10 kluczowych sposobów zabezpieczenia typowej instalacji WordPress

W ciągu ponad dekady WordPress ewoluował od raczkującego systemu zarządzania treścią do najczęściej używanego rozwiązania online. Ten rozgłos, ogólnie rzecz biorąc, jest dobry dla całej społeczności i doprowadził do największej grupy programistów każdego dostępnego obecnie systemu zarządzania treścią. CMS zmienia się, ewoluuje i staje się bardziej zaawansowany, głównie ze względu na jego rozmiar, zakres i wpływ na publikowanie online.

Ale to właśnie te rzeczy powodują, że WordPress jest stałym celem złośliwych prób hakerskich i naruszania prywatności. Hakerzy zauważyli rozprzestrzenianie się CMS zarówno wśród niezależnych witryn internetowych, jak i głównych mediów, i wykorzystują szereg luk w zabezpieczeniach, które zapewniają im dostęp do pulpitu nawigacyjnego, a nawet samej bazy danych WordPress.

Na szczęście użytkownicy WordPressa to nie tylko „siedzące kaczki” w coraz bardziej złośliwym środowisku online. Istnieje wiele rzeczy, które można zrobić, aby radykalnie poprawić bezpieczeństwo instalacji WordPress i udaremnić próby przejęcia przez hakerów zawartości, bazy danych i ogólnej niezawodności witryny.

1. Zmień prefiks bazy danych WordPress

Domyślnie każda instalacja WordPressa umieszcza swoje tabele w bazie danych MySQL z prefiksem „wp_”. Zwykle robi się to, aby uczynić go bardziej intuicyjnym, ponieważ WordPress jest często skracany do „WP” i po prostu nie ma wątpliwości, do którego CMS należą te tabele.

Jednak bardziej nikczemni użytkownicy Internetu wiedzą, że WordPress domyślnie umieszcza swoją zawartość w tabelach z tym prefiksem i jest to jeden z pierwszych sposobów, w jaki włamują się do instalacji lub powodują problemy z bazą danych oprogramowania z zewnątrz.

Sam prefiks jest ustawiany w pliku wp-config.php przed rozpoczęciem procesu instalacji. W tym czasie właściciele witryn WordPress powinni przewinąć plik konfiguracyjny i poszukać następującej linii:

 $table_prefix = 'wp_';

Ta linia powinna zostać zmieniona na praktycznie wszystko poza domyślnym prefiksem. Wybór czegoś takiego jak tytuł strony internetowej lub imię i nazwisko głównego administratora może być świetnym pierwszym krokiem do zabezpieczenia instalacji i powstrzymania hakerów z całego Internetu.

2. Ukryj numer wersji instalacji WordPressa przed publicznymi

Każdy szablon WordPress zawiera zmienną, która wyświetla podstawowe informacje o WordPressie i pozwala na bieżącą modyfikację nagłówka za pomocą wtyczek. Tą zmienną jest <?php wp_head() ?> i jest ona niezmiennie umieszczana pomiędzy otwierającym i zamykającym <HEAD> pliku header.php . Jedną z głównych czynności wykonywanych przez tę zmienną jest publiczne wyświetlanie numeru wersji bieżącej instalacji WordPressa.

W rzeczywistości jest to wykorzystywane przez zespół programistów Automattic do celów analitycznych, ponieważ pozwala im zobaczyć, które numery wersji są najczęściej używane i czy istnieje duża liczba nieaktualnych użytkowników.

Umożliwia także hakerom wyświetlenie numeru wersji instalacji WordPressa i odpowiednie zaplanowanie ataku. Ponieważ luki w zabezpieczeniach WordPressa są zazwyczaj zależne od wersji i są naprawiane w kolejnych wersjach, przestarzała instalacja, która pokazuje swój numer wersji, jest gotowa na atak ze strony tych, którzy chcą uzyskać nieautoryzowany dostęp do pulpitu nawigacyjnego lub bazy danych.

Ta informacja może i powinna zostać usunięta ze zmiennej „wp_head”; można to zrobić, dodając następujący wiersz kodu do pliku functions.php bieżącego motywu:

 remove_action ('wp_header', 'wp_generator');

Zapisz ten plik i prześlij go na serwer, a nikt nigdy nie dowie się, czy instalacja WordPressa jest aktualna, przestarzała, czy nawet w wersji beta. Nic nie będzie reklamowane publicznie.

3. Ogranicz liczbę nieudanych prób logowania

Zazwyczaj złośliwi użytkownicy Internetu uzyskują dostęp do pulpitu WordPress poprzez atak typu „brute force”, który błyskawicznie wprowadza dziesiątki tysięcy haseł. Atak ten polega na użyciu słów ze słownika i wspólnych liczb w celu ustalenia poświadczeń bezpieczeństwa użytkownika. Bez odpowiedniego blokowania tych powtarzających się prób, naprawdę nic ich nie powstrzyma.

