powrot do bloga

Jak zwiększyć bezpieczeństwo wordpress

Jak zwiększyć bezpieczeństwo wordpress

Bezpieczeństwo WordPress – wszystko, co musisz wiedzieć


Wordpress to najpopularniejsza metoda na stworzenie własnej strony internetowej. Wystarczy jednak kilka nieostrożnych ruchów, aby przyciągnąć uwagę hakerów. Dowiedz się, na które elementy należy zwrócić uwagę i jak zadbać o bezpieczeństwo witryny.


Z tego artykułu dowiesz się:


  1. Jak zadbać o bezpieczeństwo WordPress
  2. Jak zadbać o zabezpieczenie logowania WordPress
  3. Czy wtyczki na pewno zwiększają bezpieczeństwo?
  4. Jakie konsekwencje grożą przy niedostatecznym zabezpieczeniu WordPress?


Dlaczego bezpieczeństwo WordPress jest tak ważne?



Olbrzymia popularność WordPress sprawia, że jest on najbardziej narażonym CMS na ataki hakerskie. Jednak większość z nich wynika z niewłaściwych zabezpieczeń, zatem webmaster powinien zrobić wszystko, co możliwe, aby uniknąć zagrożenia.

Dziś 42% sieci i stron działa na Wordpressie

Obok mniejszych incydentów, które zdarzają się dość często, nie brakuje zmasowanych ataków.

130 milionów ataków na 1.3 miliona witryn

Pod koniec maja 2020 roku hakerzy przeprowadzili aż 130 milionów ataków na 1,3 miliona witryn. Cyberprzestępcy wykorzystali luki XSS we wtyczkach i szablonach graficznych, co pozwoliło uzyskać dostęp do plików konfiguracyjnych.

34 miliony ataków Brute Force

Natomiast Wordfence – producent jednego z pluginów zabezpieczających, tylko w ciągu jednego miesiąca zarejestrował aż 34 miliony ataków Brute Forre. Natomiast ataki, które wykorzystują luki w zabezpieczeniach sięgają liczby nawet 3,8 mln dziennie.

Chociaż dziś trudno zapewnić stronie 100% bezpieczeństwa, ryzyko można znacznie ograniczyć. Wystarczy pamiętać o kilku dobrych praktykach, które mogą uchronić Twoją stronę przed wyciekiem danych czy złamaniem zabezpieczeń. Poznaj szczegółowe informacje!


Jak samemu zadbać o bezpieczeństwo WordPressa?


Bezpieczeństwo strony na WordPress w dużej mierze zależy właśnie od jej opiekuna. Podpowiadamy, co należy zrobić samemu, aby uchronić się przed atakami hakerów. Przedstawione metody są bardzo proste, jednak niezwykle skuteczne. Poznaj kilka zasad, obok, których nie możesz przejść obojętnie.


Aktualizacja WordPress


Kluczową rolę dla bezpieczeństwa WordPress odgrywa bieżąca aktualizacja CMS, PHP, motywów i wtyczek. Każda nowa wersja obejmuje poprawki, które zmniejszają ryzyko ataków. Natomiast korzystanie ze starszych rozwiązań otwiera drzwi hakerom.


Aktualizację wtyczek możesz wykonać z panelu administracyjnego WordPress (sekcja „kokpit” i „aktualizacje”). Z kolei aktualną wersję PHP znajdziesz w sekcji związanej z zarządzaniem usługami hostingowymi. Zwróć uwagę, aby aktualizacje wykonywać regularnie, gdyż programiści stale pracują nad zwiększeniem bezpieczeństwa WordPress.


Pojedyncze aktualizacje wtyczek

Dobrą praktyką jest wykonywanie aktualizacji wtyczek pojedynczo. Jeżeli zrobisz to jednocześnie, w przypadku awarii chociaż jednej z nich, czeka Cię czasochłonne poszukiwanie tej niedziałającej. Warto również pamiętać, aby pluginy pobierać ze sprawdzonych źródeł, choć o tym jeszcze zdążymy porozmawiać.

Ręczna metoda aktualizacji Wordpressa

Aby zaktualizować WordPress do najnowszego systemu, również warto skorzystać z ręcznej metody. W tym celu należy wyłączyć wszystkie wtyczki, rozpakować archiwum, a następnie skopiować pliki, zgadzając się na ich nadpisywanie. Później wystarczy przejść do panelu administracyjnego i potwierdzić aktualizację.


Częstotliwość backupów


Częstotliwość backupów zależy m.in. od częstotliwości aktualizacji treści czy stopnia zmian. Jeżeli treści aktualizujesz raz na kilka miesięcy, nie musisz martwić się o częstsze backupy. To samo dotyczy drobnych zmian na stronie (np. poprawy literówek). Jednak zupełnie inaczej jest w przypadku aktualizacji wtyczek, dokonywania znaczących zmian w treści czy dodawania i usuwania podstron. Wówczas backup będzie konieczny i pozwoli przywrócić ostatnią wersję witryny w przypadku awarii.


Pamiętaj również, że nie zawsze aktualizacja tuż po wydaniu najnowszej wersji ma sens. Jeżeli prowadzisz kampanię sprzedażową lub ważny webinar na stronie, możesz spokojnie poczekać, aby w pierwszej kolejności zadbać o konwersję.


Dowiedz się, w jakich godzinach dostępny jest support usługodawcy hostingu – w weekendy nawet przy wsparciu 24/7 firma może mieć ograniczone moce i na pomoc będziesz musiał poczekać.


Warto zaznaczyć, że najlepiej przeprowadzić aktualizację w momencie, w którym na stronie gości jak najmniej osób. Wskaźnik ten sprawdzisz w Google Analytics, choć nasze doświadczenie podpowiada, że noc będzie idealną porą.



Silne hasła


Każdy wie, że silne hasło to podstawa bezpieczeństwa w sieci. Jednak nie każdy zdaje sobie sprawę, jak silne hasło powinno wyglądać. Tymczasem właśnie ten ciąg liter i cyfr bardzo często pada łupem hakerów, dlatego im jest on trudniejszy, tym lepiej.


Najlepszym zabezpieczeniem logowania do WordPressa będzie kombinacja małych i wielkich liter, cyfr oraz znaków specjalnych. Przy czym absolutnie nie powinno się używać tych samych haseł przy wszystkich lokalizacjach.


Manager haseł w Wordpress



Aby stworzyć trudne hasło, a jednocześnie mieć do niego dostęp, skorzystaj z menadżera haseł. Prosta w obsłudze funkcja pozwoli Ci tworzyć je i zapisywać. Jeżeli jednak chcesz stworzyć ciąg samemu, nie wykorzystuj w tym celu prostych zdań czy wyrazów, a także unikaj dat.  


Kopie bezpieczeństwa


Wykonywanie regularnych backupów to jedno z podstawowych zadań każdej osoby, która odpowiada za bezpieczeństwo WordPress. Kopia bezpieczeństwa pozwoli więc cofnąć skutki ewentualnego ataku hakerskiego. Najczęściej kopie udostępniane są przez operatorów kont hostingowych. Warto jednak pamiętać o dodatkowych wtyczkach, które pozwolą ochronić własne konta przez wykonywanie cyklicznych backupów.


Zwróć uwagę, aby ustawić wtyczkę tak, aby kopie były przesyłane do chmury (np. DropBox czy GoogleDrive). Ponadto nie powinny być przechowywane na koncie hostingowym, gdyż w przypadku ataku hakerskiego mógłbyś stracić dostęp do zasobów strony. Zdarza się również, że cyberprzestępcy żądają pieniędzy za przywrócenie stanu witryny.


