9 porad jak zabezpieczyć nową instalację Wordpressa

November 20, 2008blog archive4 min read

Po zaktualizowaniu i dostosowaniu mojej wersji Wordpressa, pozostało jeszcze kilka rzeczy do zrobienia. Jedną z ważniejszych spraw jest kwestia bezpieczeństwa. Wordpress jest świetnym silnikiem do blogowania, sprawdzonym na setkach tysięcy stron. Mimo to, nie należy bezgranicznie ufać wszystkim jego rozwiązaniom.

Każda strona w Internecie jest narażona na ataki. Dlatego szukając dobrych sposobów na zabezpieczenie swojego bloga, skompilowałem listę kilku najciekawszych porad, które w znacznym stopniu zwiększą bezpieczeństwo świeżo zainstalowanego Wordpressa. Nie ma powodu dla których można by ignorować bezpieczeństwo Twojego bloga. O ile szansa, że ktoś celowo będzie próbował hackować Twoją stronę, nie jest zbyt duże, to z większym prawdopodobieństwem można spodziewać się wizyty różnych spambotów.

Przeczesują one Internet w poszukiwaniu potencjalnych możliwości włamania. W najgorszym przypadku Twój blog może zostać wykorzystany jako farma linków lub jako bramka do wysyłania spamu.

  1. Zawsze używaj najnowszej wersji Wordpressa. Z dużym prawdopodobieństwem można stwierdzić, że posiada ona najmniej błędów (przynajmniej wszystkie te, znane z poprzednich wersji były naprawione). O ile to możliwe, dobrze jest aktualizować zarówno silnik jak i zainstalowane wtyczki.
  2. Zabezpiecz swój katalog wp-admin. To tam siedzą najwazniejsze pliki w Twoim blogu. Najprościej użyć pliku .htaccess. Możesz to zrobić na kilka sposobów, np. pozwalając na dostęp do tego katalogu tylko dla Twojego adres IP AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Administracja” AuthType Basic order deny,allow deny from all # dopuść adres z domu allow from 132.120.168.12 # dodaj mój adresy z pracy allow from 66.143.114.201 # itd… Jak sprawdzić swoje IP? Na przykład tutaj lub tutaj :D. Takie zabezpieczenie nie zadziała jednak, gdy mamy zmienne adresy IP. Wtedy możesz dodać na przykład zabezpieczenie w postaci hasła: AuthName “Administracja” AuthType Basic # ścieżka do pliku z hasłem np. AuthUserFile /home/johny/.htpasswd Require valid-user W pliku .htpasswd powinny się znaleść login i hasło (można wyklikać np. tutaj) w postaci: username:password
  3. Jeśli ktoś nie lubi ręcznej zabawy z plikiem .htaccess, można skorzystać z wtyczki AskApache Password Protect. Automatycznie zatroszczy się ona o zabezpieczenia plików i katalogów w Twojej instalacji Wordpressa. Niestety, nie odmawia współpracy z moim obecnym hostingiem. W najbliższych dniach planuję jednak przenieść się na lepszy serwer, więc później napiszę może jeszcze trochę o jej możliwościach.
  4. Zabezpiecz Twój katalog z pluginami. Wtyczki do Wordpressa pozwalają rozszerzyć możliwości Twojego bloga. Tworzone przez społeczność skupioną wokół wordpressa mogą przecież zawierać błędy. W WP domyślnie, katalog z wtyczkami jest niezabezpieczony. Potencjalny włamywacz mógłby sprawdzić jakich wtyczek (lub ich wersji) używasz, a następnie wykorzystać znane w nich luki do próby włamania. Nie daj takiej szansy. Wystarczy że do katalogu /wp-content/plugins/ umieścisz pusty plik index.html aby uniemożliwić wyświetlenie zawartości takiego katalogu. Albo możesz użyć pliku .htaccess: Options -Indexes
  5. Nie używaj defaultowego loginu: admin. Zmieniając domyślny login, w prosty sposób dodasz kolejne zabezpieczenie. Hakerowi będzie trudniej odkryć (złamać) Twoją kombinacje login/hasło. Jeśli nie zrobiłeś tego na samym początku, nie szkodzi. Utwórz nowego autora z prawami administratora, a następnie usuń starego przypisując jednocześnie jego rzeczy (posty i linki) do nowego konta.
  6. Wtyczka Login Lockdown pozwoli zabezpieczyć Twój login przez atakami brute force. Jeśli zły login/hasło pojawia się zbyt często plugin chwilowo blokuje możliwość logowania.
  7. Zmodyfikuj template z nagłówkiem Twojej strony. W sekcji nie musisz wyświetlać wersji Wordpressa, której używasz. Może to potencjalnie dać szansę na wykorzystanie luk bezpieczeństaw występujących w konkretnych wersjach. Ponieważ string z generatorem jest dodawany automatycznie przez Wordpressa, należy w pliku functions.php dla aktualnie używanego szablonu dodać linijkę: remove_action(‘wp_head’, ‘wp_generator’); Jeśli chcesz zostawić informacje o Wordpress możesz ręcznie w nagłówku strony wstaw wiersz
  8. Jeśli na swojej stronie kontaktu używasz formularza, to upewnij się że jest dobrze zabezpieczony. Niezabezpieczone formularze do wysyłania poczty stanowią często bramkę do wysylania spamu. Możesz skorzystać z wtyczki Secure Form Mailer, która pomoże stworzyć Ci bezpieczny formularz kontaktu.
  9. Na koniec - nigdy do końca nie ufaj zabezpieczeniom. Zrób kopie zapasową Twojej bazy danych. Zainstaluj plugin wp-database-backup i skonfiguruj codzienne backupy Twojej bazy.

You may also like the following content