Każdego dnia słyszymy jak jakaś słynna strona zostaje shakowana, albo wrażliwe dane z baz wielki korporacji wyciekły do sieci. To przeraża chyba każdego, każdego właściciela strony, strony która staje się z dnia na dzień coraz bardziej popularna i zwraca swoją uwagę potencjalnych hakerów, którzy chcieliby swoimi sztuczkami skosztować tortu, który nas żywi.

Ale dziś nie przejmujmy się stronami innych ludzi, zajmijmy się swoim biznesem, swoim blogiem i swój dzisiejszy wpis kieruje do właścicieli witryn opartych na WordPressie. Ostatnio ożywiła się dyskusja na branżowych blogach, na forach poświęconych WP, na temat tego, że coraz więcej witryn pada ofiarą hakera. Niekiedy sami dowiadujemy się jako ostatni jeśli ktoś wstrzyknie nam złośliwy kod, bądź samo narzędzie Search Console (o ile podpięliśmy tam stronę) w niemiłym, aczkolwiek treściwym mejlu powiadomi nas o potencjalnym zagrożeniu – oczywiście wcześniej robiąc porządek z naszą stroną w swoich wynikach wyszukiwania.

Nie chcecie tego? Wiem, nikt nie chce, więc dziś napiszę Wam jak w dziesięciu prostych krokach można zabezpieczyć WordPressa i każdy, nawet początkujący webmaster będzie w stanie do większości z nich się zastosować. Pamiętajcie, że to nie wyeliminuje całkowicie zagrożenia, ale skutecznie utrudni hakerom włam na naszą stronę, a nuż się zniechęci jakiś Turek czy Rosjanin i przeniesie swoją złość na strony konkurencji?

1. Silne hasło to podstawa

Zarówno hasło do bazy danych, do panelu administracyjnego WordPressa czy panelu naszego hostingu powinny być silne i z pewnością odradzam pomysły w stylu:

„admin1”

„haslo123”

czy moje ulubione

„qwerty”.

Nie śmiejcie się, wiecie ile osób posiada takie hasła na stronach? Zdziwilibyście się;)

Kolejnym najczęściej spotykanym błędem jest tworzenie hasła identycznego na wszystkich kontach jakie posiadamy w sieci, do poczty, fejsa czy Naszej Klasy (swoją drogą ten portal jeszcze żyje?). Kiedyś rozmawiając ze znajomym poczułem nagłą potrzebę sprawdzenia czegoś na Facebooku, wylogowałem więc jego konto i zalogowałem się na swoje. Później odruchowo wyczyściłem mu hasła z przeglądarki więc chłopak miał zagwozdkę bo nie pamiętał swojego hasła. W pewnym momencie jak za dotknięciem magicznej różdżki olśniło go i wypalił:

„Przecież hasło na fejsa mam takie samo jak na Gmaila”.

No mało nie spadłem z krzesła jak to usłyszałem – już nawet nie pytałem gdzie jeszcze korzysta ze swojego „magicznego” hasła. Pomyślcie, ktoś kto pozna hasło do jednej z takich usług może próbować się logować za jego pomocą do innych.

Osobiście polecam korzystać z haseł składających się z co najmniej 10 znaków, liter dużych i małych jak i cyfr plus nie zaszkodzi jakiś znak specjalny. Wiem, że ciężko zapamiętać, ale wiecie jak ciężko niekiedy przywrócić stronę do stanu sprzed ataku? Zwłaszcza jeśli nie macie kogoś kto codziennie robi Wam backupy?

2. Zmień domyślną nazwę użytkownika

Ilu z Was zakładając bloga poszło na łatwiznę i zostawiło nazwę użytkownika „admin”? Pal licho hasło, liczy się również nazwa użytkownika, znaczy się login jeśli Wam prościej to zrozumieć.

No dobra, stało się, teraz szybko wchodzicie do panelu i tam w zakładce „Użytkownicy” dodajemy nowego Administratora, ale popiszcie się kreatywnością i nie używajcie popularnych nazw. Co więcej, wypełnijcie pozostałe dane jak imię i nazwisko, a na końcu wybierzcie w opcjach „Przedstawiaj mnie jako” coś innego niż wybrany przez Was login. Wiem, przy wpisach wyświetlacie autora i po najechaniu na niego widać link, którego częścią jest was login, ale ten prosty zabieg po części uchroni Was przed najprostszymi atakami. Co więcej, pierwsze konto miało ID równe 1, a kolejne będzie 2. W tym przypadku zmieniłbym ID w bazie danych na dowolną liczbę. Uwierzcie mi, przy SQL Injection będzie to miało duże znaczenie.

3. Zawsze aktualizuj

WordPress bardzo często wypuszcza aktualizacja, a to jedna dziura się znalazła i trzeba załatać, a to kolejna i tak niekiedy co tydzień nowa wersja z byle pierdołą poprawioną pojawia się w panelu i prosi aby ją przyjąć na nasz serwer. Wydawałoby się, że robią te aktualizacje jesteśmy zawsze o krok przed hakerami, ale to błędne myślenie bo to oni są zawsze o krok przed nami, gdyż na swoich blogach trzymamy masę, niekiedy bezużytecznych wtyczek, które są dziurawe jak ser szwajcarski. I podczas gdy programiści oferują nam aktualne wersje WP to hakerzy wchodzą do naszego mieszkania przez balkon bądź okno zamiast prze frontowe drzwi.

Aktualizujcie więc wtyczki, samego WordPressa, co tylko się da. Będziecie choć mieli pewność, że zrobiliście wszystko aby spać spokojnie, a może to tylko złudzenie? Zresztą wiele osób wierzy, że to pomoże, ale sam przekonałem się, że nie działa to idealnie.

Twórzcie zawsze kopie baz i plików zanim ruszycie po większe aktualizacje, niektóre motywy źle je niekiedy znoszą i możemy się zaskoczyć białym ekranem. Pamiętajcie także o aktualizacjach motywów.

Na koniec warto zrobić audyt wtyczek, zastanowić się, która z nich jest nam potrzebna, a która nie. Bo po co trzymać naładowany i odbezpieczony pistolet skoro to on może przyczynić się do naszej śmierci?

4. Chroń dostęp do strefy admina

Skorzystajcie tutaj z potęgi jaką daje wam plik .htaccess wklejając na jego końcu następującą regułkę:

<Files wp-login.php>

Order Deny,Allow

Deny from All

Allow from 'wpisz tu swój adres IP tylko bez pazurków'

</Files>

Chrońcie także sam plik .htaccess wklejając również w nim regułkę jak poniżej:

<Files .htaccess>

Order Allow,Deny

Deny from all

Allow from 'wpisz tu swój adres IP tylko bez pazurków'

</Files>

Dodatkowo można iść dalej i całkowicie zmienić domyślne adresy logowania do panelu, mówię tu o standardowym:

domena1.pl/wp-admin/

czy też

domena1.pl/wp-login.php

Tutaj nie musicie znać się na programowaniu i sprawę załatwią za nas wtyczki, choć osobiście wolę autorskie rozwiązania, ale wiem, że wielu blogerów nie poradzi sobie z samodzielną modyfikacją kodu WordPressa.

Lockdown WP Admin: Wtyczka ta zmieni domyślny adres do logowania, a osoby próbujące się tam dostać dostaną stronę błędu (404). Dodatkowo umożliwia dodanie uwierzytelnienia HTTP, gdzie będziemy mogli ustalić dodatkowy login i hasło, która posłuży jako brama przed dotarcie do drzwi wejściowych.

HC Custom WP-Admin URL: Prosta wtyczka pozwalająca dowolnie zmienić stronę admin i login, aby nieco utrudnić życie hakerom.

iThemes Security: Niektórzy twierdzą, że to jedna z najlepszych wtyczek, ale jak dla mnie jest zbyt zasobożerna i widać obciążenie na słabszych hostingach. Pozwala modyfikować niemalże wszystko na co pozwalały dwie wcześniej wymienione wtyczki, ale do jej obsługi potrzebny jest czas i choć minimalna wiedza na temat tego co robimy.

5. Chroń się przed atakami brute force

Pierwszym krokiem powinno być wyłączenie XML-RPC. W sumie nie wiem co za fanatyk, od którejś tam wersji WordPressa zostawił tę furtkę dla hakerów otwartą?

Jeśli wyłączcie XML-RPC to następnie dajcie podczas logowania jakąś captchę, tylko proszę bez pytań „Jak się nazywa stolica Polski?”. Choć znam osoby, które i z tym pytaniem mogłyby mieć problem, ale to Wasz blog, Wasze dziecko, popracujcie i postarajcie się, aby było bezpieczne.

Wiele hostingów posiada własne zabezpieczenia przed atakami Brute Force, ale tyle samo ich nie ma, a jak macie VPS i bez profesjonalnej obsługi i leżycie i kwiczycie. Są również wtyczki, które przytrą nosa osobom, które setki razy próbują zalogować się na bloga, przykładem jest Limit Login Attempts i radzę zapoznać się z nią. Dobra dla początkujących…

6. Skanuj w poszukiwaniu malware

Osobiście polecam wtyczkę Wordfence, która wiele razy uratowała mi skórę. Ma opcję porównywania plików z repozytorium WordPressa czy też z oryginalnymi wersjami używanej skórki. Dodatkowo powiadomi nas o próbach ataku, zablokuje niejednego Turka przed próbami logowania jak i przypomni nam o aktualizacjach.

[adsense]

Jeśli korzystacie z SSH to warto także co jakiś czas porównywać daty ostatnich edycji plików na serwerze. Co więcej, można pokusić się o szukanie w kodzie wystąpień base64 bądź eval.

Usuń złośliwy kod

No dobra, znaleźliście jakiś syf w kodzie i co teraz z nim zrobić? Sprawdźcie najpierw czy to autentycznie plik WordPressa czy Waszego motywu, bo wiele razy spotkałem się z dodaniem plików przypominających nazwą ważne i kluczowe dla działania pliki WP.

Przed takim usuwaniem warto zabezpieczyć się backupem.

Co więcej, jeśli boicie się tego robić samodzielnie to napiszcie do mnie, a postaram się pomóc.

7. Wybierz odpowiedni hosting

Tu polecam zaawansowanym webmasterom własny VPS, nad którym macie pełną kontrolę i gdzie dla każdej ze stron możecie założyć osobne konto. Nie mam tutaj swojego faworyta, ale odradzam wszelkie hostingi typu shared bo nie wiecie jakie macie sąsiedztwo i jakie dokładnie zabepieczenia oferuje Wam dany hosting.

Przy wyborze hostingu polecam napisać kilka razy do administratorów, zadać im nawet głupie pytanie czy to o sam hosting czy o zabezpieczenia, a już po odpowiedzi da się wyczuć czy macie do czynienia z Paniami z ZUSu czy ludźmi znającymi się na robicie. A co najważniejsze dowiecie się, czy podchodzą do klienta po ludzku czy jesteście tylko kolejną fakturą w ich systemie.

8. Czyść swoją stronę jak własną kuchnię

W moim przypadku to zły pomysł bo kuchnie mam… no gdyby nie żona to nie znalazłbym lodówki, ale to inna sprawa.

Jak wspomniałem wcześniej każda wtyczka, a nawet sam WordPress to tykająca bomba, która może wybuchnąć w każdej chwili. Dlatego jeśli nie używacie jakiejś wtyczki albo motywu to się tego pozbądźcie. Zmiotka, szufelka i do śmieci. Z wtyczkami nie ograniczajcie się do wyłączenia, usuńcie je całkiem, a jeśli zostały dobrze napisane to i usuną po sobie ślady z bazy danych.

9. Kontroluj wrażliwe dane

Jeśli już czyścicie swoją stronkę ze śmieci to sprawdźcie czy nie zostawiliście cennych informacji na jej temat do wglądu każdemu, nawet domorosłemu hakerowi. Usuńcie na początek plik readme.html, po prostu to zróbcie i nie pytajcie dlaczego, chyba że lubicie pokazywać kiedy praliście ostatnio skarpetki i dlaczego już dziś tak śmierdzą.

Podobnie polecam sprawdzić pliki phpinfo.php czy i.php. Powiedzą hakerowi wszystko o naszych ustawieniach i będą mapą topograficzną po naszym domu.

A teraz najlepsze, są osoby które trzymają publicznie pliki z rozszerzeniem .sql, tak trzymają zrzuty bazy na wypadek, gdyby trzeba było ją przywrócić. Dodatkowo jeśli haker pobierze taki plik to wiecie co tam znajdzie? Loginy i hasze Waszych haseł. Bez pukania wejdzie do domu, zrobi … na wycieraczkę i pójdzie dalej. Kto to posprząta?

10. Bądź czujny

Podłączcie stronę do narzędzia Search Console, a także raz na tydzień zapoznajcie się z nowymi zagrożeniami dotyczącymi nie tylko WP, ale i wszystkich stron. Polecam śledzenie profilu Securi na Twiterze. Można też skorzystać z profesjonalnych narzędzi do badania podatności naszego serwera na ataki DDOS jak i wiele innych, tutaj polecę Penetrator24.com. Choć nazwa kojarzy się ze sklepem z akcesoriami dla dorosłych to znajdziecie tam narzędzie – niestety płatne – które pozwoli Wam spać spokojnie.

I na koniec napiszę tylko:

„Szanuj wroga swego jak siebie samego”

Zabezpieczymy Twoją stronę za 100 netto, wypełnij formularz poniżej, aby zamówić usługę:

[ninja_form id=2]