Kilka porad jak zabezpieczyć bloga

Pewien miły czytelnik podpowiedział mi jak zabezpieczyć bloga WordPress, by stał się bardziej odporny na ataki, więc chcę w kilku punktach przedstawić sposoby na zabezpieczanie się przed intruzami.

Mając bloga zapewne nie raz mieliście problemy ze spamem, z setkami komentarzy zupełnie nie na temat, takimi które tylko zapychają skrzynkę, a same ich usuwanie dość długo trwa.


1. Aktualizuj bloga

Na maila przyjdą powiadomienia że wyszła nowa wersja wordpress. Wejdź na swój panel bloga i zaktualizuj go, w kokpicie będzie napis – aktualizacje. Co jakiś czas wychodzi nowa wersja, poprawiona. Dzięki takiej aktualizacji będziesz bardziej odporny na ataki.


2. Zrób kopię bezpieczeństwa

Najlepiej co jakiś czas, np. co tydzień, co miesiąc, czym większy i popularniejszy blog, tym częściej rób kopię. Uchroni to przed całkowitą klęską bloga. Bo jeśli zostanie zhackowany, zawirusowany, zespamowany, to naprawa jego potrwa dłużej, niż wgranie kopii z poprzedniego dnia. Będzie ona wolna od wirusów i spamu. Robiąc często kopie, możemy spać spokojnie, że w razie czego nic naszej stronie się złego nie stanie.

Zrób kopię plików, w panelu hostingowym – menedżer plików, bądź pobierz wszystkie pliki z serwera ftp na dysk. Zrób też kopię bazy danych – w panelu phpmyadmin wybieramy bazę, potem zakładkę eksport i wykonaj. Zapisz sobie te pliki strony i bazę w katalogu z datą, będzie łatwiej przywracać kopie z danego dnia.


3. Usuń informację o obecnej wersji skryptu WordPress

WordPress w nagłówku w kodzie posiada informację, jaką obecnie mamy wersję. Może to być niebezpieczne, wszelkie poradniki na temat bezpieczeństwa radzą to usunąć.

W panelu admina blogu wchodzimy w Wygląd – Edytor, szukamy pliku functions.php i na koniec kodu dodajemy:

function remove_meta_version() {
	return '';
}
add_filter( 'the_generator', 'remove_meta_version' );

Zaktualizuj plik, gotowe. Nazwa wersji usunięta.


4. Ukryj wyświetlanie zawartości katalogu wtyczek i skórek

Informacja jakich używamy wtyczek i skórek, może być niebezpieczna, lepiej by “hakierzy” tego nie widzieli. Niektóre serwery same ukrywają zawartość folderów, jeśli Wasz tego nie robi, to wystarczy w takim folderze wgrać pusty plik index.html, np. wgrać do folderu wp-content/themes.


5. Zabezpiecz ważne foldery przed indeksacją

W głównym katalogu bloga znajduje się plik robots.txt, należy w nim dopisać kilka linijek kodu:

User-agent: *
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Disallow: /*.php$
Allow: /wp-content/uploads
 
User-agent: Googlebot-Image
Disallow:
Allow: /*

Ostatnie trzy linijki pozwalają botowi google odpowiedzialnemu za indeksowanie grafiki, na odwiedzanie wszystkich możliwych miejsc na naszym blogu.


6. Zmień login i hasło na trudniejsze

To jest bardzo ważny punkt, zmiana loginu, a zwłaszcza hasła na trudne do odgadnięcia. Włamania na blogi są dość często, a jeszcze częściej jak jest ustawiony prosty login i hasło jak admin/admin. Mam nadzieję że mało kto tak robi, ale jeśli macie proste nazwy, to je zmieńcie. Hasło można zmienić w panelu bloga w zakładce – Użytkownicy. A login można zmienić w bazie danych, logując się do PhpMyAdmina, wybieramy tabelę “wp_users“, przy naszym loginie klikamy na ołówek – edytuj i w “user_login” wpisujemy nasz nowy login do panelu bloga i klikamy wykonaj.


