Jak zadbać o bezpieczeństwo strony na WordPress? Podstawowe zabezpieczenia

3 min czytania
Jak zadbać o bezpieczeństwo strony na WordPress? Podstawowe zabezpieczenia

Jak pewnie wiesz WordPress jest oprogramowaniem typu open source, co znaczy, że jego kod jest dostępny publicznie. W związku z tym jego struktura musi spełniać zasady bezpieczeństwa Kerckhoffsa, która mówi, że system kryptograficzny powinien być bezpieczny, nawet gdy znane są metody jego implementacji (poza kluczem).

Nad bezpieczeństwem samej technologii WordPress’a czuwa zespół ds. bezpieczeństwa, a każda kolejna wersja tego systemu CMS jest przez ten zespół weryfikowana. Natomiast nad bezpieczeństwem wtyczek i motywów czuwa społeczność ochotników, którzy weryfikują działanie przesyłanych plików do repozytorium WordPressa.

System jest tak silny, jak silne jest jego najsłabsze ogniwo

Niestety najsłabszym ogniwem systemu jest nieświadomy użytkownik, dlatego musisz stale dbać o swoje hasła, dane dostępowe, maile i wszelkie aplikacje, które podłączasz do swojej strony (ale także innych systemów).

Niestety każdy system jeśli jest nieodpowiednio używany, może zostać zainfekowany lub przejęty. Tak samo jest w przypadku technologii WordPress.

Instalując dodatkowe wtyczki, które nie zostały zweryfikowane lub nie mają aktualizacji od dawna, narażasz siebie i swoją stronę.

9 podstawowych zasad bezpieczeństwa WordPress

  1. Wykonuj aktualizacje WordPressa
  2. Wykonuj aktualizacje wtyczek
  3. Zmieniaj hasło do logowania
  4. Przeglądaj logi serwera i wyszukuj podejrzane aktywności np.: ciągłe otwieranie strony logowania
  5. Używaj skomplikowanego loginu i skomplikowanego hasła do panelu WordPress
  6. Zablokuj za pomocą httpasword stronę logowania
  7. Nie instaluj nieznanych Ci wtyczek (bez researchu)
  8. Zablokuj indeksowanie folderów z poziomu hostingu
  9. Twórz kopie zapasowe strony

Certyfikat SSL – szyfrowanie informacji

Przy zakupie hostingu, nie zapomnij o instalacji certyfikatu SSL. Dzięki niemu internauci unikną ostrzeżeń o niezabezpieczonej stronie. A treści przesyłane między urządzeniem użytkownika, a serwerem będą szyfrowane przez protokół HTTPS.

Dowiedz się czym jest ceretyfikat SSL i dlaczego musisz go mieć!

Ten od WordPressa

Edycja motywów i wtyczek

Dodatkowym elementem, który może uchronić stronę przed atakiem hakerskim, jest wyłączenie edycji motywów i wtyczek z poziomu panelu administratora WordPress.

Wystarczy, że umieścisz poniższą linię w pliku wp-config.php, a zalogowany użytkownik utraci możliwość edycji plików z poziomu administratora.

define('DISALLOW_FILE_EDIT', true);

Wtyczki bezpieczeństwa dla WordPress

Temat wtyczek bezpieczeństwa jest dość rozległy i zostanie przeze mnie poruszony w kolejnym artykule. Jednakże warto o nich wspomnieć. Większosć wtyczek do zapewnienia bezpieczeństwa systemowi WordPress robi część ze wspomnianych wcześniej rzeczy, ale także audytuje bezpieczeństwo strony.

Niektóre z nich jednak są blokowane przez dostawców hostingów ze względu na generowanie dużego obciążenia serwerów.

Jednakże żadna wtyczka nie zapewni 100% bezpieczeństwa Twojej stronie!

Podsumowanie

Jeśli będziesz dbać o podstawy bezpieczeństwa, czyli hasła i aktualizacje to Twoja strona powinna być bezpieczna i nie masz się czym martwić. Podstawowym elementem, który naraża Twoją stronę, jest brak aktualizacji przez wiele miesięcy.

Pamiętaj, że jeśli dbasz o bezpieczeństwo wtyczek i motywu lub zadbał o nie Twój spec, to jesteś tylko narażony na atak od środka. Dlatego pamiętaj o stworzeniu nienaturalnego loginu i okropnie trudnego hasła, a Twoja strona nie zostanie zhackowana w tym stuleciu!

26 kwietnia, 2022 | Ten od WordPressa | Bezpieczeństwo WordPressa