Jak chronić witrynę na WordPressie – 16 sposobów

Jak chronić witrynę na WordPressie? Dowiedz się, jak zabezpieczyć swoją stronę, zmieniając prefiks bazy danych i stosując inne sprawdzone metody!
Podziel się swoją opinią

WordPress to jeden z najczęściej wybieranych systemów zarządzania treścią na świecie. Wiele blogów, stron firmowych oraz portali opiera się na tym intuicyjnym i funkcjonalnym rozwiązaniu. Niestety, łatwość obsługi i szeroka popularność sprawiają, że platforma ta staje się celem zarówno dla uczciwych użytkowników, jak i cyberprzestępców. Podczas gdy niemal każdy może zbudować stronę internetową w WordPressie, zabezpieczenie jej przed zagrożeniami wymaga wiedzy i doświadczenia.

Zabezpieczenie witryny opartej na WordPressie to kluczowy element jej utrzymania. Choć nie istnieje sposób, który całkowicie wyeliminuje ryzyko włamań, możemy znacząco zmniejszyć ich ilość, stosując odpowiednie metody. Istnieje wiele skutecznych rozwiązań, które każdy właściciel strony powinien wdrożyć, aby zminimalizować zagrożenia. Przyjrzymy się teraz kilku sprawdzonym sposobom na zwiększenie bezpieczeństwa Twojej witryny.

Użyj bezpiecznego loginu

Bezpieczeństwo witryny opartej na WordPressie zaczyna się od podstaw – czyli wyboru odpowiedniego loginu.

Podczas instalacji, wielu użytkowników decyduje się na domyślny login „admin”, co jest często wykorzystywane przez boty, które przeszukują witryny pod kątem słabych punktów. Używając tego popularnego loginu, hakerzy mają już połowę informacji potrzebnych do uzyskania dostępu do strony – wystarczy, że odgadną hasło.

Jeśli Twoja witryna już działa, nie ma potrzeby rozpoczynać wszystkiego od początku, by zmienić login. Możesz to zrobić łatwo w kilku krokach:

Krok 1: Stwórz nowego użytkownika

Zaloguj się do panelu administracyjnego WordPressa i utwórz nowego użytkownika z bardziej skomplikowanym loginem. Nadaj mu uprawnienia administratora, aby miał pełen dostęp do strony. Aby to zrobić, w menu bocznym wybierz Użytkownicy >> Dodaj nowego użytkownika, wprowadź wymagane dane i jako rolę wybierz „Administrator”. Na koniec kliknij „Dodaj nowego użytkownika”.

Krok 2: Usuń użytkownika „admin”

Następnie wyloguj się, zaloguj na nowe konto i usuń użytkownika o loginie „admin”. Możesz to zrobić na dwa sposoby:

  • Metoda 1: W menu bocznym wybierz Użytkownicy >> Wszyscy użytkownicy, najedź kursorem na nazwę użytkownika „admin” i wybierz opcję „Usuń”.
  • Metoda 2: Również w sekcji Użytkownicy >> Wszyscy użytkownicy zaznacz pole przy użytkowniku „admin”, a następnie z rozwijanego menu „Działania” wybierz „Usuń” i kliknij „Zastosuj”. To rozwiązanie sprawdzi się, jeśli chcesz usunąć kilku użytkowników jednocześnie.

Wykonując te proste kroki, znacznie zwiększysz bezpieczeństwo swojej witryny na WordPressie.

Użyj bezpiecznego unikalnego hasła

W WordPressie kluczowym elementem ochrony konta administratora jest silne hasło. Powinno być ono unikalne i składać się z różnych znaków: cyfr, wielkich i małych liter, symboli oraz znaków interpunkcyjnych. Proste hasła, takie jak „pass”, „1q2w3e4r5t6y”, „87654321”, „qwerty”, „abc123”, „111111”, „1234” lub inne bardzo popularne „dupa1234” czy Twoja data urodzenia, są niewystarczająco bezpieczne, a mimo to wielu użytkowników wciąż z nich korzysta.

Dobrym przykładem mocnego hasła jest na przykład: pcVaOF8r39. Choć zapamiętanie takiego ciągu znaków może być trudne, istnieje wiele programów, które pomagają w ich przechowywaniu i generowaniu. Aplikacje takie jak Password Agent, KeyPass czy Roboform mogą także zostać zintegrowane z przeglądarką, ułatwiając zarządzanie hasłami.

Jeśli jednak wolisz samodzielnie zapamiętywać swoje hasła, możesz stworzyć kombinację składającą się z dobrze znanego Ci słowa, dodając kilka wielkich liter, cyfr oraz znaków specjalnych w losowych miejscach lub na początku i końcu. Takie hasło będzie nadal trudne do złamania, a jednocześnie łatwiejsze do zapamiętania.

Nie zapominaj również o regularnej zmianie haseł, co dodatkowo zwiększy bezpieczeństwo Twojej witryny.

Aktualizuj swoją wersję WordPressa

W WordPressie bezpieczeństwo witryny w dużym stopniu zależy od aktualności wszystkich elementów, z których korzystasz. Najważniejsze jest, aby sam system WordPress był na bieżąco z najnowszą wersją. Jednym z najczęstszych zagrożeń dla bezpieczeństwa stron jest bowiem używanie przestarzałej wersji oprogramowania.

Aby ułatwić utrzymanie bezpieczeństwa, WordPress informuje o dostępnych aktualizacjach bezpośrednio w panelu administracyjnym. Gdy otrzymasz takie powiadomienie, koniecznie wykonaj kopię zapasową witryny na wypadek nieprzewidzianych problemów i natychmiast zaktualizuj system, aby chronić swoją stronę przed potencjalnymi zagrożeniami.

Ukryj wersję WordPressa

Domyślnie WordPress umieszcza w kodzie źródłowym stron i plików informacje o aktualnej wersji systemu. Problem pojawia się, gdy nie zawsze udaje się zaktualizować platformę na czas – może to stać się podatnym punktem dla potencjalnych ataków. Haker, znając wersję Twojego WordPressa, może wykorzystać znane luki i wyrządzić szkody na Twojej witrynie.

Aby zabezpieczyć się przed tym zagrożeniem, możesz ukryć numer wersji WordPressa za pomocą pliku functions.php. Wystarczy otworzyć plik funkcji w folderze bieżącego motywu (wp-content/themes/aktualny_motyw_wordpress) i dodać poniższy fragment kodu:

Dodatkowo, warto zajrzeć do pliku header.php w katalogu motywu, gdzie również może znajdować się informacja o wersji WordPressa. Aby usunąć tę informację, wystarczy pozbyć się następującego wiersza:

Te proste kroki pomogą Ci zwiększyć bezpieczeństwo Twojej strony, ukrywając informacje, które mogą być przydatne dla osób o złych zamiarach.

Pobieraj motywy i wtyczki z zaufanych zasobów

WordPress cieszy się tak dużą popularnością, że wielu programistów tworzy dedykowane motywy i wtyczki, które mogą znacznie ułatwić zarządzanie stroną oraz rozszerzyć jej funkcjonalność. Jednak niektóre z nich mogą nieść za sobą ryzyko, kryjąc złośliwe oprogramowanie, które otwiera hakerom dostęp do Twojej witryny.

Aby chronić się przed takimi zagrożeniami, zawsze pobieraj motywy i wtyczki z zaufanych źródeł, takich jak wordpress.org, i zwracaj uwagę na wszelkie ostrzeżenia dotyczące potencjalnie szkodliwych plików. Tak jak w przypadku samej platformy, równie istotne jest regularne aktualizowanie wtyczek do najnowszych wersji, co pozwoli uniknąć znanych luk bezpieczeństwa.

Korzystaj z wtyczek bezpieczeństwa

Jak już wspomnieliśmy wcześniej, ze względu na ogromną popularność WordPressa, istnieje wiele dedykowanych wtyczek, które pomagają w ochronie witryny. Wtyczki zabezpieczające można łatwo znaleźć w oficjalnym katalogu WordPressa: wordpress.org/plugins/tags/security. Warto przyjrzeć się bliżej kilku z nich, które wyróżniają się na tle innych.