Warto wiedzieć:


Na wykorzystanie chmury pozwoli Ci wiele wtyczek. Wybierz taką, która gwarantuje przywrócenie bazy danych za pomocą jednego kliknięcia. W tym celu doskonale sprawdzi się np. UpDraftPlus. Plugin ten znajdzie zastosowanie w przypadku stron o różnym rozmiarze, pozwoli na ręczne zaplanowanie backupu, a także zarządzanie kopiami wielu stron przy pomocy jednego praktycznego panelu.

Twój wordpress wolno działa ? 

Zobacz jak zyskać na szybkości poprzez optymalizację bazy danych i odpowiednią optymalizację zdjęć

Nie wiesz jak obsługiwać kokpit - zobacz poradnik wordpress


Wybierz sprawdzony hosting


Chociaż to Twoim zadaniem jest zapewnienie bezpieczeństwa strony na WordPress, trudno nie wspomnieć o roli operatorów hostingu, którzy stosują różne systemy ochronne. Niektórzy wprowadzają jedynie minimalne zabezpieczenia, a inni proponują znacznie skuteczniejsze metody. Pamiętaj, aby Twoja witryna funkcjonowała w odseparowanym środowisku, dzięki czemu nie musisz się martwić o ataki z sąsiadującego konta.



Czym właściwie jest dobry hosting?

Podstawowym kryterium, jakie musisz wziąć pod uwagę przy wyborze hostingu jest bezpieczeństwo. Usługodawca powinien zapewnić monitoring pod kątem wirusów, malware, czy brute force. Ponadto zabezpieczenia muszą blokować dostęp do strony, gdy wykryją działanie niebezpiecznego robota. Kolejnym ważnym elementem jest certyfikat SSL.

40% użytkowników opuszcza stronę jeżeli ładuje się powyżej 3 sekund

Kluczowym aspektem jest również szybkość strony. Kissmetrics podaje, że aż 40% użytkowników opuszcza stronę, gdy czas jej ładowania przekracza 3 sekundy. Oznacza to, że przy dziennym zysku na poziomie 100.000 zł, różnica jednej sekundy w ładowaniu strony może przełożyć się na 2,5 mln zł straty w roku.


Ponadto przed wyborem hostingu zwróć uwagę na kwestie związane z supportem. Dowiedz się, w jakich godzinach jest on dostępny oraz czy spełnia oczekiwania klientów. Dobrze jest więc rzucić okiem na opinie klientów, gdyż brak odpowiedniego wsparcia podczas awarii generuje kolejne straty.

Dedykowany hosting Wordpress


Jeżeli jesteś właścicielem dużego sklepu internetowego i poszukujesz rozwiązania dopasowanego tylko do potrzeb Twojej witryny, skorzystaj z hostingu dedykowanego. Wówczas otrzymasz narzędzie wyłącznie do własnego użytku. To mało awaryjna metoda, gdyż nie musisz martwić się o działania osób trzecich. Ponadto możesz samodzielnie wybrać oprogramowanie, kontrolować ilość pamięci RAM czy pojemność dysku.


Innym rozwiązaniem może być hosting VPS – Virtual Private Server. Otrzymujesz wtedy część serwera, który dzielisz z innymi użytkownikami, lecz nadal możesz wiele ustawień dopasować do indywidualnych preferencji. Niekwestionowanym atutem jest więc wysoki stopień niezależności, bezpieczeństwo oraz wydzielona przestrzeń dyskową.


Warto wiedzieć:


Usługi hostingowe obejmują niekiedy nawet tysiące stron zgromadzonych na jednym serwerze oraz na jednym adresie IP. Jeżeli nawet jedna z nich gromadzi złośliwe treści, problemy teoretycznie mogą dotknąć również Twojej witryny. Jednak Google doskonale rozumie, że wiele stron znajduje się na współdzielonych serwerach, więc kary przyznawane są dosyć rzadko. Niewłaściwe treści z „sąsiedztwa” po pewnym czasie mogą jednak wpływać na reputację Twojej strony – może np. być blokowana przez skanery antywirusowe.

