1. Silne hasło to podstawa
Zarówno hasło do bazy danych, do panelu administracyjnego WordPressa czy panelu naszego hostingu powinny być silne i z pewnością odradzam pomysły w stylu:
„admin1”
„haslo123”
Kolejnym najczęściej spotykanym błędem jest tworzenie hasła identycznego na wszystkich kontach jakie posiadamy w sieci.
Osobiście polecam korzystać z haseł składających się z co najmniej 10 znaków, liter dużych i małych jak i cyfr plus nie zaszkodzi jakiś znak specjalny.
2. Zmień domyślną nazwę użytkownika
Domyślna nazwa admin będzie pierwszym słowem którego użyje haker.
3. Zawsze aktualizuj
WordPress bardzo często wypuszcza aktualizacja, a to jedna dziura się znalazła i trzeba załatać, a to kolejna i tak niekiedy co tydzień nowa wersja z byle pierdołą poprawioną pojawia się w panelu i prosi aby ją przyjąć na nasz serwer. Wydawałoby się, że robią te aktualizacje jesteśmy zawsze o krok przed hakerami, ale to błędne myślenie bo to oni są zawsze o krok przed nami, gdyż na swoich blogach trzymamy masę, niekiedy bezużytecznych wtyczek, które są dziurawe jak ser szwajcarski. I podczas gdy programiści oferują nam aktualne wersje WP to hakerzy wchodzą do naszego mieszkania okno zamiast prze frontowe drzwi.
Aktualizujcie więc wtyczki, samego WordPressa, co tylko się da.
Twórzcie zawsze kopie baz i plików zanim ruszycie po większe aktualizacje, niektóre motywy źle je niekiedy znoszą i możemy się zaskoczyć białym ekranem. Pamiętajcie także o aktualizacjach motywów.
Na koniec warto zrobić audyt wtyczek, zastanowić się, która z nich jest nam potrzebna, a która nie.
4. Chroń dostęp do strefy admina
Skorzystajcie tutaj z potęgi jaką daje wam plik .htaccess wklejając na jego końcu następującą regułkę:
<Files wp-login.php> Order Deny,Allow Deny from All Allow from 'wpisz tu swój adres IP tylko bez pazurków' </Files>
Chrońcie także sam plik .htaccess wklejając również w nim regułkę jak poniżej:
<Files .htaccess> Order Allow,Deny Deny from all Allow from 'wpisz tu swój adres IP tylko bez pazurków' </Files>
Dodatkowo można iść dalej i całkowicie zmienić domyślne adresy logowania do panelu, mówię tu o standardowym:
domena1.pl/wp-admin/
czy też
domena1.pl/wp-login.php
Tutaj nie musicie znać się na programowaniu i sprawę załatwią za nas wtyczki, choć osobiście wolę autorskie rozwiązania.
Lockdown WP Admin: Wtyczka ta zmieni domyślny adres do logowania, a osoby próbujące się tam dostać dostaną stronę błędu (404). Dodatkowo umożliwia dodanie uwierzytelnienia HTTP, gdzie będziemy mogli ustalić dodatkowy login i hasło, która posłuży jako brama przed dotarcie do drzwi wejściowych.
HC Custom WP-Admin URL: Prosta wtyczka pozwalająca dowolnie zmienić stronę admin i login, aby nieco utrudnić życie hakerom.
iThemes Security: Niektórzy twierdzą, że to jedna z najlepszych wtyczek, ale jak dla mnie jest zbyt zasobożerna i widać obciążenie na słabszych hostingach. Pozwala modyfikować niemalże wszystko na co pozwalały dwie wcześniej wymienione wtyczki, ale do jej obsługi potrzebny jest czas i choć minimalna wiedza na temat tego co robimy.
5. Chroń się przed atakami brute force
Pierwszym krokiem powinno być wyłączenie XML-RPC. W sumie nie wiem co za fanatyk zostawił tę furtkę dla hakerów otwartą?
Jeśli wyłączcie XML-RPC to następnie dajcie podczas logowania jakąś captchę.
Wiele hostingów posiada własne zabezpieczenia przed atakami Brute Force, ale tyle samo ich nie ma, a jak macie VPS i bez profesjonalnej obsługi i leżycie i kwiczycie. Są również wtyczki, które przytrą nosa osobom, które setki razy próbują zalogować się na bloga, przykładem jest Limit Login Attempts i radzę zapoznać się z nią. Dobra dla początkujących…
6. Skanuj w poszukiwaniu malware
Polecam wtyczkę Wordfence. Ma opcję porównywania plików z repozytorium WordPressa czy też z oryginalnymi wersjami używanej skórki. Dodatkowo powiadomi nas o próbach ataku, zablokuje niejednego przed próbami logowania jak i przypomni nam o aktualizacjach.
Usuń złośliwy kod
No dobra, znaleźliście jakiś syf w kodzie i co teraz z nim zrobić? Sprawdźcie najpierw czy to autentycznie plik WordPressa czy Waszego motywu, bo wiele razy spotkałem się z dodaniem plików przypominających nazwą ważne i kluczowe dla działania pliki WP.
Przed takim usuwaniem warto zabezpieczyć się backupem.
7. Wybierz odpowiedni hosting
Tu polecam zaawansowanym webmasterom własny VPS, nad którym macie pełną kontrolę i gdzie dla każdej ze stron możecie założyć osobne konto. Polecam linuxpl.com, aftermarket.pl.
Przy wyborze hostingu polecam napisać kilka razy do administratorów, zadać im pytanie czy to o sam hosting czy o zabezpieczenia, a po odpowiedzi da się wyczuć czy macie do czynienia z ludźmi znającymi się na robicie.
8. Czyść swoją stronę
Jak wspomniałem wcześniej każda wtyczka, a nawet sam WordPress to tykająca bomba, która może wybuchnąć w każdej chwili. Dlatego jeśli nie używacie jakiejś wtyczki albo motywu to się tego pozbądźcie. Z wtyczkami nie ograniczajcie się do wyłączenia, usuńcie je całkiem, a jeśli zostały dobrze napisane to i usuną po sobie ślady z bazy danych.
9. Kontroluj wrażliwe dane
Jeśli już czyścicie swoją stronkę ze śmieci to sprawdźcie czy nie zostawiliście cennych informacji na jej temat do wglądu każdemu. Usuńcie na początek plik readme.html. Podobnie polecam sprawdzić pliki phpinfo.php czy i.php. Powiedzą hakerowi wszystko o naszych ustawieniach i będą mapą topograficzną po naszym domu.
10. Bądź czujny
Podłączcie stronę do narzędzia Search Console, a także raz na tydzień zapoznajcie się z nowymi zagrożeniami dotyczącymi nie tylko WP, ale i wszystkich stron. Polecam śledzenie profilu Securi na Twiterze. Można też skorzystać z profesjonalnych narzędzi do badania podatności naszego serwera na ataki DDOS jak i wiele innych, tutaj polecę Penetrator24.com. znajdziecie tam narzędzie – niestety płatne – które pozwoli Wam spać spokojnie.