Bezpieczeństwo naszej strony www powinno być dla nas bardzo ważne, szczególnie jeśli została ona stworzona w technologii WordPress. Okazuje się, że coraz częściej strony firmowej, blogi i sklepy postawione na WordPressie są atakowane przez hakerów. Jak się skutecznie ustrzec przed ich działaniem? Pomaga nam w tym bezpieczna konfiguracja wordpress.

Popularne zagrożenia związane z bezpieczeństwem strony www:
  •  włamania sieciowe
  • nielegalne uzyskiwanie danych
  • wyłudzenia
  • oszustwa internetowe
  • infekcje wirusowe
  • spam

Posiadając stronę na WordPressie możemy spotkać się na początku ze spamem, jak i innymi zagrożeniami. Dobrze jest więc poczynić pewne starania, dzięki którym już niedługo nasza strona okaże się w pełni bezpieczna.

Dlaczego warto dbać o bezpieczeństwo WordPressa:

dlaczego warto dbać o bezpieczeństwo strony www WordPress

  •  Dbamy o bezpieczeństwo działania serwera i wszystkich witryn, które się na nim znajdują
  • Dbamy o użytkowników przeglądających stronę

Po wprowadzeniu ciekawych wskazówek z tego artykułu w dużym stopniu zmniejszycie ryzyko ataku na waszą stronę www, poznacie cenne aplikacje i techniki. A więc do dzieła, zadbajcie o bezpieczeństwo strony www. Dowiedzcie się, jakie możliwości zapewnia Wam poprawna konfiguracja WordPress.

Na początek:

Zachęcam do obserwowania bloga o copywritingu, seo i pozycjonowaniu stron www

Zachęcam Was do obserwowania bloga. Zapisujecie się po prawej stronie, a prezenty wyślę na Waszego emaila 🙂 Obserwujcie także mój kanał na YT. Do usłyszenia!

Spis treści „Bezpieczna konfiguracja WordPress”:

  1. Poprawna instalacja WordPressa
  2. Ustawienie bezpiecznego hasła w WordPressie
  3. Podstawowe zabezpieczenie komputera
  4. Aktualizacja oprogramowania WordPress
  5. Ustawienia Komentarzy WordPress
  6. Backup WordPress – Kopia zapasowa
  7. Jak zabezpieczyć stronę www i komputer – Test
  8. Sygnały zawirusowania komputera i strony www
  9. Co jeśli ktoś zaatakuje naszą stronę?
Oglądaj filmik na YT:

Artykuł dla ulubieńców tekstu i zdjęć:

Poprawna instalacja WordPressa

Poprawna instalacja wordpressa

Na samym początku musimy mieć zainstalowaną aplikację WordPress na naszej stronie www. Zadbaliśmy o to korzystając z auto-instalatora na naszym serwerze ( ja miałem taką opcję w Direct Admin korzystając z serwera w Hekko, więc instalacja WordPressa zajmuje mi kilka minut. Zapraszam od razu do artykułu: Jak wygląda instalacja WordPressa w Direct Admin? ).

Jak wygląda instalacja WordPress w Direct Admin?

Innym razem instalację WordPressa zlecamy firmie hostingowej. Informację o poprawnym zainstalowaniu WordPressa otrzymujemy na podany adres email.

Po zainstalowaniu oczywiście musimy poczekać kilka godzin bądź dni, aby DNS zaczęły poprawnie działaś. Dopiero wtedy będziemy mogli już zalogować się na naszą stronę pod linkiem:

http://naszastrona.pl/wp-admin

Oczywiście podczas instalowania mogliśmy jeszcze ustawić inną ścieżkę zapisu naszego WordPressa, czyli nie na stronie głównej (np. http://naszastrona.pl/blog)

ps. Gdybyście spojrzeli na moją stronę firmową i tego bloga to widzicie, że na domenie głównej i na podstronie mam zainstalowane 2 osobne aplikacje WordPress 🙂

Ustawienie bezpiecznego hasła w panelu administracyjnym WordPress

Ustawienie bezpiecznego hasła w WordPressie czyli bezpieczna konfiguracja wordpress

Zadbajmy o bezpieczne dane do logowania na naszą stronę www bez względu na to czy jest ona postawiona na WordPressie, czy nie. Ale poniżej przygotowałem dla Was instrukcję, jak umożliwia to poprawna konfiguracja WordPress 🙂

1. Logujemy się do naszego WordPressa poprzez dane logowania, czyli nazwę użytkownika i hasło.

logowanie do panelu administracyjnego wp-admin WordPress

Jeśli my je utworzyliśmy, to zapewne zapisaliśmy i posiadamy. Innym razem otrzymaliśmy takie dane do logowania na nasze konto pocztowe. W każdym bądź radzie dobrze jest je sobie zapisać, a przy tym zadbać o zabezpieczenie takich folderów przed innymi, np. za pomocą zwykłego hasła. Dzięki temu nikt, kto wkradnie się nam w przyszłości na komputer, nie będzie miał dostępu do naszych najważniejszych danych, a właśnie na tym powinno nam zależeć.