Zobacz jak wygląda proces i optymalizacja wordpress


Zabezpieczenie plików na serwerze


Aby zabezpieczyć pliki, wystarczy ustawić uprawnienia do nich na serwerze. Wówczas cyberprzestępcy nie będą mogli ich podejrzeć oraz dokonać edycji. Najważniejsze dane zawiera plik wp-config.php, który powinien być niedostępny dla innych osób. Możesz więc zmienić prawa do niego, a także przenieść go do innego katalogu.


Certyfikat SSL


Jeśli domena posiada ceryfikat Secyre Socket Layer, możesz liczyć na wyższy poziom bezpieczeństwa. Oznacza to, że przesyłanie danych między użytkownikiem i serwerem jest szyfrowane. Pamiętaj jednak, aby uzyskać certyfikat ze zweryfikowanego źródła, gdyż na rynku gości wiele firm automatyzujących, a nie każda z nich zyskała uznanie w oczach Google.  


Zwróć uwagę, że brak przekierowania wszystkich stron do jednej głównej tzn po protokole https wpłynie negatywnie na Twoją witrynę. Jeżeli posiadasz strony HTTP i HTTPS, Google zidentyfikuje zawartość mieszaną, co może skutkować oflagowaniem witryny. Aby tego uniknąć, zajrzyj do ustawień oraz panelu „ogólne”. Wówczas możesz zmienić adresy URL na HTTPS.


Wszystkie strony powinny więc być przekierowane na jedną wersję np. z https:// na https://www. Dokładnie to samo dotyczy wersji z końcówką index.php który powinien przenosić na główny wybrany adres domeny. W ten sposób unikamy duplikacji strony głównej z czterech wersji do jednej bazowej.


Ta prosta czynność pozwoli Ci uniknąć duplikacji oraz kary od Google.



Zmiana domyślnego loginu admina


To bardzo prosta czynność, która sprawi, że żadna z niepowołanych osób, nie będzie mogła zalogować się na konto administratora. Aby zmienić domyślny login, wystarczy zalogować się do bazy MySQL i edytować użytkownika o nazwie „admin”. Pamiętaj, aby wybrać trudną do odgadnięcia nazwę.


Możesz również usunąć oryginalnego użytkownika i utworzysz nowego. Alternatywnym rozwiązaniem będzie prosty w użyciu plugin All In One WP Security & Firewall.

Dodatkowym atutem wtyczki jest możliwość wykrycia, czy któreś konta mają takie same nazwy logowania oraz nazwy wyświetlane. Zdecydowanie warto to sprawdzić, gdyż w takim przypadku, haker dużo łatwiej przeprowadzi atak. Ponadto plugin ma wbudowane narzędzie siły hasła, więc stanowi uniwersalne i bardzo przydatne rozwiązanie.


Zmiana strony logowania


Jeżeli udostępniasz możliwość zakładania kont osobom trzecim, dobrze jest zmienić stronę logowania. Ponadto skrypty, które dokonują ataków Brute Force często wykorzystują ścieżkę /wp-admin. Gdy bot odwiedza ten adres, może dojść do przeciążenia serwera, a nawet wyłączenia strony.


Najprostszym rozwiązaniem tego problemu będzie skorzystanie z plugina Custom Login URL. Z pomocą wtyczki bardzo prosto zmienisz adres związany z rejestracją oraz logowaniem użytkowników. To kolejny krok w stronę bezpieczeństwa Twojej strony.




Wyłączenie XML-RPC


W przypadku WordPress zabezpieczenia powinny dotyczyć nie tylko standardowej strony, ale również kanału XML-RPC oraz system.multicall. Jeżeli haker wykorzysta takie opcje, może niewielkim nakładem sił przetestować mnóstwo haseł. Właśnie dlatego należy wyłączyć XML-RPC.


