Bezpieczeństwo strony WWW powinno być dla Ciebie bardzo ważne, szczególnie jeśli została ona stworzona w technologii WordPress. Okazuje się, że coraz częściej strony firmowej, blogi i sklepy postawione na WordPressie są atakowane przez hakerów.
Jak ustrzec się przed uszkodzeniem i przejęciem strony
Pomaga w tym bezpieczna konfiguracja WordPress. Przyjrzyj się dokładnie, jak ona przebiega.
Konfiguracja WordPress – Spis treści:
- Dlaczego dbać o bezpieczeństwo strony www / WordPressa?
- Poprawna instalacja WordPressa
- Ustawienie bezpiecznego hasła w WordPressie
- Podstawowe zabezpieczenie komputera
- Aktualizacja oprogramowania WordPress
- Ustawienia Komentarzy WordPress
- Backup WordPress – Kopia zapasowa
- Jak zabezpieczyć stronę www i komputer – Test
- Sygnały zawirusowania komputera i strony www
- Co jeśli ktoś zaatakuje naszą stronę?
1. Dlaczego dbać o bezpieczeństwo strony / WordPressa?
Posiadając stronę na WordPressie możemy spotkać się na początku ze spamem, jak i innymi zagrożeniami. Dobrze jest więc poczynić pewne starania, dzięki którym już niedługo nasza strona okaże się w pełni bezpieczna.
- Dbaj o bezpieczeństwo działania serwera i wszystkich witryn, które się na nim znajdują
- Dbaj o użytkowników przeglądających stronę
Popularne zagrożenia bezpieczeństwa strony www:
- włamania sieciowe
- nielegalne uzyskiwanie danych
- wyłudzenia
- oszustwa internetowe
- infekcje wirusowe
- spam
Po wprowadzeniu ciekawych wskazówek z tego artykułu w dużym stopniu zmniejszysz ryzyko ataku na stronę www, poznasz cenne aplikacje i techniki. A więc do dzieła, zadbaj o bezpieczeństwo strony. Dowiedz się, jakie możliwości zapewnia poprawna konfiguracja WordPress.
2. Poprawna instalacja WordPressa
Na samym początku musisz mieć zainstalowaną aplikację WordPress na naszej stronie www. Zadbałeś o to korzystając z auto-instalatora na swoim serwerze ( ja miałem taką opcję w Direct Admin korzystając z serwera w Hekko, więc instalacja WordPressa zajmuje mi kilka minut. Zapraszam od razu do artykułu: Jak wygląda instalacja WordPressa w Direct Admin? ).
Innym razem instalację WordPressa zlecamy firmie hostingowej. Informację o poprawnym zainstalowaniu WordPressa otrzymujesz na podany adres email.
Po zainstalowaniu oczywiście musisz poczekać kilka godzin bądź dni, aby DNS zaczęły poprawnie działaś. Dopiero wtedy będziesz mogli już zalogować się na stronę do panelu administracyjnego WordPress pod linkiem:
http://twojastrona.pl/wp-admin
Oczywiście podczas instalowania możesz jeszcze ustawić inną ścieżkę zapisu naszego WordPressa, czyli nie na stronie głównej (np. http://naszastrona.pl/blog)
3. Ustawienie bezpiecznego hasła w WordPress
Zadbaj o bezpieczne dane do logowania na stronę www bez względu na to czy jest ona postawiona na WordPressie, czy nie. Poniżej przygotowałem instrukcję, jak umożliwia to poprawna konfiguracja WordPress 🙂
1. Logujesz się do WordPressa poprzez dane logowania, czyli nazwę użytkownika i hasło.
Jeśli Ty je utworzyłeś, to zapewne je zapisałeś i posiadasz do nich dostęp. Innym razem otrzymałeś takie dane do logowania na konto pocztowe. W każdym bądź radzie dobrze jest je sobie zapisać, a przy tym zadbać o zabezpieczenie takich folderów przed innymi, np. za pomocą zwykłego hasła czy aplikacji LastPass. Dzięki temu nikt, kto wkradnie się Ci w przyszłości na komputer, nie będzie miał dostępu do najważniejszych danych, a właśnie na tym powinno Ci zależeć.
