Kilka porad jak zabezpieczyć bloga

Kilka porad jak zabezpieczyć bloga

Pewien miły czytelnik podpowiedział mi jak zabezpieczyć bloga WordPress, by stał się bardziej odporny na ataki, więc chcę w kilku punktach przedstawić sposoby na zabezpieczanie się przed intruzami.

Mając bloga zapewne nie raz mieliście problemy ze spamem, z setkami komentarzy zupełnie nie na temat, takimi które tylko zapychają skrzynkę, a same ich usuwanie dość długo trwa.


1. Aktualizuj bloga

Na maila przyjdą powiadomienia że wyszła nowa wersja wordpress. Wejdź na swój panel bloga i zaktualizuj go, w kokpicie będzie napis – aktualizacje. Co jakiś czas wychodzi nowa wersja, poprawiona. Dzięki takiej aktualizacji będziesz bardziej odporny na ataki.


2. Zrób kopię bezpieczeństwa

Najlepiej co jakiś czas, np. co tydzień, co miesiąc, czym większy i popularniejszy blog, tym częściej rób kopię. Uchroni to przed całkowitą klęską bloga. Bo jeśli zostanie zhackowany, zawirusowany, zespamowany, to naprawa jego potrwa dłużej, niż wgranie kopii z poprzedniego dnia. Będzie ona wolna od wirusów i spamu. Robiąc często kopie, możemy spać spokojnie, że w razie czego nic naszej stronie się złego nie stanie.

Zrób kopię plików, w panelu hostingowym – menedżer plików, bądź pobierz wszystkie pliki z serwera ftp na dysk. Zrób też kopię bazy danych – w panelu phpmyadmin wybieramy bazę, potem zakładkę eksport i wykonaj. Zapisz sobie te pliki strony i bazę w katalogu z datą, będzie łatwiej przywracać kopie z danego dnia.


3. Usuń informację o obecnej wersji skryptu WordPress

WordPress w nagłówku w kodzie posiada informację, jaką obecnie mamy wersję. Może to być niebezpieczne, wszelkie poradniki na temat bezpieczeństwa radzą to usunąć.

W panelu admina blogu wchodzimy w Wygląd – Edytor, szukamy pliku functions.php i na koniec kodu dodajemy:

function remove_meta_version() {
	return '';
}
add_filter( 'the_generator', 'remove_meta_version' );

Zaktualizuj plik, gotowe. Nazwa wersji usunięta.


4. Ukryj wyświetlanie zawartości katalogu wtyczek i skórek

Informacja jakich używamy wtyczek i skórek, może być niebezpieczna, lepiej by „hakierzy” tego nie widzieli. Niektóre serwery same ukrywają zawartość folderów, jeśli Wasz tego nie robi, to wystarczy w takim folderze wgrać pusty plik index.html, np. wgrać do folderu wp-content/themes.


5. Zabezpiecz ważne foldery przed indeksacją

W głównym katalogu bloga znajduje się plik robots.txt, należy w nim dopisać kilka linijek kodu:

User-agent: *
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Disallow: /*.php$
Allow: /wp-content/uploads
 
User-agent: Googlebot-Image
Disallow:
Allow: /*

Ostatnie trzy linijki pozwalają botowi google odpowiedzialnemu za indeksowanie grafiki, na odwiedzanie wszystkich możliwych miejsc na naszym blogu.


6. Zmień login i hasło na trudniejsze

To jest bardzo ważny punkt, zmiana loginu, a zwłaszcza hasła na trudne do odgadnięcia. Włamania na blogi są dość często, a jeszcze częściej jak jest ustawiony prosty login i hasło jak admin/admin. Mam nadzieję że mało kto tak robi, ale jeśli macie proste nazwy, to je zmieńcie. Hasło można zmienić w panelu bloga w zakładce – Użytkownicy. A login można zmienić w bazie danych, logując się do PhpMyAdmina, wybieramy tabelę „wp_users„, przy naszym loginie klikamy na ołówek – edytuj i w „user_login” wpisujemy nasz nowy login do panelu bloga i klikamy wykonaj.


7. Zainstaluj wtyczkę zabezpieczającą bloga, najlepiej All in One

W panelu wybieramy Wtyczki – Dodaj nową, wpisujemy w wyszukiwarce „All In One WP Security & Firewall” i klikamy zainstaluj. Jest to dobra, popularna wtyczka, która zabezpiecza nasz blog przed intruzami, jak również przed spamem. Posiada wiele opcji. Po zainstalowaniu i włączeniu jej, mamy w menu „WP Security„, klikamy na to i w oknie które się pojawi przesuwamy wszystkie suwaki na „ON” by świeciły na zielono, jest to w kolumnie Critical Feature Status.

all-in-one-wp-secutiry-firewall


8. Ochroń się przed spamem

Jest trochę sposobów by uchronić się przed niechcianymi komentarzami na blogu. Dobrym rozwiązaniem, trochę utrudniającym życie spamerów jest CAPTCHA. To takie okienko z kodem do przepisania, by potwierdzić że nie jesteśmy robotem sieciowym, tylko osobą z sercem 😀 Taką wtyczką jest WP-reCAPTCHA, do pobrania stąd: https://wordpress.org/plugins/wp-recaptcha

Kolejną wartą uwagi wtyczką, która ogranicza spam w komentarzach jest popularny „Akismet„, który jest na starcie w WP, wystarczy włączyć. Potem należy uzyskać klucz API, aby to zrobić trzeba założyć konto na ich stronie i klikamy by aktywować stronę.

Tych wtyczek antyspamowych jest trochę do opisania, ale to może innym razem przetestuję.


Na razie to tyle, zapewne jest dużo więcej sposobów na zabezpieczanie się, rodzice pewnie Wam tłumaczyli, więc powtarzać się będę 😀 Ale jeśli chociaż do tych się dostosujecie, to na pewno nici z 500+ 🙂

11
Dodaj komentarz

avatar
5 Comment threads
6 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
6 Comment authors
KasiaBartek80Krzysiek DróżdżKrzysztofEwelina Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Furu.Art
Gość

No i to mi się podoba 🙂 Wszystkie metody prawidłowe, a bezpieczeństwo naszego skarbca twórczego to najważniejszy aspekt!

Krzysztof
Gość

Bardzo przydatny poradnik, jednak nie zgodzę się, że zainstalowanie jakiejkolwiek wtyczki poprawiającej bezpieczeństwo uchroni nas przed czymkolwiek. Wtyczka All in One np. w wersji 3.9.7 (i niższej) sama miała podatność na ataki typu XSS, podobnie jest z popularnym WordFence. Na ostatnim WordUpie w Gdyni Krzysiek Dróżdż demonstrował, że zainstalowanie wtyczki nie wyklucza możliwości przeprowadzenia ataku typu XSS ( zapis dostępny na you tube), co więcej wtyczka nawet nie wykryła tego, że struktura WP zmieniła się w dziwny sposób (pliki php w katalogu uploads). Warto też dodać, że sama zmiana domyślnej nazwy użytkownika nie wyklucza możliwości odczytania niestandardowego loginu admina – należy to uniemożliwić poprzez odpowiednie zapisy w .htaccess

Krzysiek Dróżdż
Gość

No więc po kolei, skoro już zostałem wywołany do tablicy 😉 1. Aktualizować oczywiście trzeba, ale warto pamiętać, że nie tylko WordPressa czy wtyczki, ale także motyw. 2. Kopia bezpieczeństwa wykonywana w ten sposób na niewiele się zda. Dlaczego? Bloga nikt Ci nie zhackuje. Zazwyczaj infekcja jest skutkiem ataku przez bota, który wgrywa malware wykorzystując jakąś znaną podatność. I teraz haczyk: większość infekcji nie generuje objawów od razu, a dopiero po jakimś czasie. Dlaczego? Właśnie po to, żeby najpierw „wykosić” backupy. Jeśli backupy mają mieć sens, to trzeba zapewnić ich poprawność i integralność oraz przechowywać odpowiednio długą historię. Dobrze też wykonywać je automatycznie (robienie backupów ręcznie poprzez FTP i PHPMyAdmin to jakieś nieporozumienie). 3. To oczywiście zupełnie nic Ci nie da. Wersja WordPressa znajduje się także w pliku readme.html. Ale to nie wszystko… Jeśli dodany przez motyw/wtyczkę plik CSS/JS nie definiuje poprawnie wersji, to WordPress dodaje domyślnie wersję WordPressa. A… Czytaj więcej »

Bartek80
Gość

Problematyka zabezpieczeń nie jest mi obca. Jestem amatorem jednak przez pewną nieprzyjemną sytuację musiałem uzupełnić sporo braków. Na moim blogu miałem włamanie, został zniszczony, a ja myślałem o jego zamknięciu. Kolega po spojrzeniu na mojego bloga śmiał się z mojej głupoty. Okazało się, że popełniałem głupie błędy i wręcz prosiłem się o włamanie. Później przerabiałem różne kursy odnośnie wordpressa, najlepszy to był ten z eduweb, tutoriale z sieci, nawet książkę sobie kupilem. Człowiek dopiero po fakcie dostrzega swoje błędy.

Kasia
Gość

Ja niestety zaniedbałem odpowiednie zabezpieczenie mojej strony. Strona została zaatakowana, miałem spamerskie strony i linki w witrynie. Mogłem tego wszystkiego uniknąć gdybym odpowiednio zabezpieczył stronę.

Close Menu