WordPress jako jeden z najbardziej znanych systemów zarządzania treścią często jest ofiarą hakerów. Niestety, nie ma stuprocentowej ochrony dla naszej strony internetowej, ale z całą pewnością możemy podjąć parę kroków zwiększających jej bezpieczeństwo. Zanim jednak przejdę do tych porad pragnę zwrócić uwagę jak niewiele osób ma świadomość jak bardzo jest to istotna kwestia. Początkujący użytkownicy WordPressa często nie zdają sobie sprawy, że ktoś będzie chciał zdobyć dostęp do ich treści. Niech nie zwiedzie nas fakt, że strona jest mało popularna ponieważ istnieją automaty, które nie biorą tego pod uwagę. Liczy się tylko to, aby uzyskać dostęp do witryny i wykorzystać ją do swoich celów.

Poniżej przedstawiam kilka porad, które warto zastosować na swoich stronach internetowych

1. Aktualizuj

Każdy powinien mieć już utrwalone, że jeśli wychodzi nowa aktualizacja powinniśmy ją czym prędzej zainstalować. Wiele się o nich mówi, a nie każdy się do tego stosuje. Najnowsze wersje WordPressa oprócz tego, że zawierają nowe funkcjonalności to posiadają liczne poprawki bezpieczeństwa, dzięki czemu nasz kod staję się odporniejszy na ataki niewłaściwych ludzi. Reasumując upewnij się, że posiadasz najnowszą wersję WordPressa. Pamiętaj również o regularnej aktualizacji wtyczek i motywów.

2. Zainstaluj wtyczki bezpieczeństwa

Obecnie jest dostępny bardzo duży wybór wtyczek, które poprawiają nasze bezpieczeństwo. Warto samemu je przetestować i wybrać taką, która najbardziej pasuje do naszego bloga lub strony internetowej. Najbardziej popularne to:

• iThemes Security (dawniej Better WP Security) – zawiera pakiet funkcjonalności, które z pewnością pomogą nam odeprzeć niechciane ataki.
• Acunetix Secure WordPress – ukrywa informacje potencjalnie przydatne dla hakerów, blokuje próby ingerencji z zewnątrz.
• WP-DBManager – pozwala nam m. in na optymalizowanie, naprawianie a także przywracanie baz danych.
• SI CAPTCHA Anti-Spam – przydatna wtyczka chroniąca nas przed spamem.
• Wordfence Security – nie bez powodu jedna z najpopularniejszych wtyczek. Dostępne są dwie wersje: płatna i bezpłatna. Wersja bezpłatna zawiera wszystkie najpotrzebniejsze funkcjonalności dotyczące bezpieczeństwa.

3. Rób kopie zapasowe

Jest to niezwykle ważny punkt. Nasze dane są narażone na różne niebezpieczeństwa takie jak np. uszkodzenie sprzętu lub włamanie się do naszej bazy danych i zniszczeniem danych. Nawet my sami przypadkowo możemy narobić niechcianych szkód. Są to powody dla których powinniśmy robić kopie zapasowe. Pomogą nam w tym specjalne wtyczki. Porządne firmy hostingowe również oferują taką możliwość. Kopie powinniśmy wykonywać regularnie, przynajmniej raz na tydzień. Nie jest to w żaden sposób uciążliwe, bo można ustawić żeby backup wykonywał się automatycznie. Szczególnie należy o nich pamiętać kiedy wprowadzamy większe zmiany do naszego serwisu lub przed instalacją nowej wersji WordPressa i wtyczek.

