WordPress niewątpliwie jest jednym z najbardziej popularnych systemów do tworzenia stron internetowych i zarządzania ich treściami. Według strony W3Tech 35% stron jakie znajdują się w Internecie korzysta z WordPress’a. Popularność tego systemu niesie także pewne zagrożenia – bezpieczeństwo. Zatem jak zabezpieczyć stronę na WordPress? W tym wpisie pokażę Ci kilka sposobów na zabezpieczenie Twojej strony.

Jak zabezpieczyć stronę na WordPress – serwer

Certyfikat SSL. Uruchomienie szyfrowanego połączenia na stronie jest jedną z podstawowych metod na bezpieczeństwo strony. Certyfikat SSL odpowiada za szyfrowanie transmisji danych pomiędzy serwerem, a Twoją przeglądarką internetową. To czy strona www jest zabezpieczona przy pomocy certyfikatu SSL można rozpoznać po symbolu kłódki znajdującym się przy adresie strony oraz po tym, że strona zaczyna się od https. Certyfikat SSL jest usługą płatną, jednak wielu hostingodawców udostępnia na swoich serwerach możliwość instalacji certyfikatu Let’s Encrypt.

Wersja PHP. WordPressa napisano w języku PHP. Stąd też bardzo ważnym jest, aby na serwerze była włączona najaktualniejsza wersja tego języka. Aby sprawdzić jaka wersja PHP jest aktywna na serwerze należy zalogować się do Panelu Administracyjnego serwera lub zapytać o to hostingodawcę.

Zapora sieciowa – Firewall. Aktywacja zapory sieciowej na serwerze pozwala blokować niepożądany ruch zanim ten dobrze do strony. Spora liczba hostingów posiada tego typu zabezpieczenie. Jeśli Twój hosting ma taką funkcję – niezwłocznie ją aktywuj. Nie wiesz jak to zrobić? Napisz do swojego usługodawcy. Jeśli jednak na Twoim hostingu nie ma firewalla, to jeszcze nic straconego. Istnieje wiele wtyczek, które dodają funkcję zapory. Jedną z nich niewątpliwie jest np.: Wordfence lub Sucuri Security.

Jak zabezpieczyć stronę na WordPress – działania na stronie

W tej części artykułu przedstawię kilka sposobów na to jak od strony panelu dokonać kilku istotnych zabiegów poprawiających bezpieczeństwo strony.

Aktualizacja WordPress’a i wtyczek oraz kopie bezpieczeństwa

O tym dlaczego aktualizacje WordPress są ważne szerzej pisałem w tym wpisie. Wspomnę tylko, że zaktualizowana strona lub wtyczki zawierają zawsze najnowsze poprawki zabezpieczeń i są podstawą bezpieczeństwa i stabilności Twojej strony.

Kolejna kwestia to kopia bezpieczeństwa. O backupach więcej znajdziesz w tym oraz tym wpisie. Posiadanie kopii zapasowej w przypadku ataku czy też awarii hostingu jest kluczowe.

Watro w tym miejscu wspomnieć także o niepotrzebnych elementach. Przejdź do listy zainstalowanych wtyczek usuń te, które nie są aktywowane i te z których już w żaden sposób nie korzystamy. Ta sama kwestia tyczy się motywów. Przejdź do zakładki Wygląd > Motywy i usuń standardowe motywy instalowane razem z wordpressem (nazwa takich motywów rozpoczyna się od Twenty).

Wtyczki poprawiające bezpieczeństwo strony

W pierwszej kolejności zajmiemy się logowaniem do strony. Standardowym adresem logowania się do panelu administracyjnego są /wp-admin/ lub /wp-login.php. Używanie standardowego adresu logowania nie jest dobrym pomysłem, gdyż w przypadku ataku na Twoją stronę te właśnie adresy sprawdzane są w pierwszej kolejności! Do zmiany adresu logowania posłuży nam wtyczka WPS Hide Login. Po jej zainstalowaniu w Ustawieniach pojawi się dodatkowe pole w którym będzie można wpisać nazwę pod jaką wyświetlać będzie się okno logowania do WordPress.

Gdy już zmienimy adres logowania do strony warto zadbać o to aby wpisywane tam dane nie były tymi standardowymi. Domyślną nazwą użytkownika jest admin. Jeśli tak jest w Twoim przypadku koniecznie zmień to! Aby to zrobić najprościej jest założyć nowe konto administratora i usunięcie tego poprzedniego. W tym miejscu należy powiedzieć także o haśle do konta. Nic nie da nam zmiana adresu logowania, zmiana standardowej nazwy użytkownika, aktywacja zapory jeśli hasło do konta będzie łatwe do złamania. Koniecznie zadbaj o silne hasło! Najlepiej gdyby składało się z kilkunastu znaków i zawierało kombinację dużych, małych liter, cyfr i znaków specjalnych.

Kolejnym sposobem jak zabezpieczyć stronę na WordPress jest zastosowanie wtyczki Limit Login Attempts. Służy ona do blokowania adresów IP po wyznaczonej ilości błędnych prób logowań do panelu. Takie rozwiązanie zapobiegnie atakowi DDOS na twoją stronę.

Bardziej zaawansowane sposoby na to jak zabezpieczyć stronę na WordPress

W tej części wpisu pokażę kilka bardziej zaawansowanych sposobów na zabezpieczenie strony. Pierwszym z nich jest wyłączenie możliwości edycji plików WordPress z poziomu panelu administracyjnego. Edytować pliki możemy przechodząc na Wygląd > Edytor motywu. Aby wyłączyć taką możliwość należy w pliku konfiguracyjnym wp-config.php (w dowolnym pustym wierszu) dodać regułę:

 define ('DISALLOW_FILE_EDIT', true); 

Innym ważnym plikiem na serwerze jest plik .htaccess. To w nim możemy ustawić konfigurację serwera dla strony internetowej, zablokować dostęp do zdefiniowanych przez nas plików, ustawić przekierowania i wiele innych rzeczy. Plik taki umieszczony jest w katalogu głównym naszej strony www. Wykorzystajmy zatem plik .htaccess do zablokowania jednego z kanałów komunikacji z WordPress. Oprócz powszechnie stosowanego kanału komunikacji (czyli logowania poprzez panel) istnieją także zewnętrzne kanały komunikacji wykorzystujące plik xmlrpc.php. Jeśli korzystamy tylko ze standardowego logowania do strony to zablokujmy dostęp do tego pliku dodając w .htaccess poniższą regułę:

<files xmlrpc.php>
  order deny,allow
  deny from all
</files>

Jak widać sposobów na to jak zabezpieczyć stronę na WordPress jest bardzo dużo. W tym wpisie pokazałem te najbardziej istotne i kluczowe, które można wdrożyć samodzielnie. Warto na sam koniec powiedzieć: żadnej strony nie da się zabezpieczyć w 100%. Jednak zawsze warto minimalizować ryzyko utraty bezpieczeństwa. Jeśli masz pytania związane z bezpieczeństwem WordPressa zapraszam do komentowania.