Kilka porad jak zabezpieczyć bloga
Pewien miły czytelnik podpowiedział mi jak zabezpieczyć bloga WordPress, by stał się bardziej odporny na ataki, więc chcę w kilku punktach przedstawić sposoby na zabezpieczanie się przed intruzami.
Mając bloga zapewne nie raz mieliście problemy ze spamem, z setkami komentarzy zupełnie nie na temat, takimi które tylko zapychają skrzynkę, a same ich usuwanie dość długo trwa.
1. Aktualizuj bloga
Na maila przyjdą powiadomienia że wyszła nowa wersja wordpress. Wejdź na swój panel bloga i zaktualizuj go, w kokpicie będzie napis – aktualizacje. Co jakiś czas wychodzi nowa wersja, poprawiona. Dzięki takiej aktualizacji będziesz bardziej odporny na ataki.
2. Zrób kopię bezpieczeństwa
Najlepiej co jakiś czas, np. co tydzień, co miesiąc, czym większy i popularniejszy blog, tym częściej rób kopię. Uchroni to przed całkowitą klęską bloga. Bo jeśli zostanie zhackowany, zawirusowany, zespamowany, to naprawa jego potrwa dłużej, niż wgranie kopii z poprzedniego dnia. Będzie ona wolna od wirusów i spamu. Robiąc często kopie, możemy spać spokojnie, że w razie czego nic naszej stronie się złego nie stanie.
Zrób kopię plików, w panelu hostingowym – menedżer plików, bądź pobierz wszystkie pliki z serwera ftp na dysk. Zrób też kopię bazy danych – w panelu phpmyadmin wybieramy bazę, potem zakładkę eksport i wykonaj. Zapisz sobie te pliki strony i bazę w katalogu z datą, będzie łatwiej przywracać kopie z danego dnia.
3. Usuń informację o obecnej wersji skryptu WordPress
WordPress w nagłówku w kodzie posiada informację, jaką obecnie mamy wersję. Może to być niebezpieczne, wszelkie poradniki na temat bezpieczeństwa radzą to usunąć.
W panelu admina blogu wchodzimy w Wygląd – Edytor, szukamy pliku functions.php i na koniec kodu dodajemy:
function remove_meta_version() { return ''; } add_filter( 'the_generator', 'remove_meta_version' );
Zaktualizuj plik, gotowe. Nazwa wersji usunięta.
4. Ukryj wyświetlanie zawartości katalogu wtyczek i skórek
Informacja jakich używamy wtyczek i skórek, może być niebezpieczna, lepiej by „hakierzy” tego nie widzieli. Niektóre serwery same ukrywają zawartość folderów, jeśli Wasz tego nie robi, to wystarczy w takim folderze wgrać pusty plik index.html, np. wgrać do folderu wp-content/themes.
5. Zabezpiecz ważne foldery przed indeksacją
W głównym katalogu bloga znajduje się plik robots.txt, należy w nim dopisać kilka linijek kodu:
User-agent: * Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content/plugins Disallow: /wp-content/cache Disallow: /wp-content/themes Disallow: /trackback Disallow: /feed Disallow: /comments Disallow: */trackback Disallow: */feed Disallow: */comments Disallow: /*.php$ Allow: /wp-content/uploads User-agent: Googlebot-Image Disallow: Allow: /*
Ostatnie trzy linijki pozwalają botowi google odpowiedzialnemu za indeksowanie grafiki, na odwiedzanie wszystkich możliwych miejsc na naszym blogu.
6. Zmień login i hasło na trudniejsze
To jest bardzo ważny punkt, zmiana loginu, a zwłaszcza hasła na trudne do odgadnięcia. Włamania na blogi są dość często, a jeszcze częściej jak jest ustawiony prosty login i hasło jak admin/admin. Mam nadzieję że mało kto tak robi, ale jeśli macie proste nazwy, to je zmieńcie. Hasło można zmienić w panelu bloga w zakładce – Użytkownicy. A login można zmienić w bazie danych, logując się do PhpMyAdmina, wybieramy tabelę „wp_users„, przy naszym loginie klikamy na ołówek – edytuj i w „user_login” wpisujemy nasz nowy login do panelu bloga i klikamy wykonaj.
7. Zainstaluj wtyczkę zabezpieczającą bloga, najlepiej All in One
W panelu wybieramy Wtyczki – Dodaj nową, wpisujemy w wyszukiwarce „All In One WP Security & Firewall” i klikamy zainstaluj. Jest to dobra, popularna wtyczka, która zabezpiecza nasz blog przed intruzami, jak również przed spamem. Posiada wiele opcji. Po zainstalowaniu i włączeniu jej, mamy w menu „WP Security„, klikamy na to i w oknie które się pojawi przesuwamy wszystkie suwaki na „ON” by świeciły na zielono, jest to w kolumnie Critical Feature Status.
8. Ochroń się przed spamem
Jest trochę sposobów by uchronić się przed niechcianymi komentarzami na blogu. Dobrym rozwiązaniem, trochę utrudniającym życie spamerów jest CAPTCHA. To takie okienko z kodem do przepisania, by potwierdzić że nie jesteśmy robotem sieciowym, tylko osobą z sercem 😀 Taką wtyczką jest WP-reCAPTCHA, do pobrania stąd: https://wordpress.org/plugins/wp-recaptcha
Kolejną wartą uwagi wtyczką, która ogranicza spam w komentarzach jest popularny „Akismet„, który jest na starcie w WP, wystarczy włączyć. Potem należy uzyskać klucz API, aby to zrobić trzeba założyć konto na ich stronie i klikamy by aktywować stronę.
Tych wtyczek antyspamowych jest trochę do opisania, ale to może innym razem przetestuję.
Na razie to tyle, zapewne jest dużo więcej sposobów na zabezpieczanie się, rodzice pewnie Wam tłumaczyli, więc powtarzać się będę 😀 Ale jeśli chociaż do tych się dostosujecie, to na pewno nici z 500+ 🙂
No i to mi się podoba 🙂 Wszystkie metody prawidłowe, a bezpieczeństwo naszego skarbca twórczego to najważniejszy aspekt!
Dzięki Furu.Art za pomoc i podsunięcie pomysłu na nowy temat 🙂
Bardzo przydatny poradnik, jednak nie zgodzę się, że zainstalowanie jakiejkolwiek wtyczki poprawiającej bezpieczeństwo uchroni nas przed czymkolwiek. Wtyczka All in One np. w wersji 3.9.7 (i niższej) sama miała podatność na ataki typu XSS, podobnie jest z popularnym WordFence. Na ostatnim WordUpie w Gdyni Krzysiek Dróżdż demonstrował, że zainstalowanie wtyczki nie wyklucza możliwości przeprowadzenia ataku typu XSS ( zapis dostępny na you tube), co więcej wtyczka nawet nie wykryła tego, że struktura WP zmieniła się w dziwny sposób (pliki php w katalogu uploads). Warto też dodać, że sama zmiana domyślnej nazwy użytkownika nie wyklucza możliwości odczytania niestandardowego loginu admina –… Czytaj więcej »
Dzięki za informację. W tych tematach nie jestem obeznana, bym musiała siedzieć i hakować , by cokolwiek wiedzieć 😀 Zazwyczaj tak jest że ludzie instalują, jeśli im to polecają, mają nadzieję że w jakimś stopniu pomoże, niby lepiej mieć niż nie mieć, może nie zawsze, ale z reguły tak jest.
Wiadomo że dla chcącego to nic trudnego, jak ktoś chce się włamać, to i tak to zrobi, przecież wielkie, znane firmy padają atakom, a tam myślę, że mają dobrych ludzi od zabezpieczeń.
Z moich obserwacji wynika, że gdy zaczynamy myśleć o bezpieczeństwie strony, pierwsze co powinniśmy zrobić to wyzbyć się myślenia, że włamań dokonują jacyś mityczni hakerzy. Większość włamań dokonywanych na WP i inne znane platformy odbywa się w sposób zautomatyzowany i najczęściej nie przeprowadzają ich jakieś wielkie mózgi cyberprzestępczości. Sukces ataku może być uzależniony od tego jak skonfigurowany jest serwer, oraz od tego jakich wtyczek i motywów używamy. Dlatego bardzo ważne jest to, żeby wiedzieć po co instalujemy konkretną wtyczkę i jaką pracę wykonuje jej kod (np. iThemes Security strasznie zaśmieca bazę danych ). Podobnie sprawa ma się z motywami (zwłaszcza… Czytaj więcej »
Oczywiście, włamać się może każdy, często są to roboty, programy zaprogramowane by przeszukiwały strony. Tylko też nie można tak bać się instalować wtyczki, bo w takim przypadku nikt ich by nie tworzył i nie instalował, nie miały by one sensu, po to są by je używać. A na stronę można się też włamać zwyczajnie poprzez ftp, nie koniecznie przez wtyczki. Myśląc w taki sposób, że wszystko jest niebezpieczne, to ludzie by z domu nie wychodzili bojąc się, że spadnie na głowę meteoryt 🙂
Nie często. Zazwyczaj są to roboty.
Spójrz proszę na bazę podatności, do której linka podał Krzysztof. To nie jest kwestia tego, że powinnaś się bać instalowania wtyczek. Każde oprogramowanie może mieć błędy. Jeśli historycznie miało ich sporo, to jest to jakaś informacja o jakości kodu danej wtyczki.
Jak więc podejść do wtyczek? Z rozsądkiem. Dobrą analogią jest zakup leków. Kupisz je na bazarze z koca? Pewnie nie 😉 Czy weźmiesz pierwszą lepszą tabletkę, którą podsuną Ci wyniki wyszukiwarki? Też pewnie nie. Z wtyczkami jest tak samo – zaufane źródło i sprawdzone rozwiązania to podstawa.
No więc po kolei, skoro już zostałem wywołany do tablicy 😉 1. Aktualizować oczywiście trzeba, ale warto pamiętać, że nie tylko WordPressa czy wtyczki, ale także motyw. 2. Kopia bezpieczeństwa wykonywana w ten sposób na niewiele się zda. Dlaczego? Bloga nikt Ci nie zhackuje. Zazwyczaj infekcja jest skutkiem ataku przez bota, który wgrywa malware wykorzystując jakąś znaną podatność. I teraz haczyk: większość infekcji nie generuje objawów od razu, a dopiero po jakimś czasie. Dlaczego? Właśnie po to, żeby najpierw „wykosić” backupy. Jeśli backupy mają mieć sens, to trzeba zapewnić ich poprawność i integralność oraz przechowywać odpowiednio długą historię. Dobrze też… Czytaj więcej »
Po takim teście nie wiem co napisać 🙂 Ten poradnik to zbiór zebranych z internetu rad, więc je po prostu użyłam, bo zawsze to lepsze niż nic, nie znam się na tyle na bezpieczeństwie by dyskutować, więc skoro tak twierdzisz to wierzę, że jesteś w tym fachowcem i powyższe rady na pewno się przydadzą, dzięki za komentarz.
Z tymi zaufanymi źródłami wtyczek to prawda, osobiście instaluję tylko z menu wtyczki w wordpress, to chyba jest zaufane źródło? 🙂
Problematyka zabezpieczeń nie jest mi obca. Jestem amatorem jednak przez pewną nieprzyjemną sytuację musiałem uzupełnić sporo braków. Na moim blogu miałem włamanie, został zniszczony, a ja myślałem o jego zamknięciu. Kolega po spojrzeniu na mojego bloga śmiał się z mojej głupoty. Okazało się, że popełniałem głupie błędy i wręcz prosiłem się o włamanie. Później przerabiałem różne kursy odnośnie wordpressa, najlepszy to był ten z eduweb, tutoriale z sieci, nawet książkę sobie kupilem. Człowiek dopiero po fakcie dostrzega swoje błędy.
Ja niestety zaniedbałem odpowiednie zabezpieczenie mojej strony. Strona została zaatakowana, miałem spamerskie strony i linki w witrynie. Mogłem tego wszystkiego uniknąć gdybym odpowiednio zabezpieczył stronę.