WordPress to bez wątpienia CMSCMS (Content Management System) to system zarządzania treścią, czyli oprogramowanie, które umożliwia tworzenie, edycję, publikację i zarządzanie treściami na stronach internetowych bez konieczności posiadania zaawansowanej wiedzy technicznej. CMS jest szeroko stosowany przez osoby i organizacje zajmujące się tworzeniem i utrzymaniem stron internetowych, ponieważ ułatwia zarządzanie treściami oraz umożliwia współpracę wielu użytkownikom. CMS jest kluczowym narzędziem dla osób i firm, które chcą prowadzić stronę internetową, bloga, czy sklep internetowy w sposób prosty...Czym jest CMS? numer jeden na świecie. Nic dziwnego, że często staje się celem ataków. Co prawda w samym WordPressie rzadko znajduje się luki, ale jak sam się przekonałeś, bez wtyczek ani rusz, a już same te wtyczki często są bardzo dziurawe. Jeśli wolisz nie obudzić się z któregoś ranka ze stroną zablokowaną z powodu rozsyłania wirusów lub spamu - poznaj kilka kroków, które znacznie ograniczą ryzyko zainfekowania Twojej strony.

Wiesz już dobrze, że instalując WordPressa warto zmienić domyślną nazwę administratora („admin”) na coś bardziej wyjątkowego (np. „admin138745”) i zadbać o to, by hasłoW informatyce, hasło jest to sekretne słowo lub zestaw znaków, które upoważnia użytkownika do uzyskania dostępu do określonych zasobów, takich jak konto użytkownika, system komputerowy, sieć, czy też aplikacja. Hasła są używane w celu zapewnienia poufności i bezpieczeństwa, uniemożliwiając nieautoryzowany dostęp do informacji lub zasobów. Dobre praktyki dotyczące bezpiecznych haseł obejmują: Długość: Im dłuższe hasło, tym trudniejsze do złamania. Zaleca się, aby hasło miało co najmniej 12 znaków. Złożoność: Hasło...Czym jest Hasło? nie było łatwe do zgadnięcia. Te generowane przez samego WordPressa hasła są zresztą bardzo silne, lepiej nie zmieniać ich na „haslo123”. Nawet jednak z mocnym hasłem i nietypowym loginem nie jesteś całkiem bezpieczny.

Shield WordPress Security

W oficjalnym katalogu WordPressa znajdziesz wiele wtyczek, których zainstalowanie ma zwiększyć bezpieczeństwo strony – takich jak iThemes Security (wcześniej znana jako Better WP Security), WP Antivirus Site Protection Sucuri Security, Brute ForceBrute Force to metoda ataku na systemy komputerowe, która polega na systematycznym sprawdzaniu wszystkich możliwych kombinacji haseł lub kluczy, aż do momentu znalezienia tego właściwego. Jest to jedna z najstarszych, ale jednocześnie najprostszych technik stosowanych przez cyberprzestępców. Pomimo swojej prostoty, metoda ta może być niezwykle skuteczna, zwłaszcza w przypadku słabo zabezpieczonych systemów. Ataki brute force są zazwyczaj automatyzowane za pomocą specjalnych narzędzi lub skryptów, które mogą szybko przetestować tysiące lub nawet...Czym jest Brute Force? Login Protection, Google Authenticator, itd. Nawet stojąca za WordPressem firma Automattic zapewnia specjalną (płatną) usługę bezpieczeństwa VaultPress. Instalowanie ich wszystkich nie ma jednak większego sensu, będą sobie wchodzić w drogę, nie będziesz też pewien, czy czegoś nie pominąłeś.