W tym miejscu pojawia się wtyczka Login LockDown. Korzystając z wtyczki, użytkownicy WordPressa mogą ustawić limit liczby nieudanych prób logowania, zanim zostaną zasadniczo zablokowani z pulpitu nawigacyjnego na godzinę. Te nieudane próby są powiązane z adresami IP, dzięki czemu ta wtyczka jest jeszcze bardziej skuteczna.

4. Administratorzy nie powinni nazywać się „Administrator”

Podczas instalowania WordPressa z wbudowanego instalatora użytkownik będący administratorem jest zazwyczaj domyślnie nazywany „ admin ”. Złośliwi internauci wiedzą o tym i to pierwsze imię, które spróbują odgadnąć, uzyskując dostęp do pulpitu WordPress metodą brute force.

Instalując WordPress po raz pierwszy, pamiętaj, aby nadać administratorowi coś trudnego do odgadnięcia (na przykład pseudonim lub coś innego). Atak brute force na hasło jest skuteczny tylko wtedy, gdy znana jest nazwa użytkownika administratora. Jeśli nie, uzyskanie dostępu będzie podwójnie niemożliwe.

5. Aktualizuj WordPress przez cały czas i otrzymuj informacje na ten temat

Nowa wersja WordPressa jest zwykle publikowana mniej więcej co kilka tygodni, z drobnymi aktualizacjami i poprawkami bezpieczeństwa, które chronią użytkowników przed hakerami, którzy coraz częściej atakują pulpity nawigacyjne i bazy danych w Internecie.

Brak aktualizacji WordPressa jest zasadniczo jak danie hakerom otwartego zaproszenia do wejścia, usunięcia niektórych postów i naruszenia bezpieczeństwa witryny. Naprawdę źle jest pozostawać w tyle z tymi aktualizacjami, zwłaszcza że niezmieniony motyw wyświetla nawet numer wersji, aby dociekliwy umysł mógł się przekonać.

Od wersji 3.0 WordPress umożliwia automatyczną aktualizację pulpitu za pomocą jednego kliknięcia. W rzeczywistości Dashboard nawet automatycznie powiadamia użytkowników o aktualizacjach i zachęca ich do aktualizacji za pomocą dość pogrubionego, wyróżniającego się tekstu. Należy to zrobić, gdy tylko dostępna będzie aktualizacja; nie spowoduje to utraty żadnych plików, wtyczek, motywów ani ustawień.

Zamiast tego aktualizacja WordPressa posłuży jedynie do włączenia nowych funkcji i łatania luk w zabezpieczeniach, które zostały wykryte od czasu wysłania ostatniej wersji do 60 milionów użytkowników oprogramowania. Zawsze bądź na bieżąco, próbując odeprzeć hakerów.

6. Ukryj plik WP-Config.PHP przed praktycznie wszystkimi użytkownikami Internetu

Użytkownicy WordPressa nigdy nie powinni zapominać o sile pliku .htaccess , gdy chcą ukryć pliki i chronić integralność swojego pulpitu nawigacyjnego WordPress i bazy danych. W rzeczywistości ten plik jest niezbędny do zapewnienia długoterminowego bezpieczeństwa WordPressa na wiele sposobów. Używając kilku prostych linijek kodu, plik „.htaccess” może w rzeczywistości całkowicie ukryć pliki przed publicznymi użytkownikami Internetu, nawet jeśli nie ustawiono odpowiednich uprawnień do tego pliku.

Jest to rozwiązanie do publicznego wyświetlania pliku „wp-config.php”, który zawiera takie elementy, jak klucze API i prefiks bazy danych potrzebne do złamania zabezpieczeń instalacji.

Aby zabezpieczyć ten plik przed złośliwymi użytkownikami Internetu, po prostu dodaj następujące wiersze kodu do pliku „.htaccess” znajdującego się w folderze głównym instalacji WordPressa. Jeśli taki plik nie istnieje, utwórz go:

 <Pliki wp-config.php>
zamów zezwól, odrzuć
Odmowa od wszystkich
</Pliki>

Po umieszczeniu tej linii kodu w pliku zapisz go i prześlij na serwer za pośrednictwem klienta FTP. Plik konfiguracyjny dla odpowiedniej instalacji WordPressa zniknie teraz z widoku publicznego, a to może tylko oznaczać dobre rzeczy dla bezpieczeństwa i spokoju ducha.

7. A mówiąc o uprawnieniach do plików, sprawdź je, aby zapewnić bezpieczeństwo

WordPress nie wymaga bardzo liberalnych reguł dostępu i modyfikacji plików, aby działać poprawnie. Rzeczywiście, wszystkie ustawienia i informacje o zawartości witryny są zapisywane w bazie danych, a nie przechowywane w plikach PHP po stronie serwera. Z tego powodu nie ma absolutnie żadnego uzasadnienia dla używania wartości 777 CHMOD w dowolnym pliku WordPress. Zamiast tego jest to jedynie sposób na zapewnienie hakerom łatwego dostępu do ustawień konfiguracyjnych lub innych plików, które mogą zagrozić instalacji.

Aby sprawdzić uprawnienia i potencjalnie naprawić je w celu bezpieczniejszej instalacji, otwórz klienta FTP i przejdź do głównego katalogu WordPress. Kliknij prawym przyciskiem myszy dowolny plik PHP i poszukaj opcji menu dotyczącej uprawnień. W wyświetlonym oknie poszukaj liczby wskazującej dostępność pliku. Z pewnością nie powinno to być 777 . W wielu przypadkach zaleca się użycie wartości 744 CHMOD , która ogranicza dostęp i modyfikację plików tylko do głównego użytkownika FTP serwera. W razie potrzeby zmień to ustawienie, a następnie zapisz je. Serwer zaktualizuje się odpowiednio.

8. Użyj pliku .htaccess, aby ukryć plik .htaccess

Większość ludzi nie uważa tego za możliwość, ale plik .htaccess może być użyty do ukrycia się przed opinią publiczną. To już w dużej mierze osiąga to poprzez zastosowanie nazwy pliku, która zaczyna się od kropki, ale to nie będzie działać na komputerach z systemem Windows. Te maszyny muszą znaleźć plik niedostępny, korzystając z instrukcji zawartych w samym „.htaccess”. Uprawnienia wyglądają bardzo podobnie do metody używanej do ukrywania pliku konfiguracyjnego PHP WordPressa, jak widać tutaj:

 <Pliki .htaccess>
zamów zezwól, odrzuć
Odmowa od wszystkich
</Pliki>

Ponownie, po umieszczeniu tej linii w pliku, można ją zapisać i przesłać na serwer. Teraz będzie niewidoczny dla praktycznie każdego, kto odwiedza witrynę, z wyjątkiem administratora root.

9. Zrozum i wykorzystaj moc pustego dokumentu HTML

Każdy, kto chce uzyskać dostęp do zhakowanej instalacji WordPressa, wie, że oprogramowanie umieszcza swoje wtyczki i motywy w określonym katalogu. Sprawdzą te katalogi, aby znaleźć brak wtyczek zabezpieczających lub szereg luk w zabezpieczeniach opartych na XHTML i CSS, a następnie wykorzystają te rzeczy, aby uzyskać dostęp. W rzeczywistości dość łatwo jest temu zapobiec.

Aby upewnić się, że listy plików w tych katalogach nie są widoczne dla żadnego użytkownika Internetu, po prostu utwórz pusty dokument HTML i umieść go w folderze. Dokument powinien być dość prosty, z tagami nagłówka i tytułem, który mówi coś w rodzaju „ Ograniczony dostęp ”. Tytuł ten może zdradzać, że administrator strony wie co nieco o bezpieczeństwie i wyśle ​​złośliwych użytkowników na inne strony internetowe.

10. Zawsze miej dostępną najnowszą kopię zapasową

Właściwym sposobem podejścia do bezpieczeństwa instalacji WordPressa jest to, że jest to jednoczęściowe przygotowanie i jednoczęściowe zapobieganie.

Aspekt „przygotowania” tego procesu ma formę kopii zapasowej. Należy regularnie tworzyć kopie zapasowe zarówno rzeczywistych plików WordPress, jak i bazy danych używanej do przechowywania informacji; można to zrobić na wiele różnych sposobów, w tym kilka wtyczek WordPress dla pulpitu nawigacyjnego.

Jeśli potrzebna jest bardziej zaawansowana metoda tworzenia kopii zapasowych plików, użytkownicy mogą skorzystać z narzędzi do tworzenia kopii zapasowych w obszarach administracyjnych zaplecza cPanel lub Plesk Panel. Dodatkowo administratorzy mogą zautomatyzować proces i tworzyć zadania Cron, aby najnowsza kopia zapasowa była zawsze łatwo dostępna.

Ważną rzeczą w zabezpieczeniach WordPressa jest to, aby zawsze być przygotowanym na najgorszy scenariusz. Jeśli chodzi o zapewnienie dostępności i niezawodności, nawet w przypadku ataku złośliwego hakera, kopia zapasowa witryny to najłatwiejszy sposób na powrót do trybu online po zamknięciu luki w zabezpieczeniach.

Czujność i inteligentne wykorzystanie to klucz do bezpiecznej instalacji WordPress

Ogólnie rzecz biorąc, WordPress stał się w ostatnich latach znacznie bezpieczniejszy. Przez krótki czas wydawało się, że co drugi tydzień pojawia się nowa luka w zabezpieczeniach. Ten wzorzec był szczególnie niepokojący dla większych i bardziej korporacyjnych użytkowników, a zespół Automattic szybko zabrał się do pracy nad całkowitym ponownym uruchomieniem.

To ponowne uruchomienie było w dużej mierze wersją 3.0, z o wiele bezpieczniejszą architekturą i automatycznymi narzędziami do aktualizacji, które wyeliminowały ciężką pracę z utrzymywaniem na bieżąco z najnowszymi łatami i poprawkami bezpieczeństwa.

Jeśli chodzi o zachowanie bezpieczeństwa, te wydania powinny być bezwzględnie aktualizowane, a użytkownicy powinni stosować surowe uprawnienia, ograniczenia i sztuczki bezpieczeństwa, aby zachować ochronę przed złośliwymi użytkownikami Internetu.