Bezpieczeństwo WordPressa

Spis treści

Jak dbać o bezpieczeństwo WordPressa?

Bezpieczeństwo WordPress’a to podstawa. Niezabezpieczony WordPress może ulec włamaniu. Częsta praktyką po włamaniu na stronę jest podmiana jej treści i dodanie wielu setek lub tysięcy nowych podstron w celu pozyskiwania i przekierowywania ruchu z Google do spamerskich stron. To może mocno nadszarpnąć reputację Twojej domeny i doprowadzić do jej całkowitego wykluczenia z indeksu. Do takiej sytuacji nie można dopuścić. Gdyby tak się stało to należy jak najszybciej naprawić stronę i zgłosić stronę do manualne rozpatrzenia w Google Search Console. 

Oto, co musisz zrobić, aby Twoja strona była względnie bezpieczna.

  • Regularnie aktualizuj – Aktualizuj system WordPress, wtyczki i motywy. Stare wersje to ryzyko bezpieczeństwa.
  • Używaj silnych haseł – Twoje hasło musi być skomplikowane. Używaj dużych i małych liter, cyfr, symboli. Silne hasło możesz wygenerować na https://www.lastpass.com/features/password-generator
  • Twórz regularnie kopie zapasowe – Zabezpiecz się przed utratą danych. Najbezpieczniejszą i najmniej inwazyjną formą są regularne backupy serwerowe. Możesz używać też wtyczek do backupu, np. UpdraftPlus.
  • Monitoruj swoją stronę – Używaj narzędzi do monitorowania, np. DiagnoSEO Website Monitoring lub Sucuri, aby szybko reagować na zagrożenia.
  • Używaj połączenia HTTPS – SSL/TLS zabezpiecza dane przesyłane pomiędzy użytkownikiem a stroną. Google też to lubi.
  • Używaj wtyczek i szablonów od zaufanych deweloperów – błędnie napisane wtyczki lub szablony są jedną z najczęstszych przyczyn włamań.
  • Wyłączenie edycji plików w dashboardzie – to zmniejsza ryzyko, jeśli ktoś niepowołany zdobędzie dostęp do panelu do WordPress’a, ale nie do FTP. Można to łatwo zrobić dodając define( 'DISALLOW_FILE_EDIT’, true ); do wpliku wp-config.php
  • Użyj opcji “Remove meta generator tag” w pluginie DiagnoSEO Pro w sekcji “Performance settings” – Usunięcie tagu meta generatora z kodu strony utrudnia identyfikację wersji WordPressa, co może pomóc w ochronie przed atakami.

W większości przypadków powyższe praktyki są wystarczające jednak możesz rozważyć także wdrożenie rozszerzonych praktyk bezpieczeństwa, które obejmują takie kwestie jak:

  • Instalacja wtyczki dot. bezpieczeństwa – Wtyczki takie jak Sucuri Security, Wordfence lub iThemes Security chronią przed atakami.
  • Włączenie uwierzytelniania dwuskładnikowego – To dodatkowa warstwa ochrony. Nawet jeśli hasło wycieknie, dostęp będzie zablokowany. Przykładowy plugin rozszerzający WP o taką funkcjonalność: https://wordpress.org/plugins/two-factor/ 
  • Dodanie captch’y przy logowaniu – to zablokuje m.in. boty wykorzystujące ataki na popularne lub łatwe hasła. https://wordpress.org/plugins/wordfence-login-security/ (plugin obejmuje także uwierzytelnianie dwuskładnikowe)
  • Zabezpieczenie plik’u wp-config.php – To serce WordPress’a. Przenieś go poza katalog publiczny lub zabezpiecz dostęp.

Pamiętaj jednak, że dodatkowe wtyczki mogą spowolnić WordPress’a lub nawet same w sobie zawierać luki bezpieczeństwa.

Bezpieczeństwo to proces. Regularnie sprawdzaj i zaktualizuj swoje środki ochrony. Lepiej zapobiegać, niż leczyć.

Jak wykryć włamanie do WordPressa

Każde włamanie może być inne, a niektóre mogą nie być łatwe do wykrycia, ponieważ włamywacze często maskują włamanie, tak aby z pozoru strona wyglądała bez zmian w przeglądarce. Strona po włamaniu ma zwykle zaimplementowany cloaking dla Google. Tzn. że gdy robot indeksujący stronę (Googlebot) wchodzi na stronę to widzi inną treść niż użytkownik. 

Jak wykryć tego typu włamanie:

  1. Wpisz w wyszukiwarce Google zapytanie site:nazwadomeny, np. site:example.com
    Sprawdź zaindeksowane podstrony. Czy wszystkie wyglądają w porządku?

W narzędziu DiagnoSEO HTTP Request wpisz URL Twojej strony oraz zaznacz opcję “Compare with Googlebot”. Jeśli kod źródłowy strony dla Googlebota jest inny niż strony dla użytkownika korzystające z przeglądarki to może oznaczać, że strona stosuje cloaking. W niektórych stronach kod źródłowy zmienia się lekko przy każdym przeładowaniu strony dlatego różnice w kodzie strony nie zawsze muszą oznaczać cloaking.