ect-logo.png

Poukładamy Twój marketing

/
/
/
Jak dbać o bezpieczeństwo WordPressa? 

/Blog

Jak dbać o bezpieczeństwo WordPressa? 

Tomasz Kaczmarek
Czy wiecie, że każdego dnia tysiące stron na WordPress pada ofiarą cyberataków? Czy można się przed tym uchronić? Naszym zdaniem tak, należy jednak pamiętać o kilku podstawowych zasadach, które zebraliśmy dla Was w naszym poradniku. Gotowi na dawkę wiedzy? Jeśli tak, to zaczynamy! 
Jak dbać o bezpieczeństwo WordPressa?

1. Aktualizacje

Regularnie aktualizujcie WordPress, motywy i wtyczki. Aktualizacje często zawierają poprawki bezpieczeństwa, które eliminują rozpoznane luki i dobrze wpływają na ogólną stabilność i wydajność strony internetowej. Dzięki temu funkcjonuje ona płynniej, a ryzyko awarii lub problemów technicznych jest mniejsze. 

Oprócz poprawek bezpieczeństwa i błędów, aktualizacje wprowadzają także nowe funkcjonalności, co z kolei może przyciągnąć więcej odwiedzających i zwiększyć zaangażowanie na Waszej stronie.  

W przypadku stron budowanych na oprogramowaniu open source typu WordPress, ten krok jest absolutnie niezbędny, a wręcz niepomijalny na comiesięcznej liście zadań do wykonania. Widzieliśmy już mnóstwo stron, które zostały zainfekowane. Podatność znaleziona we wtyczce jest zdecydowanie najczęściej wykorzystywaną przez złośliwe skrypty furtką do wnętrza strony.

2. Kopia zapasowa

Ludzie dzielą się na dwie grupy. Tych, którzy robią na bieżąco backupy i na tych, którzy dopiero zaczną to robić. Jeżeli jesteście w tej drugiej grupie, to nie warto czekać na okoliczności, które zmuszą Was do zmiany. Niestety będą to zazwyczaj nieprzyjemne sytuacje, takie jak awaria i utrata wszystkich danych albo błąd wywołany jakąś zmianą na stronie, który trzeba będzie naprawiać przez kilka godzin. 

Regularne tworzenie kopii zapasowych witryny WordPress (w tym bazy danych i plików) pozwoli Wam w razie awarii lub ataku, bez problemu przywrócić stronę do poprzedniego stanu. Dobrze wiedzieć, że takie backupy często dostarcza hosting – warto jednak to sprawdzić i upewnić się, czy Wasz także tak robi. Jeśli chcecie mieć niezależne kopie, możecie wykonać je wtyczką taką jak Updraft Plus i wysłać do dowolnej lokalizacji, aby nie trzymać plików na tym samym serwerze co strony.

3. Formularze kontaktowe

Pamiętajcie również o zabezpieczeniu formularzy kontaktowych mechanizmem eliminującym aktywność botów. Możecie to zrobić m.in. za pomocą reCaptcha i/lub mechanizmu “honeypot”. Jeśli nadal zastanawiacie się, dlaczego warto, to chociażby dlatego, że to właśnie za pośrednictwem formularzy kontaktowych odbywa się część ataków cybernetycznych.

reCaptcha to bezpłatne narzędzie oferowane przez Google, którego celem jest ochrona strony internetowej przed niechcianym ruchem generowanym przez roboty. Ale jak to działa dokładnie? Otóż jest to specyficzny rodzaj testu, który polega na przedstawieniu użytkownikom różnego rodzaju zadań/wyzwań – (jedna z najbardziej popularnych wersji to reCAPTCHA v2, gdzie użytkownik musi zaznaczyć pole „Nie jestem robotem” w celu potwierdzenia, że jest człowiekiem). W przeciwieństwie do botów, ludzie nie powinni mieć z tym i innymi tego rodzaju zadaniami większych problemów, dlatego też dość łatwo można dzięki temu zweryfikować, kiedy mamy do czynienia z człowiekiem, a kiedy z maszyną. Na stronie internetowej możecie ją skonfigurować za pomocą gotowej wtyczki – np. https://wordpress.org/plugins/advanced-google-recaptcha/. 