Możesz to zrobić przy wykorzystaniu Firewalla WAF czy zamieszczeniu następującej reguły w pliku .htaccess:


<Files xmlrpc.php>

order deny,allow

deny from all

allow from [tu wstaw IP, z którego pozwalasz na uruchamianie pliku]

</Files>


Ukrywanie WordPress


Aby zadbać o bezpieczeństwo strony na WordPress, możesz ukryć stronę logowania. Możesz to zrobić bardzo szybko i sprawnie.


  1. Zaloguj się do panelu administratora
  2. Przejdź do sekcji Strony lub Wpisy
  3. Edytuj wpis lub utwórz nowy
  4. Skorzystaj z opcji Wyświetlenie
  5. Zmień widoczność publikacji na prywatny, który będzie dostępny tylko dla administratorów.


Ta wygodna opcja stanowi doskonałą alternatywę dla wtyczek, które należy instalować wyłącznie w razie potrzeby. Jeżeli możesz wykonać pewne czynności za pomocą panelu, zdecydowanie lepiej z tego rozwiązania skorzystać.


Wtyczki, które pomogą Ci zabezpieczyć WordPress


Zanim podamy atuty kilku pomocnych wtyczek, zwróć uwagę, że mówimy o pluginach, które POMOGĄ zabezpieczyć, lecz NIE zabezpieczą WordPress. Krótko mówiąc, będą nieprzydatne, jeśli nie zadbasz o aspekty, które omówiliśmy wyżej.

Jednak właściwie wykorzystane, ułatwią Ci zarządzanie stroną. Listę zaufanych wtyczek znajdziesz tutaj: https://pl.wordpress.org/plugins/.




Uwaga:


Pod żadnym pozorem nie instaluj pluginów z niezaufanych źródeł czy pirackich wersji płatnych narzędzi. Nie będziesz mógł ich zaktualizować i najprawdopodobniej zawierają kod, który ma ułatwić zadania hakerom. To kolejna furtka dla cyberprzestępców.



Stała ochrona iThemes Security


Ta prosta w użyciu wtyczka pozwoli Ci zwiększyć bezpieczeństwo WordPressa. Dzięki niej możesz w kilka chwil włączyć opcje ochronne. Wystarczy przy poszczególnych modułach kliknąć przycisk „Enable”. Chociaż plugin oferuje płatne funkcje, jego darmowa wersja wystarczy, aby zadbać o odpowiednie zabezpieczenie strony. Narzędzie to cieszy się bardzo wysokim uznaniem wśród webmasterów.



Dwustopniowa weryfikacja logowania - Jetpack


Jetpack to wtyczka, która obejmuje wiele rozwiązań, a jednym z nich jest możliwość ustawienia dwustopniowej weryfikacji logowania. Ponadto pozwoli Ci na tworzenie kopii zapasowych dla WordPress i WooCommerce. W opiniach wielu użytkowników to jeden z najlepszych pluginów. Zdecydowanie warto przyjrzeć mu się bliżej.


Skanowanie malware  - Wordfence Security – Firewall & Malware Scan


Ten przydatny plugin jest w stanie wykonać skan w poszukiwaniu złośliwego oprogramowania. Ponadto pozwoli wziąć pod lupę zaporę sieciową czy monitorować wizyty oraz próby włamań w czasie rzeczywistym. A to tylko niektóre spośród wielu przydatnych funkcji.  Mamy więc do czynienia z bardzo uniwersalnym rozwiązaniem, które pozwoli poprawić bezpieczeństwo WordPress.


Kompleksowe zabezpieczenie – All In One WP Security & Firewall


Jak sama nazwa mówi, wtyczka potrafi naprawdę wiele. Wystarczy kilka minut, aby wprowadzić mechanizmy, które zwiększą bezpieczeństwo WordPress. Plugin pozwoli Ci zmienić prefiks bazy danych, sprawdzić bezpieczeństwo hasła czy nazwy użytkownika, zmienić domyślną stronę logowania, a także ustawić blokowanie strony na skutek nieskutecznych prób wejścia. Funkcji jest dosyć dużo, więc warto dokładnie przemyśleć, które rozwiązania wdrażasz.


Usuń niepotrzebne wtyczki


Pamiętaj, że niepotrzebne wtyczki mogą poczynić więcej szkody niż pożytku. Nadmiar pluginów negatywnie wpływa na prędkość wczytywania strony, pozycje w Google, a także utrudnia zarządzanie witryną. Właśnie dlatego warto kontrolować liczbę wtyczek i pamiętać, że nie stanowią one remedium na ataki hakerskie. Zwróć uwagę, że WordPress ma aż 55.000 wtyczek! Przy czym bezmyślne instalowanie wielu przyniesie więcej szkody niż pożytku.

Sprawdź liczbę pobrań wtyczki

Jeżeli na liście znajdziesz aktualny plugin, którego funkcje ułatwią Ci zarządzanie stroną, możesz śmiało z niego skorzystać. Najlepszą rekomendacją będzie liczba pobrań wyszczególniona przy każdym z nich.

Pluginy Yoast SEO czy Jetpack pobierano aż 5 mln razy.

Natomiast Advanced Editor Tools – ponad 2 mln razy.

To wystarczająca rekomendacja


Oto kilka podstawowych rozwiązań, które warto wdrożyć na stronę:


  1. Yoast SEO – ułatwia optymalizację witryny pod kątem SEO
  2. Oxygen Builder – pozwala w prosty sposób zaprojektować stronę również pod kątem graficznym
  3. UpdraftPlus – pozwoli na stworzenie kopii zapasowych stron
  4. All In One WP Security & Firewall – zestaw narzędzi, które zwiększą bezpieczeństwo Twojej strony.
  5. P3 – dzięki temu pluginowi uzyskasz raport na temat szybkości strony


FAQ i pytania


Aby nasz poradnik dotyczący bezpieczeństwo strony na WordPress był kompletny, warto jeszcze odpowiedzieć na kilka często zadawanych pytań.



Czy wordpress jest bezpieczny?


Nie istnieje perfekcyjna metoda na zabezpieczenie WordPressa. Pamiętaj jednak, że programiści stale pracują, aby znacznie poprawić ochronę i wychodzi im to świetnie. Przy regularnej aktualizacji WordPressa oraz korzystaniu z innych dobrych praktyk, które przedstawiliśmy, ryzyko ataku hakerów będzie minimalne.


Pamiętaj więc, jak ważna jest aktualizacja WordPressa, backup czy ograniczenie liczby wtyczek do niezbędnego minimum. Nie zapominaj również o silnych hasłach i zmianie adresu logowania oraz loginu. Na odpowiednie zabezpieczenia składa się szereg detali, o których zawsze należy pamiętać. Wówczas możesz czuć się bezpiecznie!


Jakie konsekwencje grożą przy niedostatecznym zabezpieczeniu WP?


Niezabezpieczony WordPress to otwarta furtka dla cyberprzestępców. Na skutek ataku możesz utracić pliki na serwerze czy treści na stronie, zdarzają się również wycieki danych. Konsekwencje dotykają także pozycji w Google czy stabilności pracy witryny. Ponadto strona może zostać zablokowana przez hosting.

Czy wtyczki na pewno zwiększają bezpieczeństwo?


Wtyczki są przydatne, lecz stanowią jedynie wsparcie dla działań, które możesz wykonać samodzielnie. Wiele z nich zapewnia dodatkową ochronę i zdecydowanie warto o nią zadbać, o ile mowa o sprawdzonych pluginach. Pobieraj je z oficjalnego źródła – https://pl.wordpress.org/plugins/ i zwróć uwagę, które z nich instalowane są najchętniej i zostały umieszczone w zakładce „wyróżnione”. Unikaj jednak wtyczek nieaktualizowanych od dłuższego czasu i pamiętaj, aby zachować umiar.