Jak zabezpieczyć stronę na WordPressie?

Z racji swej popularności WordPress często staje się celem hakerów.  Warto więc zadbać o podstawowe zabezpieczenie swojej instalacji, by nie ułatwiać włamania na naszą stronę. Zabezpieczenie WordPressa i przestrzeganie podstawowych zasad zmniejsza ryzyko awarii strony.

Instalacja WordPressa – zacznijmy od podstaw

Należy zawsze instalować najnowszą wersję, wykorzystując paczkę pobraną z oficjalnej strony https://wordpress.org/download/.  Zainstalujmy świeżo pobraną paczkę ręcznie, nie używajmy autoinstalatorów. Mogą one zawierać nieaktualne wersje systemu, zmodyfikowane pliki oraz instalować niepożądane przez nas pluginy, itd.

Wybierając lub konfigurując serwer na którym dokonamy instalacji, zwróćmy uwagę by spełniał rekomendowane wymagania:

  • Wersja PHP 7.2 lub większa
  • MySQL w wersji 5.6 lub większej albo MariaDB w wersji 10 lub więcej
  • Certyfikat SSL (https) np. darmowy LetsEncrypt

Jeśli dzielimy serwer pomiędzy stronami/użytkownikami zwróćmy uwagę czy posiada on separację domen. Tworząc bazę danych należy zwrócić uwagę aby użytkownik bazy danych i baza danych nie były tożsame. Dostęp do bazy danych powinien być tylko z lokalnego serwera, wyłączmy dostęp z zewnętrznych hostów. Ponadto podczas instalacji dobrze jest zmienić standardowy przedrostek  wp_ na coś bardziej wymyślnego np. s4m_
Login admina w WordPressie powinien być unikalny. Nie używajmy loginów typu: admin, administrator oraz nazw identycznych jak nazwa domeny. Warto zwrócić też uwagę aby hasła, zarówno do panelu hostingu jak i WordPressa, były różne i możliwie trudne.

WordPress zainstalowany, co dalej?

Pierwszym krokiem po wykonaniu instalacji powinno być przeniesienie pliku wp-config.php poza katalog public_htm. WordPress domyślnie sprawdza główny katalog instalacji oraz jeden katalog wyżej w poszukiwaniu wp-config.php

Standardowo prawa dostępów powinny wyglądać następująco: 755 dla folderów i 664 dla plików. Sprawdźmy czy tak jest i czy nie ma żadnych plików ani folderów z pełnymi uprawnieniami 777.

Instaluj wtyczki z głową

Zgodnie z danymi WPScan.org najwięcej włamań dokonywanych jest poprzez dziury we wtyczkach z wykorzystaniem XSS. Należy więc ograniczyć ilość wtyczek do minimum oraz instalować je tylko ze sprawdzonych źródeł. Powinniśmy stale aktualizować wtyczki i nie używać tych, które nie są już rozwijane. Ponadto warto być na bieżąco z newsami dotyczącymi bezpieczeństwa. Strona http://www.wpsecuritybloggers.com/blog agreguje treści związane z bezpieczeństwem WordPressa.

Poza manualną weryfikacją możemy skorzystać z narzędzi, które automatycznie wykryją zainstalowane wtyczki i motywy a następnie sprawdzą ich podatność w swojej bazie. Najpopularniejszym i najbardziej rozbudowanym jest darmowy WPScan (https://wpscan.org ).