7 kroków do bezpiecznego WordPressa

WordPress dzięki swojej prostocie oraz praktycznie nieskończonym możliwościom rozbudowy wykorzystywany jest na co czwartej stronie w internecie, co czyni go najpopularniejszym CMSem na świecie.

wphaker

Efektem tego jest nie tylko możliwość pobrania niemalże 50 tysięcy wtyczek rozbudowujących jego możliwości, ale również zwiększone zagrożenie włamania i to właśnie wykorzystywane przez nas wtyczki są najczęściej głównym wektorem ataku. Sprawdźmy zatem, co powinniśmy zrobić, by zabezpieczyć nasze strony na WordPressie nie wliczając w to jak najszybszych aktualizacji zarówno samego systemu, jak i dodatków firm trzecich.

1) Usuń niewykorzystywane wtyczki

Zmniejszenie liczby wtyczek nie tylko poprawi prędkość działania strony, ale również poprawi bezpieczeństwo strony. Nawet niewykorzystywane, ale zainstalowane wtyczki mogą stanowić otwartą furtkę dla włamywaczy, jeżeli tylko posiadają luki.

Przykład: w lipcu tego roku jedna z najpopularniejszych wtyczek dla WordPressa – All in One SEO Pack – posiadała w wersjach niższych, niż 2.3.6.1 lukę pozwalającą osadzić w treści strony kod, który wyświetlony czytelnikom mógł doprowadzić do wykonania przez ich przeglądarki niepożądanych akcji.

2) Włącz automatyczne aktualizacje systemu

Od wersji 3.7 WordPress instaluje mniejsze aktualizacje automatycznie, jednak nadal większe uaktualnienia (np. z wersji 4.2 do 4.3) musimy zainicjować manualnie z poziomu panelu użytkownika. Dzięki temu nie musimy obawiać się, że wykorzystywany przez nas motyw lub wtyczki przestaną działać po instalacji najnowszej wersji, a my nic nie będziemy o tym wiedzieć. Jeśli jednak nie boimy się tego, a bezpieczeństwo jest dla nas najważniejsze, powinniśmy dodać następujące dwie linijki w pliku wp-config.php znajdującego się w głównym katalogu naszej strony:

# Pozwalaj na automatyczne mniejsze i większe uaktualnienia:
define( ‚WP_AUTO_UPDATE_CORE’, true );

3) Pozwól motywom i wtyczkom na automatyczne aktualizacje

Tak samo jak w przypadku aktualizacji systemu, jeżeli nie obawiamy się ewentualnych błędów, możemy zdecydować się wdrożyć automatyczne aktualizacje motywów i wtyczek. W tym celu należy dodać do pliku wp-config.php wybrane linijki:

# Pozwalaj na automatyczne aktualizacje wtyczek
add_filter( ‚auto_update_plugin’, ‚__return_true’ );

# Pozwalaj na automatyczne aktualizacje motywów
define( ‚WP_AUTO_UPDATE_CORE’, true );

4) Wyłącz możliwość edycji kodu źródłowego z poziomu panelu administracyjnego

Jeżeli posiadamy wielu użytkowników z rolą administratora strony, a nie chcemy by mieli oni wgląd w kod źródłowy motywu oraz wtyczek korzystając z panelu administracyjnego powinniśmy zablokować możliwość edycji tych plików. Aby tego dokonać powinniśmy zdecydować się na rozbudowanie pliku wp-config.php o następujące linijki:

# Uniemożliw edycję kodu źródłowego wtyczek i motywów
define( ‚DISALLOW_FILE_EDIT’, true );

Jest to również skuteczna metoda na ukrycie kodu, jeżeli obawiamy się włamania do panelu administracyjnego przy wykorzystaniu konta z rolą administratora.

5) Ukryj informacje o błędach

Włamywacze nierzadko szukają błędów w wykorzystywanych na stronie skryptach, aby dostać się do informacji, które mogą przybliżyć im ścieżki do konkretnych plików, którymi my niekoniecznie chcielibyśmy się dzielić. Aby zablokować wyświetlanie błędów skorzystajmy z poniższych komend, które powinniśmy dodać do pliku wp-config.php;

# Wyłącz wyświetlanie błędów
error_reporting(0);
@ini_set(‘display_errors’, 0);

6) Wymuś silne hasła u Twoich użytkowników

Jeżeli posiadasz na choćby dwóch użytkowników, którzy mają dostęp do panelu administracyjnego powinieneś wymusić na nich stosowanie silnych haseł, by wydłużyć czas potrzebny na włamanie metodą brute force. Możesz dokonać tego w łatwy sposób wykorzystując do tego wtyczkę Force Strong Passwords

7) Ukryj informację o wersji WordPressa

Każde udane uaktualnienie WordPressa pozostawia po sobie plik readme.html znajdujący się w głównym katalogu strony, który informuje o wersji oraz jej zmianach. Podstawową, ręczną metodą sprawdzenia, którą wersję WordPressa posiada wybrana strona polega na otwarciu w przeglądarce następującej lokalizacji – DOMENA/readme.html. Aby zabezpieczyć się przed tym można każdorazowo usuwać pliki readme.html tworzone po aktualizacji lub zainstalować małą wtyczkę – Readme Detonator , która będzie robić to za nas.

 

Chcesz więcej informacji o bezpieczeństwie WordPressa? Zajrzyj na WPhaker.pl

Tags:,

4
Dodaj komentarz

avatar
3 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors
Maciej SkrzypczakWojciech OlszewskilukMarcin Wesołowski Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Marcin Wesołowski
Gość
Marcin Wesołowski

Sprawdzę, bo rady brzmią całkiem sensownie 🙂

luk
Gość
luk

Mam pytanie co do np. pkt 3ciego – zrobie edycje wp-config.php, ale czy po aktualizacji WP (np. jak wyjdzie nowsza wersja) nie nadpisze się ten plik i nie stracę tych zmian? Czy może lepiej to dopisywać do functions.php

Maciej Skrzypczak
Gość
Maciej Skrzypczak

Właśnie wdrożyłem na moich WordPressach automatyczną aktualizację, oszczędzi mi to sporo czasu.

Facebook - LH.pl

Page plugin Facebook nie działa poprawnie. Proszę włączyć śledzenie w ustawieniach przeglądarki.