Honeypot to z kolei sprytne rozwiązanie, które dodaje do formularza niewidzialne pole. Boty “nie widzą” formularza tak jak my – widzą po prostu kod HTML i uzupełniają wszystkie pola po kolei. Dlatego też, jeżeli w wysłanym formularzu zostanie uzupełnione ukryte pole, to algorytm wie, że wypełnienie formularza było niepożądane i zakwalifikuje go jako spam.

Zarówno jedno jak i drugie rozwiązanie nie są doskonałe. Dlatego można je ze sobą połączyć lub spróbować bardziej zaawansowanej konfiguracji. Na przykład takiej, jaką opisuje nasz partner CyberFolks na swojej stronie: https://cyberfolks.pl/blog/jak-zabezpieczyc-formularz-przed-spamem/

Zabezpieczenie formularzy pozwoli Wam pozbyć się również masy niepotrzebnych, spamowych wiadomości. Pamiętajcie jednak, że w przypadku próby włamania przez człowieka opisane powyżej mechanizmy mogą nie wystarczyć, dlatego też rekomendujemy zastosowanie bardziej zaawansowanych rozwiązań. 

4. Logowanie

Nie każdy zdaje sobie sprawę z tego, że w tak podstawowej funkcjonalności Waszej strony, również czyha wiele niebezpieczeństw. Możemy zrobić kilka rzeczy, aby to ryzyko zminimalizować:

  • używajcie silnych, unikatowych haseł dla wszystkich kont zarejestrowanych na stronie;
  • dodatkowo możecie rozważyć włącznie uwierzytelnienia dwuetapowego – podczas próby logowania, użytkownik zostanie poproszony o zatwierdzenie logowania w innym kanale komunikacyjnym – na przykład za pomocą aplikacji uwierzytelniającej. Nawet gdy uda się złamać hasło, pozostanie jeszcze potwierdzenie logowania, bez którego nikt się do środka strony nie dostanie;
  • w niektórych sytuacjach można rozważyć zablokowanie logowania do strony z adresu IP innego niż wskazany na białej liście;
  • zmieńcie domyślny link do strony logowania. W Worpdressie jest to zawsze adresstrony.pl/wp-login.php, co pozwala szybko uzyskać dostęp do strony logowania większości stron zbudowanych na WordPress. Ten adres można jednak prosto zmienić i utrudnić zadanie botom;
  • możecie wprowadzić także limit logowań – jeżeli użytkownik podejmie kilka nieudanych prób logowania, zostanie zablokowany na jakiś czas.

5. Wtyczki i motywy

Korzystajcie tylko z renomowanych i na bieżąco aktualizowanych wtyczek. Usuwajcie niepotrzebne motywy, wtyczki, a także nieaktywnych użytkowników. Jeśli i tak już ich nie potrzebujecie, to po co zostawiać furtkę dla potencjalnego włamywacza?

6. Bezpieczne hostowanie

Na serwerze stosujcie separację katalogów. Zadbajcie o trudne hasła i ograniczcie rozdawanie dostępów. Hosting jest najważniejszym miejscem w Waszym systemie, bo z jego poziomu możecie zrobić ze stroną wszystko. Kontrolujcie jakie aplikacje i pliki macie na serwerze. Nawet jeżeli Wasza strona będzie zabezpieczona w 110%, ale obok na serwerze będzie ustawiona stara i zapomniana wersja testowa, to niestety za jej pośrednictwem można narobić sporo szkód.

7. Firewall

Zainstalujcie lub skonfigurujcie firewall na serwerze. Zablokujecie dzięki temu podejrzane żądania i ataki typu brute force (polegające na wielokrotnych próbach zalogowania się do witryny przy użyciu różnych kombinacji haseł). Chcąc się uchronić przed tego typu atakami, możecie użyć także wtyczki ograniczające próby logowania, jak np. Limit Login Attempts Reloaded czy zastosować dwuetapowe uwierzytelnianie, o którym wspominaliśmy już wcześniej. 

8. Regularne audyty bezpieczeństwa

Przeprowadzajcie regularne audyty bezpieczeństwa witryny WordPress. Pomogą Wam one w identyfikacji i usunięciu ewentualnych luk w zabezpieczeniach. Ponadto dobrym rozwiązaniem, jest także korzystanie z różnego rodzaju wtyczek monitorujących, które poinformują Was o nietypowych działaniach czy próbach włamania.