Jedną z najczęściej wybieranych wtyczek do zabezpieczania witryn jest Wordfence Security. Oferuje kompleksową ochronę, w tym zaporę sieciową, skanowanie w poszukiwaniu złośliwego oprogramowania oraz monitoring prób logowania. Wordfence umożliwia również blokowanie adresów IP i monitorowanie ruchu na stronie w czasie rzeczywistym, co pozwala na szybkie reagowanie w przypadku podejrzanych działań.

Drugą popularną wtyczką jest iThemes Security, która koncentruje się na zabezpieczaniu luk często wykorzystywanych przez hakerów. iThemes oferuje różnorodne funkcje, takie jak zmiana adresu URL logowania, ograniczenie liczby prób logowania, a także monitorowanie zmian w plikach, co pomaga w wykrywaniu potencjalnych zagrożeń.

Obie te wtyczki mogą znacząco zwiększyć bezpieczeństwo Twojej witryny i warto rozważyć ich zainstalowanie, by skutecznie chronić się przed cyberatakami.

Nie przechowuj niepotrzebnych wtyczek

Nieaktywne wtyczki mogą stwarzać poważne zagrożenie dla bezpieczeństwa Twojej strony. Z tego powodu warto usuwać wszystkie rozszerzenia i motywy, których już nie używasz. Na przykład, jeśli zainstalowałeś kilka wtyczek WooCommerce, aby je przetestować i wybrać najlepszą dla siebie, nie zapomnij po zakończeniu testów usunąć pozostałych, niepotrzebnych rozszerzeń. Dzięki temu zminimalizujesz ryzyko związane z potencjalnymi lukami w zabezpieczeniach.

Regularnie skanuj swój komputer w poszukiwaniu wirusów

Zabezpieczanie witryny WordPress to ważny krok, ale nie można zapominać o ochronie samego komputera. Kluczowe jest posiadanie zainstalowanego i regularnie aktualizowanego programu antywirusowego. W przeciwnym razie istnieje ryzyko, że poprzez przesyłanie zainfekowanych plików, przypadkowo wprowadzisz wirusy na swoją stronę, narażając ją na atak.

Rób kopie zapasowe strony

Nawet przy najlepszych zabezpieczeniach nie da się w pełni uniknąć ryzyka ataku, a jeden skuteczny incydent może zniweczyć wszystkie wcześniejsze wysiłki. Dlatego kluczowym elementem ochrony witryny WordPress jest regularne tworzenie kopii zapasowych.

Wiele firm hostingowych oferuje automatyczne kopie zapasowe, które pozwalają na szybkie przywrócenie strony w razie awarii. Na przykład, niektóre hostingi wykonują kopie zapasowe co trzy dni. Oprócz tego warto samodzielnie tworzyć kopie zapasowe przed ważnymi aktualizacjami lub w określonych odstępach czasu.

Do tworzenia ręcznych kopii zapasowych świetnie nadają się wtyczki, takie jak Duplicator lub All In One WP Migration, które umożliwiają łatwe tworzenie kopii i ich przywracanie. Duplicator pozwala na eksport całej witryny do pliku, który można później przywrócić na dowolnym serwerze, natomiast All In One WP Migration oferuje prosty sposób na eksport i import całej witryny w kilka kliknięć.

Te narzędzia to niezawodne rozwiązania, które pomogą Ci szybko i bezproblemowo zabezpieczyć swoją witrynę w razie nieprzewidzianych zdarzeń.

Korzystaj z bezpiecznego połączenia

Jednym z prostych, ale skutecznych sposobów na zwiększenie bezpieczeństwa witryny WordPress jest korzystanie z bezpiecznego protokołu połączenia przy przesyłaniu plików na serwer. Jeśli preferujesz przesyłanie plików za pomocą klienta FTP, zaleca się korzystanie z protokołu SFTP (Secure File Transfer Protocol) zamiast standardowego FTP.

FTP, choć popularny, przesyła dane w formie niezaszyfrowanej, co naraża je na przechwycenie przez osoby trzecie. SFTP, z kolei, zapewnia dodatkową warstwę ochrony, szyfrując dane podczas ich przesyłania. To oznacza, że zarówno pliki, jak i dane uwierzytelniające, takie jak nazwa użytkownika i hasło, są zabezpieczone przed potencjalnymi atakami.

Aby korzystać z SFTP, upewnij się, że Twój hosting obsługuje ten protokół. Większość nowoczesnych usług hostingowych oferuje wsparcie dla SFTP, więc wystarczy skonfigurować swojego klienta FTP, takiego jak FileZilla, do połączenia przez ten bezpieczny protokół. W ustawieniach klienta wybierz protokół SFTP, wprowadź dane do logowania i połącz się bezpiecznie z serwerem.

Korzystanie z SFTP jest prostym, ale bardzo efektywnym krokiem, który znacząco zwiększa bezpieczeństwo Twojej witryny, minimalizując ryzyko przechwycenia danych podczas ich przesyłania.

Utwórz poprawny plik .htaccess

Plik .htaccess to kluczowy element konfiguracji serwera WWW, który znajduje się w głównym katalogu Twojej witryny. Jeśli jeszcze go nie masz, możesz go łatwo utworzyć za pomocą edytora tekstowego, pamiętając, że plik ten nie posiada rozszerzenia – wystarczy nazwać go .htaccess. Oto, jak wygląda podstawowy plik .htaccess dla WordPress:

Ważne, aby wszelkie zmiany wprowadzać po sekcji oznaczonej #END WordPress.

Dodając odpowiednie fragmenty kodu, możesz znacząco zwiększyć bezpieczeństwo swojej witryny. Oto kilka przydatnych kodów, które warto umieścić w pliku .htaccess:

1. Zabezpieczenie pliku wp-config.php

Plik wp-config.php zawiera kluczowe informacje, takie jak dane dostępu do bazy danych. Możesz zablokować dostęp do tego pliku, dodając poniższy kod:

2. Ochrona pliku .htaccess

Sam plik .htaccess również powinien być chroniony. Aby to zrobić, dodaj następujący kod:

3. Ograniczenie dostępu na podstawie adresu IP

Możesz zablokować dostęp do swojej witryny dla wybranych użytkowników na podstawie ich adresu IP. Wprowadź następujący kod, zamieniając X.X.X.X na adres IP, który chcesz zablokować:

Podobnie możesz ograniczyć dostęp do witryny tylko dla wybranych adresów IP:

4. Ograniczenie dostępu do panelu administracyjnego

Jeśli korzystasz ze statycznego adresu IP, możesz ograniczyć dostęp do panelu administracyjnego tylko dla siebie, dodając poniższy kod:

5. Wyłączenie śledzenia nagłówków HTTP

Aby wyłączyć śledzenie nagłówków HTTP, dodaj następujący kod:

6. Zabezpieczenie przed atakami SQL Injection

Aby ochronić witrynę przed najczęstszymi atakami typu SQL Injection, możesz dodać poniższy kod:

7. Uniemożliwienie przeglądania folderów

Aby zapobiec przeglądaniu zawartości katalogów na Twoim serwerze, dodaj poniższy kod:

Alternatywnie, możesz utworzyć pusty plik index.php w każdym katalogu, aby zapobiec wyświetlaniu jego zawartości.

8. Ochrona przed atakami XSS

Aby zabezpieczyć witrynę przed atakami XSS (Cross-Site Scripting), możesz dodać poniższy kod:

9. Zabezpieczenie przed hotlinkowaniem

Hotlinkowanie to nieautoryzowane wykorzystywanie zasobów graficznych Twojego serwera na innych stronach. Aby temu zapobiec, dodaj poniższy kod:

Powyższy kod sprawia, że zasoby graficzne będą wyświetlane tylko na Twojej witrynie, a w przypadku hotlinkowania użytkownik zobaczy obraz z błędem.

