Z racji tego, że WordPress jest najbardziej popularnym systemem CMS na świecie, jest on również najczęściej wybierany jako cel ataków hakerskich. Co prawda istnieje kilka poradników jak zabezpieczyć zaplecze WordPress a także sporo kompleksowych rozwiązań w postaci wtyczek, ale nie koniecznie są one najlepszym rozwiązaniem. Wtyczki typu WordFence potrafią mocno spowolnić stronę a i one również przepuszczają hakerów. Dziś skupię się na elementarnych podstawach bezpieczeństwa, które powinny Ci wejść w krew, jeśli budujesz strony na WordPress.

Jak zabezpieczyć zaplecze WordPress

1) Nigdy nie zostawiaj domyślnej nazwy użytkownika (admin)

Przy każdej nowej instalacji WordPress podpowiada nazwę użytkownika ‘admin’ i prosi jedynie o stworzenie silnego hasła. Jeśli zostawisz domyślny login, włamujący są już w połowie sukcesu. Nie muszą zgadywać loginu admina – wystarczy tylko odgadnąć hasło.

Jeśli jesteśmy już przy haśle, to ono też powinno być trudne i unikalne. Najlepiej złożone z małych i dużych liter, cyfr i znaków specjalnych. Nigdy nie używaj tego samego hasła kilka razy. Jeśli masz problemy z ich zapamiętaniem, skorzystaj z menedżera haseł.

2) Zabezpiecz folder wp-admin na serwerze hasłem

Wszystkie najważniejsze pliki administracyjne WordPress znajdują się w folderze wp-admin. Nikt z zewnątrz nie powinien mieć do nich dostępu. Poza zwykłym oknem logowania do zaplecza (wywoływanym z pliku znajdującego się we wspomnianym folderze), możesz wymusić podanie dodatkowego hasła do katalogu.

Sprawa zabezpieczenia jest prosta i wymaga jedynie kilku kliknięć w panelu zarządzania hostingiem. Pokażę Ci jak to zrobić w CyberFolks, ponieważ sam posiadam tam swoje strony. Panele różnych hostingów różnią się od siebie, ale zasada postępowania będzie podobna.

Po zalogowaniu się do Panelu Admina i wybraniu domeny, odszukaj linku ‘Katalogi zabezpieczone hasłem’ w sekcji ‘Bezpieczeństwo’. 

Kliknij przycisk ‘Dodaj nowy katalog +’

Przeczytaj uważnie komunikat i kliknij ‘OK’. Zobaczysz listę katalogów na serwerze przypisanych do Twojej domeny. Odszukaj na liście folderu ‘wp-admin’ i kliknij ikonę kłódki. 

W ostatnim widoku ustaw komunikat jaki pojawi się przy próbie logowania się do zaplecza WordPress, zostaw wygenerowany login, wygeneruj trudne hasło, zaznacz ptaszkiem pole włączające zabezpieczenia i kliknij ‘Utwórz +’. Warto przy tym zapoznać się z dobrymi praktykami zakładania hasła.

Od tego momentu przy każdej próbie otwarcia strony logowania twojastrona.pl/wp-admin, przeglądarka zapyta Cię najpierw o login i hasło pozwalające na uruchomienie skryptu wyświetlającego Panel Logowania do zaplecza WordPress.

3) Ogranicz ilość błędnych prób logowania

Ostatnią z tych prostych czynności które powinieneś zawsze wykonać jest ograniczenie błędnych prób logowania. Domyślnie WordPress nie ogranicza ilości możliwych błędnych prób logowania. Oznacza to, że atakujący może w nieskończoność bombardować Twoją stroną próbami odgadnięcia hasła. Wszystko odbywa się oczywiście za pomocą automatycznych skryptów. Nikt nie robi tego ręcznie 😉

W tym celu polecam prostą acz potężną wtyczkę “Limit Login Attempts Reloaded” z repozytorium WordPress.

Po jej zainstalowaniu i włączeniu przejdź do zakładki Limit Login Attempts -> Ustawienia. Skonfiguruj na jaki adres e-mail chcesz otrzymywać powiadomienia o nieudanych próbach i przyjrzyj się pozycji “Lokalna aplikacja”. Tłumaczenie nie jest szczęśliwe, ale odnosi się do głównego panelu logowania WordPress. Możesz zaostrzyć wymagania wpisując wartości jak poniżej.

Warto również przyjrzeć się karcie “Dzienniki”. Znajdziesz tam nie tylko listę wszystkich nieudanych prób logowania, ale także możliwość ustawienia własnych nazw użytkownika lub IP, które mają być automatycznie blokowane już od pierwszej próby.

Podsumowanie

Kompleksowe zabezpieczenie strony jest trudne i czasochłonne, ale podstawowe kroki powinny być podjęte niezwłocznie po każdej nowej instalacji WordPress. Zmniejszą ryzyko włamania i sprawię, że Twoja strona będzie choć odrobinę bezpieczniejsza. Zagadnienie bezpieczeństwa jest znacznie szersze, ale te fundamentalne cegiełki to największa podstawa. Warto o nie zadbać.