Jak zabezpieczyć bloga WordPress przed atakami hakerskimi

Możesz mieć wypasionego bloga, którego podziwiają dosłownie wszyscy. Możesz zajmować pierwsze miejsca w Google na frazy po kilkadziesiąt tysięcy wyszukiwań miesięcznie. Możesz zarabiać tysiące z reklam, czy też kursów promowanych na blogu…
Możesz również wszystko to stracić w ciągu zaledwie jednej chwili.
Dlatego tak ważna jest ochrona treści i bezpieczeństwo całej twojej strony. To, że twój hosting oferuje różne zabezpieczenia wcale nie czyni twojej strony w 100% bezpiecznej, a zagrożenie w sieci rośnie w ostatnich miesiącach w podwojonym tempie. Fakt, że WordPress jest jednym z najbardziej bezpiecznych CMSów nie uchroni cię przed atakami hakerskimi.
Jeśli nie przykładasz wagi do zabezpieczenia swojej strony, pewnego dnia możesz być bardzo zaskoczony..

Do czego zmierzam? Lepiej szanuj swoją pracę i zabezpiecz swoje strony na WordPress’ie, bo zagrożenie jest coraz większe.
W Polsce bardzo mało mówi się o zabezpieczeniu WordPress’a. Być może dlatego, że Internet nawet 2 lata temu nie był tak dobrze rozwinięty, jak ma to miejsce dzisiaj. Liczba internautów w Polsce rośnie bardzo szybko, a co za tym idzie – liczba hakerów, wirusów i innych plugastw również.
Tym wpisem chciałbym otworzyć cykl postów o bezpieczeństwie WordPressa. Napiszę kilka artykułów, jak skutecznie zabezpieczyć bloga WordPress, a zwieńczeniem mojej pracy będzie Raport PDF, który otrzymasz po zapisaniu się na moją listę mailingową.
Wracając do meritum, chciałbym Ci przedstawić kilka kroków, które powinieneś wykonać, aby twój blog był zabezpieczony.
[Pamiętaj, aby przed każdą zmianą, którą wprowadzisz u siebie zrobić porządny backup strony!!!]

Bezpieczeństwo WordPress’a #1 – Wzmocnij ochronę dostępu

a) Jeśli przy logowaniu używasz domyślnej nazwy użytkownika admin, koniecznie zmień ją na coś innego. Możesz to zrobić bardzo prosto za pomocą phpMyAdmin. Zobacz szczegółową instrukcję jak zmienić login admin w WordPress .
b) Ustaw również silne hasło dla administratora strony i broń Boże nie zapisuj go w przeglądarce. Zamiast zapamiętywania haseł w przeglądarce polecam używać Last Pass.
c) Zainstaluj wtyczkę Login Lockdown, aby kontrolować nieudane próby logowań do panelu admina. Wtyczka daje możliwość blokowania adresu IP po kilku (ustawionych przez Ciebie) błędnych próbach logowania.

Bezpieczeństwo WordPress’a #2 – Chroń treść oraz ustawienia strony

Regularnie wykonuj kopie zapasowe bazy danych oraz plików na serwerze. Dzięki wtyczce WP DB-Manager, możesz łatwo pobrać całą kopię bazy danych na swój dysk oraz zaplanować automatyczne wykonywanie backupów nawet co kilka godzin. Wtyczka daje możliwość również wysyłania kopii zapasowych na adres email. Zobacz również, jak odzyskać bazę danych w WordPress.
Raz na jakiś czas zadbaj również o bezpieczeństwo plików na serwerze. Zawsze lepiej jest mieć kopię zapasową wszystkich plików na swoim dysku. Przynajmniej raz w miesiącu zmieniaj hasło FTP. Pamiętaj, że jest to najczęściej atakowana droga dostępu do twojej strony.

Bezpieczeństwo WordPress’a #3 – Zabezpiecz bloga przed atakami typu SQL Injection

W tym celu zmień Prefix tabel w WordPress. Domyślny prefix to wp_. W ten sposób utrudnisz ataki hakerowi używającemu SQL Injection. Ryzyko ataków tego typu będzie zredukowane do minimum, jeśli nie wyeliminuje go całkowicie.
Prefix powinieneś zmienić przy instalacji WordPress’a, jeśli jednak masz już zainstalowanego bloga, również jest taka możliwość. Możesz to zrobić w prosty sposób korzystając wtyczkę WP Security Scan  Zobacz również artykuł Jak zmienić WordPress table prefix[28 luty].