Zajmijmy się jednak tym najważniejszym zabezpieczeniem związanym z ustawieniem właściwego hasła do WordPressa. Jeśli nie mamy dostępu do panelu administracyjnego WordPress, to jeszcze mamy sposobność zmiany hasła bezpośrednio w bazie danych MySQL.

Gdy jednak posiadamy dostęp do panelu administracyjnego WordPress, to logujemy się, a następnie przechodzimy po lewej stronie do zakładkiUżytkownicy„.

Logowanie do panelu administracyjnego WordPress - użytkownicy, jak zabezpieczyć wordpressa

Klikamy w „nazwę administratora” (w moim przypadku w „admin”), do którego chcemy ustawić hasło.

Zalogowanie do wordpressa w celu zabezpieczenia strony, klikamy w użytkownicy i nazwę administratora

Przechodzimy do „Zarządzanie kontem” i klikamy w „Generuj hasło

generowanie bezpiecznego hasła w wordpressie czyli jak zabezpieczyć stronę www

Widzimy poniżej, jak WordPress automatycznie zaproponował nam silne hasło. Możemy je wybrać bądź przygotować własne. Istota, aby było bardzo trudne. Dzięki temu, kiedy ktoś będzie chciał złamać hasło do naszej strony i wykorzysta w tym celu pewne boty, to wyszukanie poprawnego hasła może im zająć nawet kilkaset lat. Gdybyśmy posiadali jednak słabe i popularne hasło, to czasami idzie je złamać w przeciągu kilku godzin, dni, tygodni bądź miesiąca.

Ustawienie bezpiecznego hasła w wordpressie

Recepta na trudne hasło WordPress:

  •  minimum 10 znaków alfanumerycznych + znaki specjalne
  • unikajmy imion, nazwisk, nazwy strony i innych popularnych nazw
  • stosujmy losowy ciąg znaków (bez tworzenia słów)

Na samym końcu schodzimy na dół i zapisujemy wszystko klikając wZaktualizuj profil„.

Zapisanie nowego bezpiecznego hasła w wordpressie

Dodatkowe zabezpieczenie logowania:
  • zmiana hasła (np. co miesiąc)
  • wtyczka limitująca błędne próby logowania
  • ustawmy unikalny adres url dla strony logowania (czyli nie standardowy typu http://naszastrona.pl/wp-admin)
  • ograniczajmy wyświetlania strony logowania dla określonych adresów IP i dodatkową warstwę logowania „Basic Auth”.
  • weryfikacja dwuetapowa. Wystarczy do tego wykorzystać specjalną wtyczkę, najlepiej pozwalającą na integrację z Google Authenticator.

Podstawowe zabezpieczenie komputera

Konfiguracja WordPress czyli Podstawowe zabezpieczenie komputera przed atakami na stronę www

Nad naszą stroną www pracujemy często na 1 bądź kilku urządzeniach. Powinniśmy zadbać o zainstalowanie na nich specjalnych programów antywirusowych. Dzięki temu zabezpieczymy już na sprzęt przed włamaniem się kogoś z zewnątrz.

Do wyboru macie różnorodne antywirusy, dobrze jest zainwestować w płatny. Na allegro jesteście w stanie wyszukać takie programy antywirusowe za kilkanaście czy kilkadziesiąt zł, więc polecam 🙂 Który antywirus jednak wybrać?

Lista 10 najlepszych antywirusów na PC według zestawienia PC World w roku 2017:
  • Bitdefender Total Security Multi-Device 2017
  • Bitdefender Internet Security 2017
  • Norton Security Deluxe 2017
  • Kaspersky Total Security 2017
  • G Data Internet Security 2017
  • McAfee Total Protection 2017
  • ESET Internet Security 10
  • Trend Micro Internet Security 2017
  • AVG Ultimate
  • Avast Premier 2017

Ja szczególnie polecam antywirus Norton Security Deluxe 2017, Eset Internet Security 10 i Avast Premier 2017. A wy, który? 🙂

Aktualizacja oprogramowania WordPressie

aktualizacja oprogramowania wordpress uczy jak zwiększyć bezpieczeństwo strony

WordPress to oprogramowanie, które jest regularnie aktualizowane, w tym także wszelkie wtyczki, z których korzystamy. Jest możliwość wybrania opcji automatycznej aktualizacji WordPressa i wtyczek już za pomocą serwera w panelu Direct Admin. Wyjaśniałem to w artykule „Jak zainstalować WordPress w Direct Admin„.

Inna opcja: po prostu co pewien czas logujmy się na WordPress i samodzielnie aktualizujmy oprogramowanie, jak i wszystkie wtyczki.

Instalujmy tylko sprawdzone aplikacje i wtyczki WordPress

instalujmy tylko sprawdzone wtyczki i aplikacje wordpress czyli jak zabezpieczyć wordpressa

Pojawia się ogrom aplikacji i wtyczek WordPress, które możemy zainstalować, natomiast wiele z nich służy do zorganizowania skutecznego ataku na naszej stronie. Dobrze jest więc przyjrzeć się wtyczkom, które instalujemy. Bierzmy pod uwagę takie parametry, jak: ocena użytkowników, ilość osób instalujących daną wtyczkę.

Jeśli więc wtyczkę zainstalowało tylko kilkaset bądź kilkatysięcy osób, opinia jest negatywna i dodatkowo nie jest ona dostosowana do najnowszego oprogramowania WordPress, to rezygnujmy z jej zainstalowania. Instalujmy wtyczki, które posiadają 4.5 bądź 5 gwiazdek i zostały już zainstalowane przez setki tysięcy osób, dostosowane do najnowszego wordpressa. Macie wtedy pewność, że są one bezpieczne.

Konfiguracja WordPress – Ustawienia komentarzy

Przejdźmy do zakładkiUstawienia„, a następnie „Dyskusja„. Tutaj starajmy się odznaczyć pozycjępingbagi i track pagi„, „powiadamiaj bloggerów„. Zaznaczmy następnie jakie komentarze mają pojawiać się na naszym blogu i jak mają być przez nas sprawdzane.

Ustawienia komentarzy w WordPressie, bezpieczna konfiguracja wordpress

Dodatkowe ustawienia komentarzy w WordPressie:

  1. Jeśli mniejsza ilość komentarzy, to zaznaczamy opcję ręczna akceptacja.
  2. Ograniczamy ręczną akceptację jedynie dla nowych komentujących.
  3. Ograniczamy, że użytkownicy muszą być zarejestrowani i zalogowani, aby móc dodawać komentarze.
  4. Zaznaczamy opcję, że komentarz automatycznie trafia do moderacji, gdy zawiera więcej linków, niż 1. Czynimy tak, ponieważ komentarze spam cechują się dużą ilością odnośników w wiadomości).
  5. Wykorzystajmy jeszcze 2 pola, gdzie mamy sposobność wpisać słowa. I jeśli pojawią się one w treści komentarzu, nazwie użytkownika, adresie url, email i adresie ip, to komentarz zostanie automatycznie przeniesiony do kolejki SPAM bądź do moderacji.

Dodatkowe zabezpieczenie przed spamem to wtyczki antyspamowe WordPress. Najlepsza z nich to: Antispam Bee.

Podstawowe ustawienia wtyczki Antispam Bee:

Pozostawiacie domyślne ustawienia bądź takie, które szczególnie Wam odpowiadają. Możecie np. zaznaczyć opcję, aby komentarze uznane za spam zostały automatycznie usuwane.

Ustawienia wtyczki antispam bee

Ja jeszcze zaznaczyłem opcję, że z kilku krajów zagranicznych nie chcę otrzymywać komentarzy, a przyzwalam tylko na komentarze z Polski. Wy również macie taką możliwość. Wszystko zależy od tego, do kogo kierujecie treść na swojej stronie bądź blogu.

ustawienia wtyczki antispam bee zablokowanie komentarzy z krajów zagranicznych i przyzwolenie na komentarze z polski

Do wyboru jeszcze Captcha?!

Macie jeszcze możliwość zastosowania wtyczki, która podczas dodawania komentarza wymaga wpisania kodu Captcha. Taki kod użytkownik musi przepisać ze zdjęcia, formularza. Innym razem wymaga się obliczenia pewnego działania matematycznego bądź innego.

Ja jednak nie polecam takiej formy zabezpieczenia, ponieważ jest ona dość negatywnie odbierana przez czytelników. Ale jeśli mimo wcześniejszych zabezpieczeń nie radzicie sobie ze spamem to macie taką możliwość.

W takim razie polecam zajrzeć tutaj „wtyczki WordPress Captcha„.

Backup WordPress – kopia zapasowa plików i bazy danych

backup czyli konfiguracja wordpress przez kopię bazy danych i plików

Nasza strona postawiona na WordPressie składa się z bazy danych, jak i plików. Jeśli chcemy zadbać o ich bezpieczeństwo, to dobrze byłoby przeprowadzić regularny backup bazy danych i plików. Z jakiej wtyczki moglibyśmy tutaj skorzystać?

Ja polecam i korzystam z UpdraftPlus WordPress Backup Plugin. Dzięki niej każdego tygodnia automatycznie tworzy się backup, który trafia na mój dysk wirtualny Google Drive i DropBox.

Jak zainstalować UpdraftPlus WordPress Backup Plugin?

backup bazy danych i plików zapewnia wtyczka UpdraftPlus wordpress Backup Plugin

W pierwszej kolejności wchodzimy w sekcjęWtyczki” i „Dodaj nową„. W pole wyszukiwania wpisujemy „UpdraftPlus„. Instalujemy i włączamy.

Następnie przechodzimy do „Ustawienia” i klikamy w „UpdraftPlus Backups

Ustawienia wtyczki UpdraftPlus Backups czyli konfiguracja wordpress

Później klikamy w „Ustawienia” i ustalamyHarmonogram kopii zapasowej plików” i „Harmonogram kopii zapasowej bazy danych„. Czyli ustalamy, co jaki czas ma być wykonywany backup, np. raz na miesiąc, tydzień. Ustalamy także „Miejsce zdalnego przechowywania” czyli gdzie ma zapisywać się nasza kopia bazy danych, np. na dysku wirtualnym (dropbox, google drive), na pocztę email (tutaj nie polecam, ponieważ gdy kopia będzie posiadać powyżej 20 MB to może pojawić się problem z wysyłką, ponieważ wiadomość email jest za ciężka), na serwerze.

Ustawienia wtyczki UpdraftPlus Backups harmonogram kopii zapasowej

Schodzimy niżej do pozycjiUwzględnij pliki w kopii zapasowej” i zaznaczmy te odpowiednie dla nas. Polecam zaznaczyć wszystkie opcje, czyli „Wtyczki”, „Motywy” i „Przesłane” i „Wszystkie inne katalogi wewnątrz wp-content”.

Ustawienia wtyczki UpdraftPlus Backups - pliki w kopii zapasowej

Na koniec klikamy w „Zapisz zmiany” i przechodzimy do zakładkiBieżący status„, a następnie w „Zrób kopię teraz„.

Wykonanie kopii zapasowej backup za pomocą wtyczki UpdraftPlus WordPress Backups Plugin

Co jeszcze? Sprawdźmy czy backup został poprawnie wykonany i czy wszystkie pliki zostały dobrze przesłane na nasz dysk wirtualny, pocztę czy serwer.

 

Bezpieczna konfiguracja WordPress ukończona!

Bezpieczna konfiguracja wordpressa ukończona pozytywnie

 

„Jak zabezpieczyć stronę www i komputer” – Test!

  1. Wybieramy sprawdzony hosting – sprawdźmy, jak długo trzyma backup strony. Polecam Hekko bądź Zenbox.
  2. Szyfrowanie połączeń z serwerem czyli FTP samo zło – lepszym rozwiązaniem od ftp jest połączenie SFTP.
  3. Silne hasła do logowania na stronę wordpress – nie używajmy nazwy logowania „Admin”.
  4. Aktualizacja wtyczek, motywów i samego WordPressa.
  5. Instalujemy wtyczki i motywy tylko z wiarygodnych źródeł oraz regularnie ulepszane / aktualizowane. Jest wtedy mniejsze prawdopodobieństwo, że dany haker wykorzysta pewien błąd danej wtyczki bądź programu i dzięki temu się włamie. Gdy aktualizujemy, nie ma już takiej możliwości.
  6. Częsty Backup całej strony – jeśli mamy stronę na WordPressie, to ustawmy Backup za pomocą wtyczki, np. Updraft Backup, o której wspominam powyżej 🙂
  7. Antywirus na komputerze i telefonie
Sygnały zawirusowania komputera i strony www:
  • strona się wiesza
  • antywirus nas informuje
  • Google daje znać w wyszukiwarce oznaczając naszą stronę jako niebezpieczną
Co, jeśli ktoś zaatakuję naszą stronę?
  1. Napiszmy do hostingodawcy, aby zeskanowali naszą stronę
  2. Sprawdźmy czy zabezpieczyliśmy stronę wedle powyższych wskazówek
  3. Skontaktujmy się ze specjalistą od zabezpieczenia strony

Jeśli ukończyliście ten krótki poradnikBezpieczna konfiguracja WordPress czyli jak zwiększyć bezpieczeństwo strony” i wdrożyliście jego wskazówki, to w dużym stopniu zadbaliście o skuteczne zabezpieczenie swojej strony www opartej na WordPressie.

ps. Posiadacie jeszcze własne sposoby na zwiększenie bezpieczeństwa strony www? Pochwalcie się nimi w komentarzach!

Na koniec, jeśli zapomnieliście 🙂

Zachęcam do obserwowania bloga o copywritingu, seo i pozycjonowaniu stron www

Zachęcam Was do obserwowania bloga. Zapisujecie się po prawej stronie do newslettera, a otrzymacie minimum 5 prezentów na początek 🙂 Obserwujcie także mój kanał na YT. Do usłyszenia!

 

Podziel się z innymi 🙂