[Wordpress] 7 rad – WordPress i bezpieczeństwo Twojego bloga na co dzień

Zobacz komentarze

Podziel się

[Wordpress] 7 rad – WordPress i bezpieczeństwo Twojego bloga na co dzień - http://webprojektant.plW sieci roi się od porad dotyczących bezpieczeństwa WordPressa, które można określić jako przesadzone. Wiele odnosi się do błędów starszych wersji, czasami sprzed kilku lat. Niektóre mogą wpędzić w kłopoty niedoświadczonego użytkownika, na przykład odcinając go od jego własnego bloga. Tymczasem, wystarczy, że będziesz się konsekwentnie trzymał kilku podstawowych reguł.
Reguły te odnoszą się zresztą nie tylko do WordPressa, ale do innych zachowań w sieci. Są fundamentem bezpieczeństwa, bez którego żadne dodatkowe, magiczne sztuczki nie mają sensu. W tym poradniku podamy siedem prostych rad, ale przede wszystkim postaramy się dokładnie wyjaśnić dlaczego są takie ważne.

1. Dbaj o kopie zapasowe

Jasne, wszyscy to powtarzają: „trzeba robić kopie zapasowe wszystkiego”. I prawie wszyscy to lekceważą, albo nie robiąc backupów, albo robiąc je zbyt rzadko. A potem przychodzi ten dzień…
Co może pójść nie tak?
Uszkodzeniu może ulec sprzęt lub na przykład baza danych na hostingu gdzie działa Twój blog. Można to niebezpieczeństwo zminimalizować stosując się do zasady „Korzystaj z profesjonalnych hostingów”, którą omawiamy w dalszej części tego artykułu, ale nigdy nie będziesz miał pewności, że Twoje dane są regularnie backupowane.
Możesz paść ofiarą włamania. To prawdopodobieństwo rośnie w miarę jak rośnie wartość danych, które można Ci ukraść, lub emocji związanych z Twoim blogiem. Pisaliśmy o tym więcej w artykule Bezpieczeństwo Twojego bloga – co Ci grozi i dlaczego?
Sam możesz przez pomyłkę coś skasować, nadpisać niewłaściwe pliki, użyć pluginu, który narobi szkody.
Jest kilka wtyczek, które wykonują kopie zapasowe. WPinternals używa wtyczki BackWPUp. Jest dość łatwa do skonfigurowania, wykonuje kopię wszystkich plików i bazy danych, potrafi automatycznie wysyłać spakowane backupy mailem, na wybrany serwer FTP, na Dropboxa i na inne popularne serwisy do pracy w chmurze. Raz skonfigurowany backup można wykonywać ręcznie (jednym kliknięciem myszki) lub ustawić, żeby wykonywał się automatycznie.
Pełny opis i ocenę wtyczki wraz z listą możliwości i zrzutami ekranów konfiguracji znajdziesz w artykule BackWPUp – wygodna wtyczka do backupów WordPressa.
Pamiętaj aby zawsze wykonywać kopie zapasowe:
przed instalacją nowej wersji WordPressa
przed instalacją nowych wtyczek
przed wszelkimi dużymi zmianami w treści lub wyglądzie bloga
przed przenoszeniem bloga na inny serwer
przed masowymi zmianami w bazie danych, których nie da się łatwo odwrócić.
oraz po pomyślnym zakończeniu takich złożonych zmian.

Jeśli nic nie zmieniasz na blogu poza dodawaniem nowych treści też powinieneś wykonywać backup przynajmniej raz na tydzień. Najlepiej włączyć automatyczne robienie kopii zapasowych.

2. Traktuj poważnie swoje hasła

Właściwie każdy wie, ze należy ustawić mocne hasło i zna jeszcze długa listę związanych z tym przykazań, jednak zadziwiająco dużo ludzi w ogóle się do tego nie stosuje. Moim zdaniem dzieje się tak dlatego, ze ludzie skłonni są do popadania w przesadę i kiedy już postanawiają coś zrobić ze swoimi hasłami, robią to w taki sposób, ze utrudniają sobie życie. A tym czasem w tej dziedzinie, podobnie jak w wielu innych dobrze jest mieć własny przemyślany system. Możesz się z nim zapoznać w naszym poradniku: Jak wymyślić hasło, które jest łatwe i jednocześnie trudne?
Kiedy już nauczysz się jak łatwo konstruować i pamiętać mocne hasła, zastosuj tę wiedze nie tylko do samego admina bloga, ale też do bazy danych. Baza jest bardzo czułym punktem każdego serwisu opartego na WordPressie, zwłaszcza jeżeli jest do niej dostęp z zewnątrz (a tak jest na wielu hostingach). Ponieważ hasła do bazy nie trzeba wpisywać codziennie (jest ono zapamiętane w pliku wp-config.php) może być nawet bardzo trudne.
W zależności od tego jakiego hostingu używasz, musisz użyć odpowiedniego narzędzia do ustawiania hasła. Informacje na ten temat na pewno znajdziesz na stronach swojego providera, a jeśli ich tam nie ma zapytaj pomocy technicznej. Po zmianie hasła do bazy Twój blog przestanie działać. Połacz się z serwerem przez FTP (albo zastosuj inna metodę, którą normalnie wgrywasz pliki na serwer), pobierz plik wp-config.php i wpisz do niego nowe hasło w linijce zaczynającej się od:

define('DB_PASSWORD')
,
Teraz musisz wysłać plik na serwer, nadpisując poprzednią wersję i wszystko powinno zadziałać.

3. Zmień nazwę użytkownika admin

Logując się do WordPressa, podobnie jak do wielu innych systemów musisz podać nazwę użytkownika (administratora) i hasło. Jak ustawić bezpieczne hasło już wiesz, ale nie ma powodu ułatwiać życia włamywaczom korzystając z domyślnej nazwy głównego użytkownika w WordPressie, czyli „admin”. W ten sposób potencjalny intruz musi poradzić sobie tylko z hasłem, a jeśli zmienisz też nazwę użytkownika, będzie miał dwa razy więcej problemów. Ponieważ hasło masz już bezpieczne, nie musisz tutaj przesadzać, grunt żeby nie używać konta domyślnego.
Kiedyś WordPress nie pozwalał na zmianę hasła, w ostatnich wersjach można to zrobić bardzo łatwo:
Utwórz nowego użytkownika zaznaczając dla niego prawa administratora. Wybierz jakąś nazwę – na przykład: kierownikserwisu. W połączniu z mocnym hasłem to zdecydowanie wystarczy.

Wyloguj się i zaloguj na nowo dodanego użytkownika.
Wejdź na listę użytkowników i usuń użytkownika admin. Podczas usuwania WordPress zapyta Cię któremu użytkownikowi przypisać wpisy i inne elementy stworzone przez użytkownika admin. Przypisz je oczywiście do użytkownika kierownikserwisu.

I gotowe. Oczywiście nie używaj nazwy kierownikserwisu podanej w tym artykule tylko wymyśl swoją.

4. Rozsądnie korzystaj z zapamiętywania haseł

Na nic najlepsze hasła i nazwy użytkownika, jeśli ktoś dobierze się do Twojego komputera, a tam wszystko będzie zapamiętane i wszędzie będzie mógł się zalogować automatycznie.
Korzystanie z zapamiętywania haseł jest względnie niegroźne na komputerze stacjonarnym w domu, jeśli potrafimy zagwarantować, że nie siadają przy nim co chwilę nieznane osoby. Ostatecznie aby ktoś niepowołany uzyskał do niego dostęp musiałby go ukraść. Włamania jednak się zdarzają i choć każdy myśli, że jego to nie dotyczy, tak naprawdę każdemu może się zdarzyć. Dlatego nawet na domowym komputerze, należy unikać zapamiętywania haseł do najważniejszych zasobów. Na szczęście do banku się nie da, ale też trzeba unikać zapamiętywania hasła do poczty. To właśnie poczta służy jako narzędzie do odzyskiwania haseł z innych serwisów – jeśli ktoś o złych zamiarach dobierze się do niej, po kolej może przejąć wszystkie pozostałe konta. Jeśli do poczty sienie dostanie, a przechwyci tylko powiedzmy Facebooka, to dzięki zachowanej skrzynce, mamy szanse to konto odzyskać.
Jeśli korzystamy z GMaila i aktywnie z innych usług Googla powinniśmy się logować ręcznie za każdym razem, zwłaszcza jeśli konta GMail używamy do logowania do innych serwisów.
Nasza czujność powinna rosnąć jeśli do komputera ma dostęp wiele osób – dzieci, koledzy, rodzice. Pamiętaj, że ktoś może Ci zaszkodzić również niechcący, narobić kłopotów przez swoją niewiedzę. Jeśli mieszkasz w akademiku do Twojego komputera mają prawdopodobnie względnie swobodny dostęp całe tabuny ludzi. W takim miejscu bierz także pod uwagę ryzyko głupich dowcipów.
Najgorzej jest kiedy korzystasz z laptopa, bo wtedy zawsze jesteś narażony na jego kradzież. Możesz go też zwyczajnie zgubić, zapomnieć skądś. Oczywiście myślisz, że Tobie się to nie zdarzy. Tak właśnie myśleli wszyscy, którym się zdarzyło, a wśród nich jest bardzo wielu uważnych i odpowiedzialnych. Wbij sobie w głowę – laptopa można w każdej chwili stracić – pilnuj swoich haseł.
Minimalną ochronę daje na laptopie hasło do Twojego profilu (najczęściej Windows). System powinien o nie pytać nie tylko przy starcie, ale także przy odhibernowaniu i obudzeniu systemu. Niestety fachowiec z zabezpieczeniami systemowymi może sobie dość łatwo poradzić. Dlatego jedynym pewnym jest program TrueCrypt. Pozwala on na szyfrowanie dysków i plików bardzo bezpieczna metodą, przy dobrej jakości hasła praktycznie nie do złamania. Pozwala też zaszyfrować cały system. Jeżeli skorzystasz z tej możliwości Twój system jest bardziej bezpieczny od tego na domowym komputerze zamkniętym w sejfie, więc możesz korzystać z autologowania.

Program TrueCrypt jest darmowy, ale ma bardzo wysoka renomę. Jeżeli poprawnie go użyjesz jest całkowicie bezpieczny. Zaszyfrowanie systemu spowalnia trochę jego działanie, ale jeśli masz w miarę nowoczesnego laptopa, nie powinno to być bardzo uciążliwe.

5. Używaj aktualnego oprogramowania

Zasada korzystania z najnowszych wersji programów dotyczy właściwie wszystkiego, od systemu operacyjnego począwszy, poprzez WordPressa, kończąc na wtyczkach. Przy czym właśnie w tej kolejności powinno się rozkładać Twoje zaufanie.
Aktualizacje systemu operacyjnego i programów antywirusowych należy po prostu włączyć w tryb automatyczny
Aktualizacjom WordPressa też możesz raczej ufać, ale zgodnie z tym co napisaliśmy w punkcie pierwszym, powinieneś najpierw wykonać kopię zapasową. Jeśli nie jest to aktualizacja łatająca dziury w bezpieczeństwie ale jedna z dużych wersji (3.0, 3.1, 3.2, 3,3 itd.) niekoniecznie musisz się śpieszyć. Wstrzymaj się z aktualizacją kilka dni, zwracaj uwagę czy nie podnosi się wrzawa w związku z jakimiś poważnymi błędami. Jeśli mamy do czynienia z aktualizacją łatająca błędy, zwłaszcza dziury w bezpieczeństwie, aktualizację należy wykonać możliwie szybko.
Najbardziej ostrożny powinieneś być w przypadku instalowania nowych wersji wtyczek. O ile za WordPressem stoi duża grupa niezłych developerów i bardzo wielu testerów, o tyle wtyczki często piszą amatorzy, nie maja środków żeby je dobrze wytestować. Ponieważ większość wtyczek, które będziesz instalował jest darmowa, w wypadku jakichkolwiek problemów możesz mieć pretensje tylko do siebie i złego losu. Dlatego ZAWSZE przed aktualizacją wtyczki powinieneś wykonać kopie zapasowe, a po instalacji sprawdzić czy wszystko dobrze działa. Zawsze kiedy aktualizujesz jakąś wtyczkę kliknij linka „View version xx.yy details” i przeczytaj co się zmieniło. Jeśli tylko poprawiono błędy nie ma większych powodów do obaw, jeśli natomiast zmiany były duże, nowa wersja zawiera sporo nowości, bądź czujny.

6. Korzystaj z profesjonalnych hostingów

/p>

Stworzenie bogatej w możliwości, wydajnej i bezpiecznej technologii hostingowej to bardzo trudne zadanie i na pewno nie jest tanie. Nawet teraz kiedy na rynku jest mnóstwo oprogramowania OpenSource pokrywającego wszystkie potencjalne potrzeby firmy hostingowej, jego poprawne skonfigurowanie, stały nadzór, zabezpieczenie skalowania (odporności na wzrost ruchu), zagwarantowanie bezawaryjności, to wszystko wymaga bardzo wiele zachodu.
Tymczasem wiele osób przy wyborze hostingu dla swoich serwisów kieruje się wyłącznie ceną. To bardzo lekkomyślne podejście jeśli traktujemy swój blog czy inny rodzaj strony jako rzeczywiste dobro i chcielibyśmy mu zapewnić niezakłócony rozwój. Dość problemów mamy bez użerania się z kiepskim hostingiem – trzeba pisać teksty, promować serwis, pozycjonować go, odpowiadać na komentarze, ciągle rozwijać stronę.
Niestety kiepski hosting może także powodować problemy z bezpieczeństwem, dziurawy web serwer, dziurawa wersja interpretera PHP, który dawno należało zaktualizować i dosłownie dziesiątki innych możliwych dziur jakie taki hosting może mieć, to otwarte drzwi do Twojego bloga, niezależnie od tego jak bardzo będziesz starał się go zabezpieczyć swoimi środkami. W takiej sytuacji najczęściej nic nie jesteś w stanie nic zrobić, jesteś zdany na łaskę i niełaskę jakichś partaczy.
Dla przeciętnej strony, która ma do kilku, czy kilkunastu tysięcy odwiedzin dziennie, w zupełności wystarcza pakiet hostingowy u dobrego dostawcy kosztujący 300-400 złotych rocznie łącznie z domeną. Nie warto szukać oszczędności rzędu kilkudziesięciu złotych rocznie i narażać się na kłopoty. Jeśli serwujesz multimedia, dużo plików, które na takim hostingu mogą wyczerpać dostępny w Twoim pakiecie transfer możesz rozważyć skorzystanie z Amazon Web Services.
Dobierając firmę hostingową zwracaj uwagę na to by była duża, działała na rynku już co najmniej kilka lat, miała bogata ofertę różnych rozwiązań. Na rynku w Polsce jest kilka firm naprawdę godnych zaufania. WPinternals korzysta z hosting w home.pl, utrzymując tam również inne serwisy i bardzo sobie chwali tę usługę.

7. Nie kolekcjonuj śmieci

Pamiętaj, że każda wtyczka, jakiej używasz, to oprócz funkcjonalności jaką daje, również potencjalne zagrożenie bezpieczeństwa. W punkcie 5 pisaliśmy o tym, że często wtyczki pisane są przez amatorów i nie są dostatecznie dobrze wytestowane. Zresztą nie ma czegoś takiego jak bezbłędny program. Sa najwyżej programy, w których jeszcze nie znaleziono błędów.
Jeśli masz do wyboru kilka wtyczek robiących mniej więcej to samo, staraj się zawsze wybierać taką która wygląda solidniej, a jej twórca sprawia profesjonalne wrażenie. Nie zawsze to jest łatwe, ale przynajmniej się postaraj. Możesz to ocenić na podstawie kodu źródłowego jeśli potrafisz programować, ale też na podstawie strony autora i jego dorobku. Jeśli ktoś napisał kilkanaście wtyczek, wśród których są takie które mają setki tysięcy pobrań, na pewno możesz mu zaufać bardziej niż komuś, kto nawet nie ma własnej strony, a wtyczka którą instalujesz jest jedynym kwiatkiem w jego dorobku.
Pamiętaj też, żeby zwyczajnie nie przesadzać jeśli chodzi o liczbę używanych wtyczek. Zastanów się zawsze trzy razy czy dana funkcjonalność jest Ci naprawdę potrzebna. Każda zainstalowana wtyczka to jakiś kod w PHP i często w JavaScripcie, który może być przedmiotem ataku. Może Twój blog i tak już wygląda jak choinka. Zachowaj umiar.
Nie trzymaj na serwerze wtyczek i motywów, których nie używasz. Jeśli testowałeś wiele motywów zanim wybrałeś ten właściwy, usuń wszystkie nieużywane. Usuń też wyłączone wtyczki nie mówiąc już o takich, które są włączone choć nigdzie nie wykorzystujesz ich funkcjonalności. Każdy plik PHP czy JS to potencjalna dziura. Często fakt, że nie są używane w serwisie, a tylko leżą na serwerze nic nie zmienia.
Kilka przydatnych narzędzi

Jest trochę wtyczek do WordPressa, które rozwiązują kilka podstawowych problemów z bezpieczeństwem:
Wtyczka Login Lock blokuje możliwość wielokrotnych nieudanych prób logowania z tego samego IP. Pozwala też ustawić minimalne wymagania dla hasła dla użytkowników zakładających konta. Zagadnienie łamania haseł metodą brute force oraz znaczenie mocnych haseł omówiliśmy w naszym poradniku tworzenia bezpiecznych haseł.
Wtyczka Secure WordPress pozwala ukryć w kodzie stron zwracanych przez WordPressa informacje, które mogą pomóc potencjalnym włamywaczom (a przynajmniej naprowadzić automaty), a które nie są niezbędne dla działania strony, lub rzadko potrzebne.
Wtyczka Better WP Security łączy funkcjonalności dwóch powyższych i dodaje jeszcze kilka ciekawych możliwości.
Domyślnie rozprowadzana z WordPressem wtyczka Akismet ustrzeże Cię przed spamem. Wtyczka jest naprawdę znakomita, niestety jeśli masz więcej blogów, lub zarabiasz na nich, wymaga niewielkiej opłaty miesięcznej. Ciężko sobie jednak wyobrazić prowadzenie większego serwisu z komentarzami bez Akismeta.

WEBprojektant.pl na YouTube!

Kanał WEBprojektant.pl na YouTubeMam przyjemność ogłosić, że działa nasz kanał na Yotube - WEBprojektant.pl - poradnik webmastera, gdzie możecie znaleźć nasze video tutoriale.

Może nie jest tam jeszcze porażająca ilość poradników dla webmasterów, ale postaram się aktualizować kanał w miarę możliwości. Proszę Was o tematykę jaką chcecie, aby poruszyć w kolejnych tutorialach. Łatwiej mi będzie wybrać na czym się skoncentrować.

Może się przydać

Top 3 webmaster

Nasze statystyki

Użytkowników:
130
Artykułów:
224
Odsłon artykułów:
3279883