powrot do bloga
/
/
wordpress
/
Jak zabezpieczyć WordPress przed wirusami

Jak zabezpieczyć WordPress przed wirusami

Hauer Mateusz LinkedIn
Jak zabezpieczyć WordPress przed wirusami

W miarę ewolucji systemu WordPress pojawiają się również potencjalne zagrożenia, takie jak ataki i wirusy, które mogą stwarzać poważne problemy dla właścicieli stron internetowych i sklepów online. Niniejszy artykuł poświęcony jest definicji wirusów oraz metodom obrony przed nimi, dostarczając szczegółowych informacji na ten temat.

Dowiedz się Jak zrobić stronę na Wordpress


spis treści:

Malware - czym jest


Złośliwe oprogramowanie (malware) atakujące strony oparte na WordPressie poszukuje i wykorzystuje potencjalne luki głównie w wtyczkach i szablonach. Następnie wstrzykuje problematyczny lub uciążliwy kod, który, w zależności od rodzaju wirusa, może wykonywać różnorodne zadania.

Zanim jednak przystąpimy do zabezpieczania WordPressa, kluczowe jest zrozumienie charakterystyki potencjalnych zagrożeń.

Wirusy na stronach opartych na WordPressie

Mimo że WordPress sam w sobie jest bardzo bezpieczną platformą, ataki wirusów są zjawiskiem dość powszechnym. Sam silnik WordPressa jest stale monitorowany i rozwijany przez programistów z różnych zakątków świata, co pozwala szybko reagować na ewentualne luki w systemie i szybko je naprawiać.

Dlaczego więc wirusy często kierują się właśnie w stronę WordPressa, mimo jego solidnego zabezpieczenia? To wynika z jego ogromnej popularności – około 40% stron internetowych na świecie korzysta z tego systemu zarządzania treścią. Właśnie ta popularność czyni go bardziej narażonym na różnego rodzaju ataki. Otwarte źródło WordPressa jest bezpieczne, ale potencjalne luki mogą pojawiać się w wtyczkach i szablonach, które są tworzone zarówno przez profesjonalne firmy, jak i zwykłych użytkowników.

Zobacz nasze usługi:

Jak sprawdzić, czy na mojej stronie są wirusy?


Sposoby na sprawdzenie, czy moja strona jest zainfekowana:

  1. Aktywne korzystanie z witryny: Przejdź na swoją stronę i przeglądaj ją, klikając po różnych sekcjach, takich jak produkty, kategorie, oferty czy koszyk. Brak podejrzanych zdarzeń, takich jak wyskakujące okienka czy przekierowania na inne strony, może sugerować, że strona jest w porządku.
  2. Przegląd plików za pomocą FTP: Skorzystaj z klienta FTP (File Transfer Protocol), aby przejrzeć foldery strony w poszukiwaniu plików o przypadkowych lub dziwnych nazwach. Przykładowe nazwy plików mogą wyglądać jak na poniższym zrzucie ekranowym.

Podejrzane pliki index.php strony

  1. Zweryfikuj kluczowe pliki, takie jak index.php, wp-config.php i wp-settings.php, w poszukiwaniu potencjalnego złośliwego kodu. Pamiętaj o włączeniu opcji wyświetlania spacji i tabulatorów w edytorze plików dla skuteczniejszej analizy.


Kod w edytorze


Na pierwszy rzut oka plik wygląda jak zwykły plik WordPress. Jednak, gdy włączysz opcję pokazywania spacji i tabulatorów w edytorze, zauważysz szare kropki na pierwszej linii, co wskazuje na znaczną ilość wciśniętych spacji.

Przesuwając suwak w prawo lub aktywując opcję zawijania wierszy, ukaże się kod:

Element złośliwego kodu

To jedynie fragment szkodliwego kodu, który może występować również w innych plikach tego systemu.

Inne przykłady obejmują:

Elementy złośliwego kodu
Elementy złośliwego kodu
Elementy złośliwego kodu
Elementy złośliwego kodu
  1. Zweryfikuj organiczne wyniki w Google dla swojej strony, używając poniższego zapytania: site:moja-domena.pl
wyniki wyszukiwania site:domena

Na powyższym screenie widać dające do myślenia wyniki jak na stronę, która produkuje okulary korekcyjne. Można także dopatrzeć się, że Google znalazło 5140 wyników, co jest mało prawdopodobne, aby strona produkująca kilka rodzajów okularów miała aż tyle podstron.