7. Zainstaluj wtyczkę zabezpieczającą bloga, najlepiej All in One

W panelu wybieramy Wtyczki – Dodaj nową, wpisujemy w wyszukiwarce “All In One WP Security & Firewall” i klikamy zainstaluj. Jest to dobra, popularna wtyczka, która zabezpiecza nasz blog przed intruzami, jak również przed spamem. Posiada wiele opcji. Po zainstalowaniu i włączeniu jej, mamy w menu “WP Security“, klikamy na to i w oknie które się pojawi przesuwamy wszystkie suwaki na “ON” by świeciły na zielono, jest to w kolumnie Critical Feature Status.

all-in-one-wp-secutiry-firewall


8. Ochroń się przed spamem

Jest trochę sposobów by uchronić się przed niechcianymi komentarzami na blogu. Dobrym rozwiązaniem, trochę utrudniającym życie spamerów jest CAPTCHA. To takie okienko z kodem do przepisania, by potwierdzić że nie jesteśmy robotem sieciowym, tylko osobą z sercem Taką wtyczką jest WP-reCAPTCHA, do pobrania stąd: https://wordpress.org/plugins/wp-recaptcha

Kolejną wartą uwagi wtyczką, która ogranicza spam w komentarzach jest popularny “Akismet“, który jest na starcie w WP, wystarczy włączyć. Potem należy uzyskać klucz API, aby to zrobić trzeba założyć konto na ich stronie i klikamy by aktywować stronę.

Tych wtyczek antyspamowych jest trochę do opisania, ale to może innym razem przetestuję.


Na razie to tyle, zapewne jest dużo więcej sposobów na zabezpieczanie się, rodzice pewnie Wam tłumaczyli, więc powtarzać się będę Ale jeśli chociaż do tych się dostosujecie, to na pewno nici z 500+

11 komentarzy to “Kilka porad jak zabezpieczyć bloga”

You can leave a reply or Trackback this post.
  1. Bardzo przydatny poradnik, jednak nie zgodzę się, że zainstalowanie jakiejkolwiek wtyczki poprawiającej bezpieczeństwo uchroni nas przed czymkolwiek. Wtyczka All in One np. w wersji 3.9.7 (i niższej) sama miała podatność na ataki typu XSS, podobnie jest z popularnym WordFence. Na ostatnim WordUpie w Gdyni Krzysiek Dróżdż demonstrował, że zainstalowanie wtyczki nie wyklucza możliwości przeprowadzenia ataku typu XSS ( zapis dostępny na you tube), co więcej wtyczka nawet nie wykryła tego, że struktura WP zmieniła się w dziwny sposób (pliki php w katalogu uploads). Warto też dodać, że sama zmiana domyślnej nazwy użytkownika nie wyklucza możliwości odczytania niestandardowego loginu admina – należy to uniemożliwić poprzez odpowiednie zapisy w .htaccess

    • Dzięki za informację. W tych tematach nie jestem obeznana, bym musiała siedzieć i hakować , by cokolwiek wiedzieć Zazwyczaj tak jest że ludzie instalują, jeśli im to polecają, mają nadzieję że w jakimś stopniu pomoże, niby lepiej mieć niż nie mieć, może nie zawsze, ale z reguły tak jest.
      Wiadomo że dla chcącego to nic trudnego, jak ktoś chce się włamać, to i tak to zrobi, przecież wielkie, znane firmy padają atakom, a tam myślę, że mają dobrych ludzi od zabezpieczeń.

      • Z moich obserwacji wynika, że gdy zaczynamy myśleć o bezpieczeństwie strony, pierwsze co powinniśmy zrobić to wyzbyć się myślenia, że włamań dokonują jacyś mityczni hakerzy. Większość włamań dokonywanych na WP i inne znane platformy odbywa się w sposób zautomatyzowany i najczęściej nie przeprowadzają ich jakieś wielkie mózgi cyberprzestępczości. Sukces ataku może być uzależniony od tego jak skonfigurowany jest serwer, oraz od tego jakich wtyczek i motywów używamy. Dlatego bardzo ważne jest to, żeby wiedzieć po co instalujemy konkretną wtyczkę i jaką pracę wykonuje jej kod (np. iThemes Security strasznie zaśmieca bazę danych ). Podobnie sprawa ma się z motywami (zwłaszcza jeśli szukamy płatnych motywów w darmowych źródłach). To czy wtyczki i motywy, które używamy nie mają podatności możemy sprawdzić na https://wpvulndb.com/

