Zabezpieczenie WordPress po instalacji

Witaj w kolejnej części poradnika. W tym wpisie opiszę czynności, które każdy powinien wykonać w ciągu dwóch dni od instalacji WordPressa. Jeśli zrobiłeś sobie dłuższą przerwę między tą a poprzednią częścią poradnika zalecam Ci ponowną instalację CMS WordPress. Dlaczego?

Jak już zapewne wiesz, WordPress jest najczęściej wybieranym CMS na świecie a co za tym idzie jest on najlepszym kąskiem dla wszelkiego rodzaju cyberprzestępców. Pewnie sobie pomyślisz: „czego od pustej strony chce jakiś haker?”. Rzeczywiście, pusta strona do niczego się mu nie przyda ale gdyby ta strona się rozrosła i zdobyła trochę ruchu mógłby na tym trochę zarobić. W tym celu istnieją tzw. botnety skanujące Internet i sprawdzające zabezpieczenia wszystkich stron. Z moich obserwacji, przynajmniej jeśli chodzi o strony na domenach .com, ruch botów zaczyna się natychmiast po zaindeksowaniu przez Google głównej strony naszego WordPressa (strony są wyszukiwane po tzw. footprintach). Niestety czasami następuje to nawet w kilka godzin po instalacji.

Nie wierzysz? Poniższy obrazek pokazuje ilość zablokowanych ataków na tą stronę po 48 godzinach od zaindeksowania pierwszego wpisu.

Aktualizacja po 48 godzinach

W przypadku gdy botom uda się złamać zabezpieczenia mogą one przykładowo wstrzyknąć szkodliwy kod do plików WordPress, szablonów i wtyczek lub po prostu uzyskać dostęp do naszego konta administratora. O zaistnieniu tego faktu możemy się dowiedzieć nawet po kilku latach czego osobiście doświadczyłem. Aby uniknąć niespodzianek w przyszłości wystarczy wykonać kilka podstawowych czynności, które są najczęściej wykonywane już po fakcie.

Zacznijmy więc od zalogowania się do naszego konta na WordPress. Panel logowania pojawi się po wpisaniu w przeglądarce „moja_domena/wp-admin”. W tym momencie nie będę opisywał wszystkich opcji dostępnych w panelu WordPressa a zajmiemy się jedynie konfiguracją podstawowych zabezpieczeń.

Pierwszą i jednocześnie najważniejszą czynnością będzie instalacja wtyczki bezpieczeństwa, która m.in. posiada zaporę chroniącą przed atakami z sieci (Web Application Firewall). Aby zainstalować wtyczkę należy z menu po lewej strony panelu wybrać „Wtyczki -> Dodaj nową”.

Instalacja wtyczki bezpieczeństwa Wordfence

Następnie w polu wyszukiwania wpisujemy „Wordfence”, ponieważ wtyczka której szukamy nazywa się „Wordfence Security”. Oczywiście istnieje wiele wtyczek bezpieczeństwa jednakże Wordfence Security jest wg mnie najłatwiejsza w konfiguracji i posiada w swojej darmowej wersji najwięcej opcji zabezpieczeń. Po znalezieniu wtyczki należy ją zainstalować a następnie aktywować. Niestety Wordfence nie posiada polskiej wersji językowej lecz nie stanowi to problemu, gdyż jej ustawienie sprowadza się do kilkunastu kliknięć.

Instalacja wtyczki bezpieczeństwa Wordfence cz. 2.

Zamykamy okienko, które pojawiło się od razu po aktywacji i klikamy w przycisk „Click here to configure” w powiadomieniu na górze strony.

Konfiguracja Wordfence Security

W kolejnym widoku należy ukryć wyskakujące okno klikając przycisk „End the Tour” a następnie wybrać konfigurację swojego serwera i kontynuować. W większości przypadków poprawna konfiguracja serwera zostanie automatycznie ustawiona. Jeśli jednak po kliknięciu przycisku „Continue” pojawi się błąd zapytaj o konfigurację swojego dostawcę hostingu.

Konfiguracja Wordfence Security cz. 2.

W kolejnym kroku pobierz kopię zapasową pliku .htaccess i przejdź dalej. Po zakończeniu na górze strony powinien pojawić się komunikat o tym, że powinniśmy poczekać kilka minut aby nasze zmiany przyniosły efekt.

Konfiguracja Wordfence Security cz. 3.

Po chwili można już sprawdzić czy nasza zapora jest włączona. Aby to zrobić należy wybrać zakładkę „Wordfence -> Firewall”.

Ustawienia zapory Wordfence

Spójrz teraz na obrazek poniżej. Jak widzisz nasza zapora jest w trybie nauki („Learning mode”). Zgodnie z tym co piszą autorzy wtyczki tryb ten służy jedynie do zbierania informacji, które zapobiegną w przyszłości blokowania normalnych czynności takich jak konfiguracja wtyczek lub dodawanie widgetów. Uwaga: w tym trybie nasza strona nie jest chroniona więc należy sprawić zaporze przyspieszony kurs. Zatem do dzieła! Przejdźmy do zakładki „Brute Force Protection” gdzie skonfigurujemy limity prób logowań w określonym czasie.

Ustawienia zapory Wordfence cz. 2.

Według mnie standardowe ustawienia nie są zbyt restrykcyjne, ponieważ mało kto podejmuje 20 prób logowań w ciągu 5 minut. Myślę, że ustawienie blokowania po 5 próbach jest rozsądnym rozwiązaniem zatem. W dolnej części strony możesz dodać nazwy użytkowników, które będą automatycznie blokowane. W tym polu warto dodać te nazwy: „admin”, „administrator” i „test” (bez cudzysłowów i każda nazwa w nowej linii). Większość botów testuje właśnie te loginy więc warto je automatycznie blokować w celu oszczędzania zasobów serwera. Ważne: jeśli Twoją nazwą użytkownika jest jeden z powyższych wyrazów nie dodawaj go do tej listy.

Ustawienia zapory Wordfence cz. 3

Kolejną kwestią będzie konfiguracja procesu skanowania. O ile opcje domyślne są wystarczające to warto jest dodać skanowanie plików szablonu oraz wtyczek. W tym celu należy przejść do „Wordfence -> Scan” a następnie wybrać zakładkę „Options”. W kolejnym kroku trzeba zaznaczyć dwa pola, które pokazałem na obrazku poniżej oraz zapisać klikając w przycisk „Save Options” znajdujący się na dole strony.

Ustawienia skanowania Wordfence

Po konfiguracji wtyczki Wordfence nadszedł czas aby oczyścić WordPressa ze zbędnych elementów. Zatem zacznijmy od pozbycia się nieużywanych szablonów (motywów), które są dołączane do standardowej instalacji. Aby usunąć motyw należy wybrać z menu „Wygląd -> Motywy” a następnie wejść w „Szczegóły motywu” i kliknąć przycisk „Usuń”. Zalecam posiadanie tylko jednego i aktualnego motywu, ponieważ nieaktualizowane motywy często posiadają luki bezpieczeństwa.

Usuwanie motywów

Kolejnym krokiem będzie usunięcie zbędnych widgetów. Przejdźmy zatem do zakładki „Wygląd – > Widgety” i usuńmy „Najnowsze komentarze”, „Archiwa”, „Kategorie” i przede wszystkim „Meta”. Może Ci się wydawać to niepotrzebne ale zapewniam Cię, że zbyt duża ilość zbędnych linków na stronie głównej źle wpływa na strukturę strony a przez to nie jest dobrze odbierana przez wyszukiwarki. Warto więc dbać o to od samego początku. Widget „Meta” został usunięty również ze względów bezpieczeństwa.

Usuwanie widgetów

Następnie trzeba pozbyć się automatycznie dodanych wpisów i komentarzy. Z menu wybieramy „Wpisy -> Wszystkie wpisy” i przenosimy „Hello World” do kosza. Po odświeżeniu strony możesz otworzyć kosz i usunąć ten wpis bezpowrotnie. W ten sam sposób usuń również stronę „Sample Page” w zakładce „Strony -> Wszystkie strony”.

Usuwanie wpisów

Analogicznie wygląda sprawa z usuwaniem komentarzy jednak przeniesienie wpisu do kosza automatycznie ukryło powiązany z nim komentarz. Po całkowitym usunięciu wpisu powiązane komentarze zostają również usunięte.

Pozostaje jeszcze kwestia usunięcia wtyczki „Hello Dolly” (wybacz Matt). W tym celu trzeba przejść do „Wtyczki -> Zainstalowane wtyczki” i kliknąć na przycisk „Usuń” znajdujący się pod jej nazwą.

Usuwanie wtyczki Hello Dolly

Jak widzisz na powyższym obrazku aktywowałem również wtyczkę „Akismet”, którą postanowiłem dołączyć do opisu podstawowego zabezpieczenia WordPressa. Akismet jest wyjątkowo skutecznym narzędziem w walce ze spamem w komentarzach i jej aktywacja z pewnością zaoszczędzi Ci wiele czasu w przyszłości. Do prawidłowego działania plugin wymaga klucza do API, który uzyskamy po założeniu darmowego konta. Wybierz zatem z menu „Ustawienia -> Akismet” i uzyskaj swój klucz do API.

Konfiguracja Akismet

Na samym końcu musimy wrócić jeszcze do ustawień zapory Wordfence, która z pewnością nauczyła się już naszych zachowań w panelu administracyjnym. W tym celu wchodzimy do „Wordfence -> Firewall”, wybieramy z listy „Enabled and Protecting” a następnie zapisujemy zmiany.

Po wykonaniu powyższych czynności warto jest wykonać tzw. backup, czyli kopię zapasową naszej strony. Jeśli w późniejszych etapach coś pójdzie nie tak, zawsze będziesz miał możliwość powrotu do bezpiecznej instalacji WordPressa. Aby utworzyć kopię zapasową postępuj zgodnie z informacjami zawartymi na stronach pomocy swojego hostingu, a jeśli posiadasz dostęp do cPanelu skorzystaj z opcji „Kreator kopii zapasowych”.

Mam nadzieję, że tą długą częścią poradnika nie zniechęciłem Cię do przeczytania kolejnych. Starałem się aby proces podstawowego zabezpieczenia WordPressa był szczegółowo opisany, gdyż jest on jednym z kluczowych przy tworzeniu strony internetowej. Oczywiście istnieje jeszcze wiele możliwości dodatkowego zabezpieczenia lub ustawienia automatycznego tworzenia kopii zapasowych jednak o tym dowiesz się w kolejnych częściach poradnika.

Jeśli czytałeś mój poradnik od początku to wiesz, że wszystkie czynności, które przeprowadzałem  odbywały się równocześnie z tworzeniem tej strony. Oznacza to, że w chwili pisania tego artykułu na mojej stronie nie znajdował się jeszcze żaden wpis. Aby trochę przyspieszyć rozwój własnej strony, dodam w tym momencie wszystkie stworzone do tej pory treści.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *