W tym tygodniu odpalamy drugą część tekstu dotyczącego tego jak zabezpieczyć stronę WordPress. Przypomnijmy, że pierwsza znajduje się pod tym adresem.
Bezpieczeństwo Twojej strony – część 2
Spis treści
- Zabezpiecz system operacyjny hosta
- Zabezpiecz swój lokalny system operacyjny
- Używaj trudnych haseł (oraz loginu)
- Szyfruj komunikację z administratorem
- Stwórz kopię zapasową systemu i bazy danych
- Wykorzystaj siłę społeczności systemu WordPress
Zabezpiecz system operacyjny hosta
Tak, wydawać się to może już trochę nudne, ale upewnienie się, że system operacyjny hosta jest chroniony i zaktualizowany jest równie ważne, jak ochrona samej platformy WordPress. Porównamy to do niedzielnego pikniku – nie ma sensu pakowania pysznego jedzenia, skoro nie zajęliśmy się dziurawym koszykiem, w którym ma ono się znajdować. Mogą się do tego dobrać mrówki, albo zawsze nienasycone myszy polne. I wrócimy z łona natury głodni.
Twój host powinien mieć włączone automatyczne aktualizacje zarówno dla systemu operacyjnego jak i oprogramowania serwera WWW. Jeżeli korzystasz z usług innej firmy hostingowej, upewnij się, że usługodawca jest znany na rynku oraz godny zaufania. Jeśli nie jesteś pewny, pytaj (nie odpuszczaj)! Pamiętaj o tym, że jeśli skorzystasz z niepewnej usługi hostingowej (wybranej także przez inne serwisy) i któryś z innych serwisów zostanie zhakowany, Twoja strona może być następna, bez względu na to jak bardzo będziesz ostrożny. Jak to zwykle bywa część dostawców preferuje odwieczną metodę sprzedażową polegającą na szalonym zarzynaniu cen. Jednak naprawdę warto zapłacić trochę więcej za wygodę i spokój – bo straty wynikające ze zhakowania strony mogą okazać się nieporównywanie większe.
Zabezpiecz swój lokalny system operacyjny
Nie zaniedbuj lokalnego systemu. Ochrona Twojej platformy WordPress oraz serwera, na którym ona się znajduje nie ma najmniejszego sensu, jeżeli komputer, używany do łączenia się z serwerem, podłączony jest do niezabezpieczonej sieci WiFi lub usiany jest wirusami. Tak to niestety wygląda obecnie, że całość tworzy system naczyń połączonych, luka w jednym elemencie stanowi zagrożenie dla wszystkich części.
Jeśli łączysz się z WordPressem przy pomocy sprzętu z zainstalowanym keyloggerem (lub inną infekcją taką jak na przykład Trojan, Zbot, które kradną dane z protokołów FTP), możesz równie dobrze opublikować swój login i hasło na swojej tablicy facebookowej lub portalu samosia.pl – Twoja strona jest niczym kiełbaska z grilla, która lada moment się spali. A dookoła niej czai się tłum rządnych wrażeń mięsożerców. Nim się obejrzysz, przypieczone mięsiwo zostanie rozerwane przez ich potężne szczęki, a niegdysiejszy posiłek stanie się ledwie wspomnieniem – zupełnie jak Twoja strona WP.
Zawsze należy używać w pełni funkcjonalnego pakietu Internet Security, który zawiera oprogramowanie antywirusowe, wbudowany firewall, strażnika WiFi, ochronę serwerów oraz analizę behawioralną.
Używaj trudnych haseł (oraz loginu)
Zdziwilibyście się ile banalnych haseł spotykamy w naszej pracy każdego dnia. Stworzenie wytrzymałego, bezpiecznego i łatwego do zapamiętania hasła jest tak proste, że unikanie tego to po prostu czyste lenistwo. Jeżeli używasz tego samego hasła w kilku serwisach internetowych, musisz opracować strategię zabezpieczenia swojego hasła, a także sprawdzić czy Twoje hasło nie zostało naruszone na shouldichangemypassword.com.
Powinieneś także zmienić login swojego konta – WordPress ustawia zazwyczaj domyślną nazwę konta na „Admin”, co może być użyte w pierwszej kolejności przez niedoszłego hakera. Nowsze wersje platformy WordPress powinny same zaproponować zmianę nazwy użytkownika podczas instalacji. Jeżeli jednak z jakiegoś powodu zostanie to pominięte, zawsze możesz zmienić login później. Daj ponieść się wyobraźni! Pamiętaj, unikaj jak ognia jakichkolwiek nazw, które można by wywnioskować z Twojej aktywności w Internecie (mam na myśli przede wszystkim Facebooka) – takie jak swoje przezwisko, nazwisko, czy imię ulubionego zwierzaka.
Szyfruj komunikację z administratorem
Wykorzystując protokół FTP do łączenia się z serwerem WordPress, najlepiej jest chronić dane za pomocą kodowania SFTP lub SSH. Jeżeli korzystasz z serwera WWW i nie jesteś pewien czy zawiera ono jakiekolwiek szyfrowanie, po prostu zapytaj. Zagwarantuje Ci to, że zamiast polecieć w cyberprzestrzeń bez żadnych zabezpieczeń, wszystkie ważne dane (takie jak Twój login i hasło) będą zakodowane zanim trafią one na serwer. Wielu użytkowników WP nie wie o takiej możliwości.
Stwórz kopię zapasową systemu i bazy danych
Nawet najlepszy plan może nie wypalić i jeśli Twoja strona lub blog padną ofiarą internetowych złodziei, musisz być gotowy przywrócić je z kopii zapasowej. Naprawa uszkodzonych danych czy też naruszonego skryptu nie zawsze pomoże – czasem najlepszym sposobem na ruszenie dalej jest krok do tyłu. Aby chronić swoje dane (oraz dane swoich klientów), kopie zapasowe należy wykonywać regularnie (zalecamy przynajmniej raz w tygodniu) i chronić je przy pomocy odpowiedniego szyfrowania. Jako autorowi bloga (co prawda nie tego, ale zdarzyło mi się, że nie raz i nie dwa namieszałem w kodzie, nie wiedząc co dalej począć) uratowało mi to już kilkakrotnie cztery litery.
Wykorzystaj siłę społeczności systemu WordPress
To jedna z największych zalet systemu opensource, tworzonego przez pasjonatów na całym świecie. W sieci znajduje się cała masa dobrze napisanych i łatwych w użyciu dodatków do platformy WordPress, dzięki którym możesz przeskanować swój system w celu znalezienia problemów, zapewnić mu aktywną ochronę lub też zarchiwizować swoje dane. Oto kilka z nich, które mogą Ci się przydać (strony po angielsku, ale naprawdę warto przez nie się przekopać, bo jest tam masa potrzebnych porad):
- VaultPress (profesjonalna usługa autorstwa ludzi tworzących WordPress)
- WP Security Scan
- Secure WordPress
- Bulletproof Security
- Online Backup for WordPress
Ostatecznie to czego użyjesz zależy od Ciebie; zalecamy pobieranie dodatków z oficjalnej strony WordPress – wszystko znajdziesz tutaj.
Jeżeli miałbyś (miałabyś) jakieś uwagi, pytania – można je zadać w komentarzach pod spodem lub dodać na naszym oficjalnym profilu na FB.
Całość powyższych „wykładów” przygotowaliśmy w formie filmu video dostępnego na naszym kanale w serwisie Youtube.
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!