Jak zabezpieczyć stronę na WordPress przed atakami i infekcjami?

Opublikowano: Zaktualizowano: Czas czytania: 11 minut

W dzisiejszym świecie cyfrowym, bezpieczeństwo strony internetowej to kluczowy aspekt prowadzenia udanej i wiarygodnej działalności online. Szczególnie istotne jest zabezpieczanie stron opartych na WordPress, gdyż ze względu na swoją popularność są częstym celem cyberprzestępców.

Właściwe zabezpieczenie Twojej strony WordPress może zapobiec utracie danych, uszkodzeniu reputacji firmy i uniknięciu problemów związanych z naruszeniem prywatności. W niniejszym artykule przedstawię praktyczne wskazówki, które pomogą Ci chronić swoją witrynę przed potencjalnymi zagrożeniami.

Omówię metody, takie jak regularne aktualizacje oprogramowania, stosowanie silnych haseł, ograniczanie liczby prób logowania oraz autentykacja dwuskładnikowa. Ponadto poruszę temat ochrony plików konfiguracyjnych, monitorowania aktywności na stronie oraz korzystania z narzędzi takich jak firewalle. Na koniec, omówimy znaczenie utrzymania odpowiednich uprawnień plików i katalogów, a także konieczność regularnych kopii zapasowych i skanowania strony pod kątem złośliwego oprogramowania.

Jak dbać o bezpieczeństwo strony na WordPress?

  1. Regularne aktualizacje: Upewnij się, że Twoja instalacja WordPress, motywy oraz wtyczki są zawsze aktualne. Uaktualnienia często zawierają poprawki zabezpieczeń.
  2. Silne hasła: Używaj silnych haseł dla wszystkich kont użytkowników, w szczególności dla konta administratora. Silne hasła zawierają różne znaki, takie jak litery, cyfry i symbole.
  3. Ograniczenie liczby prób logowania za pomocą konfiguracji firewall na serwerze. Wykorzystanie do tego wtyczki może skutecznie obniżyć wydajność serwera.
  4. Autentykacja dwuskładnikowa (2FA): Włącz 2FA dla kont użytkowników, aby dodać dodatkową warstwę zabezpieczeń przy logowaniu.
  5. Zabezpiecz plik wp-config.php: Upewnij się, że plik wp-config.php ma właściwe uprawnienia i jest chroniony przed bezpośrednim dostępem.
  6. Ogranicz dostęp do katalogu /wp-admin: Można to zrobić za pomocą pliku .htaccess lub za pomocą reguł firewalla.
  7. Wyłącz edycję plików z poziomu panelu administracyjnego: Dodaj define( 'DISALLOW_FILE_EDIT', true ); do pliku wp-config.php, aby uniemożliwić edycję plików motywu i wtyczek z poziomu panelu administracyjnego.
  8. Nie używaj wtyczek bezpieczeństwa, takich jak Wordfence, iThemes Security (Aktualnie SolidWP) czy Sucuri Security – ich oszukanie jest bardzo proste, a same wtyczki często są źródłem niebezpieczeństwa.
  9. Regularne kopie zapasowe: Twórz regularnie kopie zapasowe swojej strony i bazy danych, aby łatwo przywrócić stronę w przypadku ataku.
  10. Monitoruj aktywność na stronie: Korzystaj z narzędzi do monitorowania aktywności użytkowników i sprawdzaj dzienniki serwera, aby wykryć podejrzane działania.
  11. Ogranicz dostęp do plików XML-RPC: Jeśli nie używasz usług korzystających z plików XML-RPC, takich jak trackbacks, pingbacks czy aplikacji mobilnych, ogranicz dostęp do pliku xmlrpc.php za pomocą pliku .htaccess.
  12. Używaj zabezpieczeń na poziomie sieci: Skonfiguruj firewall (np. Cloudflare) dla swojej strony
  13. Usuń nieużywane motywy i wtyczki: Usuń wszystkie nieaktywne motywy i wtyczki, które nie są już potrzebne. Pozostawienie ich na serwerze może stanowić potencjalne zagrożenie.
  14. Zmień prefiks tabel WordPress: Domyślnie prefiks tabel WordPress to wp_. Zmieniając go na coś innego, utrudniasz potencjalnym atakującym przewidywanie struktury bazy danych.
  15. Wyłącz wyświetlanie błędów PHP: W pliku wp-config.php ustaw define( 'WP_DEBUG', false );, aby uniknąć wyświetlania błędów PHP, które mogą ujawnić wrażliwe informacje.
  16. Zabezpiecz dostęp do katalogów: Dodaj Options -Indexes do pliku .htaccess, aby uniemożliwić przeglądanie zawartości katalogów przez przeglądarkę.
  17. Zmiana nazwy konta administratora – Unikaj oczywistych nazw kont jak: “admin” lub “administrator” utrudni to ataki botów.
  18. Sprawdzaj swoje uprawnienia: Upewnij się, że tylko niezbędne osoby mają uprawnienia administratora, a inni mają odpowiedni poziom uprawnień.
  19. Sprawdzaj i monitoruj źródła ruchu: Analizuj ruch na swojej stronie, aby zidentyfikować i zablokować podejrzane adresy IP.
  20. Skanuj swoją stronę pod kątem złośliwego oprogramowania: Regularnie skanuj swoją stronę za pomocą usług zewnętrznych (lub narzędzi na serwerze), aby wykryć i usunąć złośliwe oprogramowanie.
  21. Ustaw odpowiednie uprawnienia plików i katalogów: Upewnij się, że pliki i katalogi mają odpowiednie uprawnienia (np. 644 dla plików i 755 dla katalogów) w celu zapewnienia bezpieczeństwa.

