Ataki na witryny z systemem zarządzania treścią WordPress są obecnie powszechne, pomimo dobrze zabezpieczonego rdzenia systemu. W poniższym poście przedstawiamy kilka prostych wskazówek, które mogą znacznie skomplikować ich złośliwe zamiary.
Zmień nazwę użytkownika „admin”
Jest to domyślna nazwa podczas instalacji WordPress , która nigdy nie powinna pozostać w swojej oryginalnej formie. Hakerzy często wykorzystują ten błąd, a najlepszą obroną jest utworzenie nowego konta administratora i usunięcie domyślnego.
Użyj silnego hasła
Numer telefonu, data urodzenia, a nawet imię i nazwisko: hasło w postaci prostej frazy daje atakującemu możliwość przejęcia kontroli nad Twoją witryną w ciągu kilku minut. Idealną opcją jest użycie wyrażenia, które nie jest dostępne w słowniku (standardowe narzędzie do tzw. ataków brute force) oraz kombinacji liter z cyframi, np. 1d34ln3-h3sl0 .
Edytuj plik .htaccess
Zmiany w .htaccess wymagają przynajmniej minimalnej znajomości problemu, w przeciwnym razie istnieje ryzyko nieprawidłowego działania strony lub jej komponentów, dlatego przed edycją warto zrobić kopię zapasową oryginalnego pliku. Poniższy przykład pokazuje, jak w prosty, ale skuteczny sposób można zablokować dostęp do panelu administracyjnego WordPress wszystkim poza zdefiniowanymi adresami IP. Wklej zmodyfikowany plik .htaccess do katalogu wp-admin .
AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx
Zaktualizuj system
Jedno kliknięcie, aby wyeliminować potencjalne ryzyko włamania na Twoją witrynę z powodu ukrytych błędów systemowych. Twórcy jądra systemu nieustannie naprawiają jego błędy i nie powinieneś się ani chwili wahać, zwłaszcza z aktualizacjami bezpieczeństwa.
Przesyłaj tylko „czyste” pliki
Upewnij się, że pliki, które zamierzasz przesłać na serwer, nie zawierają wirusa. Twój dostawca usług hostingowych na pewno by Ci nie podziękował za taki kawałek, a Ty na pewno nie chcesz „nagrody” od Google w postaci czerwonej strony z ostrzeżeniem o niebezpiecznej treści, prawda?
Zainstaluj moduł bezpieczeństwa
Oferując bardzo przyzwoitą usługę w swojej kategorii, moduł Better WP Security łączy wiele funkcji i technik bezpieczeństwa w jednym pakiecie, BulletProof Security pomaga w ochronie przed atakami XSS, RFI, CRLF, CSRF, Base64, Code Injection i SQL Injection. Wordfence Security oferuje zintegrowane rozwiązanie, skaner wirusów i złośliwych adresów URL oraz monitorowanie danych w czasie rzeczywistym jako kompleksowe rozwiązanie.
Nie używaj przestarzałych modułów
Jeśli użyjesz jednego z modułów przechowywanych w oficjalnym repozytorium WordPressa , za każdym razem, gdy nie był aktualizowany od dłuższego czasu, znajdziesz silne ostrzeżenie o tym fakcie (patrz obrazek poniżej). Od Ciebie zależy, czy chcesz zaryzykować możliwą niezgodność lub problem z bezpieczeństwem.
Regularnie twórz kopie zapasowe
Jeśli nie chcesz pozostawiać niczego przypadkowi, zdecydowanie nie powinieneś ignorować tego kroku. Im rzadsza zawartość witryny, tym częściej należy tworzyć kopie zapasowe jej zawartości, ale generalnie zaleca się „raz dziennie”. Skup się głównie na bazie danych MySQL i używanym temacie, te dwa elementy są najczęstszymi celami ataku (w szczególności plik index.php i tabele bazy danych wp-user i wp-usermeta ).
Oczywiście wspomniane 8 punktów nie jest podsumowaniem wszystkich dostępnych opcji zabezpieczenia WordPress . Być może znasz inne sposoby obrony przed atakami na tę witrynę. Chętnie opiszesz je nam pokrótce w komentarzach.
Czy ten artykuł był dla Ciebie pomocny? Wesprzyj mnie jego udostępnianiem. 👍