Zajmij się jednak tym najważniejszym zabezpieczeniem związanym z ustawieniem właściwego hasła do WordPressa. Jeśli nie masz dostępu do panelu administracyjnego WordPress, to jeszcze masz sposobność zmiany hasła bezpośrednio w bazie danych MySQL.
Gdy jednak posiadasz dostęp do panelu administracyjnego WordPress, to logujesz się, a następnie przechodzisz po lewej stronie do zakładki „Użytkownicy„.
Klikasz w „nazwę administratora” (w moim przypadku w „admin”), do którego chcesz ustawić hasło.
Przechodzisz do „Zarządzanie kontem” i klikasz w „Generuj hasło„
Widzisz poniżej, jak WordPress automatycznie zaproponował Ci silne hasło. Możemy je wybrać bądź przygotować własne. Istota, aby było bardzo trudne. Dzięki temu, kiedy ktoś będzie chciał złamać hasło do Twojej strony i wykorzysta w tym celu pewne boty, to wyszukanie poprawnego hasła może mu zająć nawet kilkaset lat. Gdybyś posiadał jednak słabe i popularne hasło, to czasami idzie je złamać w przeciągu kilku godzin, dni, tygodni bądź miesiąca czy roku. Pamiętaj więc o trudnym haśle!
Recepta na trudne hasło WordPress:
- minimum 10 znaków alfanumerycznych + znaki specjalne
- unikajmy imion, nazwisk, nazwy strony i innych popularnych nazw
- stosujmy losowy ciąg znaków (bez tworzenia słów)
Na samym końcu schodzisz na dół i zapisujesz wszystko klikając w „Zaktualizuj profil„.
Dodatkowe zabezpieczenie logowania:
- zmiana hasła (np. co miesiąc)
- wtyczka limitująca błędne próby logowania
- ustawmy unikalny adres url dla strony logowania (czyli nie standardowy typu http://naszastrona.pl/wp-admin)
- ograniczajmy wyświetlania strony logowania dla określonych adresów IP i dodatkową warstwę logowania „Basic Auth”.
- weryfikacja dwuetapowa. Wystarczy do tego wykorzystać specjalną wtyczkę, najlepiej pozwalającą na integrację z Google Authenticator.
4. Podstawowe zabezpieczenie komputera
Nad stroną www pracujesz często na 1 bądź kilku urządzeniach? Powinieneś zadbać o zainstalowanie na nich specjalnych programów antywirusowych. Dzięki temu zabezpieczysz już ten sprzęt przed włamaniem się kogoś z zewnątrz.
Do wyboru masz różnorodne antywirusy, dobrze jest zainwestować w płatny. Na ceneo i allegro jesteś w stanie wyszukać takie programy antywirusowe za kilkanaście czy kilkadziesiąt zł, więc polecam 🙂 Który jednak antywirus wybrać?
Lista 10 najlepszych antywirusów:
- Bitdefender
- Norton Security Deluxe
- Kaspersky Total Security
- G Data Internet Security
- McAfee Total Protection
- ESET NOD32
- Trend Micro Internet Security
- AVG Ultimate
- Avast Premier
Te pogrubione antywirusy są przeze mnie szczególnie polecane. Pozostałe darze mniejszym zaufaniem!
5. Aktualizacja oprogramowania WordPress
WordPress to oprogramowanie, które jest regularnie aktualizowane, w tym także wszelkie wtyczki, z których korzystasz. Jest możliwość wybrania opcji automatycznej aktualizacji WordPressa i wtyczek już za pomocą serwera w panelu Direct Admin. Wyjaśniam to w artykule „Jak zainstalować WordPress w Direct Admin„.
Inna opcja: po prostu co pewien czas loguj się na WordPress i samodzielnie aktualizuj oprogramowanie, jak i wszystkie wtyczki.
Instaluj tylko sprawdzone aplikacje i wtyczki WordPress
Pojawia się ogrom aplikacji i wtyczek WordPress, które możesz zainstalować, natomiast wiele z nich służy do zorganizowania skutecznego ataku na naszej stronie. Dobrze jest więc przyjrzeć się wtyczkom, które instalujesz. Bierz pod uwagę takie parametry, jak: ocena użytkowników, ilość osób instalujących daną wtyczkę.
Jeśli więc wtyczkę zainstalowało tylko kilkaset bądź kilkatysięcy osób, opinia jest negatywna i dodatkowo nie jest ona dostosowana do najnowszego oprogramowania WordPress, to rezygnuj z jej zainstalowania. Instaluj wtyczki, które posiadają 4.5 bądź 5 gwiazdek i zostały już zainstalowane przez setki tysięcy osób, dostosowane do najnowszego wordpressa. Masz wtedy pewność, że są one bezpieczne.
6. Konfiguracja WordPress – Ustawienia komentarzy
Przejdź do zakładki „Ustawienia„, a następnie „Dyskusja„. Tutaj staraj się odznaczyć pozycję „pingbagi i track pagi„, „powiadamiaj bloggerów„. Zaznacz następnie jakie komentarze mają pojawiać się na blogu i jak mają być przez nas sprawdzane.
Dodatkowe ustawienia komentarzy w WordPressie:
- Jeśli mniejsza ilość komentarzy, to zaznaczasz opcję ręczna akceptacja.
- Ograniczasz ręczną akceptację jedynie dla nowych komentujących.
- Ograniczasz, że użytkownicy muszą być zarejestrowani i zalogowani, aby móc dodawać komentarze.
- Zaznaczasz opcję, że komentarz automatycznie trafia do moderacji, gdy zawiera więcej linków, niż 1. Czynisz tak, ponieważ komentarze spam cechują się dużą ilością odnośników w wiadomości).
- Wykorzystaj jeszcze 2 pola, gdzie masz sposobność wpisać słowa. I jeśli pojawią się one w treści komentarzu, nazwie użytkownika, adresie url, email i adresie ip, to komentarz zostanie automatycznie przeniesiony do kolejki SPAM bądź do moderacji.
Wtyczka Antispam Bee
Dodatkowe zabezpieczenie przed spamem to wtyczki antyspamowe WordPress. Najlepsza z nich to: Antispam Bee.
Podstawowe ustawienia wtyczki Antispam Bee:
Pozostawiacie domyślne ustawienia bądź takie, które szczególnie Wam odpowiadają. Możecie np. zaznaczyć opcję, aby komentarze uznane za spam zostały automatycznie usuwane.
Ja jeszcze zaznaczyłem opcję, że z kilku krajów zagranicznych nie chcę otrzymywać komentarzy, a przyzwalam tylko na komentarze z Polski. Wy również macie taką możliwość. Wszystko zależy od tego, do kogo kierujecie treść na swojej stronie bądź blogu.
Do wyboru jeszcze Captcha?!
Macie jeszcze możliwość zastosowania wtyczki, która podczas dodawania komentarza wymaga wpisania kodu Captcha. Taki kod użytkownik musi przepisać ze zdjęcia, formularza. Innym razem wymaga się obliczenia pewnego działania matematycznego bądź innego.
Polecam takie formy zabezpieczenia przed spamem, ale gdy captcha jest prosta dla użytkowników. Trudniejsze captcha są negatywnie odbierane, a nie chcesz, aby przez to wyszli z naszej strony. Jeśli mimo wcześniejszych zabezpieczeń nie radzisz sobie ze spamem to wykorzystaj jej możliwości. W takim razie polecam zajrzeć tutaj „wtyczki WordPress Captcha„.
7. Backup WordPress – kopia zapasowa plików i bazy danych
Twoja strona postawiona na WordPressie składa się z bazy danych, jak i plików. Jeśli chcesz zadbać o ich bezpieczeństwo, to dobrze byłoby przeprowadzić regularny backup bazy danych i plików. Z jakiej wtyczki mógłbyś tutaj skorzystać?