Bezpieczeństwo bazy danych WordPress

Baza danych WordPress jest kluczowym elementem każdej strony internetowej opartej na tej platformie. Przechowuje wszystkie informacje, od treści postów na blogu po dane użytkowników. W związku z tym istotne jest, aby chronić swoją bazę danych przed potencjalnymi zagrożeniami, takimi jak ataki hakerów czy infekcje wirusami.

  1. Regularne kopie zapasowe: Tworzenie regularnych kopii zapasowych bazy danych jest niezwykle ważne. W przypadku ataku lub awarii, będziesz mógł szybko przywrócić swoją stronę do poprzedniego stanu.
  2. Używaj silnych haseł: Silne hasła są kluczowe dla zabezpieczenia bazy danych. Upewnij się, że hasło do bazy danych oraz nazwa użytkownika różnią się i są trudne do odgadnięcia, długie i zawierają różnorodne znaki (litery, cyfry, symbole).
  3. Zmiana prefiksu tabel bazy danych: Domyślnie, wszystkie tabele w bazie danych WordPress mają prefiks “wp_”. Zmiana tego prefiksu na unikalny i trudny do odgadnięcia może utrudnić atakującym dostęp do struktury bazy danych.
  4. Ograniczenie dostępu do bazy danych: Upewnij się, że tylko niezbędne osoby mają dostęp do bazy danych oraz panelu zarządzania hostingiem. Dodatkowo wyłącz zdalny dostęp do bazy danych.
  5. Przenieś dane dostępowe do bazy danych z pliku wp-config.php do innego pliku, a następnie metodą include / require umieść plik wewnątrz wp-config

Generowanie własnych kodów Secret Key

Klucze “Secret Key” to zestaw unikalnych ciągów znaków, które służą do zabezpieczania informacji przechowywanych w plikach cookie WordPress. Dzięki nim, dane przesyłane między użytkownikiem a serwerem są bardziej bezpieczne, co utrudnia atakom hakerskim, takim jak “session hijacking” (przejęcie sesji użytkownika) czy “brute force” (próby zgadnięcia haseł przez metody siłowe).

WordPress oferuje specjalne narzędzie do generowania kluczy “Secret Key”, które można znaleźć pod adresem: https://api.wordpress.org/secret-key/1.1/salt/ Wystarczy odwiedzić tę stronę, a zostaną wygenerowane unikalne klucze, które możemy skopiować i wkleić do naszego pliku konfiguracyjnego “wp-config.php”.

Aby prawidłowo skonfigurować “Secret Key” w swojej instalacji WordPress, należy wprowadzić wygenerowane klucze do pliku “wp-config.php”, który znajduje się w głównym katalogu instalacji WordPress. W pliku tym, należy wyszukać następujące linie:

define('AUTH_KEY',         'H+s)2AP5}W)7ojVf|azsrN?qi<uFEXn[ ~vma/W:/0.C+Q*08,8R3p(z:E|8gq>*');
define('SECURE_AUTH_KEY',  'QsfCl|*=oLk8^-Z^POA&LnYXAM|5 P67yo](@p|X/:HX.--vdc|]tc$h!aZ;faB+');
define('LOGGED_IN_KEY',    '=UB=Xuj6Sbt+}##V11T*E9_]?;s3X|lu5,r*Kc:KLj.vO*/^YR5%)WWe&n|(p>~/');
define('NONCE_KEY',        '7.TA{wP[~wjRQ]5|{|QH# `ONBdd,qVO;s$7t9]E&iR!y=J9dMNRgk]j8!M$?NAc');
define('AUTH_SALT',        '3JN2Nr~uc<AF%VFgm-U|]P,d^+lJLrL^D00A-+J;:iCc? Cms)}%zaY6eE*)Agz$');
define('SECURE_AUTH_SALT', 'Eu}[email protected]+izC444T&j ^$KZ9zCx,~ *Hzc|96|]2.vHq}uxqR[');
define('LOGGED_IN_SALT',   '74/[e`poe|I+q|B_IF!kURzqiR+X7+TjM#hop^(`2(}-gV+I-5ZkZ@-.@0[O|]-+');
define('NONCE_SALT',       '+MaLD@!@{`Hew?ZIB^|u(*8S~z*K`|Dosf.J`7x|U|vtA>4>7P={Qu J*jT`I|t<');