5. Zainstaluj program do wyszukiwania malware np. WebDefender Security – Protection & AntiSpam. Za pomocą tej wtyczki sprawdzisz, czy w twojej stronie nie ukryły się wirusy. Niestety każdy znaleziony problem trzeba indywidualnie sprawdzić i zweryfikować czy to złośliwe oprogramowanie, ponieważ często zdarza się, że wtyczki, z których korzystamy mogą zawierać kod, który zostanie wykryty jako złośliwy.

Zobacz również Jak przenieść Wordpress z katalogu na serwerze

Jak zabezpieczyć stronę na WordPress przed wirusami?

Oto zestaw działań prewencyjnych, które zdecydowanie utrudniają i minimalizują ryzyko zainfekowania strony przez wirusa. Warto jednak pamiętać, że w zależności od rodzaju wirusa lub atakujących robotów, te środki ostrożności mogą być niewystarczające.

Wybór hostingu

Decyzja dotycząca hostingu stanowi kluczowy element każdej witryny. Wiele osób skłania się ku wyborowi serwera kierując się ceną lub rekomendacją innych użytkowników. Jednakże, decyzja ta nie jest tak łatwa, jak się wydaje. Przede wszystkim warto upewnić się, czy hosting:

  • posiada najnowszą wersję PHP, obecnie 8.0,
  • regularnie tworzy kopie zapasowe bazy danych i plików, udostępniając je bez dodatkowych opłat,
  • oferuje skuteczną ochronę przed atakami DDoS.

Poza aspektami bezpieczeństwa, istotne jest również sprawdzenie parametrów technicznych, takich jak procesor, pamięć RAM, pojemność oraz ewentualne limity, jakie serwer może narzucić.

Zobacz również Jak wybrać hosting

Certyfikat SSL

Certyfikat SSL pełni funkcję szyfrowania wszelkich danych przesyłanych pomiędzy przeglądarką użytkownika a stroną internetową. Każdy renomowany dostawca usług hostingowych oferuje zarówno płatne, jak i bezpłatne wersje certyfikatów SSL, takie jak na przykład Let’s Encrypt.

Dowiedz się co to jest certyfikat SSL

Aktualizacje WordPress

Regularne udostępnianie nowych wersji WordPress nie tylko wprowadza nowe funkcje i możliwości, ale także zawiera kluczowe poprawki związane z bezpieczeństwem systemu. Ważne jest również, aby systematycznie aktualizować wszelkie dodatki, zwłaszcza wtyczki i szablony, które są bardziej podatne na potencjalne ataki wirusów. Dlatego zawsze zaleca się utrzymywanie ich w najnowszych wersjach, co przyczynia się do zminimalizowania ryzyka zagrożeń.

Zapewnij sobie regularne aktualizacje z usługą opieka i administracja wordpress

Usunięcie zbędnych wtyczek i szablonów

Warto rozważyć odinstalowanie wtyczek, których nie używamy lub które są nam potrzebne jedynie okazjonalnie. To samo dotyczy szablonów - jeśli mamy zainstalowane więcej niż jeden, zaleca się pozbycie się tych, których obecnie nie wykorzystujemy. Skupienie się na minimalnej liczbie aktywnych elementów pomaga ograniczyć potencjalne ryzyko, jednocześnie utrudniając hakerom i botom działania.

Poznaj najlepsze wtyczki wordpress

Schowanie informacji o wersji WordPress i wtyczek

Aby zwiększyć poziom bezpieczeństwa, warto zastanowić się nad ukryciem informacji o wersji WordPress oraz wtyczek. Domyślnie WordPress dodaje tag z informacją o wersji w sekcji HEAD:

<meta name="generator" content="WordPress 5.6.4" />

Dodatkowo, w przypadku wtyczek, WordPress do URL plików CSS i JS może dodawać ?ver=X.X.

Zwiększenie poziomu bezpieczeństwa poprzez ukrycie informacji o wersjach

Ujawnianie informacji o używanych wersjach poszczególnych komponentów na stronie może ułatwić pracę potencjalnym atakującym. Możemy zablokować wyświetlanie tych informacji, dodając poniższy kod do pliku functions.php w naszym szablonie WordPress.

Przeczytaj więcej o tym jak zabezpieczyć stronę na wordpress


Ochrona dostępu do plików

Poprzez odpowiednie zasady w pliku .htaccess możemy zabezpieczyć dostęp do konkretnych plików lub katalogów, co stanowi dodatkową warstwę ochronną przed potencjalnymi zagrożeniami.