Ja polecam i korzystam z UpdraftPlus WordPress Backup Plugin. Dzięki niej każdego tygodnia automatycznie tworzy się backup, który trafia na mój dysk wirtualny Google Drive i DropBox.
Jak zainstalować UpdraftPlus WordPress Backup Plugin?

W pierwszej kolejności wchodzisz w sekcję „Wtyczki” i „Dodaj nową„. W pole wyszukiwania wpisujesz „UpdraftPlus„. Instalujesz i włączasz.
Następnie przechodzisz do „Ustawienia” i klikasz w „UpdraftPlus Backups„

Później klikasz w „Ustawienia” i ustalasz „Harmonogram kopii zapasowej plików” i „Harmonogram kopii zapasowej bazy danych„. Czyli ustalasz, co jaki czas ma być wykonywany backup, np. raz na miesiąc, tydzień. Ustalasz także „Miejsce zdalnego przechowywania” czyli gdzie ma zapisywać się kopia bazy danych, np. na dysku wirtualnym (dropbox, google drive), na pocztę email (tutaj nie polecam, ponieważ gdy kopia będzie posiadać powyżej 20 MB to może pojawić się problem z wysyłką, ponieważ wiadomość email jest za ciężka), na serwerze.

Schodzisz niżej do pozycji „Uwzględnij pliki w kopii zapasowej” i zaznaczasz te odpowiednie dla Ciebie. Polecam zaznaczyć wszystkie opcje, czyli „Wtyczki”, „Motywy” i „Przesłane” i „Wszystkie inne katalogi wewnątrz wp-content”.

Na koniec klikasz w „Zapisz zmiany” i przechodzisz do zakładki „Bieżący status„, a następnie w „Zrób kopię teraz„.

Co jeszcze? Sprawdź czy backup został poprawnie wykonany i czy wszystkie pliki zostały dobrze przesłane na nasz dysk wirtualny, pocztę czy serwer. Tak oto zadbałeś o to, aby kopia zapasowa Twojej strony tworzyła się automatycznie!
8. Jak zabezpieczyć stronę i komputer?
- Wybierasz sprawdzony hosting – sprawdź, jak długo trzyma backup strony. Polecam najlepsze hostingi/serwery.
- Szyfrowanie połączeń z serwerem czyli FTP samo zło – lepszym rozwiązaniem od ftp jest połączenie SFTP.
- Silne hasła do logowania na stronę wordpress – nie używajmy nazwy logowania „Admin”.
- Aktualizacja wtyczek, motywów i samego WordPressa.
- Instalujesz wtyczki i motywy tylko z wiarygodnych źródeł oraz regularnie ulepszane / aktualizowane. Jest wtedy mniejsze prawdopodobieństwo, że dany haker wykorzysta pewien błąd danej wtyczki bądź programu i dzięki temu się włamie. Gdy aktualizujesz, nie ma już takiej możliwości.
- Częsty Backup całej strony – jeśli masz stronę na WordPressie, to ustaw Backup za pomocą wtyczki, np. Updraft Backup, o której wspominam powyżej 🙂
- Antywirus na komputerze i telefonie
Sygnały zawirusowania komputera i strony www:
- strona się wiesza
- antywirus nas informuje
- Google daje znać w wyszukiwarce oznaczając naszą stronę jako niebezpieczną
Co, jeśli ktoś zaatakuję stronę?
- Napisz do hostingodawcy, aby zeskanowali naszą stronę
- Sprawdź czy zabezpieczyłeś stronę wedle powyższych wskazówek
- Skontaktuj się ze specjalistą od zabezpieczenia strony
Jeśli ukończyłeś ten krótki poradnik „Bezpieczna konfiguracja WordPress czyli jak zwiększyć bezpieczeństwo strony” i wdrożyłeś jego wskazówki, to w dużym stopniu zadbałeś o skuteczne zabezpieczenie swojej strony www opartej na WordPressie bądź innej.
ps. Posiadasz jeszcze własne sposoby na zwiększenie bezpieczeństwa strony www? Pochwal się nimi, abym ja i inni mogli skorzystać!