Wyświetlanie wrażliwych danych w błędach PHP

Podczas pracy nad stroną internetową opartą na WordPress, może zdarzyć się, że natrafimy na różnego rodzaju błędy PHP. Wyświetlanie błędów PHP może być pomocne podczas procesu tworzenia strony, jednakże może również stanowić zagrożenie dla bezpieczeństwa, gdy strona jest już w pełni funkcjonalna i dostępna publicznie.

Wyświetlanie błędów PHP może prowadzić do nieumyślnego ujawnienia informacji o konfiguracji serwera, wersji PHP oraz strukturze plików WordPress. Dostęp do takich informacji przez osoby niepowołane może ułatwić im przeprowadzenie ataków na stronę.

By wyłączyć wyświetlanie błędów na stronie, możesz dodać taki kod w pliku wp-config.php

define('WP_DEBUG', false);
if ( ! WP_DEBUG ) {
	ini_set('display_errors', 0);
}

Możesz również wyłączyć wyświetlanie błędów, ale zapisywanie ich logów w pliku za pomocą poniższego kodu:

define('WP_DEBUG', true);
define('WP_DEBUG_DISPLAY', false);
define('WP_DEBUG_LOG', true);

Edycja plików z poziomu panelu administracyjnego

Domyślnie, WordPress oferuje funkcję edycji plików motywu i wtyczek bezpośrednio z poziomu panelu administracyjnego. Choć może to być wygodne dla niektórych użytkowników, ta funkcja może również stanowić zagrożenie dla bezpieczeństwa strony.

Edycja plików motywu i wtyczek z poziomu panelu administracyjnego może prowadzić do przypadkowego wprowadzenia błędów, które mogą zakłócić działanie strony lub nawet zablokować dostęp do panelu administracyjnego. Ponadto, jeśli konto administratora zostanie skompromitowane, atakujący może wprowadzać modyfikacje do plików motywu i wtyczek, co może prowadzić do poważniejszych zagrożeń, takich jak infekcje wirusami, ataki na klientów czy kradzież danych.

By zapobiegać atakom od wewnątrz, warto wyłączyć edycji plików z poziomu panelu administratora. Służy do tego kod, który możemy umieścić w pliku konfiguracyjnym wp-config.php.

Potrzebujesz pomocy z wirusami na swoim WordPressie? Zobacz moją ofertę odwirusowania strony www

define('DISALLOW_FILE_EDIT', true);

Zabezpieczanie folderów i plików w WordPress za pomocą reguł .htaccess

W ramach utrzymania bezpieczeństwa strony internetowej opartej na WordPress, warto zwrócić uwagę na zabezpieczanie dostępu do ważnych folderów i plików. Jednym z efektywnych sposobów na osiągnięcie tego celu jest wykorzystanie reguł w pliku .htaccess.

Szczególnie warto zabezpieczyć foldery wp-admin, wp-includes oraz uploads wewnatrz folderu wp-content. Poniżej przykładowe intrukcje do pliku htaccess w tych folderach.

Zablokowanie dostępu do pliku wp-config:

<FilesMatch "wp-config.*.php|.htaccess|readme.html">
    Order allow,deny
    Deny from all
</FilesMatch>

Zabezpieczenie plików w folderze wp-includes:

<FilesMatch ".(?i:php)$">
	Order allow,deny
	Deny from all
</FilesMatch>
<Files wp-tinymce.php>
	Allow from all
</Files>
<Files ms-files.php>
	Allow from all
</Files>

Zabezpieczenie plików w folderze wp-content/uploads:

<FilesMatch ".(?i:php)$">
	Order allow,deny
	Deny from all
</FilesMatch>

Ukrywanie informacji zaszytych w kodzie HTML strony

Kolejnym aspektem bezpieczeństwa strony WordPress jest ukrywanie informacji o wersji CMS oraz innych danych, które mogą być użyte przez potencjalnych atakujących. Często tego rodzaju informacje są wyświetlane w kodzie HTML strony, a ich usunięcie może utrudnić zdobywanie niezbędnych danych przez osoby z zamiarem włamania.

Przykładowy kod poniżej pozwoli na usunięcie informacji o wersji WordPress’a.

remove_action('wp_head', 'wp_generator');

XML-RPC a bezpieczeństwo Twojego WordPress’a

XML-RPC to protokół zdalnego wywoływania procedur (RPC) oparty na XML, który pozwala na komunikację między różnymi systemami. W kontekście WordPressa XML-RPC jest wykorzystywany do zdalnego zarządzania treściami, takimi jak publikowanie postów czy moderowanie komentarzy za pomocą zewnętrznych aplikacji. Jednakże, związane z tym funkcje mogą również wpłynąć na bezpieczeństwo strony.

Ryzyka związane z XML-RPC

  1. Ataki typu brute force – XML-RPC może być wykorzystywany przez atakujących do przeprowadzania ataków typu brute force na dane logowania do panelu administracyjnego. Dzięki temu, mogą oni próbować zgadnąć hasła użytkowników, co może prowadzić do nieautoryzowanego dostępu do strony.
  2. Ataki DDoS – XML-RPC może być także używany do przeprowadzania ataków DDoS, w których wielokrotne żądania są wysyłane do serwera, aby go przeciążyć i spowodować awarię strony.

Jak wyłączyć XML-RPC w WordPress?

Jeśli nie korzystasz z funkcji zdalnego zarządzania treściami, rozważ wyłączenie XML-RPC za pomocą poniższego kodu, który możesz umieścić wewnątrz pliku functions.php.

add_filter('xmlrpc_enabled', '__return_false');

Jeśli ten kod z jakiegoś powodu nie zadziała, to możesz wykorzystać do tego reguły, które umieścisz wewnątrz pliku .htaccess.

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Monitoring zmian wewnątrz kluczowych plików WordPress

Monitorowanie zmian plików na stronie WordPress może znacząco przyczynić się do poprawy jej bezpieczeństwa. Pozwala to na wykrycie wszelkich nieautoryzowanych modyfikacji w kodzie, co może być wynikiem ataków hakerskich lub infekcji malware. Regularne monitorowanie zmian plików pozwala na szybsze zidentyfikowanie problemów i podjęcie odpowiednich działań w celu zabezpieczenia strony.

W tym celu możesz wykorzystać do tego wtyczkę WP Activity Log, która oferuje również szereg innych funkcji jak monitoring wszelkich innych aktywności na stronie.

Innym wyjściem może być popularne oprogramowanie GIT, które pozwala na monitorowanie zawartości plików projektu. Jednakże jego konfiguracja może być trudna dla początkujących użytkowników.

Jeszcze innym narzędziem, które uchroni Twoją stronę przed infekcjami mogą być narzędzia dostępne u Twojego dostawcy hostingu czy serwera.

Bezpieczeństwo użytkowników WordPress’a

Dane użytkowników są jednym z najważniejszych elementów, które mogą wpłynąć na bezpieczeństwo strony WordPress. Informacje takie jak nazwy użytkowników, hasła, adresy e-mail, role i uprawnienia mają kluczowe znaczenie dla zarządzania dostępem do strony i jej funkcji. Właściwe zarządzanie danymi użytkowników może znacznie zmniejszyć ryzyko naruszenia bezpieczeństwa.

Tworzenie nazw użytkowników

Tworząc nazwy użytkowników oraz hasła należy dbać o to, by login nie był taki sam jak “nicename” stosowany w systemie. W tym celu wystarczy wykorzystać np.: polskie znaki diaktryczne, a o resztę zadba sanityzacja WordPress’a.

Pamiętaj również o nieużywaniu popularnych nazw użytkowników jak admin czy administrator, które ułatwiają włamanie się na konto. Wybieraj unikalne nazwy użytkowników oraz silne, długie hasła zawierające różnorodne znaki, takie jak litery, cyfry i symbole.

Ograniczenie najszerszych uprawnień

Dodając kolejnych użytkowników, pamiętaj o tym, że możesz zarządzać ich uprawnieniami. Zastanów się, czy każdy powinien mieć uprawnienia administratora. Im więcej osób ma uprawnienia administratora, tym więcej potencjalnych zagrożeń dla Twojej strony.

Ograniczenie włamań na konta administratorów

W celu ograniczenia włamań na konta administratorów możesz wykorzystać wymuszenie uwierzytelniania dwuskładnikowego administratorów w trakcie logowania. W tym celu możesz zainstalować i skonfigurować wtyczkę WP 2FA. Dzięki niej administrator będzie musiał podać kod z maila lub kod z aplikacji uwierzytelniającej w celu zalogowania się (np. Google Authenticator).

Podsumowanie

Mam nadzieję, że po lekturze tego wpisu wdrożysz, chociaż niektóre rozwiązania, które sprawią, że Twoja strona będzie bezpieczniejsza. Największym zagrożeniem dla Twojego WordPress’a są nieświadomi użytkownicy.

Jeśli chcesz zlecić opiekę lub zabezpieczenie Twojej strony według powyższych metod to skontaktuj się ze mną za pomocą formularza kontaktowego. Nawiążmy współpracę i zadbajmy o Twojego WordPress’a.