4. Pilnuj porządku

Jeśli korzystasz z dużej ilości wtyczek pamiętaj, że są one potencjalnym zagrożeniem. Wiele wtyczek jest darmowych i pisanych przez amatorów, dlatego zwróć na nie szczególną uwagę przed instalacją. Gdy posiadasz kilka wtyczek o podobnych funkcjonalnościach warto się zastanowić czy aby na pewno wszystkie są potrzebne. Jeśli nie są – pozbądź się ich. Zwiększysz tym samym bezpieczeństwo swojej strony czy bloga. Zwróć uwagę na autora danej wtyczki, jeśli widzisz, że nie posiada własnej strony internetowej i nie może pochwalić się innym swoimi pracami przemyśl czy nie warto poszukać wtyczki bardziej zaufanego autora.

5. Usuń informacje jakiej wersji WordPressa używasz

W celu poprawy bezpieczeństwa powinieneś usunąć informację na temat wersji z jakiej korzystasz. W kodzie HTML generowanej strony jest linijka:

<meta name="generator" content="WordPress x.x">

Żeby usunąć tą informację należy otworzyć plik functions.php (znajduje się w katalogu szablonu) i trzeba dodać:

<?php remove_action('wp_head', 'wp_generator'); ?>

Po dodaniu tej linii informacja o wersji będzie niewidoczna i tym samym zwiększysz bezpieczeństwo swojej strony.

6. Ustaw skomplikowane hasło

Rzecz na pozór prosta, jednak wciąż zdarzają się przypadki, że ludzie ignorują siłę hasła. Pamiętaj, że im bardziej skomplikowane hasło, tym trudniej jest je złamać. Przy ustalaniu hasła powinieneś zawrzeć w nim znaki specjalne, wielkie i małe litery. Dodatkowo, wskazane jest, żeby były to losowe litery. Jeśli chcemy mieć pewność, że nasze hasło jest dostatecznie bezpieczne możemy skorzystać z internetowych generatorów haseł. Zapamiętanie kilku tak skomplikowanych haseł może okazać się dość trudnym zdaniem, dlatego warto zaopatrzyć się w program zarządzający hasłami np. Keepass.

7. Zamień domyślną nazwę administratora „admin” na inną

Jeżeli używasz loginu „admin” do logowania się na konto administratora to zmień go jak najszybciej. Nie jest to najlepsza nazwa dla Twojego konta, bowiem wielu włamywaczy używa właśnie tej nazwy przy próbie logowania. Wybierz nazwę mniej popularną, a tym samym zmniejszysz szanse na nieautoryzowane logowanie. Żeby zmienić nazwę postępuj według poniższych zasad:

• Utwórz nowego użytkownika na prawach administratora
• Zaloguj się na nowo utworzone konto
• Teraz usuń użytkownika o nazwie „admin”. Podczas usuwania WordPress zapyta Cię co powinno się stać z wpisami i odnośnikami utworzonymi przez użytkownika „admin”. Przypisz je teraz do nowego administratora.

8. Zmień domyślny prefiks tabel w bazie danych

Domyślny prefiks „wp_” dla naszych tabel w bazie danych naraża nas na większe niebezpieczeństwo. Zdecydowanie powinieneś zmienić jego nazwę na inną. Nie jest to trudne i możesz to zrobić na kilka sposobów, poniżej przedstawię jeden z nich.
Ściągnij wtyczkę „Acunetix WP Security”. Po zainstalowaniu należy wejść w „Database” i pojawi się widok jak na poniższym zdjęciu. Trzeba zmienić nazwę „wp_” i klikamy „Start Renaming”.

Podsumowanie

Ataki hakerskie zdarzają się każdego dnia, więc nieustannie powinniśmy być na nie przygotowani i minimalizować ryzyko ich sukcesów. Ważne jest żeby być świadomym ich konsekwencji. Stosując się do tych kilku porad w znacznym stopniu zmniejszasz ryzyko, że Twoje dane dostaną się w niepowołane ręce. Metod bezpieczeństwa jest z pewnością wiele więcej, jednak trzymając się nawet tych podstawowych masz pewność, że Twoja strona internetowa czy blog jest dostatecznie chroniona. Jeżeli znasz lub korzystasz z innych form bezpieczeństwa podziel się nimi w komentarzach.