        Jeśli chcemy by nasz serwis był lepiej chroniony to warto zainwestować w plan hostingowy na którym mamy zainstalowanego firewalla i będzie sprawdzał stan wszystkich plików i w razie czego przenosił je do folderu kwarantanny. Sama wtyczka, mimo iż może w części zabezpieczyć instalację jest napisana w konwencji WP w związku z czym zawsze można np za pomocą filtrów wyłączyć jej funkcje.

        Jeśli chodzi zaś o wielkie firmy to przyczyną lwiej części wycieków danych są zaniedbania proceduralne lub brak polityki rozwoju oprogramowania (np. brak kalendarza przeprowadzania testów penetracyjnych, wprowadzanie nowych interfejsów bez konsultacji z zakresu bezpieczeństwa). Rzadko zdarza się by siła atakującego była tak duża, że administrator serwisu nie był w stanie w porę się obronić.

        • Oczywiście, włamać się może każdy, często są to roboty, programy zaprogramowane by przeszukiwały strony. Tylko też nie można tak bać się instalować wtyczki, bo w takim przypadku nikt ich by nie tworzył i nie instalował, nie miały by one sensu, po to są by je używać. A na stronę można się też włamać zwyczajnie poprzez ftp, nie koniecznie przez wtyczki. Myśląc w taki sposób, że wszystko jest niebezpieczne, to ludzie by z domu nie wychodzili bojąc się, że spadnie na głowę meteoryt

          • Nie często. Zazwyczaj są to roboty.

            Spójrz proszę na bazę podatności, do której linka podał Krzysztof. To nie jest kwestia tego, że powinnaś się bać instalowania wtyczek. Każde oprogramowanie może mieć błędy. Jeśli historycznie miało ich sporo, to jest to jakaś informacja o jakości kodu danej wtyczki.

            Jak więc podejść do wtyczek? Z rozsądkiem. Dobrą analogią jest zakup leków. Kupisz je na bazarze z koca? Pewnie nie Czy weźmiesz pierwszą lepszą tabletkę, którą podsuną Ci wyniki wyszukiwarki? Też pewnie nie. Z wtyczkami jest tak samo – zaufane źródło i sprawdzone rozwiązania to podstawa.

  2. No więc po kolei, skoro już zostałem wywołany do tablicy

    1. Aktualizować oczywiście trzeba, ale warto pamiętać, że nie tylko WordPressa czy wtyczki, ale także motyw.

    2. Kopia bezpieczeństwa wykonywana w ten sposób na niewiele się zda. Dlaczego? Bloga nikt Ci nie zhackuje. Zazwyczaj infekcja jest skutkiem ataku przez bota, który wgrywa malware wykorzystując jakąś znaną podatność. I teraz haczyk: większość infekcji nie generuje objawów od razu, a dopiero po jakimś czasie. Dlaczego? Właśnie po to, żeby najpierw “wykosić” backupy. Jeśli backupy mają mieć sens, to trzeba zapewnić ich poprawność i integralność oraz przechowywać odpowiednio długą historię. Dobrze też wykonywać je automatycznie (robienie backupów ręcznie poprzez FTP i PHPMyAdmin to jakieś nieporozumienie).

    3. To oczywiście zupełnie nic Ci nie da. Wersja WordPressa znajduje się także w pliku readme.html. Ale to nie wszystko… Jeśli dodany przez motyw/wtyczkę plik CSS/JS nie definiuje poprawnie wersji, to WordPress dodaje domyślnie wersję WordPressa. A żeby tego było mało, to wersję WP można wyczytać także z kanału RSS. Ukrywanie wersji oczywiście jest ważne. Natomiast fragment, który podajesz jako rozwiązanie tego problemu, jest baaardzo niewystarczający.

