Poprzedni wpis
Z racji swej popularności WordPress często staje się celem hakerów. Warto więc zadbać o podstawowe zabezpieczenie swojej instalacji, by nie ułatwiać włamania na naszą stronę. Zabezpieczenie WordPressa i przestrzeganie podstawowych zasad zmniejsza ryzyko awarii strony.
Należy zawsze instalować najnowszą wersję, wykorzystując paczkę pobraną z oficjalnej strony https://wordpress.org/download/. Zainstalujmy świeżo pobraną paczkę ręcznie, nie używajmy auto instalatorów. Mogą one zawierać nieaktualne wersje systemu, zmodyfikowane pliki oraz instalować niepożądane przez nas pluginy, itd.
Wybierając lub konfigurując serwer, na którym dokonamy instalacji, zwróćmy uwagę, by spełniał rekomendowane wymagania:
Jeśli dzielimy serwer pomiędzy stronami/użytkownikami zwróćmy uwagę, czy posiada on separację domen. Tworząc bazę danych należy zwrócić uwagę, aby użytkownik bazy danych i baza danych nie były tożsame. Dostęp do bazy danych powinien być tylko z lokalnego serwera, wyłączmy dostęp z zewnętrznych hostów. Ponadto podczas instalacji dobrze jest zmienić standardowy przedrostek wp_ na coś bardziej wymyślnego np. s4m_
Login admina w WordPressie powinien być unikalny. Nie używajmy loginów typu: admin, administrator oraz nazw identycznych jak nazwa domeny. Warto zwrócić też uwagę, aby hasła, zarówno do panelu hostingu, jak i WordPressa, były różne i możliwie trudne.
Pierwszym krokiem po wykonaniu instalacji powinno być przeniesienie pliku wp-config.php poza katalog public_htm. WordPress domyślnie sprawdza główny katalog instalacji oraz jeden katalog wyżej w poszukiwaniu wp-config.php. Standardowo prawa dostępów powinny wyglądać następująco: 755 dla folderów i 664 dla plików. Sprawdźmy, czy tak jest i czy nie ma żadnych plików ani folderów z pełnymi uprawnieniami 777.
Zgodnie z danymi WPScan.org najwięcej włamań dokonywanych jest poprzez dziury we wtyczkach z wykorzystaniem XSS. Należy więc ograniczyć ilość wtyczek do minimum oraz instalować je tylko ze sprawdzonych źródeł. Powinniśmy stale aktualizować wtyczki i nie używać tych, które nie są już rozwijane. Ponadto warto być na bieżąco z newsami dotyczącymi bezpieczeństwa. Strona http://www.wpsecuritybloggers.com/blog agreguje treści związane z bezpieczeństwem WordPressa.
Poza manualną weryfikacją możemy skorzystać z narzędzi, które automatycznie wykryją zainstalowane wtyczki i motywy, a następnie sprawdzą ich podatność w swojej bazie. Najpopularniejszym i najbardziej rozbudowanym jest darmowy WPScan (https://wpscan.org).
Poprzedni wpis