Ochrona strony opartej na WordPress

W obszarze darmowych CMS WordPress jest niekwestionowanym liderem. Na tej platformie zbudowanych jest ponad 25 proc. stron w Internecie. WordPress jest bardzo łatwy w obsłudze i  bardzo dobry do rozbudowy, a w sieci funkcjonuje wiele wtyczek, dzięki którym jego możliwości znacznie się zwiększają. Pozostaje jednak sprawa bezpieczeństwa utworzonej strony. Oto niektóre sposoby na ochronę strony utworzonej w WordPress.

E-mail jako login

Logując się na stronie podajemy swoją nazwę użytkownika. Najpowszechniej stosowana nazwa „Admin” jest oczywiście mało bezpieczna. Można natomiast wykorzystać wtyczkę WP Email Login. Po jej zainstalowaniu nazwa „Admin” zostanie automatycznie zamieniona na przypisany adres e-mailowy. Po zakończeniu instalacji należy wylogować się ze strony i zalogować ponownie za pomocą tego adresu.

Jeśli nie chcemy udostępniać loginów użytkowników to powinniśmy zablokować enumerowanie użytkowników oraz do pliku .htaccess  dodajemy

<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* http://www.example.com/? [L,R=302]

RewriteCond %{QUERY_STRING} ^static=([0-9]*)
RewriteRule .* https://www.solveit.pl/? [L,R=302]
</IfModule>

W miejscu www.example.com dodajemy adres swojej witryny.

Silne hasło

Oprócz adresu e-mail jako loginu należy wymyślić hasło, które utrudni hakerom włamanie. Hasło jest silne, jeżeli:

• Zawiera wielkie i małe litery, cyfry oraz znaki specjalne: %,&,*, itp.
• Składa się z minimum 16 znaków, uszeregowanych w określony, unikatowy sposób
• Jest przypisany tylko do jednego serwisu.

Tworząc sekwencję znaków dla hasła, należy wystrzegać się odwzorowania układu klawiatury, np. qwerty, asdfgh, zxcvbn czy odwrotnie – ][poiuytrewq, a nawet ukośnie w dół i w górę – 9ijnbhu8. Tego typu hasła są bez trudu łamane przez hakerów.

Dwustopniowa autoryzacja

Jest to skuteczna metoda zabezpieczenia panelu administracyjnego (2FA). Wymaga użycia w panelu logowania nie tylko loginu i hasła, ale także pewnej informacji, znanej wyłącznie zaufanemu użytkownikowi, np. token. Do uruchomienia 2FA trzeba zainstalować wtyczkę Google Authenticator. Należy ją zainstalować również na smartfonie, gdzie będzie wyświetlany token przy każdorazowym logowaniu do strony.

Blokada przy nieudanym logowaniu

Można zabezpieczyć stronę przed atakiem hakerów za pomocą wtyczki iThemes Security. Przy jej instalowaniu określamy liczbę nieudanych prób logowania, po których adres IP hakera zostanie zablokowany, a my otrzymamy powiadomienie o próbie włamania. Wtyczka ma opinię jednej z najlepszych, przeznaczonych do ochrony stron w WordPress.

Usunięcie numeru wersji WordPress

Numer ten jest widoczny w kodzie źródłowym strony. Znajomość numeru wersji sprzyja jej zaatakowaniu. Można ten numer usunąć, wklejając do pliku functions.php poniższy fragment kodu:

function remove_generator_filter() {

return ”;

}

if ( function_exists( ‘add_filter’ ) ) {

$types = array( ‘html’, ‘xhtml’, ‘atom’, ‘rss2’, ‘comment’, ‘export’ );

foreach ( $types as $type ) {

add_filter( ‘get_the_generator_’ . $type, ‘remove_generator_filter’ );

}

}

function vc_remove_wp_ver_css_js( $src ) {

if ( strpos( $src, ‘ver=’ ) )

$src = remove_query_arg( ‘ver’, $src );

return $src;

}

add_filter( ‘style_loader_src’, ‘vc_remove_wp_ver_css_js’, 9999 );

add_filter( ‘script_loader_src’, ‘vc_remove_wp_ver_css_js’, 9999 );

Od tej pory numer nie będzie już widoczny.

Zastosowanie SSL

Zacznijmy od protokołu http, który nie był projektowany z myślą o bezpieczeństwie., przez co atakujący jest w stanie podglądać oraz modyfikować całą transmisję danych. Dlatego istotnym jest używanie wersji HTTPS, czyli inaczej tunelowania protokołu http w SSL/TLS. Protokół Secure Socket Layer znacznie zwiększa bezpieczeństwo strony poprzez ochronę transferu danych pomiędzy przeglądarką, z jakiej korzysta użytkownik, a serwerem. Uniemożliwi to, a na pewno utrudni hakerom zerwanie połączenia bądź przekazywanie fałszywych danych.

Ochrona pliku wp-config.php

Jest to najważniejszy plik w katalogu głównym strony. Zawiera podstawowe informacje na temat instalacji WordPress i uczynienie go niedostępnym sprawi, że złamanie zabezpieczeń będzie dla hakerów bardzo utrudnione.

Wystarczy plik wp-config.php przenieść z poziomu katalogu głównego na wyższy. WordPress jest tak zbudowany, że ustawienia tego pliku znajdują się na pierwszym miejscu listy priorytetów, dlatego mimo przeniesienia na wyższy poziom plik ten będzie widziany przez system.

Wyłączenie rejestracji użytkowników

Nie ma potrzeby, aby użytkownicy zakładali konta w serwisie, jeżeli nie jest to np. sklep internetowy. Można umożliwić komentowanie bez rejestracji lub użyć wtyczki Facebooka.

Wyłączyć opcję rejestracji można z poziomu ustawień WordPress. Wystarczy wejść w Ustawienia -> Ogólne i przy polu Członkostwo odznaczyć pole: Każdy może się zarejestrować.

Tworzenie kopii zapasowych

Backup jest czynnością, która powinna być wykonywana nawykowo. Kopia zapasowa zawsze się przyda, kiedy hakerzy włamią się do naszego serwisu i zainfekują pliki. Wprawdzie dostawcy hostingu wykonują kopie zapasowe, ale czas ich przechowywania jest ograniczony i przywrócenie z kopii hostingowej może być niemożliwe.

Wykonując kopię zapasową możemy przywrócić dowolną kopię serwisu, posiadać dowolną liczbę wersji WordPress, tworzyć kopie w wielu różnych lokalizacjach z natychmiastowym dostępem. Do tworzenia backupów WordPress przeznaczone są różne wtyczki, spośród których można wybrać optymalną dla siebie. Wystarczy wejść na stronę https://wordpress.org/plugins/search/backup/.

Autor: Konrad Bielawski, specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.