Jak zabezpieczyć swój CMS WordPress przed atakami hackerów?

W tym artykule przedstawię sposoby na to jak zabezpieczyć Twoją stronę internetową przed ewentualnymi włamaniami.

Przede wszystkim nie ufaj stronom oferującym płatne wtyczki za darmo. Instaluj tylko te, które są kompatybilne z Twoją wersją WordPressa i nie zapominaj o ich aktualizowaniu. Wtyczki nieaktywne też trzeba aktualizować! Jeśli w Twoim panelu znajdują się takie, które nie są Ci już potrzebne dobrym pomysłem będzie ich odinstalowanie.

Na powyższym zdjęciu widać kanały jakimi hackerzy mogą próbować przejąć kontrolę nad naszą stroną.

Sposób na zabezpieczenie się przed atakami ‘Brute force’ jest stosunkowo prosty. Rozważ listę najczęściej wykorzystywanych loginów: admin, administrator, adm, user, user2, tester, test, support, админ itp. Jeśli wykorzystujesz któryś z nich to mam nadzieję, że po tym wpisie już robić tego nie będziesz. 18% ataków można udaremnić nie stosując oczywistych nazw kont przy zastosowaniu mocnych haseł. W żadnym wypadku ‘login’ i ‘hasło’ nie powinny być nazwą Twojej strony.

Dla większego bezpieczeństwa można zainstalować jedną z darmowych wtyczek.  Better WP Security czy też Login Lockdown skutecznie udaremnią próby wielokrotnego logowania i zablokują niechcianych delikwentów. Warto również rozważyć zastosowanie autentykacji 2-etapowej. W tym celu możemy np. zastosować wtyczkę Two Factor Authentication lub Rublon czy też Clef.

Pamiętaj także, aby:

  1. Regularnie aktualizować WordPress-a. Zaskakujące jak wiele stron wciąż korzysta ze starych wersji tego CMS-a. Nie jest on wtedy wspierany, a co za tym idzie nie otrzymuje aktualizacji związanych z bezpieczeństwem.
  2. Aktualizuj regularnie zainstalowany motyw (szablon).
  3. Pamiętaj o kopiach zapasowych.

Tzw. backupy powinny być robione co najmniej raz dziennie i przechowywane na zewnętrznym serwerze. Wtyczka ułatwiająca tworzenie kopii zapasowych to np. BackWPup.

  1. Zmień standardowy prefix tabeli (bazy danych).
  2. Zmień domyślną ścieżkę dla twojego formularza logowania do panelu administratora. W tym celu możesz skorzystać np. z wtyczki Custom Login URL.
  3. Login i hasło zachowaj tylko dla siebie.
  4. Pracuj na koncie Redaktora. Administrator jest przeznaczony tylko dla prac administracyjnych.
  5. Zainstaluj antywirusa na swoim komputerze.
  6. Jeśli korzystasz z serwera plików łącz się z nim tylko przez sFTP i ustaw każdorazowo pytanie o hasło.
  7. Loguj się tylko przez swój, bezpieczny Internet. Nie rób tego z kawiarni czy dworca udostępniającego usługę darmowego wi-fi. Rób to tylko na znanym Ci i zabezpieczonym komputerze.

WordPress to łatwo konfigurowalny i naprawdę bezpieczny system CMS.

W kodach otwartych, takich jak te zastosowane w WordPress-ie każdy użytkownik staje przed możliwością modyfikacji, która to równocześnie może zagwarantować naprawdę wysoki poziom bezpieczeństwa. W przypadku autorskich rozwiązań ich właścicielem jest konkretny podmiot. W związku z czym jakiekolwiek zmiany (np. rozbudowa funkcjonalności, zmiana wyglądu szaty graficznej) będziesz musiał przeprowadzić z jego zaangażowaniem. Ponadto w przypadku rezygnacji z usług danego dostawcy nie pozostaje Ci nic innego jak rozpoczęcie wszystkiego od nowa, wdrożenie innego systemu CMS.

Autor: Piotr Kaczorowski – Strony internetowe Gdańsk

Kontakt :

Creative Technology

Piotr Kaczorowski

Władysława Broniewskiego 3c/15

80-524 Gdańsk


    Pola oznaczone * są wymagane.

    Wyrażam zgodę na cookie. Więcej informacji.

    Nasza strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.

    Zamknij