli chcesz zadbać o ich bezpieczeństwo, to dobrze byłoby przeprowadzić regularny backup bazy danych i plików. Z jakiej wtyczki mógłbyś tutaj skorzystać?

Ja polecam i korzystam z UpdraftPlus WordPress Backup Plugin. Dzięki niej każdego tygodnia automatycznie tworzy się backup, który trafia na mój dysk wirtualny Google Drive i DropBox.

Jak zainstalować UpdraftPlus WordPress Backup Plugin?

backup bazy danych i plików zapewnia wtyczka UpdraftPlus wordpress Backup Plugin

W pierwszej kolejności wchodzisz w sekcjęWtyczki” i „Dodaj nową„. W pole wyszukiwania wpisujesz „UpdraftPlus„. Instalujesz i włączasz.

Następnie przechodzisz do „Ustawienia” i klikasz w „UpdraftPlus Backups

Ustawienia wtyczki UpdraftPlus Backups czyli konfiguracja wordpress

Później klikasz w „Ustawienia” i ustalasz „Harmonogram kopii zapasowej plików” i „Harmonogram kopii zapasowej bazy danych„. Czyli ustalasz, co jaki czas ma być wykonywany backup, np. raz na miesiąc, tydzień. Ustalasz także „Miejsce zdalnego przechowywania” czyli gdzie ma zapisywać się kopia bazy danych, np. na dysku wirtualnym (dropbox, google drive), na pocztę email (tutaj nie polecam, ponieważ gdy kopia będzie posiadać powyżej 20 MB to może pojawić się problem z wysyłką, ponieważ wiadomość email jest za ciężka), na serwerze.

Ustawienia wtyczki UpdraftPlus Backups harmonogram kopii zapasowej

Schodzisz niżej do pozycjiUwzględnij pliki w kopii zapasowej” i zaznaczasz te odpowiednie dla Ciebie. Polecam zaznaczyć wszystkie opcje, czyli „Wtyczki”, „Motywy” i „Przesłane” i „Wszystkie inne katalogi wewnątrz wp-content”.

Ustawienia wtyczki UpdraftPlus Backups - pliki w kopii zapasowej

Na koniec klikasz w „Zapisz zmiany” i przechodzisz do zakładkiBieżący status„, a następnie w „Zrób kopię teraz„.

Wykonanie kopii zapasowej backup za pomocą wtyczki UpdraftPlus WordPress Backups Plugin

Co jeszcze? Sprawdź czy backup został poprawnie wykonany i czy wszystkie pliki zostały dobrze przesłane na nasz dysk wirtualny, pocztę czy serwer. Tak oto zadbałeś o to, aby kopia zapasowa Twojej strony tworzyła się automatycznie!

8. Jak zabezpieczyć stronę i komputer?

  1. Wybierasz sprawdzony hosting – sprawdź, jak długo trzyma backup strony. Polecam najlepsze hostingi/serwery.
  2. Szyfrowanie połączeń z serwerem czyli FTP samo zło – lepszym rozwiązaniem od ftp jest połączenie SFTP.
  3. Silne hasła do logowania na stronę wordpress – nie używajmy nazwy logowania „Admin”.
  4. Aktualizacja wtyczek, motywów i samego WordPressa.
  5. Instalujesz wtyczki i motywy tylko z wiarygodnych źródeł oraz regularnie ulepszane / aktualizowane. Jest wtedy mniejsze prawdopodobieństwo, że dany haker wykorzysta pewien błąd danej wtyczki bądź programu i dzięki temu się włamie. Gdy aktualizujesz, nie ma już takiej możliwości.
  6. Częsty Backup całej strony – jeśli masz stronę na WordPressie, to ustaw Backup za pomocą wtyczki, np. Updraft Backup, o której wspominam powyżej 🙂
  7. Antywirus na komputerze i telefonie

Sygnały zawirusowania komputera i strony www:

  • strona się wiesza
  • antywirus nas informuje
  • Google daje znać w wyszukiwarce oznaczając naszą stronę jako niebezpieczną

Co, jeśli ktoś zaatakuję stronę?

  1. Napisz do hostingodawcy, aby zeskanowali naszą stronę
  2. Sprawdź czy zabezpieczyłeś stronę wedle powyższych wskazówek
  3. Skontaktuj się ze specjalistą od zabezpieczenia strony

Jeśli ukończyłeś ten krótki poradnikBezpieczna konfiguracja WordPress czyli jak zwiększyć bezpieczeństwo strony” i wdrożyłeś jego wskazówki, to w dużym stopniu zadbałeś o skuteczne zabezpieczenie swojej strony www opartej na WordPressie bądź innej.

ps. Posiadasz jeszcze własne sposoby na zwiększenie bezpieczeństwa strony www? Pochwal się nimi, abym ja i inni mogli skorzystać!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *