Kilka porad jak zabezpieczyć bloga

Pewien miły czytelnik podpowiedział mi jak zabezpieczyć bloga WordPress, by stał się bardziej odporny na ataki, więc chcę w kilku punktach przedstawić sposoby na zabezpieczanie się przed intruzami.

Mając bloga zapewne nie raz mieliście problemy ze spamem, z setkami komentarzy zupełnie nie na temat, takimi które tylko zapychają skrzynkę, a same ich usuwanie dość długo trwa.


1. Aktualizuj bloga

Na maila przyjdą powiadomienia że wyszła nowa wersja wordpress. Wejdź na swój panel bloga i zaktualizuj go, w kokpicie będzie napis – aktualizacje. Co jakiś czas wychodzi nowa wersja, poprawiona. Dzięki takiej aktualizacji będziesz bardziej odporny na ataki.


2. Zrób kopię bezpieczeństwa

Najlepiej co jakiś czas, np. co tydzień, co miesiąc, czym większy i popularniejszy blog, tym częściej rób kopię. Uchroni to przed całkowitą klęską bloga. Bo jeśli zostanie zhackowany, zawirusowany, zespamowany, to naprawa jego potrwa dłużej, niż wgranie kopii z poprzedniego dnia. Będzie ona wolna od wirusów i spamu. Robiąc często kopie, możemy spać spokojnie, że w razie czego nic naszej stronie się złego nie stanie.

Zrób kopię plików, w panelu hostingowym – menedżer plików, bądź pobierz wszystkie pliki z serwera ftp na dysk. Zrób też kopię bazy danych – w panelu phpmyadmin wybieramy bazę, potem zakładkę eksport i wykonaj. Zapisz sobie te pliki strony i bazę w katalogu z datą, będzie łatwiej przywracać kopie z danego dnia.


3. Usuń informację o obecnej wersji skryptu WordPress

WordPress w nagłówku w kodzie posiada informację, jaką obecnie mamy wersję. Może to być niebezpieczne, wszelkie poradniki na temat bezpieczeństwa radzą to usunąć.

W panelu admina blogu wchodzimy w Wygląd – Edytor, szukamy pliku functions.php i na koniec kodu dodajemy:

function remove_meta_version() {
	return '';
}
add_filter( 'the_generator', 'remove_meta_version' );

Zaktualizuj plik, gotowe. Nazwa wersji usunięta.


4. Ukryj wyświetlanie zawartości katalogu wtyczek i skórek

Informacja jakich używamy wtyczek i skórek, może być niebezpieczna, lepiej by „hakierzy” tego nie widzieli. Niektóre serwery same ukrywają zawartość folderów, jeśli Wasz tego nie robi, to wystarczy w takim folderze wgrać pusty plik index.html, np. wgrać do folderu wp-content/themes.


5. Zabezpiecz ważne foldery przed indeksacją

W głównym katalogu bloga znajduje się plik robots.txt, należy w nim dopisać kilka linijek kodu:

User-agent: *
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Disallow: /*.php$
Allow: /wp-content/uploads
 
User-agent: Googlebot-Image
Disallow:
Allow: /*

Ostatnie trzy linijki pozwalają botowi google odpowiedzialnemu za indeksowanie grafiki, na odwiedzanie wszystkich możliwych miejsc na naszym blogu.


6. Zmień login i hasło na trudniejsze

To jest bardzo ważny punkt, zmiana loginu, a zwłaszcza hasła na trudne do odgadnięcia. Włamania na blogi są dość często, a jeszcze częściej jak jest ustawiony prosty login i hasło jak admin/admin. Mam nadzieję że mało kto tak robi, ale jeśli macie proste nazwy, to je zmieńcie. Hasło można zmienić w panelu bloga w zakładce – Użytkownicy. A login można zmienić w bazie danych, logując się do PhpMyAdmina, wybieramy tabelę „wp_users„, przy naszym loginie klikamy na ołówek – edytuj i w „user_login” wpisujemy nasz nowy login do panelu bloga i klikamy wykonaj.


7. Zainstaluj wtyczkę zabezpieczającą bloga, najlepiej All in One

W panelu wybieramy Wtyczki – Dodaj nową, wpisujemy w wyszukiwarce „All In One WP Security & Firewall” i klikamy zainstaluj. Jest to dobra, popularna wtyczka, która zabezpiecza nasz blog przed intruzami, jak również przed spamem. Posiada wiele opcji. Po zainstalowaniu i włączeniu jej, mamy w menu „WP Security„, klikamy na to i w oknie które się pojawi przesuwamy wszystkie suwaki na „ON” by świeciły na zielono, jest to w kolumnie Critical Feature Status.

all-in-one-wp-secutiry-firewall


8. Ochroń się przed spamem

Jest trochę sposobów by uchronić się przed niechcianymi komentarzami na blogu. Dobrym rozwiązaniem, trochę utrudniającym życie spamerów jest CAPTCHA. To takie okienko z kodem do przepisania, by potwierdzić że nie jesteśmy robotem sieciowym, tylko osobą z sercem 😀 Taką wtyczką jest WP-reCAPTCHA, do pobrania stąd: https://wordpress.org/plugins/wp-recaptcha

Kolejną wartą uwagi wtyczką, która ogranicza spam w komentarzach jest popularny „Akismet„, który jest na starcie w WP, wystarczy włączyć. Potem należy uzyskać klucz API, aby to zrobić trzeba założyć konto na ich stronie i klikamy by aktywować stronę.

Tych wtyczek antyspamowych jest trochę do opisania, ale to może innym razem przetestuję.


Na razie to tyle, zapewne jest dużo więcej sposobów na zabezpieczanie się, rodzice pewnie Wam tłumaczyli, więc powtarzać się będę 😀 Ale jeśli chociaż do tych się dostosujecie, to na pewno nici z 500+ 🙂

Podobne wpisy

Subscribe
Powiadom o
guest

11 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments
Furu.Art
8 lat temu

No i to mi się podoba 🙂 Wszystkie metody prawidłowe, a bezpieczeństwo naszego skarbca twórczego to najważniejszy aspekt!

Krzysztof
8 lat temu

Bardzo przydatny poradnik, jednak nie zgodzę się, że zainstalowanie jakiejkolwiek wtyczki poprawiającej bezpieczeństwo uchroni nas przed czymkolwiek. Wtyczka All in One np. w wersji 3.9.7 (i niższej) sama miała podatność na ataki typu XSS, podobnie jest z popularnym WordFence. Na ostatnim WordUpie w Gdyni Krzysiek Dróżdż demonstrował, że zainstalowanie wtyczki nie wyklucza możliwości przeprowadzenia ataku typu XSS ( zapis dostępny na you tube), co więcej wtyczka nawet nie wykryła tego, że struktura WP zmieniła się w dziwny sposób (pliki php w katalogu uploads). Warto też dodać, że sama zmiana domyślnej nazwy użytkownika nie wyklucza możliwości odczytania niestandardowego loginu admina –… Czytaj więcej »

Krzysztof
8 lat temu
Reply to  Ewelina

Z moich obserwacji wynika, że gdy zaczynamy myśleć o bezpieczeństwie strony, pierwsze co powinniśmy zrobić to wyzbyć się myślenia, że włamań dokonują jacyś mityczni hakerzy. Większość włamań dokonywanych na WP i inne znane platformy odbywa się w sposób zautomatyzowany i najczęściej nie przeprowadzają ich jakieś wielkie mózgi cyberprzestępczości. Sukces ataku może być uzależniony od tego jak skonfigurowany jest serwer, oraz od tego jakich wtyczek i motywów używamy. Dlatego bardzo ważne jest to, żeby wiedzieć po co instalujemy konkretną wtyczkę i jaką pracę wykonuje jej kod (np. iThemes Security strasznie zaśmieca bazę danych ). Podobnie sprawa ma się z motywami (zwłaszcza… Czytaj więcej »

Krzysiek Dróżdż
8 lat temu
Reply to  Ewelina

Nie często. Zazwyczaj są to roboty.

Spójrz proszę na bazę podatności, do której linka podał Krzysztof. To nie jest kwestia tego, że powinnaś się bać instalowania wtyczek. Każde oprogramowanie może mieć błędy. Jeśli historycznie miało ich sporo, to jest to jakaś informacja o jakości kodu danej wtyczki.

Jak więc podejść do wtyczek? Z rozsądkiem. Dobrą analogią jest zakup leków. Kupisz je na bazarze z koca? Pewnie nie 😉 Czy weźmiesz pierwszą lepszą tabletkę, którą podsuną Ci wyniki wyszukiwarki? Też pewnie nie. Z wtyczkami jest tak samo – zaufane źródło i sprawdzone rozwiązania to podstawa.

Krzysiek Dróżdż
8 lat temu

No więc po kolei, skoro już zostałem wywołany do tablicy 😉 1. Aktualizować oczywiście trzeba, ale warto pamiętać, że nie tylko WordPressa czy wtyczki, ale także motyw. 2. Kopia bezpieczeństwa wykonywana w ten sposób na niewiele się zda. Dlaczego? Bloga nikt Ci nie zhackuje. Zazwyczaj infekcja jest skutkiem ataku przez bota, który wgrywa malware wykorzystując jakąś znaną podatność. I teraz haczyk: większość infekcji nie generuje objawów od razu, a dopiero po jakimś czasie. Dlaczego? Właśnie po to, żeby najpierw „wykosić” backupy. Jeśli backupy mają mieć sens, to trzeba zapewnić ich poprawność i integralność oraz przechowywać odpowiednio długą historię. Dobrze też… Czytaj więcej »

Bartek80
8 lat temu

Problematyka zabezpieczeń nie jest mi obca. Jestem amatorem jednak przez pewną nieprzyjemną sytuację musiałem uzupełnić sporo braków. Na moim blogu miałem włamanie, został zniszczony, a ja myślałem o jego zamknięciu. Kolega po spojrzeniu na mojego bloga śmiał się z mojej głupoty. Okazało się, że popełniałem głupie błędy i wręcz prosiłem się o włamanie. Później przerabiałem różne kursy odnośnie wordpressa, najlepszy to był ten z eduweb, tutoriale z sieci, nawet książkę sobie kupilem. Człowiek dopiero po fakcie dostrzega swoje błędy.

Kasia
8 lat temu

Ja niestety zaniedbałem odpowiednie zabezpieczenie mojej strony. Strona została zaatakowana, miałem spamerskie strony i linki w witrynie. Mogłem tego wszystkiego uniknąć gdybym odpowiednio zabezpieczył stronę.