Wiele stron firmowych opiera się obecnie na systemach zarządzania treścią (CMS), a WordPress należy do najpopularniejszego z nich. Około 30% wszystkich stron znajdujących się w internecie obsługuje właśnie WordPress. Ogromna popularność tego CMS-a wynika z prostoty obsługi jego panelu administracyjnego, dużej liczby motywów, wtyczek oraz systemu akcji i filtrów. Minusem tej popularności jest zwiększona liczba ataków na tego typu strony. Według statystyk, w każdej minucie nawet 6 tysięcy stron opartych na tym CMS-ie jest ofiarą prób ataków. W jaki sposób możesz zabezpieczyć swoją stronę przed próbami włamania?

1. Aktualizacje

WordPress nieustannie się rozwija, większe aktualizacje są udostępniane co 3-5 miesięcy. Dodatkowo dochodzą do tego aktualizacje wtyczek oraz motywów wordpress. Każda z aktualizacji to nie tylko dodawanie nowych funkcji do platformy, ale też poprawa bezpieczeństwa Twojej strony. WordPress o nowych wersjach powiadamia sam w panelu administracyjnym.

2. Strona statyczna

Jeśli Twoja strona jest skromna, to być może wcale nie potrzebuje WordPressa. Wtedy najlepszym sposobem jest stworzenie statycznej strony, która zawiera jedynie pliki .html. Chociaż wprowadzanie jakichkolwiek treści będzie dla Ciebie trudniejsze, ale podatność na ataki stanie się dużo mniejsza.

3. Backup danych

Kopia bezpieczeństwa w przypadku stron tworzonych na WordPressie jest elementem podstawowym codziennych działań administratora. Nie tylko zabezpieczy Twoją witrynę przed atakami, ale również przed różnego rodzaju wypadkami losowymi. Kiedy zostajesz zaatakowany, a posiadasz kopię bezpieczeństwa, możesz w bardzo prosty sposób podmienić zainfekowaną stronę na tę z backupu.

Jest to skuteczne rozwiązanie, jednak nie daje żadnej gwarancji, że atak nie zostanie przeprowadzony kolejny raz. Popularne darmowe wtyczki do tworzenia kopii zapasowych to np. BackWPup – WordPress Backup Plugin, Duplicator oraz BackUpWordPress.

4. Wtyczki zabezpieczające do WordPressa

Nie jest tak, że WordPress i jego społeczność nie działają w zakresie niepożądanych włamań na stronę. Tworzone są ciągłe aktualizacje CMS-a oraz wtyczek, które poprawiają bezpieczeństwo. Istnieją również wtyczki, których jedynym zadaniem jest ochrona Twojej strony przed różnego rodzaju zagrożeniami.

Jedną z najpopularniejszych tego typu jest Wordfence, która monitoruje wszystkie pliki na platformie i zgłasza Ci wszelkie zmiany plików, kontroluje logowania oraz blokuje tych, którzy próbują wbrew Twojej woli dostać się na stronę. Inną godną polecenia wtyczką jest All in One Firewall and Security, która poinformuję Cię, jak dobrze zabezpieczona jest Twoja strona.

Natomiast iThemes Security jest jedną z najlepszych wtyczek zabezpieczających strony na WordPressie. Używając jej, możesz chronić swoją stronę na wiele sposobów, m.in.: zaplanować skanowanie strony na obecność złośliwego oprogramowania (malware), dokonywać dwustopniowej autoryzacji, generować silne hasła, unikać spamerów (Google reCAPTCHA) i wiele innych. Nie przesadzaj jednak z ilością wtyczek i ograniczeń, gdyż mogą one osłabić komfort korzystania ze strony i jej funkcjonalność.

5. Antywirus na komputerze

Masz wirusa na komputerze i wysyłasz pliki na serwer, nie wiedząc o tym? Jeśli tak, zainfekowane pliki znajdą się na Twojej stronie.

Przesyłasz pliki z komputera na serwer z poziomu klienta FTP, jak np. Total Commander lub FileZilla? Koniecznie NIE ZAPAMIĘTUJ tam haseł do konta.

6. Trudne hasła

Wszędzie mówi się o tym, że bezpieczeństwo w internecie zależy w dużej mierze od solidnych haseł. W sieci znajduje się wiele list haseł, jakich najczęściej używają internauci – wystarczy, że osoba, która chce zaatakować Twoją stronę, skorzysta z odpowiedniego automatu i jest w stanie się na nią włamać. Dobrą metodą jest korzystanie z generatorów haseł, które są gwarancją tego, że nikt Twojego hasła nie odgadnie. WordPress posiada swój własny generator.

W jaki sposób hakerzy dostają się na Twoją stronę? Według analiz wykorzystują głównie wtyczki, słabe hasła, sam system WordPress oraz zastosowane motywy. Dlatego warto skupić się nad tymi elementami w walce z hakerami i je odpowiednio zabezpieczyć.

7. Jak jeszcze zabezpieczyć WordPressa?

Korzystając z różnych wtyczek zabezpieczających:

  • możesz zezwolić na wejście do Twojego panelu admina tylko z konkretnego adresu IP (np. Twojego),
  • możesz ustalić konkretne godziny, kiedy dostępny będzie Twój panel admina – jeśli np. wiesz, że między 22 a 6 nikt nigdy nie korzysta ze strony, zablokuj do niej dostęp. Boty nie będą mogły się tam dostać,
  • możesz zmienić adres do panelu ze standardowego /wp-admin/ na jakikolwiek inny, niestandardowy. Dzięki temu boty zamiast trafić na stronę logowania, napotkają błąd 404,
  • możesz maksymalnie poukrywać wszystkie elementy, które pokazują, że Twój WordPress to WordPress, np. w plikach css. Dzięki temu boty mogą nawet nie znaleźć Twojego bloga,
  • możesz zmienić prefiksy tabel w bazie danych, co utrudni jakiekolwiek zmiany na stronie automatom, gdy się do niej dostaną,
  • nigdy nie nadawaj głównemu użytkownikowi loginu admin – dzięki temu boty atakujące Twoją stronę, zanim zaczną „zgadywać” hasło, najpierw będą musiały odgadnąć login.
Łukasz Bielawski
>
Łukasz Bielawski
Zawsze chętny do pomocy. Od 10 lat zajmuje się marketingiem internetowym, z naciskiem na działania seo oraz kampanie w ekosystemie Google Ads. Prywatnie pasjonat motoryzacji.

Jedna odpowiedź do "Jak zabezpieczyć stronę firmową założoną na WordPressie?"

  1. należy też pamiętać o pluginie Loginizer

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?