Bezpieczeństwo WordPress to jedno z kluczowych elementów gwarantujących poprawność działania twojej witryny. Tu znajdziesz potrzebną wiedzę na ten temat.

10 wskazówek, które zapewnią Twojej stronie WordPress bezpieczeństwo.

Bezpieczeństwo WordPress. Dlaczego wybrałem akurat taki temat i dlaczego akurat 10 wskazówek? Ponieważ wszystkie strony czy sklepy są podatne na ataki.

Bez względu na to, ile pracy zostało włożone w uruchomienie witryny, zawsze może znaleźć ktoś lub coś kto będzie chciał ją “zniszczyć”. Lecz większości zagrożeń można zapobiec, jeśli poświęcisz chwilę, przedstawię Ci 10 prostych wskazówek, które zapewnią Twojej stronie WordPress bezpieczeństwo:

Bezpieczeństwo WordPress – 10 najważniejszych wskazówek

Jest kilka rzeczy, które zapewniają bezpieczeństwo. Umieszczenie ich na liście oraz ich rutynowe sprawdzanie raz w miesiącu, zapewni Twojej stronie www długie bez problemowe działanie.

Skoncentruję się jednak na niektórych, moim zdaniem kluczowych obszarach. Porównam tutaj stronę internetową do ludzkiego ciała. Wystarczy, że jedna jej cześć nie działa poprawnie a ma to wpływ na cały system.

Oto co musisz zrobić, aby uniknąć takiej stuacji:

1. Regularnie aktualizuj WordPress

Z każdą nową wersją WordPress jest ulepszony o nowe funkcje, tak samo jak jego bezpieczeństwo. Wiele błędów i luk w zabezpieczeniach jest usuwanych za każdym razem, gdy pojawia się nowa wersja. Ponadto, dzięki społeczność, jeśli zostanie wykryty jakikolwiek szczególnie złośliwy błąd, jest on natychmiast usuwany łatką bezpieczeństwa. Pamiętaj więc jeśli się nie zaktualizujesz, Twoja witryna będzie narażona na ryzyko.

Aby zaktualizować WordPress, musisz najpierw zalogować się do panelu administracyjnego. Za każdym razem gdy, pojawi się nowa wersja, w lewym górnym rogu strony zobaczysz odpowiedni komunikat. Kliknij, “Zaktualizuj teraz” a by zaktualizować, a następnie kliknij niebieski przycisk „Aktualizuj teraz”. To zajmuje tylko kilka sekund i jest procesem automatycznym.

2. Zaktualizuj motywy i wtyczki

To samo dotyczy wtyczek i motywów. Powinieneś zaktualizować używany obecnie motyw oraz zainstalowane wtyczki. Pomaga to naprawić błędy i załatać luki, które są potencjalnym punktem naruszenia bezpieczeństwa.

Podobnie jak w przypadku zwykłego oprogramowania, które instalujesz na swoim komputerze, tak samo w przypadku wtyczek mogą zostać wykryte w nich błędy oraz bugi. Przykładem może być WooCommerce (wtyczka umożliwiająca zmianę strony w sklep www), która w przeszłości miała dość poważne problemy, które zostały naprawione dzięki aktualizacji.

A Jak zaktualizować motywy czy wtyczki?

Zacznijmy od wtyczek. W panelu idź do Wtyczki -> Zainstalowane wtyczki; pojawi się tam lista wszystkich wtyczek. Jeśli pewna wtyczka nie jest w najnowszej wersji, WordPress poinformuje cię o tym wyświetlając napis “uruchom aktualizację“:

Na przykładzie mam widać trzy stare wersje wtyczek, więc wszystko, co muszę zrobić, to kliknąć „aktualizuj teraz” pod każdą z nich, a po chwili będą się cieszył ich aktualną wersją.

Jeśli chcesz zaktualizować motyw, przejdź do Wygląd -> Motywy, zobaczysz tam wszystkie zainstalowane motywy. Te które są przestarzałe będą oznaczone tak jak wtyczki. Po prostu kliknij „uruchom aktualizacje”.

3. Regularnie twórz kopie zapasowe swojej witryny

Tworzenie kopii zapasowej witryny polega na utworzeniu kopii wszystkich danych witryny i przechowywaniu jej w bezpiecznym miejscu. W ten sposób możesz przywrócić witrynę z kopii zapasowej na wypadek, gdyby stało się coś złego.

Aby utworzyć kopię zapasową witryny, potrzebujesz odpowiedniej wtyczki. Istnieje wiele dobrych rozwiązań do tworzenia kopii zapasowych. Na przykład Jetpack, który posiada zintegrowane funkcje tworzenia kopii zapasowych w formie subskrypcji miesięcznej od 15 zł . W cenie otrzymujesz codzienne kopie zapasowe, przywracane jednym kliknięciem, filtrowanie spamu i 30-dniowe archiwum kopii zapasowych.

Istnieje również bezpłatna alternatywa jak np.: UpdraftPlus.

4. Ogranicz liczbę prób logowania i często zmieniaj hasło

Nie pozwól, nieograniczoną liczbę prób logowania do panelu WordPress, ponieważ właśnie to pomaga hakerowi odnieść sukces. Jeśli pozwolisz na wpisywanie loginu i hasła nieskończoną liczbę razy, w końcu atakujący odkryją Twoje dane logowania. Ograniczenie dostępnych prób jest pierwszą rzeczą, którą powinieneś zrobić, aby temu zapobiec włamaniu na Twoją stronę. Proponuje do tego dwie wtyczki: Login LockDown i WP Limit Login Attempts, oba darmowe.

Możesz użyć niektórych specjalistycznych wtyczek, aby ograniczyć możliwe próby logowania. Istnieją dwa bardzo popularne rozwiązania, na przykład oba bezpłatne:

Ponadto często zmieniaj hasło, dzięki temu dodatkowo zmniejszasz szanse włamania się na Twoją witrynę. Pisząc „często” nie mam na myśli każdego dnia… wystarczy robić to raz na 2-3 miesiące.

5. Zainstaluj zaporę ogniową

Kolejna z moich wskazówek związanych bezpieczeństwem WordPress dotyczy zapór ogniowych.

Aby zabezpieczyć swój komputer przed zagrożeniami płynącymi z internetu, instalujesz na nim zaporę ogniową. Oprócz ochrony swojego PC, powinieneś również zadbać o bezpieczeństwo swojej strony WordPress. Ten typ zapory chroni witrynę przed wirusami, złośliwym oprogramowaniem, atakami hakerów itp.

Sucuri ma świetną robotę pod tym względem i jest to jedna z najlepszych usług bezpieczeństwa dla WordPress tutaj. To trochę robi wszystko.

Ja osobiście polecam dwa narzędzia: Wordfence Security – Firewall & Malware Scan oraz iThemes Security (formerly Better WP Security)

6. Ogranicz dostęp użytkownika do swojej witryny

Jeśli nie jesteś jedynym użytkownikiem, który ma dostęp do Twojej witryny, zachowaj ostrożność podczas dodawania nowych kont użytkowników. Powinieneś mieć wszystko pod kontrolą i spróbować ograniczyć dostęp ustawiając odpowiednie uprawnienia użytkownikom.

Jeśli masz wielu użytkowników, możesz ograniczyć ich funkcje i uprawnienia. Powinni mieć oni dostęp tylko do funkcji, które są im niezbędne do wykonywania pracy.

7. Zmień nazwę swojego adresu URL logowania

Domyślnym adresem URL umożliwia zalogowanie się do panelu WordPress jest nazwa_domeny.pl/wp-admin lub nazwa_domeny.pl/login.php

Te dwa adresy są najczęściej odwiedzane przez hakerów, którzy chcą się dostać to Twojej strony oraz bazy danych. Zmieniając ten URL, zmieszasz ryzyko włamania. Odgadnięcie indywidualnego adresu logowania, jest wręcz nie możliwe dla Jeśli zmienisz ten adres URL, zmniejszysz szanse na znalezienie się w kłopotach. Odgadnięcie niestandardowego adresu URL logowania jest znacznie trudniejsze dla hakerów.

Wtyczka iThemes Security pozwala na zmianę domyślnego adresu wp-admin, wypróbuj i ciesz się bezpieczną stroną.

8. Włącz skanowanie bezpieczeństwa

Skany bezpieczeństwa całej strony, jest możliwe dzięki odpowiednim wtyczkom, które działają jak antywirusy. Skanują one całą witrynę w poszukiwaniu czegoś podejrzanego, jeśli coś zostanie znalezione, jest natychmiast usuwane.

Takie rozwiązanie oferuje miedzy innym Jetpack., który oprócz ochrony antywirusowej tworzy codzienne kopie zapasowe. Z darmowych rozwiązań polecam CodeGuard lub Sucuri Security.

9. Używaj SSL

Certyfikat SSL (Secure Socket Layer) obecnie obowiązek, dzięki któremu możesz szyfrować swoją stronę. SSL zapewnia bezpieczny transfer danych między przeglądarką użytkownika a serwerem. Istnieją dwa sposoby uzyskania certyfikatu SSL:

a) Zakupienie go w jednej z firm zewnętrznych, takich jak DMTEC
b) Użycie darmowego certyfikatu Let’s Encrypt, które oferują nie którzy dostawcy usług hostingowych.

Dodatkowo jeśli używasz szyfrowania SSL, nie tylko zabezpieczysz swoją witrynę, ale będziesz również zajmować wyższą pozycję w rankingach Google. Google preferuje witryny korzystające z protokołu SSL. Masz teraz dwa powody, dlaczego warto skorzystać z tej formy zabezpieczenia.

10. Chroń swój plik wp-config.php

Plik wp-config.php jest jednym z najważniejszych, a więc podatnych na atak plików w Twojej stronie WordPress. Zawiera najważniejsze informacje i dane dotyczące całej instalacji, łącznie z loginem i hasłem do bazy danych. Jeśli coś złego się z nim stanie, nie będziesz mógł normalnie korzystać ze swojej witryny.

Skuteczną metodą na zabezpieczenie pliku wp-config.php, jest przeniesienie o poza główny katalog WordPress, np poziom wyżej. Ten ruch nie wpłynie na poprawność Twoją witryny WordPress, a hakerzy nie będą mogli go już znaleźć.

 

Ok, to podsumowuje listę! Czy Twoja strona jest wystarczająco chroniona? Czy potrzebujesz pomocy w zabezpieczeniu swojej strony WordPress?

Zostaw komentarz