Stosowanie tych dodatkowych zabezpieczeń w pliku .htaccess pomoże w znacznej mierze chronić Twoją witrynę przed wieloma popularnymi zagrożeniami, minimalizując ryzyko ataków hakerskich.

Zmień prefiks tabeli bazy danych

W WordPress jednym z ważnych kroków, które mogą zwiększyć ochronę przed hakerami, jest zmiana domyślnego prefiksu bazy danych „wp_”. Utrudnia to atakującym odnalezienie struktury bazy danych i potencjalne próby włamania. Oto jak to zrobić:

Metoda 1: Zmiana prefiksu podczas instalacji WordPressa

Najlepszym momentem na zmianę prefiksu bazy danych jest już etap instalacji WordPressa. Zamiast korzystać z domyślnego „wp_”, warto od razu ustawić własny prefiks, np. „wms_”. Podczas instalacji, w odpowiednim polu, wpisz nowy prefiks, co zapewni większe bezpieczeństwo Twojej witryny od samego początku.

Metoda 2: Zmiana prefiksu w istniejącej instalacji WordPressa

Jeśli Twoja strona już działa i chcesz zmienić prefiks bazy danych, możesz to zrobić za pomocą phpMyAdmin. Poniżej opisane są kroki, które należy wykonać:

Zaloguj się do phpMyAdmin i wybierz bazę danych, której używa Twoja witryna.

Wykonaj następujące zapytania SQL, aby zmienić prefiks tabel z „wp_” na „wms_”:

Prefiks „wms_” jest tutaj przykładem nowego prefiksu, którego będziesz używać zamiast domyślnego „wp_”.

Następnie sprawdź, czy wszystkie prefiksy „wp_” zostały usunięte z tabel _options i _usermeta, wykonując poniższe zapytania:

Jeśli jakiekolwiek wpisy nadal zawierają prefiks „wp_”, musisz ręcznie zmienić te wartości na „wms_” za pomocą opcji „Zmień” w phpMyAdmin.

Na koniec, zaktualizuj plik wp-config.php, w którym znajduje się linijka:

Zmień ją na nowy prefiks, np.:

Alternatywne rozwiązanie: wtyczki

Jeśli nie czujesz się pewnie w pracy z phpMyAdmin, możesz skorzystać z wtyczek, które automatycznie zmieniają prefiks bazy danych, takich jak Brozzme DB Prefix & Tools Addons. To narzędzie uprości cały proces i zminimalizuje ryzyko błędów.

Zmiana domyślnego prefiksu bazy danych na inny, np. „wms_”, to prosty, ale skuteczny sposób na zwiększenie bezpieczeństwa Twojej witryny, chroniąc ją przed potencjalnymi atakami SQL injection.

Usuń pliki readme.html i license.txt

Pliki readme.html oraz license.txt, które znajdują się w głównym katalogu każdej instalacji WordPressa, mogą stanowić potencjalne zagrożenie dla bezpieczeństwa Twojej witryny. Choć te pliki nie są istotne z punktu widzenia użytkownika, mogą dostarczyć hakerom cennych informacji, takich jak aktualna wersja WordPressa, co może ułatwić im atak. Dlatego zaleca się, aby usunąć te pliki zaraz po zakończeniu instalacji WordPressa.

Koniecznie skorzystaj z certyfikatu SSL

Zabezpieczenie witryny WordPress poprzez włączenie protokołu SSL to absolutna konieczność, szczególnie jeśli chcesz chronić dane przesyłane między serwerem a użytkownikami odwiedzającymi stronę. SSL szyfruje komunikację, co jest niezbędne, zwłaszcza w przypadku sklepów internetowych, gdzie klienci nie tylko podają swoje dane osobowe, jak adres e-mail, ale również wrażliwe informacje dotyczące kart płatniczych.

Co mnie naprawdę dziwi, to fakt, że mimo iż posiadanie certyfikatu SSL jest już od dawna standardem, wielu właścicieli stron nadal go ignoruje. Bagatelizowanie tego aspektu może mieć poważne konsekwencje – brak SSL nie tylko naraża witrynę na cyberataki, ale także może odstraszać użytkowników, którzy dostrzegają, że witryna nie jest bezpieczna. Dodatkowo przeglądarki oznaczają strony bez SSL jako „niezabezpieczone”, co wpływa na wiarygodność strony w oczach odwiedzających.

Aby zabezpieczyć swoją witrynę, musisz najpierw kupić certyfikat SSL i zainstalować go na swojej domenie. Następnie warto wymusić użycie protokołu SSL podczas logowania do panelu administracyjnego WordPressa. W tym celu otwórz plik wp-config.php znajdujący się w katalogu głównym witryny i dodaj poniższy kod:

Takie podejście nie tylko zabezpieczy dane użytkowników, ale również poprawi pozycjonowanie Twojej witryny w wyszukiwarkach, ponieważ Google faworyzuje strony korzystające z protokołu SSL.

Chroń swoją witrynę certyfikatem SSL i nie trać klientów!

85% użytkowników nie dokona zakupu poprzez stronę internetową, jeśli nie będą pewni, że ich dane są przesyłane bezpiecznie.

Zmień plik wp-config.php

Dodając kilka prostych zmian do pliku wp-config.php, możesz dodatkowo zabezpieczyć swoją witrynę WordPress. Oto kilka sposobów, jak wzmocnić ochronę strony:

1. Ograniczenie możliwości edycji motywów i wtyczek:

Dodając poniższy kod, uniemożliwisz bezpośrednią edycję plików motywów i wtyczek z poziomu panelu administracyjnego WordPress:

2. Wyłączenie instalacji i usuwania wtyczek:

Jeśli chcesz całkowicie zablokować możliwość instalacji i usuwania wtyczek, możesz dodać następujący kod:

3. Dodanie kluczy bezpieczeństwa (tzw. klucze soli):

Klucze bezpieczeństwa, znane jako „salt keys”, zwiększają ochronę danych przechowywanych w plikach cookies użytkowników. Aby je dodać lub zaktualizować, znajdź w pliku wp-config.php następujące linie:

Jeżeli widzisz takie linie, oznacza to, że klucze jeszcze nie zostały ustawione. Aby wygenerować nowe klucze bezpieczeństwa, odwiedź stronę: api.wordpress.org/secret-key/1.1/salt/, skopiuj wygenerowany kod i wklej go w odpowiednie miejsce w pliku wp-config.php.

Te klucze są niezwykle ważne, ponieważ znacząco utrudniają złamanie haseł użytkowników i zabezpieczają dane w plikach cookies przed nieautoryzowanym dostępem. Dodanie ich do pliku konfiguracyjnego zwiększa ogólne bezpieczeństwo Twojej witryny WordPress.

Podsumowanie

Podsumowując, ochrona witryny WordPress wymaga zastosowania szeregu sprawdzonych metod, które mogą znacząco zwiększyć jej bezpieczeństwo. Wprowadzenie protokołu SSL, zmiana domyślnego prefiksu bazy danych, regularne tworzenie kopii zapasowych oraz korzystanie z bezpiecznych połączeń SFTP to tylko niektóre z kluczowych kroków, które powinien wdrożyć każdy właściciel strony. Dodatkowo, modyfikacja pliku .htaccess oraz dodanie kluczy soli w pliku wp-config.php to kolejne działania, które skutecznie utrudnią życie potencjalnym hakerom.

Oczywistym jest jednak, że jeśli ktoś nie jest pewien, jak prawidłowo zabezpieczyć swoją stronę, lepiej nie ryzykować i oddać to zadanie specjaliście. Błędnie wykonane działania mogą bowiem wyrządzić więcej szkody niż pożytku. Jeśli potrzebujesz pomocy w zabezpieczeniu swojej witryny WordPress, zapraszam do kontaktu – chętnie zajmę się ochroną Twojej strony.

Podziel się swoją opinią
Paweł Deluga
Paweł Deluga

Ekspert ds. bezpieczeństwa stron internetowych. Skuteczny Marketing Online

Artykuły: 111

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *