Zabezpieczenie WordPressa – poziom podstawowy (+ checklista)

Szacunkowy czas czytania: 4 minuty

 

Chcesz zabezpieczyć swoją stronę albo bloga opartego na systemie WordPress, ale nie masz czasu i chęci na pracochłonne lub skomplikowane rozwiązania?

Skorzystaj z mojej checklisty! Zajmie Ci to nie więcej niż 30 minut*!
*10 minut czytanie i przygotowanie, 20 minut czynności sprawdzająco-zabezpieczające

1.Aktualne kopie zapasowe

czynność powtarzalna

Regularnie sporządzane kopie (backupy) zabezpieczają stronę na wypadek, gdyby przestała całkowicie lub częściowo działać. Może się to zdarzyć z powodu błędów w aktualizacjach WordPressa lub wtyczek, z powodu błędu lub awarii hostingu lub z powodu złośliwego ataku. Kopie najlepiej trzymać u siebie lokalnie na komputerze lub w chmurze. Nie należy kopii zapasowych trzymać na tym samym serwerze, na którym znajduje się strona, ponieważ w przypadku awarii lub ataku, możemy zostać odcięci i od plików WordPressa, i od kopii zapasowych.

Propozycje częstotliwości tworzenia kopii zapasowych:
• raz na 3-7 dni – jeśli często dodajemy nowe treści
• raz na 3-4 tygodnie – jeśli rzadko dodajemy nowe treści
• raz na kilka miesięcy – jeśli nie dodajemy nowych treści

Wtyczki do kopii zapasowych, które warto polecić to Akeeba Backup oraz Updraft Plus.
Akeeba w wersji darmowej ma więcej opcji niż Updraft, m.in. migracja strony na inny serwer.

Uwaga! Akeeba może zawiesić WordPressa jeśli korzystamy z niższych wersji PHP (poniżej 5.6).
Nie wiesz o co chodzi z wersjami PHP? Zapraszam do lektury artykułu „Strona na WordPressie a wersje PHP”.

2. Wersja WordPressa jest zawsze aktualna

czynność powtarzalna – sprawdzamy raz w tygodniu

Przed każdorazową aktualizacją należy pamiętać o sporządzeniu kopii zapasowej.

3. W systemie zainstalowane są tylko potrzebne i aktualnie używane wtyczki

czynność jednorazowa

Usuwamy wszystkie niepotrzebne i nieaktywne wtyczki. Liczba dostępnych wtyczek może zawrócić w głowie (blisko 55 tysięcy w marcu 2018), ale starajmy się nie ulegać i nie instalować wszystkiego co wygląda „fajnie”.

4. Wtyczki są aktualne

czynność powtarzalna – sprawdzamy raz w tygodniu

Naszą czujność powinny też wzbudzić wtyczki, które nie są przez dłuższy okres rozwijane i nie są testowane z najnowszymi wersjami WordPressa. Można sprawdzić na wordpress.org w zakładce Wtyczki. Warto wtedy poszukać innych, o podobnej funkcjonalności. Pamiętajcie, by wtyczki pobierać tylko ze sprawdzonych źródeł lub od sprawdzonych developerów.

Opcja:
Do kontroli aktualizacji można użyć dedykowanych wtyczek ManageWP lub WP Updates Notifier (ale uwaga – ta ostatnia nie jest już rozwijana).

5. W systemie nie ma użytkownika o loginie admin, administrator itp.

czynność jednorazowa

Należy nadać użytkownikom nieoczywiste loginy (np. administrator_kasia, glowne_mojastrona). Ten zabieg pozwala uchronić się przed atakiem typu brute force (atak siłowy).

6. Hasła do wszystkich kont użytkowników są wystarczająco silne

czynność jednorazowa

Unikamy haseł słownikowych i oczywistych typu admin1234. Absolutne minimum to 8 znaków, co najmniej jedna duża litera, jedna cyfra i jeden znak specjalny. Warto skorzystać z generatora trudnych haseł.

[Edit – wrzesień 2018: pojawiły się nowe analizy dotyczące silnych haseł, znaki specjalne, cyfry i duże litery okazały się ślepym zaułkiem. Śledźcie bloga, niebawem o tym napiszę].

Bonus:
100 najgorszych (czyli najbardziej przewidywalnych) haseł znajdziecie → tutaj 🙂

7. W systemie nie ma nieaktywnych użytkowników

czynność jednorazowa i późniejsza regularna weryfikacja

Ograniczamy liczbę kont użytkowników do koniecznego minimum. Im więcej użytkowników, zwłaszcza tych z uprawnieniami administratora – tym większe prawdopodobieństwo włamania.

8. W systemie jest tylko jeden motyw (+ ewentualnie jego motyw potomny)

czynność jednorazowa

Usuwamy wszystkie nieaktywne motywy, także te oryginalnie wydane przez WordPressa. Wszelkie nieużywane (i co gorsze zapomniane) komponenty to potencjalna furtka dla wirusów.

9. DWUstopniowe logowanie

czynność jednorazowa

Dwustopniowe logowanie polega na tym, że logując się z nowego (tzw. niezaufanego) urządzenia, system prosi o dodatkową weryfikację w postaci kodu wysyłanego na adres e-mail lub telefon.

Wtyczka, której używam na tej stronie to miniOrange 2 Factor Authentication. Niektóre funkcjonalności są darmowe (np. wysyłanie kodu przez e-mail). Mogę ją polecić bez większego wahania. Wtyczek o podobnej funkcjonalności jest oczywiście więcej.

[Edit – wrzesień 2018: wtyczka 2 Factor czasem się zawieszała. Obecnie korzystam z Google Authenticatora i bardzo sobie chwalę].

10. Wtyczki bezpieczeństwa

czynność jednorazowa i późniejsza regularna weryfikacja alertów z wtyczki

Na koniec przyda się narzędzie, które będzie pilnować Waszej strony. Oczywiście żadna wtyczka nie zastąpi ludzkiej interwencji i reakcji, ale może zmniejszyć ryzyko wystąpienia ataku lub pozwoli zrozumieć dlaczego atak nastąpił. Moją ulubioną wtyczką jest Sucuri Security, która występuje także w postaci skanera online (by przeskanować stronę nie trzeba instalować wtyczki). Sucuri chroni przez atakami siłowymi blokując dane IP. Dodatkowo pokazuje informacje o zmianach w plikach rdzenia WordPressa (czyli np. zmiany wykonane przez złośliwy kod) oraz umożliwia dostęp do logów, dzięki którym możemy śledzić jakie zmiany wprowadzał dany użytkownik lub wtyczka.
Sucuri Security ma wersję darmową i wersję płatną. By w pełni skorzystać z możliwości wtyczki należy wygenerować klucz API podając adres e-mail.

Sucuri alert
Przykładowe alerty z wtyczki Sucuri informujące o próbach włamania (atak siłowy)

Inne wtyczki bezpieczeństwa i skanery warte polecenia: All in One WP Security, Wordfence, Anti-Malware Security and Brute-Force Firewall.

Uwaga! Nie instalujcie na raz kilku wtyczek bezpieczeństwa, ponieważ mogą się „gryźć”.

[Edit – wrzesień 2018: Wtyczki bezpieczeństwa to często pozorne bezpieczeństwo. W ciągu ostatnich miesięcy przekonałam się, że ręczne zabezpieczenia + dwustopniowe logowanie + dobry i dobrze skonfigurowany hosting całkowicie wystarczają, a dodatkowo mamy wtedy kontrolę nad tym co dodajemy do strony. Protipy wkrótce!]

Pobierz wygodną checklistę → tutaj.