Dlatego polecamy zainstalowanie tylko jednej wtyczki bezpieczeństwa WordPress, ale za to naprawdę kompleksowej. To Shield WordPressWordPress to najczęściej wybierany CMS na świecie. W oparciu o niego powstała niemal połowa istniejących stron internetowych. WordPress jest doceniany przez użytkowników ze względu na prostotę, intuicyjność i łatwość zarządzania. Ze względu na charakter open source, WordPress może być rozwijany i udoskonalany na potrzeby konkretnych, indywidualnych projektów. Jak zacząć korzystać z WordPressa? Aby rozpocząć przygodę z WordPressem, najpierw potrzebujesz hostingu dla WordPress. Hosting zapewnia miejsce na serwerze, gdzie będą przechowywane wszystkie pliki...Czym jest WordPress? Security, wcześniej znana jako WordPress Simple FirewallFirewall - system mający za zadanie blokowanie niestandardowych zachowań, które świadczą o próbie włamania. Zapora sieciowa jest systemem zabezpieczeń sieci zaprojektowanym w celu zapobiegania nieautoryzowanemu dostępowi 'do' lub 'z' sieci prywatnej. Działa poprzez filtrowanie ruchu sieciowego według określonych zasad i kryteriów, umożliwiając tym samym przepływ tylko zaufanych danych. Zapory sieciowe są często wykorzystywane w celu uniemożliwienia nieuprawnionym użytkownikom dostępu do sieci prywatnych podłączonych do Internetu, w szczególności intranetów. Wszystkie wiadomości wchodzące lub...Czym jest Firewall?. Jest dobrze zaprojektowana, obejmuje wszystkie ważne kwestie bezpieczeństwa strony – i co pewnie docenisz, jest darmowa. Całkowicie darmowa. Nie ma tu żadnej wersji Pro z zaawansowanymi funkcjami, za którą się płaci. Tu i podstawowe i zaawansowane funkcje są dla każdego użytkownika.

Instalacja Shield WordPress Security przebiega jak instalacja każdej innej wtyczki. Wyszukaj ją w Kokpicie z repozytoriumRepozytorium to miejsce przechowywania danych, które umożliwia organizację, udostępnianie oraz zarządzanie różnego rodzaju plikami i informacjami. W kontekście IT najczęściej odnosi się do systemów wersjonowania kodu, takich jak Git, gdzie deweloperzy mogą przechowywać i współdzielić swoje projekty programistyczne. Repozytoria mogą być lokalne (na komputerze) lub zdalne, hostowane na specjalistycznych platformach, takich jak GitHub czy Bitbucket. Do czego służy repozytorium? Repozytorium pełni kluczową rolę w procesie tworzenia oprogramowania. Umożliwia: Śledzenie zmian...Czym jest Repozytorium? wtyczek (Wtyczki > Dodaj nową > Szukaj wtyczek), kliknij Zainstaluj, a potem Włącz wtyczkę.

Po włączeniu zostaniesz wylogowany ze swojej strony. Zobaczysz komunikat: Nie jesteś w posiadaniu sesji użytkownika Shield. Proszę zaloguj się ponownie. Tak ma być – kliknij więc Zaloguj się, a następnie w kokpicie wybierz z paska menu pozycję Shield. Najeżdżając na nią wskaźnikiem myszy zobaczysz całą listę modułów wtyczki. Jak widzisz, póki co jest ona tylko częściowo spolszczona, nazwy modułów są angielskie. Zapoznaj się z nimi po kolei.

Moduły Shielda

Dashboard (kokpit) to przegląd ustawień wtyczki. Tutaj dowiesz się o ewentualnych problemach w działaniu. Tutaj też szybko wyłączysz wtyczkę (Ustawienia Globalne > Globalne Opcje Bezpieczeństwa Wtyczki > Włącz funkcję > odznacz Globalny Wyłącznik Wtyczki > Zapisz Wszystkie Ustawienia) i ustawisz adres, na który mają być wysyłane raporty (Ustawienia Ogólne > Ogólne Opcje Wtyczki > Email z raportem > Zapisz wszystkie ustawienia).

Security Admin (administracja bezpieczeństwa). Ten moduł pozwala ograniczyć dostęp do niektórych funkcji administracyjnych dla innych administratorów (jeśli tacy są). Uwaga, ta funkcja musi być rozważnie używana, w razie pomyłki stracisz dostęp do kokpitu WordPressa. W zasadzie przydaje się tylko w większych witrynach, którymi zarządza wiele osób. Główny administrator może w ten sposób wygenerować sobie specjalny klucz dostępowy, który będzie dawał mu pełen dostęp, pozostali administratorzy nie będą mogli usunąć głównego konta administracyjnego.

Firewall (zapora sieciowa). Ten moduł włączany jest domyślnie, wprowadzając podstawowe zabezpieczenia serwisu. Analizuje dane wysyłane na stronę, blokując wszystko, co uzna za podejrzane, np. dziwne zapytania do bazy danych, próby przeglądania folderów na serwerze czy wgrywanie plików wykonywalnych. W zakładce Blokowanie Firewall możesz dokładnie ustawić, co będzie blokowane, domyślne ustawienia są jedna bardzo dobre. W zakładce Odpowiedź Firewall możesz określić, co będzie się działo w razie wykrycia podejrzanej akcji. Lista zaufanych to zaś wykluczenia dla zapory, pozwalająca określić, w jakich wypadkach nie będzie ona działać (np. na samego administratora strony).

Login Protection (ochrona logowania). Ten bardzo przydatny moduł ochroni przed botami próbującymi siłowo włamać się na stronę. Po włączeniu jego działania przejdź do zakładki Brute Force i sprawdź, czy włączone są Zabezpieczenie G.A.S.P, Rejestracja użytkownika i Interwał Schładzania Logowania. Dzięki temu automatyczne próby logowania i odzyskiwania hasła będą blokowane, co więcej będzie można przeprowadzić tylko jedną próbę na 10 sekund. Można też w ogóle ukryć stronę logowania: w zakładce Zmień nazwę wp-login.php ustawiając własną ścieżkę logowania. Czasem jednak to może przysporzyć zbędnych kłopotów, a nie zwiększa znacząco bezpieczeństwa.

Jeśli chcesz się jeszcze lepiej i bezproblemowo zabezpieczyć, możesz włączyć też Autoryzację 2-etapową (Multi-Factor Authentication), z wykorzystaniem kodów wysyłanych e-mailem albo generowanych przez aplikację Google Authenticator w telefonie. Po włączeniu będziesz przy każdej próbie logowania podawać dodatkowy kod zabezpieczający.

User Management (zarządzanie użytkownikami). Ten moduł zapewnia kontrolę sesji użytkownika i poprawność procesu logowania. W zakładce Ustawienia Sesji można określić ograniczenia dla użytkowników, pozwalające ograniczyć szkody, gdyby ktoś uzyskał nieuprawniony dostęp do uprzywilejowanego konta – np. administratora, redaktora czy moderatora. Tutaj możesz podać czas wygasania sesji, przywiązanie sesji do określonego adresu IPCzym jest adres IP?Adresem IP nazywamy adres protokołu internetowego, który jest zestawem liczb przypisanych do urządzenia. Adresy te służą do identyfikacji urządzenia i komunikacji z innymi osobami w Internecie. Jednocześnie adres IP nie jest numerem rejestracyjnym urządzenia. Nie wolno traktować tych pojęć tożsamo. Nie możesz go traktować jako fizycznego numeru urządzenia. Wyróżniamy 2 podstawowe typy adresów IP. To IPv4 oraz IPv6.Adresy IP są nadawane głównie w wersji IPv4. Taką formę...Czym jest Adres IP? (jeśli adres się zmieni, użytkownik zostanie automatycznie wylogowany) i ograniczyć jednocześnie uruchomione sesje. To ważne funkcje dla serwisu, którym będzie zarządzać większa grupa ludzi.

