Sposoby zabezpieczania bloga WordPress

| 9 września 2011 | Porady dla webmastera | Brak komentarzy

Prowadząc blog możemy być narażeni na potencjalne próby zhakowania go. Włamywacz będzie wykorzystywał istniejące luki w zabezpieczeniach, a metody ataku będą różne. Warto więc zawczasu trochę utrudnić pracę hakerowi poprzez przestrzeganie kilku zasad i wprowadzenie prostych modyfikacji.

1. Wykonywanie aktualizacji skryptu, motywów i wtyczek
Wydawane aktualizacje likwidują luki w zabezpieczeniach, które znacznie ułatwiają atak hakerowi. Prosta zasada, ale bardzo skuteczna.

2. Wykonywanie regularnej kopii zapasowej plików i bazy danych
Tworząc backup naszego bloga w przypadku jego utraty lub uszkodzenia możemy szybko go odtworzyć z posiadanej kopii. Dobrym pomysłem jest instalacja wtyczki wykonującej backup automatycznie, w określonych odstępach czasu: Automatyczny backup bloga WordPress

3. Usunięcie informacji o wersji skryptu
w pliku functions.php naszego motywu na końcu dodajemy linię:

remove_action(‘wp_head’, ‘wp_generator’);


sprawdzamy także w pliku header.php motywu i w razie czego usuwamy z kodu linię

<meta name=“generator” content=“WordPress <?php bloginfo(’version’) ?>” />

4. Blokada wyświetlania zawartości katalogów
umieszczamy w każdym katalogu na serwerze plik index.html / index.php. Sposób nie pozwoli włamywaczowi przeglądać zawartości katalogu. Alternatywnie do pliku .htaccess w głównym katalogu wklejamy linię: Options -Indexes

5. Wyłączamy rejestrację na blogu
na ogół blog prowadzimy sami, więc wyłączamy rejestrację: Ustawienia >>> Członkostwo >>> odznaczamy Każdy może się zarejestrować
Potem, w razie potrzeby, możemy sami ręcznie dodać nowego użytkownika.

6. Katalogi na hasło
zabezpieczamy hasłem katalog wp-admin i blokujemy dostęp do pliku wp-config.php. Opis jak to zrobić: Zabezpieczenie katalogów hasłem na serwerze WWW.
Ochrona katalogu admina poprzez nałożenie hasła daje nam tzw. podwójne logowanie >>> najpierw autoryzacja dostępu do katalogu, a potem jeszcze normalne logowanie podając login i hasło do naszego konta.
Przy okazji wspomnę tutaj o stosowaniu trudnych haseł. Dobre hasło to ciąg losowych znaków, w tym małych i dużych liter, cyfr oraz znaków specjalnych. Dobre hasło możemy utworzyć specjalną aplikacją: Generator haseł + link: Sprawdzanie siły hasła.

Możemy także zmienić katalog z plikami źródłowymi WordPress-a (instrukcje):
– tworzymy nowy katalog na serwerze np. blog
– przechodzimy do Kokpit >>> Ustawienia >>> Ogólne
– w „Adres URL WordPressa” wpisujemy ścieżkę do katalogu np. https://example.com/blog
– w „Adres URL witryny” pozostawiamy główny adres np. https://example.com/
– zapisujemy ustawienia. Ignorujemy błąd lokalizacji plików skryptu
– przenosimy pliki do nowego katalogu
– kopiujemy pliki: index.php i .htaccess do głównego katalogu (root) bloga
– otwieramy plik index.php z root katalogu w edytorze i edytujemy:

require(‘./wp-blog-header.php’);


dodając przed nazwę utworzonego katalogu np.

require(‘./blog/wp-blog-header.php’);


– logujemy się do nowej lokalizacji. Katalog admina jest teraz w nowej lokalizacji np. https://example.com/blog/wp-admin/
– ponownie konfigurujemy bezpośrednie odnośniki

7. Zmiana prefixu tabel bazy danych
na etapie instalacji nowego bloga zmieniamy domyślny prefix tabel wp_ na inny np. 2b6k_
W istniejącym blogu eksportujemy bazę danych i otwieramy w notatniku programistycznym. Wykorzystując opcje Zamień zmieniamy domyślny prefix na nowy. Importujemy bazę. Następnie w pliku wp-config.php edytujemy pozycję z prefixem tabel na nową.

/**
* Prefiks tabel WordPressa w bazie danych.
*
* Możesz posiadać kilka instalacji WordPressa w jednej bazie danych,
* jeĹźeli nadasz kaĹźdej z nich unikalny prefiks.
* Tylko cyfry, litery i znaki podkreślenia, proszę!
*/
$table_prefix = 'wp_';

8. Blokada indeksowania katalogów przez boty w pliku robots.txt
plik robots.txt nie pozwoli na indeksowanie przez boty kluczowych i prywatnych folderów. Jeżeli tego nie zrobimy booty mogą zindeksować nasze katalogi na serwerze i ujawnić je światu w wynikach wyszukiwania:
backup-bazy-1.jpg

9. Zmieniamy domyślną nazwę użytkownika z admin na inną
na etapie instalacji nowego bloga zmieniamy nazwę domyślnego użytkownika „admin” na inną. Jeżeli blog już istnieje edytujemy nazwę użytkownika w bazie danych >>> w tabeli wp_users edytujemy user_login i user_nicename wpisując nową nazwę użytkownika
backup-bazy-1.jpg

Zmiana także user ID z 1 do np. 2. Musimy także zmienić wszystkie pozycje user ID w tabeli wp-usermeta. Inaczej nie zalogujemy się do panelu admina
„Nie posiadasz wystarczających uprawnień, by wejść na tę stronę”

Podobny wpis: Metody zabezpieczania forum MyBB 



Tags:

Autor artykułu

Traxter

Nazywam się Sebastian Wolszlegier. Jestem właścicielem, administratorem oraz redaktorem strony traxter-online.net.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *