Bezpieczeństwo WordPress – wersja podstawowa

Bezpieczeństwo WordPress – wersja podstawowa

Dzisiaj podejmiemy temat, jakim jest:

Bezpieczeństwo WordPress

w wersji podstawowej, ponieważ niektóre z czynności powinni zrobić użytkownicy zaawansowani (np. obsługa techniczna stron, hosting).

bezpieczeństwo wordpress 2019
bezpieczeństwo wordpress 2019

Czytając artykuł dowiemy się, że z WordPressa korzystają miliony użytkowników i firm.  Jeśli mamy zabezpieczone dobrze komputery, chronimy swoje dane, jesteśmy czujni, to wszystko to może nie wystarczyć. Aby dobrze zabezpieczyć naszą stronę internetową musimy spojrzeć na temat jej bezpieczeństwa z innej strony.

 

Jak już wspomniałem, WordPress jest bardzo popularny, dlatego stwarza to także bardzo ogromną chęć włamań na strony oparte o ten system. Rozróżniamy kilka sposobów włamania:

  • brak zabezpieczonej wtyczki, motywu lub złe ustawienia na prawa plików/katalogów,

  • słabe hasło do konta administracyjnego,

  • brak aktualizacji silnika WordPress, wtyczek i motywów.

 

Zaskakujące jest, że, według serwisu W3Techs.com, z WordPress korzysta 60,8% wszystkich stron internetowych, których system zarządzania treścią znamy. To 34,1% wszystkich stron internetowych.
Jednak bardzo smutne jest to, że ze wszystkich 100% stron 41.7% jest w wersji 4.x czyli można to odczytać, że nie są one aktualizowane na bieżąco, a co za tym idzie bardzo podatne na ataki.
W maju 2019 roku podatne na ataki były wtyczki WP Live Chat Support , w listopadzie 2018 WP GDPR Compliance.

 

Użycie WordPress-a na świecie.

Wiele popularnych stron internetowych, takich jak TechCrunch, The New Yorker, People, Variety i TED, używa WordPress. WordPress.org oferuje ponad 50 000 wtyczek i ponad 3500 motywów na licencji GPL. WordPress jest dostępny w 57 językach.

W momencie pisania artykułu tego artykułu wersję WordPress 5.2 został pobrany 36,086,883. Dla porównania 7 maja 2019 r. było to 30,692,479. 11 tygodni, 5 394 404. Tygodniowo ponad 490 tysięcy. Dziennie? 70 057.
Źródło: https://wordpress.org/download/counter/

To są dobre wiadomości, bo wliczają się tutaj także aktualizacje z np. 5.1 i starszych wersji. O upgradzie wersji powiemy później.

Ilu ludzi czyta blogi? Ponad 409 milionów osób przegląda ponad 20 miliardów stron każdego miesiąca.
Ile jest publikowanych postów? Użytkownicy produkują około 70 milionów nowych postów i 77 milionów nowych komentarzy każdego miesiąca.
Źródło: – https://wordpress.com/activity/

 

Słowo kluczowe „WordPress” jest wyszukiwane około 2,8 miliona razy w miesiącu. [42]. Około 19 500 000 stron w całej sieci korzysta z WordPress.
50-60% to udział WordPress w globalnym rynku CMS – co czyni go najpopularniejszym systemem CMS wśród nich wszystkich już siódmy rok z rzędu.
New York Observer, New York Post, TED, Thought Catalogue, Williams, USA Dzisiaj, CNN, Fortune.com, TIME.com, National Post, Spotify, TechCrunch, CBS Local, NBC i więcej, wszyscy używają WordPress.

WordPress jest najszybciej rozwijającym się systemem CMS, z około 500+ nowymi witrynami tworzonymi codziennie w 10 milionach witryn w sieci (w porównaniu z 60-80 Shopify i Squarespace).

WordPress zasila 14,7% 100 najlepszych stron na świecie.
17 postów publikowanych jest co sekundę na stronach WordPress na całym świecie.
37 milionów globalnych wyszukiwań Google dla „WordPress” odbywa się miesięcznie.
Źródło: https://www.codeinwp.com/blog/wordpress-statistics/

 

Robisz na własną rękę 😉

Warto wspomnieć, że nie biorę odpowiedzialności za Twoje działania. Jednak pamiętaj, że zalecenia opisuję na  tej stronie POWINNY być wykonane na Twojej stronie.

Dodatkowo prezentuję tutaj dużo wtyczek. Warto zaznajomić się z ich funkcjami. Przy okazji wspomnę, że NADMIAR wtyczek zawsze stanowi dłuższe ładowanie strony i często więcej dodatkowego kodu na stronie, czego roboty Google nie lubią 🙂
Wiadomo, coś za coś 😉

 

Kopia bezpieczeństwa

Kwestią podstawową, przed wszystkimi poniższymi czynnościami, należy wykonać kopię bezpieczeństwa:

  1. zrobić koniecznie backup bazy danych i plików (przykład zaczerpnięty z hostingu zenbox):

    Eksport bazy poprzez phpMyAdmin – https://pomoc.zenbox.pl/pl/kb/articles/eksport-bazy-poprzez-phpmyadmin

    Konfiguracja połączenia FTP w programie FileZilla – https://pomoc.zenbox.pl/pl/kb/articles/konfiguracja-po-czenia-ftp-w-programie-filezilla

  2. Można zrobić za pomocą wtyczki: Jak zrobić backup WordPress

  3. Przy okazji ustawić automatyczne tworzenie kopii bezpieczeństwa z panelu klienta w swoim hostingu. Należy się też dowiedzieć jaki okres wstecz hosting jest w stanie nam odtworzyć naszą stronę internetową i bazę danych.

Zabezpieczamy WordPressa — wersja dla początkujących.

1. Dla konta administracyjnego nie używamy loginu o nazwie ,,admin”. Utwórz inne konto administracyjne, z nazwą np. ,,30uxHJ78” , a stare ,,admin” skasuj.
Oraz koniecznie użyj silnego hasła do konta administracyjnego.
Jak utworzyć silne hasło ?
Otwórz swoją ulubioną książkę na konkretnej stronie i zacznij czytać:
Babcia Genowefa bardzo lubiła kiedy jej wnuczka, lat 3, ciągle się uśmiechała się.

Hasło: BGblkjw,l3,csus
Nie używaj polskich liter w hasłach 🙂

Do zapamiętania hasła wystarczy Ci nazwa książki i numer strony 😉

 

2. Sprawdź, czy Twój adres e-mail do konta administracyjnego jest INNY NIŻ DOMENA na której ,,stoi” strona internetowa. Oraz czy masz dostęp do tego adresu e-mail?
Często zdarza się tak, że może stać się coś z hostingiem, robisz coś z cesją domeny — wtedy warto, aby adres mail do konta administracyjnego był inny niż adres strony internetowej.

 

3. Sprawdź stan swojej witryny. Wejdź w Kokpit -> Admin -> Narzędzia -> Stan witryny.
Albo wpisz bezpośredni URL:

http://NAZWATWOJEJDOMENY.pl/wp-admin/site-health.php

Sprawdzanie chwilę trwa, więc nie odświeżaj strony.

Wynik powinien być podobny do tego:

Twój WordPress działa poprawnie;
Korzystasz z aktualnych wtyczek i motywów;
Konfiguracja Twojego serwera jest poprawna;
Twój WordPress jest odpowiednio zabezpieczony;
Nie ma żadnych konfliktów na stronie.

Jest to bardzo fajna funkcja do sprawdzenia i rozwiązania problemów na Twojej stronie internetowej.

Ułatwia także sprawdzanie podstawowych parametrów pracy, które wcześniej wymagały specjalistycznej wiedzy lub dodatkowych pluginów.

 

4. Standardem jest użycie HTTPS – to już jest zalecenie Google i strony, które nie mają HTTPS-a, będą rozpoznawane przez algorytmy i mniej punktów w wyszukiwaniach.
– Do użycia HTTPS potrzebny jest Ci certyfikat SSL (najlepiej darmowy Let’s Encrypt)
– Sprawdź ustawienia w Kokpit -> Ustawienia -> Ogólne:
Adres WordPressa (URL)
Adres witryny (URL)
powinny zaczynać się od https, a nie http.
UWAGA: Zmiana ustawień adresu WordPressa i witryny bez dobrze zainstalowanego certyfikatu SSL może spowodować to, że nie dostaniesz się na swoją stronę. Skontaktuj się ze mną lub ze swoim hostingiem.

Dla początkujących włączenie SSL / HTTPS w WordPressie może przydać się wtyczka Really Simple SSL. Na koniec wprowadzania HTTPS dla naszej witryny trzeba dodać nowe adresy stron z przedrostkiem HTTPS w Google Search Console.

 

5. Użyj koniecznie Google reCAPTCHA w wersji 3 do swojego formularza kontaktowego na stronie.

 

6. Usuń informacje o wersji WordPressa ze swojej strony internetowej.
Jeśli znamy się na edycji plików WordPress, możemy usunąć w pliku functions.php linię:

remove_action ('wp_head', 'wp_generator');

 

7. Wyłącz rejestrację nowych kont na swojej stronie: Kokpit -> Ustawienia -> Ogólne -> Członkostwo — odznaczyć opcję ,,Każdy może się zarejestrować”

 

8. Instalując wtyczkę Two Factor Authentication, podniesiemy poziom logowania dwuskładnikowego dla naszej witryny.
Kiedy będziemy próbowali zalogować się do konta administracyjnego, system wyśle na komórkę kod weryfikacji dwuetapowej.
Google Authenticator — zainstalować taką aplikację na telefonie (dostępna na Android i iOS)
Weryfikacja dwuetapowa zapewnia większe bezpieczeństwo Twojego konta Google, ponieważ logowanie obejmuje dwa etapy weryfikacji.
Oprócz hasła trzeba też podać kod wygenerowany przez aplikację Google Authenticator na telefonie.

 

9. Za pomocą wtyczki WP Hide & Security Enhancer ukryjesz autora tworzonych postów i wersję motywu.

 

Ponadto:

  • wybieraj wtyczki tylko takie, które są ostatnio zaktualizowane. Czyli były aktualizowane przez wydawdę max 1 miesiąc temu i mają dużą,

  • liczbę pobrań – osobiście wybieram ponad 100-500tyś pobrań, ponieważ korzystam z popularnych wtyczek. Więcej w artykule: 20 WTYCZEK DO WORDPRESS  ,

  • odinstaluj nie używane wtyczki i motywy,

  • rób częste aktualizacje WordPressa, wtyczek i motywów.

Wtyczki podnoszące bezpieczeństwo WordPress

Uwaga, wtyczki poniżej stanowią wartościowe funkcje i ustawienia, ale nie znając się zbytnio na nich, możemy zepsuć co nie co na stronie 😉

Oto wtyczki:

  • WordFence,

  • Cerber,

  • Sucuri,

oraz

  • WordPresss All-in-one,

  • WP Security & Firewall.

Dodatkowo możesz włączyć zaporę sieciową (Firewall). Jedna z poniższych wtyczek zablokuje cały złośliwy ruch, zanim jeszcze dotrze on do Twojej witryny:

  • WordPress Simple Security FireWall,

  • All In One WP Security & Firewall,

  • BulletProof Security.

 

Złap mnie tutaj:

Mój kurs dostępny na platformie UDEMY za 49,99 zł:

https://www.udemy.com/prosta-strona-www-nauka-wordpress/?couponCode=STARTWORDPRESS2019