Po zaktualizowaniu i dostosowaniu mojej wersji Wordpressa, pozostało jeszcze kilka rzeczy do zrobienia. Jedną z ważniejszych spraw jest kwestia bezpieczeństwa. Wordpress jest świetnym silnikiem do blogowania, sprawdzonym na setkach tysięcy stron. Mimo to, nie należy bezgranicznie ufać wszystkim jego rozwiązaniom.
Każda strona w Internecie jest narażona na ataki. Dlatego szukając dobrych sposobów na zabezpieczenie swojego bloga, skompilowałem listę kilku najciekawszych porad, które w znacznym stopniu zwiększą bezpieczeństwo świeżo zainstalowanego Wordpressa. Nie ma powodu dla których można by ignorować bezpieczeństwo Twojego bloga. O ile szansa, że ktoś celowo będzie próbował hackować Twoją stronę, nie jest zbyt duże, to z większym prawdopodobieństwem można spodziewać się wizyty różnych spambotów.
Przeczesują one Internet w poszukiwaniu potencjalnych możliwości włamania. W najgorszym przypadku Twój blog może zostać wykorzystany jako farma linków lub jako bramka do wysyłania spamu.
- Zawsze używaj najnowszej wersji Wordpressa. Z dużym prawdopodobieństwem można stwierdzić, że posiada ona najmniej błędów (przynajmniej wszystkie te, znane z poprzednich wersji były naprawione). O ile to możliwe, dobrze jest aktualizować zarówno silnik jak i zainstalowane wtyczki.
- Zabezpiecz swój katalog wp-admin. To tam siedzą najwazniejsze pliki w Twoim blogu. Najprościej użyć pliku .htaccess. Możesz to zrobić na kilka sposobów, np. pozwalając na dostęp do tego katalogu tylko dla Twojego adres IP AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Administracja” AuthType Basic order deny,allow deny from all # dopuść adres z domu allow from 132.120.168.12 # dodaj mój adresy z pracy allow from 66.143.114.201 # itd… Jak sprawdzić swoje IP? Na przykład tutaj lub tutaj :D. Takie zabezpieczenie nie zadziała jednak, gdy mamy zmienne adresy IP. Wtedy możesz dodać na przykład zabezpieczenie w postaci hasła: AuthName “Administracja” AuthType Basic # ścieżka do pliku z hasłem np. AuthUserFile /home/johny/.htpasswd Require valid-user W pliku .htpasswd powinny się znaleść login i hasło (można wyklikać np. tutaj) w postaci: username:password
- Jeśli ktoś nie lubi ręcznej zabawy z plikiem .htaccess, można skorzystać z wtyczki AskApache Password Protect. Automatycznie zatroszczy się ona o zabezpieczenia plików i katalogów w Twojej instalacji Wordpressa. Niestety, nie odmawia współpracy z moim obecnym hostingiem. W najbliższych dniach planuję jednak przenieść się na lepszy serwer, więc później napiszę może jeszcze trochę o jej możliwościach.
- Zabezpiecz Twój katalog z pluginami. Wtyczki do Wordpressa pozwalają rozszerzyć możliwości Twojego bloga. Tworzone przez społeczność skupioną wokół wordpressa mogą przecież zawierać błędy. W WP domyślnie, katalog z wtyczkami jest niezabezpieczony. Potencjalny włamywacz mógłby sprawdzić jakich wtyczek (lub ich wersji) używasz, a następnie wykorzystać znane w nich luki do próby włamania. Nie daj takiej szansy. Wystarczy że do katalogu /wp-content/plugins/ umieścisz pusty plik index.html aby uniemożliwić wyświetlenie zawartości takiego katalogu. Albo możesz użyć pliku .htaccess: Options -Indexes
- Nie używaj defaultowego loginu: admin. Zmieniając domyślny login, w prosty sposób dodasz kolejne zabezpieczenie. Hakerowi będzie trudniej odkryć (złamać) Twoją kombinacje login/hasło. Jeśli nie zrobiłeś tego na samym początku, nie szkodzi. Utwórz nowego autora z prawami administratora, a następnie usuń starego przypisując jednocześnie jego rzeczy (posty i linki) do nowego konta.
- Wtyczka Login Lockdown pozwoli zabezpieczyć Twój login przez atakami brute force. Jeśli zły login/hasło pojawia się zbyt często plugin chwilowo blokuje możliwość logowania.
- Zmodyfikuj template z nagłówkiem Twojej strony. W sekcji nie musisz wyświetlać wersji Wordpressa, której używasz. Może to potencjalnie dać szansę na wykorzystanie luk bezpieczeństaw występujących w konkretnych wersjach. Ponieważ string z generatorem jest dodawany automatycznie przez Wordpressa, należy w pliku functions.php dla aktualnie używanego szablonu dodać linijkę: remove_action(‘wp_head’, ‘wp_generator’); Jeśli chcesz zostawić informacje o Wordpress możesz ręcznie w nagłówku strony wstaw wiersz
- Jeśli na swojej stronie kontaktu używasz formularza, to upewnij się że jest dobrze zabezpieczony. Niezabezpieczone formularze do wysyłania poczty stanowią często bramkę do wysylania spamu. Możesz skorzystać z wtyczki Secure Form Mailer, która pomoże stworzyć Ci bezpieczny formularz kontaktu.
- Na koniec - nigdy do końca nie ufaj zabezpieczeniom. Zrób kopie zapasową Twojej bazy danych. Zainstaluj plugin wp-database-backup i skonfiguruj codzienne backupy Twojej bazy.