1. Silne hasło to podstawa

Zarówno hasło do bazy danych, do panelu administracyjnego WordPressa czy panelu naszego hostingu powinny być silne i z pewnością odradzam pomysły w stylu:

„admin1”

„haslo123”

Kolejnym najczęściej spotykanym błędem jest tworzenie hasła identycznego na wszystkich kontach jakie posiadamy w sieci.

Osobiście polecam korzystać z haseł składających się z co najmniej 10 znaków, liter dużych i małych jak i cyfr plus nie zaszkodzi jakiś znak specjalny.

2. Zmień domyślną nazwę użytkownika

Domyślna nazwa admin będzie pierwszym słowem którego użyje haker.

3. Zawsze aktualizuj

WordPress bardzo często wypuszcza aktualizacja, a to jedna dziura się znalazła i trzeba załatać, a to kolejna i tak niekiedy co tydzień nowa wersja z byle pierdołą poprawioną pojawia się w panelu i prosi aby ją przyjąć na nasz serwer. Wydawałoby się, że robią te aktualizacje jesteśmy zawsze o krok przed hakerami, ale to błędne myślenie bo to oni są zawsze o krok przed nami, gdyż na swoich blogach trzymamy masę, niekiedy bezużytecznych wtyczek, które są dziurawe jak ser szwajcarski. I podczas gdy programiści oferują nam aktualne wersje WP to hakerzy wchodzą do naszego mieszkania okno zamiast prze frontowe drzwi.

Aktualizujcie więc wtyczki, samego WordPressa, co tylko się da.

Twórzcie zawsze kopie baz i plików zanim ruszycie po większe aktualizacje, niektóre motywy źle je niekiedy znoszą i możemy się zaskoczyć białym ekranem. Pamiętajcie także o aktualizacjach motywów.

Na koniec warto zrobić audyt wtyczek, zastanowić się, która z nich jest nam potrzebna, a która nie.

4. Chroń dostęp do strefy admina

Skorzystajcie tutaj z potęgi jaką daje wam plik .htaccess wklejając na jego końcu następującą regułkę:

<Files wp-login.php>

Order Deny,Allow

Deny from All

Allow from 'wpisz tu swój adres IP tylko bez pazurków'

</Files>

Chrońcie także sam plik .htaccess wklejając również w nim regułkę jak poniżej:

<Files .htaccess>

Order Allow,Deny

Deny from all

Allow from 'wpisz tu swój adres IP tylko bez pazurków'

</Files>

Dodatkowo można iść dalej i całkowicie zmienić domyślne adresy logowania do panelu, mówię tu o standardowym:

domena1.pl/wp-admin/

czy też

domena1.pl/wp-login.php

Tutaj nie musicie znać się na programowaniu i sprawę załatwią za nas wtyczki, choć osobiście wolę autorskie rozwiązania.

Lockdown WP Admin: Wtyczka ta zmieni domyślny adres do logowania, a osoby próbujące się tam dostać dostaną stronę błędu (404). Dodatkowo umożliwia dodanie uwierzytelnienia HTTP, gdzie będziemy mogli ustalić dodatkowy login i hasło, która posłuży jako brama przed dotarcie do drzwi wejściowych.

HC Custom WP-Admin URL: Prosta wtyczka pozwalająca dowolnie zmienić stronę admin i login, aby nieco utrudnić życie hakerom.

iThemes Security: Niektórzy twierdzą, że to jedna z najlepszych wtyczek, ale jak dla mnie jest zbyt zasobożerna i widać obciążenie na słabszych hostingach. Pozwala modyfikować niemalże wszystko na co pozwalały dwie wcześniej wymienione wtyczki, ale do jej obsługi potrzebny jest czas i choć minimalna wiedza na temat tego co robimy.

5. Chroń się przed atakami brute force

Pierwszym krokiem powinno być wyłączenie XML-RPC. W sumie nie wiem co za fanatyk  zostawił tę furtkę dla hakerów otwartą?

Jeśli wyłączcie XML-RPC to następnie dajcie podczas logowania jakąś captchę.

Wiele hostingów posiada własne zabezpieczenia przed atakami Brute Force, ale tyle samo ich nie ma, a jak macie VPS i bez profesjonalnej obsługi i leżycie i kwiczycie. Są również wtyczki, które przytrą nosa osobom, które setki razy próbują zalogować się na bloga, przykładem jest Limit Login Attempts i radzę zapoznać się z nią. Dobra dla początkujących…

6. Skanuj w poszukiwaniu malware

Polecam wtyczkę Wordfence. Ma opcję porównywania plików z repozytorium WordPressa czy też z oryginalnymi wersjami używanej skórki. Dodatkowo powiadomi nas o próbach ataku, zablokuje niejednego przed próbami logowania jak i przypomni nam o aktualizacjach.

Jeśli korzystacie z SSH to warto także co jakiś czas porównywać daty ostatnich edycji plików na serwerze. Co więcej, można pokusić się o szukanie w kodzie wystąpień base64 bądź eval.

Usuń złośliwy kod

No dobra, znaleźliście jakiś syf w kodzie i co teraz z nim zrobić? Sprawdźcie najpierw czy to autentycznie plik WordPressa czy Waszego motywu, bo wiele razy spotkałem się z dodaniem plików przypominających nazwą ważne i kluczowe dla działania pliki WP.

Przed takim usuwaniem warto zabezpieczyć się backupem.

7. Wybierz odpowiedni hosting

Tu polecam zaawansowanym webmasterom własny VPS, nad którym macie pełną kontrolę i gdzie dla każdej ze stron możecie założyć osobne konto. Polecam linuxpl.com, aftermarket.pl.

Przy wyborze hostingu polecam napisać kilka razy do administratorów, zadać im pytanie czy to o sam hosting czy o zabezpieczenia, a  po odpowiedzi da się wyczuć czy macie do czynienia z ludźmi znającymi się na robicie.

8. Czyść swoją stronę

Jak wspomniałem wcześniej każda wtyczka, a nawet sam WordPress to tykająca bomba, która może wybuchnąć w każdej chwili. Dlatego jeśli nie używacie jakiejś wtyczki albo motywu to się tego pozbądźcie. Z wtyczkami nie ograniczajcie się do wyłączenia, usuńcie je całkiem, a jeśli zostały dobrze napisane to i usuną po sobie ślady z bazy danych.

9. Kontroluj wrażliwe dane

Jeśli już czyścicie swoją stronkę ze śmieci to sprawdźcie czy nie zostawiliście cennych informacji na jej temat do wglądu każdemu. Usuńcie na początek plik readme.html. Podobnie polecam sprawdzić pliki phpinfo.php czy i.php. Powiedzą hakerowi wszystko o naszych ustawieniach i będą mapą topograficzną po naszym domu.

10. Bądź czujny

Podłączcie stronę do narzędzia Search Console, a także raz na tydzień zapoznajcie się z nowymi zagrożeniami dotyczącymi nie tylko WP, ale i wszystkich stron. Polecam śledzenie profilu Securi na Twiterze. Można też skorzystać z profesjonalnych narzędzi do badania podatności naszego serwera na ataki DDOS jak i wiele innych, tutaj polecę Penetrator24.com.  znajdziecie tam narzędzie – niestety płatne – które pozwoli Wam spać spokojnie.

Share This

Share This

Share this post with your friends!