8–12 minut
Bezpieczna strona na WordPress, co warto wiedzieć
i jak zacząć
Cześć! Ważnym aspektem w posiadaniu strony internetowej jest jej bezpieczeństwo. Niezależnie od tego, czy twoja strona
to wizytówka portfolio, czy mały blog warto dmuchać na zimno i zadbać o jej ochronę. W tym artykule przedstawię jedne
z najczęstszych zagrożeń dla strony w WordPress. Podam przykłady i proste sposoby na zwiększenie bezpieczeństwa
Twojej strony. Zapraszam do lektury!
Hasła
Zacznę od wciąż aktualnego problemu, czyli haseł. Jeśli twoje hasło to imię kota i jego rok urodzenia to czas najwyższy to zmienić. Istnieje stronę internetową, która sprawdza jak długo zajmie złamanie danego hasła.
Sprawdzenie siły hasła
Adres strony internetowej to: https://www.security.org/how-secure-is-my-password/. Na witrynie możemy zweryfikować czy nasze hasło jest bezpieczne oraz ile zajmie złamanie go.
Tworząc hasło, należy pamiętać o kilku zasadach: powinno się składać z 3 losowych słów, minimalna ilość znaków 8, a najlepiej jakby składało się między 12 a 14 znaków. Niektóre witryny narzucają z góry, jaka jest minimalna ilość znaków przy tworzeniu hasła do konta. Hasło powinno zawierać również co najmniej jeden znak z każdej grupy: małe litery, duże litery, liczby i znaki specjalne np. ! (wykrzyknik). Wybierz łatwy do zapamiętania cytat czy tekst piosenki lub frazę i użyj pierwszych liter z każdego słowa. Używaj liter różnej wielkości, pamiętaj, aby uwzględnić liczby i symbole zastępując nimi litery bądź całe słowa.
Do każdego konta, które zakładamy, powinno być inne hasło. Jeżeli nie masz pomysłu na hasło, istnieją darmowe generatory haseł.
Na stronie https://proton.me/pl/pass/password-generator możemy wygenerować hasło np. składające się z losowych znaków, zawierające wielkie litery, cyfry i znaki specjalne. Po prawej stronie widać, jaki jest poziom bezpieczeństwa hasła oraz poniżej mamy dostęp do większej ilości haseł.
Oprócz losowych haseł można wygenerować również łatwe do zapamiętania słowa. Składające się np. z 2-óch czy 4-ech słów. Zawierające wielkie litery, cyfry oraz mamy do wyboru separator w postaci myślnika, kropki czy przecinka.
Witryna https://haslomat.pl/ generuje hasła ze słownika umieszczonego na serwerze. Generowane hasła mogą składać się z minimum 2 słów do 5-ciu. Zawarte w nich są cyfry, duże litery, separator i Polskie znaki, można wyłączyć Polskie znaki, wystarczy zaznaczyć checkbox, zastąp diakrytyki. Po prawej stronie widać ile czasu zajęłoby złamanie danego hasła, określone jest to w latach.
Menadżer haseł
Osobne hasło do każdego konta? Gdzie to zapisać lub jak zapamiętać? Na szczęście są do tego dedykowane narządzenia w wersji online i offline jak menadżer haseł.
Google posiada menadżer haseł online pod adresem: https://passwords.google.com/. Wystarczy zalogować się na swojego konto Google i mamy dostęp do wszystkich zapisanych haseł.
KeePass
KeePass to program do zapisywania haseł, czyli wersja offline. Można go pobrać na swój komputer z adresu strony: https://keepass.info/. Poniżej przedstawię jak dodać swojego hasło do bazy.
Po zainstalowaniu i uruchomieniu programu ukaże się nam powyższe okienko, należy dodać nową bazę danych z hasłami i nadać jej nazwę.
W lewym górnym rogu klikamy Plik i nowy. Pojawi się okienko informujące, że nie mamy jeszcze bazy haseł, klikamy OK, następnie wskazujemy, gdzie baza danych ma się zapisać. Wskazałam na chwile obecną Pulpit, po czym należy kliknąć Zapisz.
Gdy zapiszemy lokalizację bazy haseł, czeka nas najważniejsze zadanie, czyli wpisanie głównego hasła. Kiedy to już zrobimy, klikamy OK.
Kolejnym krokiem będzie nazwanie naszej bazy haseł, zastosowałam nazwę: „Hasła”.
Stworzyliśmy główne hasło, nazwaliśmy naszą bazę haseł, następnym krokiem będzie dodanie Wpisu. Po lewej stronie mamy do wyboru eMail. Klikamy prawym przyciskiem myszki i dodajemy grupę, którą nazwę „Gmail” bo będę w niej przechowywać hasło właśnie do tej poczty.
Nazwałam grupę jak wyżej, czyli Gmail, po czym należy kliknąć OK i zostanie ona stworzona.
Klikamy na grupę „Gmail”, tak żeby była zaznaczona, następnie na białym polu po prawej klikamy prawym przyciskiem myszki i z listy wybieramy Add Entry, czyli dodaj wpis.
Pojawi się nam okienko do uzupełnienia. Wprowadzamy jako pierwsze tytuł, następnie adres e-mail, hasło, które możemy wpisać sami lub klikając po prawej trzy kropki skorzystać z zaproponowanego hasła przez KeePass. Ostatnim polem do uzupełnienia będzie link, czyli URL, jeżeli chodzi o pocztę Gmail, będzie to: https://gmail.com.
Dodany wpis jest widoczny w grupie Gmail.
Klikając na wpis prawym przyciskiem myszki mamy możliwość skopiowania hasła.
Kończąc wprowadzenie wszystkich haseł do menadżera, po lewej trzecia ikona „dyskietki” spowoduje zapisania się bazy haseł.
Lub klikamy Plik i zapisz.
Alternatywą dla programu KeePass jest na przykład Bitwarden, strona: https://bitwarden.com/.
Drugim programem jest 1password, strona: https://1password.com/.
Malware
Malware to złośliwe oprogramowanie, które może dostać się na Twoją stronę poprzez niezabezpieczone wtyczki czy nieaktualne motywy. Najczęściej działa w tle, na przykład podmienia linki, które wyświetlają reklamy albo przekierowuje odwiedzający na inną niebezpieczną stronę. Witryna wygląda normalnie, ale użytkownicy po kliknięciu w link zostają przeniesieni na podejrzaną stronę np. fałszywy sklep i ty możesz tego nie zauważyć przez długi czas.
Dlatego warto co jakiś czas skanować stronę pod względem niebezpiecznych materiałów. Taki skaner posiada Google,
to Safe Browsing czy Sucuri. Dodatkowo posiadając hosting od LH.PL, również nasza strona jest skanowana pod względem niebezpiecznych materiałów, zapewniając nam również warstwę bezpieczeństwa.
Powyżej widać skaner strony internetowej online od Google – Safe Browsing, strona: https://transparencyreport.google.com/safe-browsing
Program do skanowania strony internetowej od Sucuri, dodatkowo po zeskanowaniu podpowiada jakie obszary pod względem bezpieczeństwa powinny zostać poprawione. Adres witryny: https://sitecheck.sucuri.net/
Brute force
To atak, który polega na zgadywaniu loginu i hasła, metodą prób i błędów. Przy instalacji WordPress możemy ustawić inny login niż admin. To pierwszy krok do bezpieczeństwa. Istnieją wtyczki, które zmieniają adres logowania do WordPress.
Phishing
Technika oszustwa, w której ktoś podszywa się pod zaufaną instytucję i wysyła e-mail na przykład z informacją o wygranej Iphona czy darmowych wakacjach. W wiadomości znajduje się przycisk zachęcający do odebrania nagrody. Kliknięcie przycisku spowoduje otwarcie fałszywej strony internetowej, łudząco podobnej do oryginalnej strony gdzie jej celem jest wyłudzenie danych na przykład logowania do banku czy strony w WordPress. Dlatego warto chronić formularze kontaktowe poprzez reCaptche i nie klikać w podejrzane e-maile.
DDoS
Atak DDoS to skrót od Distributed Denial of Service, który polega na zalewaniu Twojej strony ogromną ilością zapytań. Jakby tysiące botów próbowały wejść na stronę jednocześnie, w efekcie serwer poddaje się i strona przestaje działać. Wyobraź sobie, że masz mały sklep z jednym wejściem. Nagle przed drzwiami pojawia się tysiące osób i nikt nie może wejść do środka, nawet prawdziwi klienci. Takie ataki rzadko zdarzają się na małych stronach, ale warto wiedzieć, że są sposoby ochrony.
