Po ostatniej aktualizacji WordPressa wiele blogów padło ofiarą hackerów. Powodem był luka, jaką zostawili programiści. Oczywiście równie szybko została wykryta i na szczęście naprawiona. Niesmak jednak pozostał, bo szerokim echem rozeszły się komentarze wkurzonych właścicieli stron.
Dostałam kilkanaście pytań o to, jak zabezpieczyć bloga przed włamaniem i atakami. Dzisiejszy odcinek WordPress Tips będzie dość nietypowy, bo bez filmu, za to z opisem 🙂
Jest kilka żelaznych punktów dotyczących zabezpieczenia naszego bloga, stosując się do nich mamy wielkie szanse uniknięcia lub przynajmniej utrudnienia, a w dalszym kroku zniechęcenia do włamania do naszego bloga.
# 1 hosting
Dobrej jakości hosting, który zabezpiecza swoje serwery. Tu nic więcej nie da się napisać. Dobra jakość wszystko mówi.
#2 podwójne logowanie
Ustawienie podwójnego logowania do panelu administratora WordPressa sprawia, że mniej rozeznani Userzy zgłaszają problem, bo nie mogą się zalogować. Podwójna autoryzacja psuje szyki robotom i robakom, bo odmiennie ustawione loginy i hasła wymagają większego wysiłku.
#3 zmiana admina
W domyślnych instalacjach WordPressa administrator to po prostu admin. Pamiętaj, żeby podczas instalowania zmienić tę nazwę na jakąś konkretną nazwę albo losowo wybrane znaki.
#4 trudne hasło
Hasła typu kotek1234 są bardzo oczywiste i łatwe do złamania. WordPress daje możliwość wygenerowania trudnego i złożonego z kombinacji wielu znaków hasła. Wiem, trudno je spamiętać, ale można je zapisać – bez wskazywania, czego dotyczy.
#5 nadanie uprawnień
Zarządzać blogiem możesz jako administrator, ale wpisy umieszczaj jako redaktor. Takie rozdzielenie, a co za tym idzie dwa dostępy również poprawiają bezpieczeństwo. Przecież najczęściej logujesz się po to, żeby opublikować nowy wpis.
#6 zablokowanie subskrypcji
Jeśli nie prowadzisz sprzedaży, jeśli dostęp do treści Twojego bloga nie wymaga od czytelnika logowania się, zablokuj domyślnie ustawioną opcję z możliwością zakładania konta. Będąc zalogowanym w panelu administratora swojego WordPressa wyszukaj w lewym menu zakładkę Ustawienia/ Ogólne. Wyszukaj pole Członkowstwo i odznacz checboks. Zapisz i tyle.
#7 aktualizacje
Pamiętaj o aktualizacjach. Aktualizacjach samego WordPressa, wszystkich posiadanych przez Ciebie wtyczek i motywów. O tym, że powinny to być wtyczki i motywy z zaufanego źródła, nie muszę chyba przypominać 😉
#8 ograniczenie prób logowania
Instalując WordPressa możesz skorzystać z dodatkowego zabezpieczenia oferowanego przez Twórców. Wystarczy, że podczas instalacji (zresztą później również możesz z tego skorzystać) ustawisz zaznaczony radiobutton przy polu Tak, ustaw limit nieudanych prób logowania – jest to zresztą zalecane ustawienie.
#9 kopia zapasowa
O kopii zapasowej wspominałam nie tak dawno, bo w poprzednim WordPress Tips. Zajrzyjcie i zobaczcie, jak ją przygotować. Dlaczego jest tak potrzebna? Wystarczy, żeby po aktualizacji coś poszło nie tak i mamy co przywrócić. Ot, takie zabezpieczenie na wszelki wypadek.
#10 skaner
Dodatkowym zabezpieczeniem strony mogą być również wtyczki, które mają za zadanie wspomóc naszą walkę z hackerami. Mamy wtyczki antywirusowe, antywłamaniowe i inne. Niestety, są to kombajny dość mocno obciążające pracę WordPressa, a co za tym idzie czas jego wczytywania się.
Stosując się dziewięciu z tej top 10 listy zabezpieczasz swojego bloga przed hackerskim włamaniem. Nie ma 100% sposobu, bo jeśli ktoś się uprze to i tak się włamie, możesz jednak mocno utrudnić mu życie. Daj znać, czy wpłynęłam w jakimś stopniu na dotychczasowe ustawienia Twojego bloga, podziel się ze mną swoją opinią 🙂
Pozdrawiam,