W głównym katalogu WordPressa znajdują się pliki kluczowe, takie jak xmlrpc.php i wp-config.php, przechowujący istotne dane bazy danych MySQL. W celu zabezpieczenia tych plików, warto dodać poniższe reguły do pliku .htaccess w tym samym katalogu:

skrypt ochrony dostępu

Dodatkowo, w przypadku katalogu /wp-content/uploads/ (jeśli jeszcze nie istnieje, utwórzmy plik .htaccess), możemy dodać poniższą regułę, która blokuje wykonywanie niektórych rodzajów plików, zwiększając tym samym bezpieczeństwo

plik .htaccess

Dezaktywacja zbędnych funkcji

WordPress dostarcza szereg funkcji, z których nie zawsze korzystamy. Dlatego warto rozważyć dezaktywację niektórych z nich.

Jeżeli na naszej stronie nie korzystamy z systemu komentarzy, zaleca się wyłączenie opcji znajdujących się w sekcji Ustawienia → Dyskusja, a konkretnie dwóch pierwszych pól wyboru.

Ustawienia dyskusji

Pingbacki pełnią rolę powiadamiania administratora witryny o umieszczeniu linku do jednego z naszych wpisów na innej stronie.

Jeśli nie używamy funkcji wbudowanych komentarzy w WordPress, zaleca się zainstalowanie wtyczki Disable Comments, aby zoptymalizować działanie strony.

Wtyczki bezpieczeństwa

W miarę narastania zagrożeń i ataków na strony korzystające z systemu WordPress, pojawiło się wiele dodatków zapewniających dodatkową ochronę.

Przykłady takich wtyczek to Wordfence Security, All In One WP Security & Firewall oraz iThemes Security. Dzięki nim można skutecznie zabezpieczyć stronę, wykrywać złośliwe oprogramowanie i blokować próby ataków typu brute-force. Warto jednak pamiętać, że korzystanie z tych wtyczek może wpłynąć na prędkość działania strony.

Kopie bezpieczeństwa

Regularne tworzenie kopii zapasowych jest kluczowym elementem bezpieczeństwa, nawet jeśli nasz dostawca hostingu oferuje tę usługę. Są sytuacje, gdy przywracanie kopii zapasowej sprawia kłopoty lub w ogóle nie została wykonana z różnych przyczyn. Dlatego zawsze warto samodzielnie zadbać o tę kwestię. Istnieje wiele wtyczek do WordPress, które umożliwiają automatyczne tworzenie kopii i ich przechowywanie na zewnętrznym serwerze. Jednym z polecanych rozwiązań jest UpdraftPlus, który pozwala na elastyczne zarządzanie procesem tworzenia i przechowywania kopii bezpieczeństwa.

Dowiedz się dlaczego potrzebujesz kopii zapasowej

Ustawianie harmonogramu kopii bezpieczeńśtwa

Zobacz również Link authority – czym jest i jakie ma znaczenie?

FAQ - najczęściej zadawane pytania


Jak usunąć wirusa z WordPressa?

Sprawdzenie, czy strona faktycznie jest zainfekowana.Bezpieczeństwo zaczyna się od zmiany wszystkich haseł – do FTP, MySQL oraz panelu admina.Przeinstalowanie plików WordPressa stanowi kluczowy krok w usuwaniu zagrożeń.Ręczne usunięcie wszystkich wtyczek za pomocą FTP, a następnie ponowna instalacja.Ręczne usunięcie plików z głównego motywu, a następnie ich ponowne przesłanie na serwer.

Czy WordPress jest bezpieczny?

WordPress to platforma charakteryzująca się wysokim poziomem bezpieczeństwa. Dynamiczna praca programistów z różnych zakątków świata pozwala na szybkie wykrywanie i naprawę ewentualnych luk w systemie.


Jak zabezpieczyć stronę hasłem WordPress?

Aby zabezpieczyć swoją stronę hasłem w WordPress, postępuj zgodnie z poniższymi krokami:

  1. Zaloguj się do panelu WordPress (wp-admin).
  2. Przejdź do sekcji "Wtyczki".
  3. Zainstaluj i aktywuj wtyczkę Password Protected.
  4. Następnie możesz dostosować ustawienia wtyczki, przechodząc do zakładki "Ustawienia" > "Ochrona hasłem".

Zobacz również

Jesteś gotowy na POWER ?

Potrzebujesz świeżego spojrzenia ?

Rozwiń i zaangażuj użytkowników.
Usprawnij obsługę procesów sprzedaży oraz doświadczenia Klientów.

Uwolnij z nami swój  potencjał cyfrowy
agencja digital marketing