Otwarta struktura, duża przystępność oraz prostota obsługi WordPress jako systemu zarządzania treścią czyni ze stron na nim opartych łatwy łup cyberprzestępców. Aby zminimalizować ryzyko ataku hakerskiego, należy odpowiednio zabezpieczyć swoją witrynę. Jak to zrobić?

Przeprowadzaj aktualizacje systemu na bieżąco

WordPress może się poszczycić mianem najchętniej wybieranego systemu zarządzania treścią wśród osób zakładających strony internetowe. Popularność ta ma jednak efekt uboczny: jak magnes przyciąga cyberprzestępców. Zewsząd pojawią się też ostrzeżenia, że WordPress jest „dziurawy”. Dlatego tak ważne jest, abyśmy pamiętali o zabezpieczeniu naszej witryny przed atakami hakerskimi i spam-botami.

W celu ochrony strony internetowej przed cyberprzestępcami należy systematycznie dokonywać aktualizacji posiadanej wersji WordPress, i to najszybciej jak się da, czyli tuż po opublikowaniu ulepszenia. Odkładanie wprowadzenia zmian w czasie jest niezwykle ryzykowne. Musimy o tym szczególnie pamiętać, jeśli zdecydowaliśmy się na wyłączenie opcji automatycznej aktualizacji systemu, a w takową wyposażone są wszystkie wersje systemu, począwszy od 3.7.

Zmień login oraz ID administratora

Proponowany przez WordPress, domyślny login brzmi „admin”. Nie trzeba zatem być szczególnie rozgarniętym, by bez trudności go odgadnąć, a znajomość loginu to dla cyberprzestępcy już połowa sukcesu. Wówczas tylko złamanie hasła dzieli go od uzyskania pełnego dostępu do strony internetowej i wykorzystania wszelkich poufnych informacji, które zawiera.

Aby tego uniknąć, w trakcie instalacji należy zmienić login na mniej oczywisty, który dla użytkownika zewnętrznego będzie trudny do odgadnięcia. Niektórzy proponują, by jako login wykorzystać e-mail. Jeżeli chcemy, aby zmiana ta nastąpiła automatycznie, powinniśmy wgrać wtyczkę WP Email Login. W phpMyAdmin zmienić warto także ID konta. Dobrą praktyką jest wprowadzenie wysokiej liczby z losowym ciągiem cyfr, na przykład 173092, a nie 123456 czy też 111111.

Wykorzystaj 2-stopniową autoryzację

Użycie 2-stopniowej autoryzacji (2FA) to kolejny skuteczny sposób ochrony panelu administracyjnego przed atakiem hakerskim. Wymaga ona podania nie tylko nazwy użytkownika i hasła, ale również informacji, w której posiadaniu może być jedynie zaufany użytkownik.

Dobrym rozwiązaniem będzie także fizyczny token. W tym celu warto zainstalować na stronie wtyczkę Google Authenticator. Jej konfiguracja jest prosta i zajmuje kilka chwil. Następnie należy zainstalować także aplikację na swoim smartfonie. To właśnie tam będzie wyświetlany unikalny token – pojawi się on za każdym razem, gdy będziemy się logować do strony.

Zmień domyślny prefiks „wp_” dla tabel w bazie MySQL

Pozostawiając w tabelach w bazie MySQL domyślnego przedrostka „wp_”, ułatwiamy cyberprzestępcom przeprowadzenie modyfikacji w bazie. Dlatego warto go zmienić na mniej charakterystyczny zapis. Mamy dwie możliwości wykonania tego. Po pierwsze, podczas samej instalacji, a po drugie, już po jej zakończeniu. W tym drugim przypadku należy zalogować się do bazy MySQL, używając w tym celu wspomnianego już wcześniej panelu phpMyAdmin. Dzięki temu prostemu działaniu nasza strona będzie lepiej zabezpieczona przed atakami typu SQL Injection.

Pamiętajmy także o tym, że zmiana nazwy przedrostka tabel bazie MySQL wiąże się z modyfikacją wpisów w tabelach WordPress: options i usermeta, co można zrobić poprzez dwa polecenia SQL. Wiąże się to z koniecznością podania wybranych przez nas prefiksów. Co więcej, zmienić należy także plik wp-config.php w linijce, w której podajemy przedrostek.

Załóż blokadę witryny

Konfiguracja funkcji blokady strony internetowej po nieudanych próbach logowania zabezpieczy ją przed atakami brute force. Jeżeli dojdzie do próby nieautoryzowanego dostępu do witryny, otrzymamy powiadomienie o tym, zaś sama strona zostanie zablokowana. Praktycznym rozwiązaniem jest ustawienie na przykład trzech prób logowania bez blokowania strony. W ten sposób uchronimy się przed przypadkowym wpisaniem błędnego hasła przez nas samych.

Dobrym rozwiązaniem w przypadku witryn internetowych na WordPress może okazać się zainstalowanie wtyczki iThemes Security. Dzięki niej z łatwością określimy liczbę nieudanych prób logowania, po których nastąpi zablokowanie adresu IP atakującego. Ochroni także przed spamem. To nie jedyne funkcje zabezpieczające, jakie oferuje. Warto ją zatem zainstalować.

Wbrew pozorom hakerzy atakują nie tylko strony internetowe o globalnym zasięgu, ale również mniejsze serwisy. Warto zatem odpowiednio zabezpieczyć naszą witrynę na WordPress przed cyberprzestępcami. Wystarczy, że zastosujemy się do powyższych zaleceń, a będziemy mogli czerpać z korzyści, jakie niesie za sobą założenie strony na tym systemie do zarządzania treścią, jednocześnie zabezpieczając się przed nieautoryzowanym dostępem do naszej witryny. Pamiętajmy jednak, że powyższa lista działań nie wyczerpuje katalogu czynności, które możemy podjąć, by ochronić stronę przed atakami hakerskimi i spam-botami.

Należy pamiętać, że sposoby w/w są tylko górą w oceanie możliwości zabezpieczania strony internetowej opartej o WordPress, jeśli chcą Państwo aby eksperci od WordPress zajęli się zabezpieczeniem i opieką WordPress, zapraszamy do kontaktu.