    4. Bzdura. Do skanowania WP nie używa się listingu katalogu, tylko istnienia samych katalogów, bo większość serwerów listingi ma wyłączone (a jeśli Twój ma włączone, to szybko zmień serwer) – zobacz, jak sprawnie ze skanowaniem poradzi sobie WPScan – i wcale Twój index.html mu w tym nie przeszkodzi Sam plik index.html niewiele pomoże…

    5. Po co? Przecież robots.txt nie zabroni się dostać do tych plików. To jest jedynie delikatna sugestia dla wyszukiwarki, że ma czegoś nie indeksować. Ale przecież wystarczy przeskanować Twoją stronę i zebrać linki, żeby do tych plików się dostać. Znacznie lepiej będzie blokować dostęp do plików PHP w tych katalogach, jak i zablokować hotlinkowanie.

    6. Kolejna bzdura. Ataki na strony WP spowodowane złamaniem hasła są szacowane na około 8%. Raczej niezbyt znacząca liczba. Oczywiście silne hasło jest istotne, a mocny login to podstawa (WP od dawna nakłania, aby nie używać jako loginu słowa “admin”), ale… Samo użycie trudnego loginu nic Ci nie da, bo i tak można wykonać skanowanie użytkowników. Natomiast zdradzasz w tym punkcie jeszcze jeden BARDZO poważny błąd hardenowania WP – domyślny prefiks tabel w bazie danych – NIGDY nie używaj domyślnego prefiksu wp_. Jeśli tabela z użytkownikami Twojego bloga to wp_users, to masz poważny problem.

    7. Nie. Wręcz przeciwnie. Nie instaluj tego typu wtyczek. Dlaczego? Bo wtyczki te znacznie zmniejszają wydajność WordPressa i mocno śmiecą. Ale żeby było zabawniej – same posiadają bardzo wiele podatności, czyli nie dość, że nie poprawiają bezpieczeństwa, to wręcz je zmniejszają. A ile są warte tego typu wtyczki, pokazałem ostatnio na WordUp Trójmiasto (https://www.youtube.com/watch?v=sKCRUBhiusY)

    8. Spam w komentarzach to oczywiście nie wszystko i ma on niewiele wspólnego z bezpieczeństwem, ale OK, skoro już został wrzucony do tego samego worka… Dobrze jest pamiętać, że Akismet nie jest darmowy do zastosowań komercyjnych. Jeśli więc strona ma choćby ślad komercyjności (strona firmowa, reklamy, promowanie produktów, itp.), to używanie na niej Akismeta będzie naruszało jego licencję.

    • Po takim teście nie wiem co napisać Ten poradnik to zbiór zebranych z internetu rad, więc je po prostu użyłam, bo zawsze to lepsze niż nic, nie znam się na tyle na bezpieczeństwie by dyskutować, więc skoro tak twierdzisz to wierzę, że jesteś w tym fachowcem i powyższe rady na pewno się przydadzą, dzięki za komentarz.

      Z tymi zaufanymi źródłami wtyczek to prawda, osobiście instaluję tylko z menu wtyczki w wordpress, to chyba jest zaufane źródło?

  3. Problematyka zabezpieczeń nie jest mi obca. Jestem amatorem jednak przez pewną nieprzyjemną sytuację musiałem uzupełnić sporo braków. Na moim blogu miałem włamanie, został zniszczony, a ja myślałem o jego zamknięciu. Kolega po spojrzeniu na mojego bloga śmiał się z mojej głupoty. Okazało się, że popełniałem głupie błędy i wręcz prosiłem się o włamanie. Później przerabiałem różne kursy odnośnie wordpressa, najlepszy to był ten z eduweb, tutoriale z sieci, nawet książkę sobie kupilem. Człowiek dopiero po fakcie dostrzega swoje błędy.

  4. Ja niestety zaniedbałem odpowiednie zabezpieczenie mojej strony. Strona została zaatakowana, miałem spamerskie strony i linki w witrynie. Mogłem tego wszystkiego uniknąć gdybym odpowiednio zabezpieczył stronę.

Write a Reply or Comment

Your email address will not be published.