Cloudflare, znajdziesz pod adresem: https://www.cloudflare.com/pl-pl/, w podstawowej darmowej wersji ochrony blokuje podejrzany ruch na stronie. W razie ataku chwilowo ukrywa naszą stronę za swoją tarczą.
Usługa od Bunny.net, adres strony: https://bunny.net/. Przeznaczona jest dla większych stron czy sklepów internetowych, bo płaci się za liczbę odwiedzających.
Proste działania poprawiające bezpieczeństwo
– Regularne aktualizowanie motywu i wtyczek, wystarczy zalogować się do WordPress i sprawdzić, czy pojawiały się nowe aktualizacje. To ważne, gdyż wiele ataków wykorzystuje luki w kodzie wtyczki lub motywu
– Silne hasła i unikanie loginu „admin”. Podczas zakładania konta wprowadź inną nazwę użytkownika niż admin, bo to pierwsza rzecz, którą sprawdzają boty, a do hasła użyj jednego z powyższych generatorów haseł i sprawdź jego siłę.
– Zastosowanie reCaptcha przy formularzu kontaktowym, jeżeli posiadach go na stronie. To jest takie znane okienko „Nie jestem robotem”. Chroni przez spamem i automatycznymi botami.
– Backup, czyli kopia zapasowa strony. Utworzenie jej poprzez np. wtyczkę UpdraftPlus albo przez hosting. W LH.PL kopie zapasowe są przechowywane z ostatnich 14 dni.
– Skan strony internetowej online poprzez Safe Browsing lub Sucuri, żeby wykluczy niebezpieczne materiały na stronie.
Wtyczki zabezpieczające WordPress
Przedstawię trzy najpopularniejsze wtyczki do zabezpieczenia WordPress: Solid Security, Wordfence Security i All-In-One WP Security and Firewall.
Pierwsza wtyczka bezpieczeństwa to Solid Security. Gdy ją zainstalujemy i włączymy, przeprowadzi nas prosty tryb konfiguracji. Idealna wtyczka dla początkujących. Po przejściu konfiguracji warto włączyć szybką ochronę i przeskanowanie strony. Możemy zablokować w głównych ustawieniach IP konkretnego użytkownika i zmniejszyć liczbę prób logowania na przykład do trzech.
Wtyczka umożliwia zmianę adresu logowania naszej strony, czyli wp-admin. Przechodzimy na ostatnią zakładkę Advanced, następie Hide Backend, Settings zaznaczamy checkbox i tu wprowadzamy swój login np. moja stron internetowa lub co będzie łatwo zapamiętać.
Jeżeli posiadamy redaktora lub autora we wtyczce, może dodatkowo ustawić tworzenie silnych haseł. Wtyczka działa stabilnie i nie przeciąża strony.
Drugą wtyczką do bezpieczeństwa będzie jedna z najpopularniejszych, czyli Wordfence Security. Jako jedna z nielicznych posiada skaner plików i firewall, czyli zaporę sieciową w jednym.
Po lewej stronie z listy wybieramy, skanuj po naciśnięciu na wtyczkę. Skanuje pliki WordPress i porównuje je z oryginalnymi. Raportuje próby ataków. Prowadzi statystyki w czasie rzeczywistym, kto próbował dostać się na stronę.
Ustawienie wtyczki Wordfence Security chwile potrwa, bo ma trochę opcji do wyboru, ale są podpowiedzi.
Ostatnią wtyczką będzie All-In-One WP Security and Firewall. Ma bardzo czytelny interfejs, każda funkcja ma swój poziom trudności, ogromna ilość opcji do ustawienia i wyboru. Zmiana prefiksu bazy danych loginów, blokowanie botów, ochrona logowania, możliwość zablokowania konkretnego IP użytkownika, duża liczba opcji monitoringu. Daje więcej swobody, ale należy wiedzieć co kliknąć i ustawić. Jest świetna dla tych, którzy chcą zabezpieczyć stronę, mając dużo opcji do wyboru.
Kopia zapasowa
Kopia zapasowa, czyli backup to taka siatka bezpieczeństwa, jeśli coś pójdzie nie tak jak, zaplanowaliśmy, możemy szybko przywrócić poprzednią wersję strony. Najlepiej wykonać ją regularnie raz w tygodniu lub przed większymi zmianami motywu czy wtyczek na witrynie. Dwa główne sposoby tworzenia kopii zapasowej to na przykład za pomocą wtyczki UpdraftPlus lub za pośrednictwem hostingu. LH.PL przechowuje kopię zapasową strony przez 14 dni.
Wtyczka do kopii zapasowej UpdraftPlus pozwala na przechowywanie kopii zapasowej strony w Dropboxie, Google Drive czy na e-mailu. Można również ustawić harmonogram wykonania kopii zapasowej dzienny, tygodniowy, a nawet dwu godzinnym i w jakiej ilość. Najlepiej ustawić wykonywanie backupu strony, motywu, wtyczek i bazy danych.
Oprócz automatyczne wykonania kopii zapasowej można wykonać ją ręcznie. Wystarczy kliknąć po prawej stronie Utwórz kopię i to wszystko. Z kolei hosting LH.PL wykonuje kopie zapasowe i przechowuje je przez 14 dni całej naszej strony, bazy danych, motywu i wtyczek.
Gdzie przechowywać kopię zapasową?
Backup witryny można przechowywać zarówno online, jak i offline. Online mamy takie narzędzia jak Google Drive czy Dropbox. Offline możemy przechowywać na dysku komputera, pendrive czy dysku przenośnym. Nie jest zalecane trzymanie kopii zapasowej w jednym miejscu, mianowicie online lub offline. Warto przechowywać zarówno np. na Dropboxie, jak i na komputerze, bo gdy przestanie na przykład działać serwer, możemy stracić kopię strony. Posiadając backup na dysku komputera czy dysku przenośnym to trochę jak sejf w domu, mamy nad tym kontrolę.
W tym artykule znajdziesz więcej informacji na temat Kopii zapasowej w WordPress.
Checklist – co możesz wdrożyć, żeby zmniejszyć ryzyko ataku na stronę
Aktualizacje WordPressa, motywów i wtyczek
Silne hasła i unikanie loginu „admin”
Zmiana adresu logowania (np. przez wtyczkę)
Formularze z reCAPTCHA
Regularne kopie zapasowe (np. UpdraftPlus, hosting)
Skany bezpieczeństwa (np. Sucuri, hosting)
Zabezpieczenia dodatkowe (Cloudflare, Bunny.net)
Ograniczenie liczby prób logowania / zmień adres logowania
Uważaj na podejrzane maile (phishing)
Powyższą checklistę możesz wprowadzić spokojnie krok po kroku. Każdy z powyższych punktów to taki mały element, który zwiększa bezpieczeństwo strony internetowej. To proces, a nie jednorazowe działanie. Nawet podstawowe kroki potrafią znacznie zmniejszyć ryzyko. Mam nadzieję, że powyższe informację pomogą lepiej zrozumieć Ci temat i podjąć dobre decyzje przy zabezpieczeniu swojej strony.
Dodatkowym zabezpieczeniem strony jest również logowanie dwuetapowe. Przeczytaj lub obejrzyj na ten temat wideo, które przygotowałam.
Strona działa, ale nikt się nie odzywa – co sprawdzić?
Strona działa, ale nikt się nie odzywa. Co sprawdzić? Wchodzisz do sklepu, wszystko wygląda…
Strona działała, ale Google jej nie widział. Sprawdziłam te ustawienia WordPress
Strona działa, można ją otworzyć z linku, więc pojawia się pytanie:
dlaczego nie wyświetla się…
Formularz kontaktowy nie wysyła wiadomości
Pewnego dnia dzwoni klient i mówi:
Wysłałam tydzień temu zapytanie przez formularz na stronie,
ale…
WordPress to nie tylko szablon.
WordPress to nie tylko szablon. Co decyduje o tym, czy strona naprawdę działa Na…
SEO-wiec, copywriter i marketer czym się różnią i jak wpływają na stronę
Gdy planujesz stronę internetową albo chcesz ją poprawić, pojawiają się trzy pojęcia:
SEO, copywriting…