9. CDN

W celu zabezpieczenia swojego WordPressa korzystajcie także z Content Delivery Network. Czym jest tzw. CDN? Najprościej rzecz ujmując, to sieć serwerów rozmieszczonych w różnych lokalizacjach geograficznych, które współpracują, aby maksymalnie przyspieszyć dostęp do treści, takich jak strony internetowe, multimedia, pliki do pobrania, aplikacje i inne dane. 

CDN działa poprzez przechowywanie kopii treści w różnych punktach na świecie. Dzięki temu rozwiązaniu strony wczytują się szybciej bez względu na to, gdzie w danym momencie znajdują się jej użytkownicy. CDN Infrastructure może nie tylko poprawić wydajność Twojej strony i lepiej pozycjonować ją w wynikach wyszukiwania. Dodatkowym atutem tego rozwiązania jest to, że działa ono jak ochronna tarcza dla stron WWW, blokując zagrożenia zewnętrzne, takie jak złośliwe boty czy ataki DDoS.

Bezpieczeństwo Waszego WordPressa w Waszych rękach!

Jak widać dbanie o bezpieczeństwo WordPressa wymaga nie tylko chęci, ale także regularnych działań. Warto pamiętać, że żadne środki nie są w stanie zagwarantować 100% bezpieczeństwa, jednak stosowanie się do powyższych praktyk może znacząco zmniejszyć ryzyko wystąpienia nieprzyjemnych sytuacji, takich jak na przykład włamanie i utrata danych. Świadomość zagrożeń, regularne aktualizacje oraz odpowiednie zabezpieczenia techniczne to podstawy, dzięki którym Wasza strona internetowa może czuć się bezpieczna!

5/5 - (2 votes)

Masz pytania?

napisz do nas

    Zgadzam się na przetwarzanie swoich danych osobowych przez eCommerce Team Sp. z o.o. z siedzibą w Poznaniu w celach marketingowych ... * rozwiń
    Oświadczam, że zapoznałem się z zasadami przetwarzania moich danych osobowych oraz przysługującymi mi prawami ... * rozwiń

    Tomasz Kaczmarek

    CZŁONEK ZARZĄDU/STRATEGIA/VIDEO MARKETING/ANALITYKA
    Pasjonuję się fotografią, górskimi wędrówkami i lubię spędzać czas blisko natury. W eCommerce Team odpowiadam za wszystko, co związane z serwisami www: analitykę, projektowanie, optymalizację.
    Udostępnij ten post

    /Polecane artykuły

    Bożena Kurzyńska
    Znacie bohatera marki Planters? Pozostając wciąż „jedną nogą” w tematyce reklam związanych z Super Bowl, nie sposób przejść obojętnie obok tej związanej z maskotką — Mr. Peanut. Poznajcie historię ponad 100 letniego orzecha, który zmartwychwstał. Brzmi jak kolejna amerykańska reklama, gdzie na każdym kroku czekają nas pościgi i wybuchy. Jednak
    Maciej Świstoń
    Zrozumienie i budowa własnej marki osobistej – czyli personal brandingu – jest procesem, który wymaga czasu, zaangażowania i strategicznego myślenia. Zadanie to może wydawać się skomplikowane, jednak jest absolutnie wykonalne i przede wszystkim niezwykle wartościowe. W tym poradniku przedstawimy Wam praktyczne kroki, które pozwolą na skuteczne zarządzanie marką osobistą. Czym
    Tomasz Kaczmarek
    Myślisz o założeniu sklepu internetowego, ale nie jesteś pewien, jak się za to zabrać? WordPress to platforma, która pozwala na szybkie i łatwe stworzenie sklepu internetowego dzięki wtyczce WooCommerce. W tym wpisie na blogu przyjrzymy się, jak działa wtyczka WooCommerce i pokażemy Ci niektóre z funkcji, które sprawiają, że jest
    Miniatura artykułu na blogu eCommerce Team o pozycjonowaniu
    Małgorzata Marcinkowska
    Zastanawialiście się kiedyś, dlaczego niektóre strony internetowe pojawiają się na pierwszych miejscach w wynikach wyszukiwania Google, podczas gdy inne pozostają gdzieś w tyle? To dzięki odpowiedniej strategii pozycjonowania stron, która sprawiają, że witryna jest bardziej przyjazna dla robotów indeksujących i w konsekwencji bardziej widoczna dla potencjalnych klientów. Jeśli prowadzicie biznes