Coments SPAM (blokada antyspamowa). Zamiast instalować dodatkowe wtyczki ochrony przed spamem, wystarczy że włączysz ten moduł. Nie tylko świetnie blokuje spam pisany przez boty, ale też radzi sobie z blokowaniem spamu pisanego przez ludzi, korzystając z zewnętrznych słowników spamu, schładzania komentarzy i testów CAPTCHACaptcha to rodzaj testu weryfikacyjnego, który jest wykorzystywany w internecie do rozróżniania ludzi od automatycznych botów. Nazwa 'Captcha' jest skrótem od 'Completely Automated Public Turing test to tell Computers and Humans Apart'. Captcha polega na prezentowaniu użytkownikowi wyzwania, które jest łatwe do wykonania dla człowieka, ale trudne lub niemożliwe do zautomatyzowania przez boty. Jakie są rodzaje Captcha? Istnieje wiele rodzajów Captcha, z których najpopularniejsze to: Audio Captcha: Użytkownik musi przepisać słowa...Czym jest Captcha?. Natomiast jeśli chcesz również uniknąć spamu w formularzu kontaktowym trzeba podjąć nieco inne kroki.

Automatic updates (automatyczne aktualizacje). Ten moduł pozwoli automatycznie aktualizować WordPressa i zainstalowane wtyczki, zgodnie z podanymi warunkami, zaraz jak tylko aktualizacja zostanie udostępniona. Ta funkcja powinna być domyślnie włączona, pozwala ochronić przed atakami, którymi padają niezaktualizowane strony zaraz po ujawnieniu nowych luk w WordPressie.

Hack Protection (ochrona przed zhakowaniem). Moduł, który będzie automatycznie skanował WordPressa i jego wtyczki, szukając zmian świadczących o możliwym ataku hakerskim, będzie też informował o podatnościach wtyczek na atak. W zakładce Core File Scanner można też włączyć opcję Auto Repair, która zmienione pliki automatycznie naprawi na podstawie oficjalnych plików WordPressa. Oczywiście nie powinieneś tego włączać, jeśli rdzeń WordPressa został celowo zmodyfikowany przez kogoś, kto tworzył dla ciebie witrynę (ale też to powód, by nigdy nie zmieniać plików rdzenia WordPressa).

HTTPHTTP (Hypertext Transfer Protocol) jest protokołem komunikacyjnym, podstawowym systemem wykorzystywanym w Internecie, który umożliwia przeglądarkom internetowym łączenie się z serwerami i pobieranie z nich stron internetowych. Jak działa HTTP? HTTP działa na zasadzie żądania i odpowiedzi pomiędzy klientem (przeglądarką) a serwerem. Kiedy użytkownik wpisuje adres strony w przeglądarce, przeglądarka wysyła żądanie HTTP do serwera, który następnie przetwarza to żądanie i wysyła odpowiedź, zwykle w formie strony internetowej, którą użytkownik może...Czym jest Http? Headers (nagłówki HTTP). Ten moduł służy do ochrony użytkowników strony. Nawet jeśli domena zostanie zarażona, wtyczka modyfikując odpowiedzi wysyłane do przeglądarki znacząco utrudni atak z użyciem złośliwego oprogramowania.

Lockdown (zablokowanie). Domyślnie włączony moduł, który pozwala zablokować działanie rzadko używanych funkcji WordPressa, które wykorzystywane są w wielu atakach. Tutaj możesz też „zaciemnić” swoją stronę, ukrywając, że działa na WordPressie, w zakładce Zaciemnianie włączając Ukryj wersję WordPress oraz Tag Generatora WP (i klikając Zapisz Wszystkie Ustawienia).

IP Manager (menedżer adresów IP) to przydatny moduł, który zablokuje dostęp niewłaściwie zachowującym się adresom internetowym. Po określonej liczbie zachowań wywołujących alarm na stronie, np odnośnie niezabezpieczonej strony, adres zostanie wciągnięty na czarną listę, z której zejdzie po określonym czasie.

Audit Trail i Audit Trail Viewer (ścieżka audytu). Te moduły pozwalają na śledzenie wszystkich działań użytkowników na stronie od ich zalogowania po wylogowanie. W razie ataku (skutecznego lub nie) będzie można łatwo wyśledzić, kto był za to odpowiedzialny.

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

Jedna odpowiedź do "Bezpieczeństwo WordPressa. Jak zostać komandosem na własnej stronie w 3 minuty?"

  1. Przemek pisze:

    Czy chodzi o tą wtyczkę?
    https://getshieldsecurity.com/
    Nie jest bezpłatna. W wersji darmowej brakuje kilku funkcjonalności.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?

Przeglądaj wg dat
  • Przeglądaj wg dat
  • luty 2025
  • styczeń 2025
  • grudzień 2024
  • listopad 2024
  • październik 2024
  • wrzesień 2024
  • sierpień 2024
  • lipiec 2024
  • czerwiec 2024
  • maj 2024
  • kwiecień 2024
  • marzec 2024
  • luty 2024
  • styczeń 2024
  • grudzień 2023
  • listopad 2023
  • październik 2023
  • wrzesień 2023
  • sierpień 2023
  • lipiec 2023
  • czerwiec 2023
  • maj 2023
  • kwiecień 2023
  • marzec 2023
  • luty 2023
  • styczeń 2023
  • grudzień 2022
  • listopad 2022
  • październik 2022
  • wrzesień 2022
  • sierpień 2022
  • lipiec 2022
  • czerwiec 2022
  • maj 2022
  • kwiecień 2022
  • marzec 2022
  • luty 2022
  • styczeń 2022
  • grudzień 2021
  • listopad 2021
  • październik 2021
  • wrzesień 2021
  • sierpień 2021
  • lipiec 2021
  • czerwiec 2021
  • maj 2021
  • kwiecień 2021
  • marzec 2021
  • luty 2021
  • styczeń 2021
  • grudzień 2020
  • listopad 2020
  • październik 2020
  • wrzesień 2020
  • sierpień 2020
  • lipiec 2020
  • czerwiec 2020
  • maj 2020
  • kwiecień 2020
  • marzec 2020
  • luty 2020
  • styczeń 2020
  • grudzień 2019
  • listopad 2019
  • październik 2019
  • wrzesień 2019
  • sierpień 2019
  • lipiec 2019
  • czerwiec 2019
  • maj 2019
  • kwiecień 2019
  • marzec 2019
  • styczeń 2019
  • grudzień 2018
  • listopad 2018
  • październik 2018
  • sierpień 2018
  • lipiec 2018
  • maj 2018
  • kwiecień 2018
  • marzec 2018
  • styczeń 2018
  • grudzień 2017
  • październik 2017
  • czerwiec 2017
  • kwiecień 2017
  • marzec 2017
  • luty 2017
  • styczeń 2017
  • grudzień 2016
  • listopad 2016
  • październik 2016
  • wrzesień 2016
  • sierpień 2016
  • lipiec 2016
  • czerwiec 2016
  • maj 2016
  • kwiecień 2016
  • marzec 2016
  • lipiec 2015
  • maj 2015
  • grudzień 2014
  • sierpień 2014
  • lipiec 2014
  • czerwiec 2014
  • kwiecień 2014

Chat online

Cześć!

Zapraszamy do rozmowy, chętnie odpowiemy na Twoje pytania. Jeśli dotyczą one bezpośrednio posiadanych przez Ciebie usług, zalecamy wcześniejsze zalogowanie się do swojego panelu klienta. Dzięki autoryzacji będziemy mogli zaoferować pomoc w szerszym zakresie.

Zachęcamy też do sprawdzenia naszej sekcji wsparcia na https://cyberfolks.pl/pomoc.

Aktualny stan pracy serwerów:

Autoryzacja: nieautoryzowany - Zaloguj się

W związku z przepisami o ochronie danych osobowych informujemy, kto i na jakich zasadach będzie administrować Twoimi danymi: Polityka prywatności cyber_Folks S.A.