Bezpieczeństwo WordPress’a #4 – Podwój ochronę przed atakami hakerów & malware

Zintegruj bloga WordPress z WebsiteDefender bądź Sucuri+ BulletProof Security.
Jeśli chodzi o mnie, testuję różne opcje ochrony, lecz najbardziej odpowiadają mi usługi WebsiteDefender.com.
Website Defender udostępnia darmową wtyczkę Secure WordPress, którą koniecznie powinieneś zainstalować. Możesz również przetestować BulletProof Security, lecz nie ma potrzeby używania obydwu wtyczek.
Zabezpiecz WordPress automatycznie dokonuje kilku ważnych zmian w WordPress, które dodatkowo zwiększają twoją ochronę.
Wtyczka usuwa informację o wersji WordPress’a, łącznie z 'feed’; pokazuje wersję WordPress’a tylko użytkownikom mającym prawa do edycji wtyczek. Tworzy również plik index.php w folderach wtyczek i szablonów aby uniemożliwić listowanie folderów. Blokuje także złośliwe wywołania URL (malicious URL requests)

Bezpieczeństwo WordPress’a #5 – Codziennie skanuj bloga.

Website Deffender umożliwia również automatyczne skany twojego bloga w poszukiwaniu włamań, wirusów, malware, złośliwych skryptów itp. Automatycznie wysyła powiadomienia email oraz wyświetla porady, co i jak zmienić, aby twój blog był bezpieczny. Aby sprawdzić, czy twoja strona nie jest zainfekowana, możesz również skorzystać ze skanera Sucuri.

Bezpieczeństwo WordPress’a #6 – Zainwestuj w CDN

Mam tutaj na myśli świetne rozwiązanie wielu problemów – Content Delivery Network + funkcje zabezpieczające i optymalizujące, które opiszę po zakończeniu cyklu artykułów o bezpieczeństwie.
Jeśli nie chcesz, aby twoja strona została zablokowana przez Google, zniszczona przez hakerów, czy zarażona przez wirusy, zacznij dbać o bezpieczeństwo swojej strony. Sam zostałem zaatakowany na początku lutego 2012, więc mogłeś zaobserwować, co działo się z moją stroną… Na szczęście po kilku latach nauki i testowania różnych rozwiązań mój blog jest o wiele bardziej bezpieczny, niż nawet kilka miesięcy temu 😉
Weź sprawy w swoje ręce i nie pozwól, aby twoja praca poszła na marne!
Jeśli masz pytania, napisz je w komentarzach poniżej, bądź wyślij mi wiadomość.


Comments

37 odpowiedzi na „Jak zabezpieczyć bloga WordPress przed atakami hakerskimi”

  1. Super wpis! Nie zdajemy sobie sprawy z niebezpieczeństwa dopóki ,,coś nas nie trafi”. Właśnie wdrażam wszystkie Twoje zalecenia. I ogólnie bardzo dobry blog 🙂 Pozdrawiam
    Iwona

  2. Właśnie skończyłem odzyskiwanie danych po zawirusowaniu bloga, trochę mnie to kosztowało czasu i nerwów. Zainstalowałem wszystkie zalecane wtyczki, chyba teraz będę bardziej dbał o bezpieczeństwo. A ataków dokonują nie prawdziwi hakerzy tylko jakieś gnidy crackerskie.
    Dzięki za porady. Pozdrawiam.

  3. Dzięki za super wskazówki 🙂

  4. Super porady!
    Bez wątpienia warto zastosować je na blogu – ja zabieram się właśnie za ich wdrożenie 🙂
    Dzięki!

  5. Awatar Michał
    Michał

    Jak zmienić admin na coś innego na instalacji mutliblogowej WP? Jak zmieniam w PHP My Adminie w użytkownikach, to tracę dostęp do zarządzania siecią WP.

  6. Konta Super Adminów są przechowywane w tabeli wp_sitemeta. W tabeli wp_sitemeta znajdź pole site_admins. Znajdziesz tam wartość:
    a:1:{i:0;s:5:”admin„;}
    Następnie zamień admin na swoją nazwę – taką jak login do WordPressa (np. szymon12 ) oraz zamiast cyfry 5 wpisz ilość znaków jaką zawiera twój login. W przypadku zmiany na szymon12, wartość w polu site_admins będzie wyglądała następująco:
    a:1:{i:0;s:8:”szymon12″;}

  7. Bardzo fajny wpis, musiałem się zastosować do porad bo moja strona padła ofiarą jakiegoś ataku… ;/

  8. Awatar Agnieszka
    Agnieszka

    A jak usunąć złośliwe oprogramowanie ze swojej strony? Program skanujący nic nie wykrył na stronie, ale dostaję informacje od czytelników swojego bloga, że strona jest zawirusowana. Będę wdzięczna za pomoc 🙂

    1. Mi raz już zainfekowali stronę. Niestety usunięcie tych wirusów kosztuje parę stówek.

  9. Z sql injection to trochę pojechałeś. Jeśli baza danych jest na wersji 5=> to prefix nie gra roli

    1. Jeśli, a jeśli nie? 😉 Lepiej zabezpieczyć bloga możliwie jak najdokładniej.
      Staram się pisać artykuły w ten sposób, żeby każdy, nawet początkujący potrafił zastosować porady. Dlatego czasem wyolbrzymiam niektóre rzeczy – szczególnie, jeśli chodzi o bezpieczeństwo.
      Bezpieczeństwo można porównać do cebuli – można je podzielić na warstwy. Im więcej warstw ochronnych, tym lepiej blog zabezpieczony, a o to przecież chodzi.

  10. bardzo fajny, wartościowy artykuł dla kogoś kto nie miał dużej styczności z wordpressem,
    ogólnie przyjdatna zawartość, tylko ten namolny popup trochę zniechęca

    1. Dzięki 😉 Problem z PopUpem już rozwiązany. Dzięki za potwierdzenie, bo coś mi się wydawało, że nie działał, jak należy 😉
      Pozdrawiam.

  11. Dzięki bardzo cenne porady, raz mi się włamano na stronę 4cham.pl, ale na szczęście podminili tylko index.php

  12. Super! Dzięki za garść wskazówek – i to w1 miejscu!

  13. Witam
    A jak zmienić ID administratora bez tworzenia nowego i kasowania starego. Gdyż w tej sytuacji zmieni się ID z 1 na 2 . Czyli można powiedzieć, że dużo to nie dało. Ja chciałbym zmienić np na ID 528. Jak to można zrobić?

  14. Witam
    Ja w tym miesiącu drugi raz przywracam stronę po atakach „tureckich” hakierów. Plik Index zostaje podmieniany i wyswietla się po wejsciu informacja : Hacked ExeOver i jakies tureckie napisy i grafiki. Z tego co rozmawialem z adminem to bledy w skorach WP pozwalają na takie ataki. Szkoda tylko ze stalo sie to na kilku stronach o roznych „skórach”. Wdrazam powyższe i zobaczymy co będzie. Miał ktoś taką sytuacje i ustalił którędy zmieniają pliki ?

    1. Awatar Piotr
      Piotr

      Jeśli masz strony na wspólnym koncie hostingowym (na jednym Twoim koncie) wystarczy luka w jednej templatce przez którą wstrzykuje się szkodliwy plik a następnie podmienia wszystkie pliki index (oby tylko). System jest tak bezpieczny jak jego najsłabiej zabezpieczona strona.

    2. Awatar Piotr
      Piotr

      a i jeszcze jedno. Jeśli nastąpił atak na Twoje strony wystarczy popatrzeć do logów serwera. Tam jest wszystko napisane co zawiodło i przez jaką dziurę nastąpił atak. Wiele templatek ma nadal nieaktualne pliki timthumb przez które w dziecinnie prosty sposób można przejąć kontrolę nad stroną.

  15. Dzięki za wpis, musze coś zadziałać w tym temacie.

  16. Dużo tych wtyczek – ja stosuję secure wp i w sumie to chyba wystarcza, do tego jeszcze zabezpieczenia antyspamowe i wszystko gra.

    1. Obecnie Polecam Better WP Security + Akismet. Better WP Security posiada chyba najwięcej potrzebnych funkcji poprawiających bezpieczeństwo. Do tego Akismet oraz ewentualnie Sucuri.NET, jeśli mamy większy traffic i śmigamy 😉

  17. Awatar Daniel
    Daniel

    Witam serdecznie,
    Zainstalowalem wtyczke Better WP Security, i otrzymuje kazdego dnia po 40 maili z wiadomoscia „File change warning”. Czy mial ktos z Was ten sam problem? Czytalem duzo pozytywanych opinii na temat tej wtyczki i nie wiem o co chodzi. Moze lepszym rozwiazaniem bedzie zainstalowanie polecanej w blogu wtyczki Secure WordPress, i integracja z websitedefender ?
    Dzieki wielkie za odpowiedz.
    Pozdrawiam

  18. Super informacje. Bardzo przydatne. Na poczatku tego roku zaatakowali moj portal i moj hosting zablokowal dostem gdyz bylo tam sporo dziadostwa. Uzywalem php-fusion a teraz chcialem sprobowac z wp i szukalem wlasnie takich informacji. Dzieki wielkie, napewno twoje rady pomoga nie jednej osobie;)

  19. Witam i bardzo dziękuję za powyższy artykuł. Wczoraj włamano się na moją z Turcji i dokonano sporych spustoszeń. moje dane zastąpiono jakąś propagandą. Nie przywiązywałem zbytniej wagi do bezpieczeństwa i nie robiłem systematycznych kopii danych. Do trzeciej w nocy ręcznie rekonstruowałem pliki index.php i header.php. Udało mi się cofnąć skutki ataku. Jestem wściekły nie tylko na tego biednego kretyna, który dopuścił się ataku, ale na siebie samego. Dzięki Panu zacząłem implementować wszystkie sugerowane przez Pana zabezpieczenia. Ufam, iż zredukuje to ataki na moją stronę. Otworzyły mi się oczy. Teraz zdecydowanie będę stawiał bezpieczeństwo na pierwszym miejscu. Uprzejmie dziękuję i pozdrawiam serdecznie!

  20. Dzięki za ten Artykuł, miałem ostatnio podobne problemy ze stronami Klientów, które właśnie były zainfekowane z powyższych powodów. Skutkowało to tym, że jak świętej pamięci prof. Religa operowałem każdego bloga osobno, usuwając złośliwy kod kawałek po kawałku. Wszystko trwało około 2 dni – od tej chwili wolę instalować wtyczki zabezpieczające i nie martwić się o atak Gimbazy na blogi 🙂

  21. Dodam jeszcze że ja mam np.w .htaccess denny allow Ip prócz mojego z którego się loguje.
    Jak ktoś loguje się tylko ze swojego IP jednego stałego- też może się przydać.
    Prosta sprawa a utrudnia też 🙂

    1. Jeszcze ważne żeby też zabezpieczyć odpowiednio nasze konto email bo to tam w razie czego trafiają przypomnienia,nawet najlepiej zabezpieczony wordpress nic nie da jak hacker ma dostęp do naszego maila.

  22. Bardzo obszerne opracowanie tematu, dzięki za twoją pracę, mi pomogła w b. dużym stopniu.

  23. Co prawda to prawda, mając bloga nawet profesjonalnego nie można zapomnieć o jego zabezpieczeniu to jedna z ważniejszych roli, która odgrywana jest w funkcjach dobrego bloga.

  24. Trudność hasło to bardzo ważna sprawa, ostatnio miałem szanse się niestety o tym przekonać.

  25. trzeba te praktyki przetestować ,zapewne pomorze to w bezpieczeństwie WordPress ,chociaż z 2 strony te zabezpieczenia są tak naprawdę potrzebne hostingowi bo przeważnie hakerzy blokują bloga na WordPressie przez hostingi

  26. Super porada na pewno się przyda

  27. Całkiem przydatne rady, pewnie nawet dla osób, które nie posiadają WordPress’a tylko zwykłe strony interentowe

  28. Awatar Lukas
    Lukas

    Ostatnio dużo pochlebnych opinii słyszałem na temat systemów prewencyjnych coś w stylu jak tu penetrator24.com/index.xhtml Jeszcze nie bardzo kumam o co chodzi, wiem tylko, że nie jest to antywirus, tylko aplikacja, która bada i wskazuje luki w zabezpieczeniach, które mogą wykorzystać hakerzy. Zacząłem się nad tym zastanawiać, bo prowadzę blog i zależy mi na tym, by nie stracić swój dorobek. Jeszcze nie tak dawno myślałem, że nie potrzebuję ochrony, bo przecież nikt się nie pokusi na stronę początkującego blogera. Ostatnio jednak blog mojego znajomego zhakowali, choć prowadzi go dopiero od kilku miesięcy nie ma jakiegoś dużego ruchu. Co myślicie o takim systemie? Warto zainwestować, a może są jakieś inne skuteczniejsze sposoby.

  29. Dziękuje za artykuł. Dużo wniósł 🙂 Pozdrawiam serdecznie

  30. Czy w dalszym ciągu WebsiteDefender i Sucuri są na ty samym poziomie?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *