Często w internecie można spotkać osoby poszukujące pomocy przy problemie:
na stronę wordpress włamał się hacker
strona wordpress została zatakowana
wykasowana strona na wordpressie
spam na stronie wordpsress
luki w zabezpieczeniach strony strona uszkodzona
zawirusowany wordpress
Niestety w obecnych czasach samo wykonanie strony to za mało, stronę należy dodatkowo zabezpieczyć, i dotyczy się to każdego systemu na której wykonana jest strona czy jest to cms wprodpress, drupal, joomla czy każdy inny cms.
Poniżej przedstawiamy przynajmniej podstawowe minimalne zabezpieczenie strony wordpress, i należy tu zaznaczyć nie da się ochronić strony w 100% to ciągła walka producentów oprogramowania, ludzi piszących łatki a osób starających się zaszkodzić i uszkodzić stronę www. Na każdą stronę da się włamać łatwiej lub trudniej ale nie ułatwiajmy sprawy osobie atakującej i zwiększy zabezpieczenia swojej strony www.
Zaczynamy zabezpieczenia na przykładnie strony cms wordpress, oczywiście odpowiednie kroki należy podjąć najlepiej przed atakiem, jeżeli na stronę wordpress ktoś się włamał najpierw trzeba ją doprowadzić do stanu pierwotnego wraz z oczyszczeniem kodu a później dokonać zabezpieczeń.
A. przed wszelkimi zmianami wykonaj kopię bezpieczeństwa strony skopiuj zarówno pliki z serwera przez FTP jak wykonaj kopię bazy danych msql np przez phpMyAdmin, podczas wgrywania zabezpieczeń nie mieliśmy przypadku uszkodzenia plików, ale kopię zawsze warto mieć również w razie ataku agresora aby łatwo przywrócić kopię strony, zaznaczę tu że kopię całości strony warto wykonywać systematycznie
B. zaloguj się na panel administracyjny wordpress i sprawdź czy posiadasz zainstalowaną najnowszą wersję systemu wordpress, w razie starszej wersji zaktualizuj ją do najnowszej
dokonaj aktualizacji wszystkich wtyczek wordpress
zaktualizuj motywy do najnowszych zachowaj jednak ostrożność zależnie jak i przez kogo jest wykonana strona aktualizacja motywu może spowodować wizualne zmiany na stronie jeżeli wykonujący stronę pracował na bazowym motywnie a nie wykonał motywu pokrewnego
WSKAZÓWKA: po aktualizacji systemu wordpress tworzy dodatkowe pliki potrafiące zweryfikować twój system oraz powodujące zagrożenie dostępowe więc zaloguj się na FTP i z katalogu wordpress wykasuj pliki:
readme.html
license.txt
wp-admin/install.php
wp-admin/upgrade.php
C. zabezpieczamy plik logowania wordpress wp-login.php, w gruncie rzeczy spotkałem się z informacją że wielu osobom samo zabezpieczenie tego pliku pomogło uchronić się przed botami oraz częścią atakujących
tworzymy nowy plik .htpasswd
generujemy własny login i hasło
generatory haseł:
http://www.htaccesstools.com/htpasswd-generator/ lub http://htpasswdgenerator.net/
wygenerowane hasło i login wprowadzamy do pliku .htpasswd po zapisie plik ten wgrywamy na serwer do głównego katalogu wordpress
WSKAZÓWKA: cześć hostingów np Home wymaga wygenerowania hasła tylko crypt() tego rodzaju hasło możemy wygenerować pod adresem http://aspirine.org/htpasswd_en.html
w głównym katalogu strony odszukujemy i modyfikujemy plik .htaccess dopisując kod:
AuthName “Wymagane logowanie”
AuthType Basic
AuthUserFile /home/public_html/jakasstrona.pl/.htpasswd
require valid-user
ErrorDocument 401 “Brak dostepu”
Errordocument 403 “Brak dostepu”
oczywiście ścieżkę prowadzącą do pliku .htpasswd czyli /home/public_html/jakasstrona.pl/.htpasswd zmieniamy na własną wedle swojego hostingu
najbardziej częsty błąd z problemem logowania po wprowadzeniu tego zabezpieczenia (czyli nie możemy przejść okienka logowania) lub 500 Serwer Error to właśnie podana zła ścieżka do pliku .htpasswd, bez obaw pamiętaj że w każdym momencie możesz wykasować dodany wpis w pliku .htaccess i wrócisz do klasycznego logowania wordpress.
D. instalacja modów zabezpieczających na start polecam zainstalować wtyczki:
WSKAZÓWKA: warto zachować kolejność instalacji wedle spisu poniżej zaczynając od wtyczki Chap Secure…
Chap Secure Password Login – wtyczka pomoże wprowadzić nam dodatkowe szyfrowanie przesyłanego loginu oraz hasła jeżeli nie mamy wprowadzonego szyfrowania SSL
do pobrania: https://pl.wordpress.org/plugins/chap-secure-login/
Login LockDown mimo że wtyczka od jakieś czasu nie jest rozwijana nadal idealnie sprawdza się nawet w najnowszej wersji wordpress w poprawie zabezpieczeń, chroni nas przed atakami brute force podczas logowania na panel administracyjny wordpress monitoruje IP logującego i w razie próby wielokrotnego nieudanego logowania w krótkim czasie blokuje możliwość dalszego logowania przez adresora
do pobrania: https://pl.wordpress.org/plugins/login-lockdown/
Acunetix WP Security to bardziej skaner i sprawdzenie obecnego poziomu zabezpieczeń, lecz ma też trochę przydatnych funkcji jak np zmiana domyślnego table prefix w bazie danych na swój, a funkcja Acunetix WP Security – Settings pozwala nam wprowadzić i wyłączyć takie funkcje jak np pokazywanie w kodzie strony wersji zainstalowanego wordpressa
do pobrania: https://pl.wordpress.org/plugins/wp-security-scan/
wchodzimy na poziom wyżej
Sucuri Security – Auditing, Malware Scanner and Security Hardening narzędzie które online pomoże nam monitorować stan zabezpieczeń strony, sprawdzi stan zabezpieczeń mailware wordpress oraz powiadomi nas alertem na e-mail w razie wykrycia zagrożenia
do pobrania: https://pl.wordpress.org/plugins/sucuri-scanner/
no i naszym zdaniem faworyt w swojej lidze waga ciężka
All In One WordPress Security Plugin firewall wordpress czyli kompleksowe zabezpieczenie strony wordpress od pozamykania otwartych portów po monitorowanie i naprawdę porządne wzmocnie zabezpieczeń strony wordpress, jak sami twórcy modu mówią ta wtyczka przeniesie Twoją stronę na wyższy poziom zabezpieczeń i nie są to słowa na “wiatr rzucane”.
do pobrania: https://pl.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
Należy jednak pamiętać aby oprócz instalacji powyższych wtyczek dodatkowo je odpowiednio skonfigurować i ustawić.
Jeżeli potrzebują Państwo płatnego wsparcia we wprowadzeniu powyższych zabezpieczeń, oraz skonfigurowaniu odpowiednio modów i wtyczek zapraszamy do kontaktu:
kom. 888 537 633 kreacja@kreacjastronpoznan.pl
pomagamy zarówno przed atakiem na stronę, ale również przywracamy naprawiamy stronę wordpress po ataku i włamaniu na www
podejmujemy się zadań naprawy strony nawet tam gdzie inni nie dali rady, poniżej przykładowa opinia naszego jednego z klientów
dodatkowo oferujemy monitoring strony:
USŁUGA MONITOROWANIA I AKTUALIZACJI STRONY WORDPRESS
– wgrywanie najnowszej wersji systemu wordpress jak tylko się pojawi (aktualizacje są ciągłe)
– wgrywanie dodatkowych łatek i zabezpieczeń jakie tylko usuwają luki wykryte w wordpress
– monitorowanie strony i jej bezpieczeństwa
– natychmiastowa reakcja na kontakt od klienta lub firmy hostingowej że coś się dzieję nawet w święta i dni wolne od pracy
– aktualizacja wtyczek, widżetów na najnowsze poprawione wersje
– systematyczna kopia bezpieczeństwa całej strony wordpress plików i bazy danych