Co zrobić, by strona na WordPress’ie była bezpieczna?

Strony na WordPress’ie są popularne ze względu na łatwą dostępność, elastyczność i względnie niską cenę. Niestety te zalety WordPress’a są jednocześnie jego wadami w kwestii bezpieczeństwa. Popularny CMS, którego kod można sobie dokładnie obejrzeć to łakomy kąsek dla hakerów.

Łatwość obsługi i parametryzacji WordPress’a daje poczucie bezpieczeńśtwa. Niestety łatwo jest się wtedy potknąć o atrakcyjną wtyczkę, która otworzy na oścież drzwi dla hakerów, zapomnieć o aktualizacjach albo ustawić zbyt proste dane logowania.

WordPress posiada wbudowane funkcje chroniące go przed złośliwymi skryptami. Umożliwia też instalację bezpłatnych wtyczek chroniących choćby przed spamem, jednak to, czy twoja strona ostatecznie będzie bezpieczna zależy w dużej mierze od ostrożności jej administratora. Jest kilka czynników, które mogą podnieść poziom bezpieczeństwa i pozwolić uniknąć przykrej niespodzianki czy nawet utraty reputacji i strat finansowych.

Aktualizacje WordPress’a

Aktualizacje WordPress’a to temat wałkowany chyba wszędzie i przez wszystkich. Czy aktualizować, kiedy aktualizować i co aktualizować…

Celem aktualizacji jest naprawa luk i błędów poprzednich wersji systemu, motywów czy wtyczek. Nie dokonując aktualizacji narażasz swoją stronę na ataki.

Niektórzy boją się aktualizacji, obawiając się, że coś na ich stronie przestanie wyglądać lub działać jak powinno. Owszem, może tak się zdarzyć. Myślę jednak, że mimo wszystko lepiej jeśli Twoja strona będzie przez jakiś czas wyglądać dziwnie, niż żeby ktoś włamał się do niej i wykradł choćby dane osobowe klientów.

Jeśli mimo wszystko boisz się efektów ubocznych aktualizacji, jest na to rada. Można przetestować skutki aktualizacji na lokalnym serwerze, który odzwierciedla ustawienia serwera produkcyjnego, zanim dokona się aktualizacji na wersji produkcyjnej. Pozwoli to uniknąć ewentualnych przykrych niespodzianek.

Backup

Kolejną odpowiedzią na strach przed aktualizacjami oraz rezultatami naszych eksperymentów są backupy.

Backupy są często tworzone domyślnie na serwerze. Warto się upewnić, gdzie w swoim serwerowym panelu możesz kliknąć, by przywrócić stan swojej strony sprzed wprowadzonych zmian.

Dostępne są też bezpłatne wtyczki umożliwiające wykonywanie backupów i zapisywanie ich we wskazanej lokalizacji. Zanim zainstalujesz taką wtyczkę, upewnij się, że przywrócenie kopii zapasowej jest również bezpłatne 😉

Minimalne uprawnienia dla użytkowników

Jeśli z Twojego WordPress’a korzysta więcej osób, warto ustawić dla nich tylko te uprawnienia, które są im niezbędne. Nie chodzi tu o brak zaufania, że ktoś świadomie coś zepsuje. Jesteśmy tylko ludźmi i każdy z nas może coś kliknąć, zmienić przez przypadek albo w dobrej wierze ale z nienajlepszym rezultatem.

Firewall

Żeby zwiększyć bezpieczeństwo strony internetowej można również zastosować dla niej firewall. Możesz to zrobić w panelu swojego hostingu. Firewall blokuje szkodliwy ruch jeszcze zanim dotrze on na stronę internetową.

Są również dostępne wtyczki firewall’owe dla WordPress’a. Sprawdzają one ruch przychodzący do strony internetowej po tym, gdy już dotrze on do serwera ale zanim załaduje się większość wordpressowych skryptów. Jest to metoda mniej efektywna niż firewall z poziomu hostingu.

Login i hasło

Login i hasło powinny być trudne do odgadnięcia. W szczególności żadne z nich nie powinno brzmieć „admin”. Najlepiej używać kombinacji dużych i małych liter, znaków specjalnych i cyfr w haśle. Hasło powinno być długie i skomplikowane ale jednocześnie możliwe do zapamiętania bez pomocy notatek.

Popularne imiona w haśle albo ciągi znaków 123 lub 111 również nie są dobrym pomysłem.

Sprawdzanie wtyczek i motywów przed zainstalowaniem

Zanim zainstalujesz nowy motyw lub wtyczkę, upewnij się, że korzysta z nich dostatecznie dużo użytkowników, jakie oceny wystawili oni temu motywowi lub wtyczce oraz, czy motyw lub wtyczka zgodne są z wersją Twojego WordPress’a. Warto też spojrzeć, kiedy była ostatnia aktualizacja wybranego motywu lub wtyczki. Jeśli było to niedawno, to dobry znak.

Wtyczka od bezpieczeństwa WordPressa

Jeśli nie chcesz grzebać w plikach na serwerze, zawsze możesz zainstalować gotową wtyczkę, która ustawi pewne rzeczy za Ciebie. Osobiście staram się nie używać wtyczek do tego, co mogę ustawić paroma linijkami kodu samodzielnie. Mam minimalistyczne podejście do życia i w tym zakresie uważam, że im mniej zainstalowanych wtyczek tym lepiej. Niemniej jednak, są dostępne wtyczki takie jak Sucuri, gdzie niektóre ustawienia możesz wykonać jednym kliknięciem.

Zostaw komentarz

Twój adres email nie zostanie opublikowany.