W dobie dzisiejszego świata IT włamanie się na stronę www nie jest niczym trudnym. Dla wprawionych hakerów komputerowym wykradzenie hasła do Twojej strony nie stanowi większego problemu jeśli niedostatecznie dbasz o jej bezpieczeństwo. Dziś pokażę Ci kilka prostych zabiegów, które poprawią jakość zabezpieczeń w Twoim wordpressie.

1. Primo ultimo

Zadbaj o jakość i różnorodność haseł do wszystkich kont online. Wybór tego samego hasła do większości kont, które używasz to stanowczo zła decyzja i czas ją zmienić! Nie dopuść do tego by Twoje konto email miało takie samo hasło jak jakiekolwiek inne Twoje konto np. hasło do wordpress’a lub facebook’a. Najlepsze hasła to te, które nie są zbyt krótkie, zawierają małe i duże litery, cyfry, a także znaki specjalne. Idealne hasło powinno mieć około 20/30 znaków,warto również zainteresować się u2f, który można kupić lub skorzystać z gotowego narzędzia google – google authenticator. Ważnym zabiegiem jest również częstotliwość zmieniania hasła. Tak – hasło należy zmieniać co jakiś czas. Trudno określić konkretny okres, według mnie comiesięczna zmiana hasła, zapewnia dużo lepsze poczucie bezpieczeństwa. Pamiętaj też, aby nigdy nikomu nie podawać swojego hasła oraz aby nie korzystać z automatycznego generowania haseł – lepiej wymyślać własne, które są skomplikowane.

2. Secondo – aktualizuj, aktualizuj, aktualizuj

I jeszcze raz aktualizuj! Aby być gotowym na stanięcie oko w oko z atakiem hakerskim musisz mieć zaktualizowane oprogramowanie jakiego używasz. Zadbaj o to aby Twój wordpress był zawsze w najbardziej aktualnej wersji i jego wtyczki również. Musisz dbać aby wszystkie widgety jakich używasz były zawsze zaktualizowane. Pamiętaj jednak o tym, że jeśli wprowadzasz jakieś zmiany ręcznie w kodzie wtyczki (np. jej wygląd) zostaną one nadpisane przez aktualizację, tak więc nieodwracalnie je utracisz. Dlatego warto robić sobie notatki co i gdzie zmieniasz, a także mieć kopię zapasową tych zmian. Trzeba również wspomnieć, że jeśli nie używasz jakiś wtyczek bądź motywów na swoim wordpressie to warto je z niego usunąć. Wyłączenie wtyczki niestety nie załatwia sprawy – należy ją skasować.

3. Login administratora

Najczęściej używana nazwa użytkowników wordpressa? Odpowiedź brzmi – admin. Starajmy się nie używać tej nazwy, w ten sposób otwieramy pierwsze drzwi na atak naszej witryny, teraz dla hakera zostało wykraść lub rozszyfrować hasło i gotowe, będzie miał pewnie dostęp do Twojej poczty, facebook’a i konta bankowego jeżeli używasz tego samego hasła.

4. Używaj certyfikatu SSL

O certyfikatach SSL było już w poprzednim poście. Dodamy tylko, że nie musisz koniecznie używać płatnych rozwiązań, na rynku dostępne są również darmowe certyfikaty SSL, które również pomagają chronić się przed szkodliwym oprogramowaniem. Ważne jest natomiast aby ten certyfikat w ogóle posiadać.

5.  Zainstaluj Disable WP REST API widget

Wtyczka ta odpowiada za wyłączenie WP REST API dla gości, którzy nie są zalogowani w WordPress. Nie wymaga żadnej dodatkowej konfiguracji, instalujesz, aktywujesz i gotowe! Pojawia się pewnie pytanie czymże jest to REST API, a wiec wyjaśniam: API – Interfejs programistyczny, który określa sposób komunikacji pomiędzy różnymi elementami programowania, natomiast REST to standard określający zasady projektowania API, tak wiem, że to wydaje się być skomplikowane dlatego dla bardziej zainteresowanych tematem polecam to video. REST API może pobierać listę wszystkich aktywnych użytkowników naszej strony. Jeśli chcemy zabezpieczyć się przed tą i innymi kradzieżami lepiej zainstalować wtyczkę, która nam tą opcję wyłączy, gdyż włączona jest ona domyślnie w każdej aplikacji wordpress.

6. Wyłącz listowania plików

Częstym błędem jest nie wyłączenie listowania plików. Co to znaczy? To oznacza że po wpisaniu w pasek przeglądarki adresu twojanazwa.pl/wp-includes/ można zobaczyć zawartość Twoich plików i bez problemu je przechwycić. Jak wyłączyć listowanie? To proste! Wystarczy w pliku .htaccess dodać poniższy zapis: Options -Indexes

7. Zatrudnij inspektora

Dodatkowo możesz zainstalować w swoim wordpressie taką wtyczkę jak Plugin Inspector. Jest to fajne rozwiązanie, które złoży Ci dokładny raport na temat zainstalowanych przez Ciebie wtyczek, a także poinformuje Cie czy są dla Ciebie bezpieczne.