Blog WordPress – Jak chronić swojego bloga przed hakerami?

Blog WordPress

Jesteś już przygotowany na najgorsze. Wiesz jak zarobić kopię zapasową swojego dzieła. Swoją pracę możesz stracić z:

  • własnego błędu,
  • przyczyn niezależnych od nikogo (nazywam to złośliwością rzeczy martwych),
  • działań innych ludzi.

Zajmę się teraz kwestią trzeciego punktu. W tym artykule dowiesz się jak zmniejszyć szansę zniszczenia Twojej pracy przez ataki hakerskie do minimum.

Bezpieczeństwo blog WordPress

Podam Ci niektóre sposoby, które pomogą Ci uniknąć nieprzyjemności związanych z atakami hakerskimi na Twojego bloga. Tych sposobów sam używam i głównie oparte są na działaniu wtyczek.

Jakich zmian bezpieczeństwa uzyskam dzięki wtyczce Secure WordPress?

Wybór właściwej wtyczki bezpieczeństwa Secure WordPress

Na obrazku powyżej pokazałem nazwę wtyczki i jej autora po instalacji. Przy wyszukiwaniu wtyczki wpisz wyrażenie Secure WordPress, ponieważ tak się nazywa ta wtyczka. Po instalacji ma inną nazwę na liście już zainstalowanych wtyczek.

Wejdź do zakładki Ustawienia -> Secure WP, aby wejść w ustawienia tej wtyczki.

Dostępne opcje we wtyczce Secure WordPress

Wtyczka udostępnia następujące funkcje bezpieczeństwa:

  • Komunikaty błędów – Możesz tą funkcją wyłączyć pokazywanie błędów na stronie logowania do WordPressa. Nie zaznaczam tej opcji, ponieważ chcę widzieć jakie są problemy podczas logowania do mojego bloga. W ten sposób będę mógł namierzyć przyczynę problemu.
  • Wersja WordPress – Zaznaczam tą funkcję, ponieważ nie chcę, aby ktokolwiek poza mną widział jakiej wersji WordPressa używam. Dotyczy to również informacji wysyłanych do kanałów RSS. Kolejne wersje WordPressa mają poprawki błędów i luk, co przyczynia się do lepszego bezpieczeństwa. Jeśli inne osoby będą znać numer wersji WordPressa jakiego używasz, to mogę to wykorzystać przeciwko Tobie. Znane są błędy i luki w kodzie w danej wersji, które hakerzy mogą wykorzystać, aby włamać się na Twoje konto. Ukrywając wersję, utrudniasz hakerom przejęcie Twojego konta.
  • Wersja WordPress na zapleczu – Dzięki tej funkcji programista, który robi dla Ciebie wtyczkę, widzi numer wersji WordPressa, na której pracujesz. Jest to istotna informacja do stworzenia wtyczki, aby poprawnie działała w konkretnej wersji jakiej używasz. Zaznacz tą opcję, a tylko osoba, której nadasz uprawnienia do edycji kodu wtyczek, zobaczy wersję Twojego WordPressa.
  • index.php – Koniecznie zaznacz tą opcję, która tworzy automatycznie pliki index we „wrażliwych na atak” katalogach. Warto w każdym katalogu utworzyć plik index.html lub index.php. A już koniecznie w katalogach plugins, który zawiera pliki wtyczek oraz themes, który zawiera pliki szablonów. W ten sposób zblokujesz możliwość przejrzenia listy plików w tych lub wszystkich katalogach na Twoim serwerze.
  • Really Simple Discovery i Windows Live Writer – Tych opcji nie ruszałem. Zostawiłem jak jest domyślnie, bo nie jestem pewny ich działania. Nie chcę wprowadzić Cię w błąd, co do ustawień tych funkcji.
  • Aktualizacja WordPress – Tę funkcję i dwie kolejne zaznaczam. Dzięki temu tylko ja jako administrator mogę aktualizować WordPressa do nowszej wersji. Wolę to samodzielnie kontrolować, ponieważ natychmiastowa aktualizacja niesie ze sobą ryzyko. Chodzi o wtyczki, które używam. Może się tak zdarzyć, że niektóre wtyczki nie będą działać z nowszą wersją WordPressa. Jeśli zależy mi na jakiejś wtyczce, to wolę poczekać na aktualizację tej wtyczki, aby działała na nowszej wersji WordPress.
  • Aktualizacja wtyczki – Tylko administrator może aktualizować wtyczki.
  • Aktualizacja motywów – Tylko administrator może aktualizować szablony.
  • Wersje skryptów/styli WP – Gdy ktoś robi dla Ciebie skrypty lub szablony na Twojego bloga, to istotną informację jest wersja WordPressa, dla którego pisze kod strony. Nie zaznaczaj tej opcji, jeśli chcesz zachować tą informację w plikach strony.
  • Zablokuj błędne zapytania – Zaznacz koniecznie tą opcję, aby blokować podejrzane żądania adresów URL.
  • Dashboard RSS widget – Pokazanie nowości z witryny twórcy wtyczki.

Na koniec na dole strony kliknij przycisk Zapisz zmiany, aby potwierdzić wybrane opcje. Poniżej jest przycisk Usuń opcje, którym możesz cofnąć wszystkie zmiany wykonane przez działanie tej wtyczki.

Wtyczka została wykonana i udostępniona do użycia przez serwis http://www.websitedefender.com/. Polecam Ci założyć konto na tej stronie. Możesz to zrobić pod przyciskiem Sign Up na górze strony. Dzięki temu będziesz otrzymywał informacje na swoją internetową skrzynkę pocztową o tym, co się dzieje na Twoim blogu. Wszelkie mniejsze jak i większe zmiany będą odnotowane. A Ty zostaniesz poinformowany o tych zmianach. Dostaniesz również poradę jak możesz zwiększyć bezpieczeństwo swojej strony internetowej oraz jak poprawić ewentualne błędy. Jedyną przeszkodą jest techniczny język angielski, jakim te informację i porady zostaną Tobie przekazane.

Jak zyskam na bezpieczeństwie mojego bloga dzięki wtyczce WP Security Scan?

Dane po instalacji wtyczki WP Security Scan WordPress

Na powyższym obrazku widzisz nazwę wtyczki i autora, o której zaraz będę mówił. Wtyczka WP Security Scan idealnie uzupełnia działanie poprzedniej wtyczki. Obie wtyczki zostały wykonane przez tego samego autora, czyli serwis WebsiteDefender.

Po zainstalowaniu tej wtyczki po lewej stronie w menu pojawi się nowa zakładka o nazwie WSD Security. Kliknij ją, aby wejść w jej ustawienia.

W zakładce głównej tej wtyczki widać informację o aktualnych zabezpieczeniach oraz niżej informację o systemie na serwerze, gdzie masz bloga.

Ustawienia we wtyczce WP Security Scan WordPress

Na obrazku powyżej widzisz przykładowy tekst informujący o zabezpieczeniach jakie masz lub możesz wprowadzić.

  • A new version of WordPress (3.3.2) is available. You should upgrade to the latest version – Informacja o aktualnie dostępne wersji WordPress. Zalecenie do aktualizacji do najnowszej wersji. Od Ciebie zależy kiedy chcesz wykonać aktualizację. Powiedziałem wcześniej, czym się kieruję przy wyborze terminu aktualizacji.
  • Your table prefix is not wp_ – Domyślnie tabele w bazie danych WordPressa mają przedrostek wp_. Zostawienie takich nazw ułatwia hakerom atak na Twoją bazę danych. Jest ogólnie znana informacja jak nazywają się tabele w WordPressie. Dlatego dla bezpieczeństwa warto zmienić przedrostek na inny. Zaraz zobaczysz jak to zrobić.
  • Your WordPress version is successfully hidden – Potwierdzenie ukrycia wersji WordPressa.
  • WordPress DB Errors turned off – Nie sa pokazywane błędy bazy danych.
  • WP ID META tag removed form WordPress core – Usunięcie meta tagów o WordPress
  • „admin” user exists – Przy instalacji WordPress domyślny użytkownik, który jest administratorem nazywa się admin. Jeśli zostawisz taką nazwę użytkownika, to ułatwisz włamanie się niepowołanym osobom na Twoje konto. Warto to zmienić i zaraz dowiesz się jak to zrobić.
  • The file .htaccess does not exist in the wp-admin section. Read more why you should have a .htaccess file in the WP-admin area here – Tutaj jest porada, aby wprowadzić dodatkowe zabezpieczenie dla pliku .htaccess. W tym artykule nie omawiam tego.

Jak zmienić przedrostek w nazwach tabeli bazy danych w WordPress?

Jak zmienić prefix tabel bazy danych za pomocą wtyczki WP Security Scan WordPress

Wejdź do zakładki Database w tej wtyczce. Zanim zmienisz nazwy tabel, zrób kopię zapasową bazy danych. W tym celu kliknij na tej stronie przycisk Backup now!. Po chwili po prawej stronie pojawi się link do pliku kopii zapasowej. Kliknij go prawym przyciskiem myszy i wybierz Zapisz link jako. Wybierz miejsce, gdzie chcesz zapisać go na swoim komputerze.

Dopiero teraz przejdź do zmiany nazwy tabel. W polu niżej, które oznaczyłem numerem 3 na obrazku powyżej, wpisz inny przedrostek niż wp_. Następnie kliknij przycisk Start Renaming. Po chwili zobaczysz informację o powodzeniu zmian nazw tabel w Twojej bazie danych.

Inny przedrostek do tabel można ustawić w trakcie instalacji WordPress. Skopiuj pliki WordPress-a na serwer. Następnie wpisz w przeglądarce internetowej domenę Twojej strony internetowej, na której uruchamiasz WordPress-a.

Pojawi Ci się komunikat, że plik wp-config.php nie istnieje. To jest początek instalacji. Po kliknięciu przycisku Utwórz plik z konfiguracją pojawi się strona informacyjna co będzie potrzebne podczas instalacji. Po kliknięciu przycisku Zaczynajmy! pojawi się strona taka jak na poniższym obrazku.

W zaznaczonym polu wpisz inny przedrostek niż domyślny. W ten sposób już podczas instalacji ustawisz własny przedrostek tabel bazy danych do WordPress.

Jak zmienić nazwę użytkownika w WordPress?

Pokażę to na przykładzie cpanelu, który jest panelem administracyjnym na moim serwerze. Wpisz adres w przeglądarce internetowej:

http://twojaNazwaDomeny/cpanel

W oknie, które się pojawi, wpisz swoją nazwę użytkownika i hasło do zalogowaniu się na konto FTP. O koncie FTP i cpanelu mówiłem wcześniej w artykule o hostingu www. Po zalogowaniu się znajdź sekcję Databases.

Wejście do bazy danych na swoim serwerze przez cPanel

Kliknij tam link phpMyAdmin, aby zalogować się do swojej bazy danych.

Wybór bazy danych WordPressa w panelu phpMyAdmin

Wybierz swoją bazę danych WordPressa. Listę baz danych znajdziesz po lewej stronie lub w menu Bazy danych. Na obrazku widzisz, że mam jedną bazę danych. Zakryłem jej nazwę i wskazałem strzałką, w którym miejscu znajdziesz swoją.

Z listy tabel, które się pojawią kliknij tę o nazwie prefix_users. W miejscu prefix_ będzie Twój przedrostek (domyślnie wp_).

Wybierz użytkownika admin bazy danych WordPress

W tej tabeli znajdziesz listę wszystkich użytkowników zarejestrowanych na swoim blogu. W moim przypadku jest tylko jeden użytkownik, czyli ja jako administrator. Należy zmienić wartość w polu user_login, którą zakryłem na obrazku. W tym celu kliknij link Edytuj w wierszu użytkownika, który ma uprawnienia administratora bloga.

Edytuj nazwę użytkownika bazy danych

W kolumnie Wartość wpisz nową nazwę użytkownika w wierszu user_login. Swoją nazwę użytkownika zakryłem na obrazku powyżej i wskazałem, gdzie masz wpisać swoją. Następnie kliknij przycisk Wykonaj, aby zatwierdzić zmiany.

Co oferuje pod względem bezpieczeństwa wtyczka Login LockDown?

Dane wtyczki Login Lockdown WordPress po instalacji

Na obrazku powyżej pokazałem Ci nazwę wtyczki i jej autora, o której teraz Ci powiem. Wtyczka o nazwie Login LockDown jest dobrym uzupełnieniem do dwóch poprzednich wtyczek. Jak dla mnie razem tworzą dobrą paczkę bezpieczeństwa.

Dzięki tej wtyczce ochronisz swojego bloga przed atakami typu „brute force”. Tego typu atak polega na wpisywaniu różnych kombinacji znaków przy pomocy programów, aby odgadnąć hasło.

Wejdź do zakładki Ustawienia -> Login LockDown.

Co możesz ustawić we wtyczce Login Lockdown WordPress

W tej wtyczce możesz ustawić:

  • Max Login Retries – Wpisz tutaj maksymalną ilość prób zalogowania się na dowolne konto na Twoim blogu.
  • Retry Time Period Resctriction (minutes) – Wpisz tutaj liczbę określającą w ciągu ilu minut będzie brana pod uwagę seria logowań.
  • Lockout Length (minutes) – Wpisz tutaj liczbę określająca na ile minut zostanie zblokowany numer IP, z którego przekroczono ilość prób logowań.
  • Lockout Invalid Usernames? – Wybierz Yes (czyli Tak), jeśli chcesz, aby nazwa użytkownika była brana też pod uwagę przy sprawdzeniu poprawności danych do logowania. Zmieniam tą wartość na Yes.
  • Mask Login Errors? – Wartość No (czyli Nie) oznacza, że nie będą ukrywane komunikaty o błędnym logowaniu. Zostawiam tą wartość na No.

Na koniec kliknij przycisk Update Settings, aby zapisać zmiany.

Przykładowo na swoim blogu zostawiłem wartości:

  • Max Login Retries = 3
  • Retry Time Period Resctriction = 5
  • Lockout Length = 60

Oznacza to, że jeśli w ciągu 5 minut ktoś 3 razy wpisze błędne hasło przy logowaniu, to numer IP, z którego próbował się zalogować zostanie zblokowany na 60 minut. Z tego numeru IP nie będzie mógł zalogować się do Twojego bloga przez godzinę czasu. Numer IP oznacza adres przydzielony aktualnie do danego komputera podłączonego do sieci komputerowej (w tym przypadku do Internetu).

Niżej pod napisem Currently Locked Out zobaczysz listę numerów IP, które zostały zblokowane w wyniku działania tej wtyczki. Możesz kliknąć dowolny numer IP z tej listy, a następnie kliknąć przycisk Release Selected, aby odblokować wybrany numer IP.

Formularz logowania do WordPress zabezpieczony wtyczką Login Lockdown

Od chwili zainstalowania tej wtyczki w oknie logowania pojawi się napis, że proces logowania chroni wtyczka Login LockDown.


Jeśli podoba Ci się artykuł to kliknij poniżej przycisk „Lubię to!”.

Wpisz poniżej swój komentarz dotyczący tego wpisu i filmu. Jeśli coś jest dla Ciebie niejasne lub masz dodatkowe pytania, to wpisz je poniżej. Jak inaczej zabezpieczasz swoją stronę internetową przed atakami hakerskimi?

Paweł Protaś podpis

Kolejny artykuł z tej serii to Blog WordPress – Od czego zacząć poprawę pozycji w Google?

Podziel się na:
  • Facebook
  • Wykop
  • Twitter
  • Blip
  • Śledzik
  • Google Bookmarks
  • Gadu-Gadu Live
  • Blogger.com
  • co-robie
  • Forumowisko
  • Kciuk.pl
  • LinkedIn
  • Drukuj

Komentarze: 58

  1. Małgorzata pisze:

    Bardzo dokładny opis. O niektórych zasadach bezpieczeństwa nie pomyślałam wcześniej. Warto zabezpieczyc swojego bloga, tym bardziej że nie wiele wysilku to kosztuje. Od jakiegoś czasu zawsze zmieniam nazwę administratora tworząc nowy blog.
    Małgorzata ostatnio opublikował..Jak usunąć napis kolejna witryna oparta na wordpressie?My Profile

  2. krzysiek pisze:

    Dzięki za opis tej wtyczki secure, widziałem ją kiedyś, ale chyba nie miała tłumaczenia na polski i zrezygnowałem, ale teraz widzę, że na prawdę warto. Dzięki.
    krzysiek ostatnio opublikował..Dom, to czasami bywa trudneMy Profile

  3. Adrian Bysiak pisze:

    Bardzo czytelny opis, jutro może znajdę chwilę wolnego i wprowadzę twoje porady w czyn. Dzięki za fajny artykuł jest on naprawdę przydatny dla początkujących bloggerów.
    Adrian Bysiak ostatnio opublikował..Cała prawda o automatycznych systemach i dostawcach sygnału ForexMy Profile

  4. Lupusisko pisze:

    Wow sporo tego jest i o części rzeczy na pewno nie pomyślałem wcześniej. Wracam więc do poprawiania i dziękuję za naukę.

    Btw. działanie klawiasza tab podczas dodawania komentarzy na operze 12.01 jest co najmniej dziwne (nie mam siły o tej godzinie testować na innych przeglądarkach)
    Lupusisko ostatnio opublikował..Wyniki konkursu graficznegoMy Profile

    • A co takiego dziwnego się dzieje przy dodawaniu komentarzy na Operze, bo na tej przeglądarce nie działam?

      • Lupusisko pisze:

        Czy lód jest zimny czy gorący? (wymagane) – chociażby do tej opcji nie da się przejść tabem. Dzisiaj już nie udało mi się powtórzyć błędu z wczoraj, ale naciśnięcie tabu będąc podczas uzupełniania fielda „Witryna internetowa” przeniosło mnie na górę strony.
        Lupusisko ostatnio opublikował..Wywiad z MYM LibikMy Profile

        • Sprawdziłem to jeszcze na przeglądarce Chrome i Firefox i tam też to pole jest omijane przy użyciu klawisza TAB. Te pole jest automatycznie dodane z wtyczki do weryfikacji czy komentarz napisał człowiek dla ochrony przed spamem z robotów. Najwidoczniej taki efekt działania wtyczki. Dzięki, że powiedziałeś mi o tym.

  5. danuta pisze:

    rzeczywiście sporo, ja też nigdy nie pomyślałam o tym, żeby aż tak dbać o bezpieczeństwo stron. jednak wydaje mi się, że chyba warto.. jeśli ktoś daje Ci instrukcje praktycznie „na tacy” to podkreślam warto się w to wgłębić :) mnie osobiście zaciekawiła wtyczka Login LockDown.

  6. mężczyzna pisze:

    Wydaje mi się, że nad tego typu rozwiązaniami powinni pomyśleć wszyscy, którzy opierają swoja witrynę na WP. Nawet jeżeli ich serwisy nie są zbyt wielkie, warto wyrabiać u siebie właściwe praktyki.
    mężczyzna ostatnio opublikował..Polska wywalczyła kolejne medale na olimpiadzieMy Profile

  7. Warto tutaj jeszcze powiedzieć o jednej ciekawej wtyczce – BulletProof. Jest to jedna z najbardziej zaawansowanych darmowych wtyczek do zabezpieczania blogów. Niestety bywają z nią problemy dlatego nie jest aż tak popularna.
    Mariusz Kołacz ostatnio opublikował..Sprawdzanie strony pod kątem martwych linkówMy Profile

  8. mirek pisze:

    nie wiem jak way to robicie ale jak bym nie zabeezpieczal swojego bloga to zawsze taka jedna marokanska k… mi sie do niego wlamuje .. uzywalem better security wp login lockdown wysztko bylo ustawione jak nalezy , wp_ zmienione admina nie bylo i wogole wszytko naj .. i juz pare razy sie budzilem z admin w bazie i jakimis smieciami na 1 stronie i do tej pory nie wiem o co biega… ten poradnik powyzej jest dokladnie taki jak zastosowalem a jednak jeszcze gdzies jest blad … ma ktos jakies pomysly ?

  9. mirek pisze:

    jako ze jestem praktycznie zielony w te klocki wiec standardowo .. w cpanle zakladalem baze + usera ( all previleges) potem instalacja wordpressa + wtyczki login lockdown i better security wp ( wszystko usawione jak zalecane) i blog sobie elegancko dzialal .. co jakis czas mialem info na maila ze znowu jakis ip zostal zablokowany .. po jakims czasie prubuje sie zalogowac a tu zonk .. wiec zagladam do phpmy admin ( users) i widze ze zamist moje go usera grzecznie sobie siedzi ADMIN oczywiscie ktorego nigdy nei zakladalem i zawsze sprawdzam w nowej instalacj czy czasem go nie ma i zmieniam zeby na nei ulatwiac noobom zabawy .. jak jestem zbyt leniwy zeby zajrzec przez jakis czas na bloga (mam tak jak wyjezdzam) to niekiedy miewam jako extra zmienione index.pxp na index.html z informacja ze strone zniszczyla mi banda marokanczykow walczaca w imie allaha.

    • Jeśli zakładasz bloga ciągle na tym samym serwerze, to pewnie ciągle ta sama osoba chce się włamać na złość. Zmiana serwera i domeny uwolniłoby Ciebie od tego natręta. Jednak to drastyczny krok. To co mi teraz przyszło do głowy to: zmiana przedrostków w nazwie tabel bazy danych oraz zaostrzenie blokowania logowania przez wtyczkę login lockdown. Z tego co napisałeś, ciągle próbuje się włamać, aż w końcu mu się udaje. Ustawić, że tylko raz można pomylić się przy logowaniu i na dłużej blokować numery IP. Niech sprawdza też poprawność nazwy użytkownika. Nadać trudne do odgadnięcia hasło – długi ciąg losowych znaków. Często też zmieniać hasło. Pracować też na najnowszej wersji WordPressa. Chyba, że jest jeszcze jakaś luka, która nie przychodzi mi teraz do głowy.

  10. mirek pisze:

    serwera nie zmienie bo za ten zaplacilem … zreszta admin jest bardzo pomocny bo podpowiada to i tamto od czasu do czasu : ) teraz w mysql znalazlem jak ograniczyc udera z all prvilege do podstawowych SELECT, INSERT and UPDATE .. najprostrza przyczyna porazki jaka przychodzi mi do glowy to sql injection i wlasnie z tym postaram sei zawalczyc … najsmieszniejsze jest to ze to jak walka z wiatrakami : ) koles robi po zlosci a wie zdecydowanie wiecej odemnie stad zwyciestwo ciagle po jego stronie ale mam nadzieje ze juz neidlugo :d a co pan sadzi o website defender ? niby fajne ale strasznie spamuje mi maila o byle g..

    • Website defender do dobre darmowe źródło informacji o swojej stronie. To prawda, że pokazuje różnej rangi komunikaty i przez to często przychodzą wiadomości. Zawsze jest wybór korzystać lub wyłączyć. Specjalnie nie szukałem dalej czy są podobne tego typu serwisy podobnej lub lepszej wartości. Ten mi aktualnie wystarcza, póki nie mam większych wymagań.

      • mirek pisze:

        ok zabawy ciag dalszy :)
        dzisiaj postanowilem raktywowac swojego innego bloga aisleseven.eu wgralem elegancko nowego wp oczywiscie ustawilem better wp security link do websitedefender i zaczelem uaktualniac wyglad … po 20 minutach poracy wylogowalo mnie z mojego wlasnego wordpresa i jzu sie nie bylem w stanie zalogowac … wlazlem natychmiast do myphp admin a tam juz elegancko user zmieniony na cos innego .. gdzie jest blad ? przeciez czlowieka moze szlag trafic na takie akcje :d czego nei zabezpieczylem skoro koles wlamal mi sie w ciagu 20 minut od zainstalowania blogA ?

        • Masz rację. To bardzo dziwne. Jeszcze nie spotkałem się z czymś takim. Czy kontaktowałeś się w tej sprawie z administratorem serwera? Może będzie on w stanie namierzyć, z jakich numerów IP były wejścia do plików na twoim webhostingu. Jeśli admin faktycznie jest pomocny i zna się na rzeczy, to może wspólnie uda Wam się ustalić jaka jest przyczyna obejścia zabezpieczeń.

  11. Dorota pisze:

    Super instruktaż – krok po kroku z wyjaśnieniem co i jak. Jedynie co, to brakuje mi jeszcze informacji o tym co wpisać w .htaccess w wp-admin. Byłby komplet.

  12. mirek pisze:

    jedyne co ja bym tam napisal to allow z mojego ip i deny z all :D dodatkowo w cpanle zabezpieczneie calego katalogu haslem : ) ale nie wiem co pan Pawel na to : )

    • Wersja z blokowaniem numerów IP, a dopuszczeniem tylko swojego jest bardzo dobra, jeśli ma się stały numer IP. W tej chwili mam zmienne IP, więc z tej metody nie korzystam. Wcześniej nie korzystałem z nadawania hasła na katalog. Jak to u Ciebie funkcjonuje? Nadasz hasło na katalog i za każdym razem trzeba podać hasło, aby wejść w pliki tego katalogu?

  13. mirek pisze:

    zmienne ip to nie problem jedynie troszeczke wiecej zabiegu. przeciez nic nie stoi na przeszkodzie edytowac htaccess przed edycja bloga :)
    cpanel zabezpiecza katalog i ja podalem pass jeden raz.
    prosilem znajomych aby prubowali sie tam dostac z przegladarki : ) i wychodzilo elegancko forbidden :)
    jedyne co mi spedza sen z powiek to znalezienie w jaki sposob mozna zmienic w mysql usera z naszego na admin .. bo potem pass to juz fraszka. no i dodatkowo czy config.php ktory jest przeciez w glownym katalogu wp – a wiec nie jest chroniony nie zawiera jakis czulych danych ? przyznam ze po kilkukrotnym zniszczeniu moich 3 blogow przez tego samego araba troche zniesmaczyl mnie wp ale jakby nie patrzec dalej ejst najprostrza metoda na wlasna strone www ( fajna) ( http://www.dogwalkingeastbourne.co.uk chwila pracy jakby ktos chcial zobaczyc )
    mirek ostatnio opublikował..puppyMy Profile

    • W pliku wp-config.php jest zapisana nazwa bazy danych i hasło do niej, więc jakby udało się otworzyć ten plik, to zna ta osoba dane dostępu do bazy. Jednak nie znam się na sztuczkach hakerskich, więc nie wiem jak można to zrobić. Duże przybliżenie zdjęcia psa widziałem na Twojej stronie:) Zapewne wysoka rozdzielczość zdjęcia.

  14. mirek pisze:

    zdjecie jest ogromne :) 12mpix ale to wina szablonu ze sie wyswietla jak sie wyswietla i generalnie tylko tam mzoe ktoregos dnia jak blog tak dlugo postoi dogrzebie sie jak to naprawic ale ten szablon zawsze sie gubil jak nie chciales ogladac w galerii : )

    albo sie zezloszcze i zrobie to w css : )
    mirek ostatnio opublikował..puppyMy Profile

  15. Pytający_A. pisze:

    hmmm… wszytko zrobiłem ale na darmowych serwerach chociaż są całkiem przyzwoite mam problemy po zmianie prefixu dlatego mam pytanie da się to zrobić jeszcze przed instalacja w plikach instalacyjnych bez dodatkowych wtyczek ???? Co do moich zabezpieczeń podzielę się wyglądają następująco 1.Nie używam standardowej nazwy użytkownika „admin” plus trudne hasło.
    2 Secure WordPress plugin – bardzo dobra wtyczka wymazuje z publicznych plików index.php itd informacje na temat WP
    3. Zmiana domyślnych klucze wygenerowanych na stronie https://api.wordpress.org/secret-key/1.1/salt/
    4. Plik wp-config.php gdzie są zapisane nasze hasła i dane przeniosłem o folder wyżej.
    5. Wszystko ładnie i pięknie ale brakuje mi jeszcze jednego do spokojnego snu bo nie chce już instalować żadnych wtyczek dlatego pytam jak zrobić zmianę prefixu przed instalacją bez grzebania w plikach po instalacji??????

    • Dzięki za dobre wskazówki. Teraz odpowiedź na Twoje pytanie znajdziesz w tym wpisie. Dopisałem do artykułu tekst i dodałem obrazek, który pokazuje, że podczas instalacji można zmienić przedrostek do tabel bazy danych WordPress.

      • mirek pisze:

        oo my tu gadu gadu a ten config.php jak sie przenosi wyzej ? tak na zywca przekopiowac w gore ? czy jest jakas specjalna metoda ? aa no i czytalem ze za wiele do bezpieczenstwa to nie wnosi czy to prawda ?
        mirek ostatnio opublikował..puppyMy Profile

        • Nie robiłem tego wcześniej, ale wydaje mi się, że to zawsze kolejna metoda dla zwiększenia bezpieczeństwa. Jednak gdy się przeniesie plik config.php i opcjonalnie zmieni jego nazwę, to trzeba w innych plikach WordPressa zmienić kod. Teraz Ci nie powiem co i gdzie zmienić, bo musiałbym tego poszukać, a mam ważne zadania do wykonania. Jednak może osoba o nicku „Pytający_A.” podzieli się swoim doświadczeniem w tym temacie, aby nie odkrywać tego, co już zostało odkryte:)

  16. Pytający_A. pisze:

    plik config.php jak to mówisz „przenieś na żywca” – przekopiuj o jeden folder wyżej gdzie masz zainstalowanego wp, bo sam wp go znajdzie tak domyślnie jest skonstruowany jego skrypt – żadnych zmian w kodzie wystarczy go tylko przenieś przecież tam mamy wszystkie hasła. (ja mam stronę ogólnie dostępną w katalogu „Publish WWW” a wyżej nikt katalogów nie widzi – taki mały myk a jak wiele daje ;p ;) )

    • Pytający_A. pisze:

      i pardom nie mówimy o zmianie nazwy pliku config.php, bo to już rozbudowana opcja a ze swojego doświadczenia wiem ze lepiej nie grzebać w plikach samego wp Pozdrawiam ;)

    • Po tym jak napisałeś wcześniej komentarz sprawdziłem, czy można to zrobić bez modyfikacji w kodzie. Przeniosłem plik wp-config.php o katalog wyżej poza public_html. W rezultacie strona do logowanie do WordPress wyrzuciła błędy. Okazało się, że problemem była jedna z wtyczek. Po jej wyłączeniu WordPress normalnie zaczął działać po przeniesieniu pliku wp-config.php.

  17. Mirek pisze:

    bylo by fajnie bo to na razie jedna z rzeczy jakich jeszcze nie zrobilem :)

    z gory dziekuje : )

    • Mirek, sprawdź czy u Ciebie działa dobrze WordPress po przeniesieniu pliku wp-config.php w inne miejsce bez zmiany nazwy pliku. Jeśli będziesz miał jakieś błędy to oznacza, że jakaś wtyczka przestała działać i trzeba ją najpierw wyłączyć. Z komunikatu błędu można wywnioskować jaka to jest wtyczka. Pisz jak będziesz miał jeszcze jakieś problemy.

  18. Pytający_A. pisze:

    Z innej beczki… mi zabawa wtyczkami wyszła tak ze „W3 Total Cache” posypał błędami w całym katalogu „/wp-content/” nie było co zbierać i się bawić w naprawę dobrze że to nowa stronka wiec zainstalowałem wp jeszcze raz i od nowa zainstalowałem zaufane wtyczki… A mówiłem już sobie jak najmniej wtyczek (a jeśli muszę to tylko oryginalne z wordpres.org) wtedy nawet stronka szybciej chodzi. Pozdrawiam ;)

  19. Mamamaj pisze:

    Bardzo dokładnie i dobrze napisany artykuł. Mam jednak jedno pytanie. Czytałam że po zmianie prefiksu w bazie danych, przy wykorzystaniu wtyczki better-wp-security występuje później problem następujący: podczas dodawania do wpisu grafiki (Wyślij/wstaw >> Dodaj media ze swojego komputera itd.) w kodzie html wpisu pojawia się zmieniona nazwa (nowego) katalogu (czyli jest ok), ale grafika jest zapisywana w (tworzonym automatycznie przez skrypt) katalogu wp-content.
    Aby obrazek był widoczny we wpisie i np. mógł być użyty jako ikona wpisu, muszę „ręcznie” go przenieść i 4 jego miniaturki z katalogu wp-content do folderu o zmienionej nazwie.
    Czy możecie ustosunkować się do tego, czy przy wtyczkach opisanych w artykule może zaistnieć podobny problem.
    Z góry dziękuje za odpowiedź i pozdrawiam wszystkich.
    Mamamaj ostatnio opublikował..Przebrania dla dzieci na balMy Profile

    • Tak, też czytałem o tym. Wtyczkę Better Security testowałem i jest genialna. Teraz z niej korzystam na nowych stronach. To o czym wspomniałaś nie odnosi się do prefiksu tabel baz danych. Chodzi o zmianę nazwy katalogu wp-content na inny. Taką zmianę najlepiej zrobić na nowym blogu przed umieszczeniem treści.

      Jednak ta zmiana za pomocą wtyczki nie zmienia wszystkiego. I tak jak napisałaś WordPress dalej odnosi się do nazwy wp-content. Wymaga to samodzielnej zmiany w kodzie w odpowiednich plikach WordPressa. Nie robiłem tego i póki co z tej opcji tej wtyczki nie korzystam. Jednak jest to dobre dodatkowe zabezpieczenie. Pewnie z czasem jak będę wnikał w kod WordPressa, to i dodaję do takich zmian, jak ta przytoczona w tej sprawie.

      Dzięki za Twoje pytanie i dobre słowo na temat artykułu. Pozdrawiam

  20. Mirek pisze:

    tak po prawdzie to pamietam sytuacje jak na moje strony sie jeden marokanczyk wbijal :) jak nawiedzony przez mahometa :d co bym nie zmienil wymyslil i tak na niego nie dzialalo taki skubaniec byl dobry ^^

    przenioslem sie z zabawkami do innego providera i problem z marokanczykiem zniknol jak reka odjol :d

    teraz pytanie… czy ja mialem cos zwalone ( a zmienilem wszystko cosie dalo :) czy tez moj poprzedni server byl badziewny i dziurawy jak ser ?

    teraz mam better wp security ale nawet polowy zmian nie robilem a jak stal servis tak stoi …. tylko z kazdym nowym postem robie backup w cpanelu :)

    spokoj swiety spokoj :d czego wam i sobie zycze :D :D

    ps Pozdrawiam panie Pawle :d

    • Z pewnością serwer ma duże znaczenie w działaniu strony. Usługodawca ze swojej strony też powinien zabezpieczać przed atakami swój sprzęt. Jeśli chodzi o włamania, to wystarczy, że znajdzie taka osoba jedną lukę w kodzie strony i przez to wchodzi bez problemu. Ty możesz nie wiedzieć gdzie leży ta słabość Twojej strony. Jak jest dobry i upierdliwy zarazem, to nawet jak załatasz dziurę, to znajdzie nową. Przenosiny na nowy serwer, to w Twoim przypadku dobre wyjście, jak przyczepił się do Ciebie taki skubaniec. Popieram robienie często kopii zapasowych, bo to szacunek dla swojej pracy i czasu jaki na to poświęciłeś. Pozdrawiam

    • Piotrek pisze:

      Nie zawsze wina leży po stronie serwera, ale w Twoim przypadku pewnie tak było. Często nie bierzemy pod uwagę plików skórki bloga (zwłaszcza pobranej bezpłatnie z innej strony niż wordpress) oraz różnego rodzaju wtyczek, które miały ostatnią aktualizację wieki temu (dla mnie to już 12 miesięcy a nawet mniej). O brakach w aktualizacji motywów graficznych i wtyczek używających zdjęć przekonało się nie tak dawno sporo właścicieli, którzy mieli zainstalowane wtyczki z Timthumb. Często sami pomagamy hakerom np. nie usuwając po instalacji i każdej aktualizacji wordpressa pliku readme.html. Wtyczki bezpieczeństwa, które tego nie wykrywają lub nawet nie informują są mało warte.

      • Dzięki Piotrze za rady. Ciekawa sprawa z tym plikiem readme.html. Sprawdziłem i faktycznie przechowuje on numer wersji WordPressa. Wtyczki, które testowałem i używam, łącznie z kompleksową wtyczką WP Better Security, nie informowały mnie o tym pliku. Co by oznaczało według Twych słów, że są kiepskie. Fakt, jest to nie dociągnięcie, którego sam nie zauważyłem, ale tych wtyczek nie chcę całkowicie przekreślać, bo mają dużo przydatnych opcji dla bezpieczeństwa.

        Jaką wtyczkę lub wtyczki do bezpieczeństwa używasz i polecasz?

  21. Bartosz pisze:

    BARDZO proszę o pomoc od wczoraj ktoś się włamał na naszego bloga i wstawia jakieś śmieci, a konkretnie wpisy. Proszę o odpowiedź na maila. Bardzo !!!

  22. Jarek pisze:

    Pawle, wielkie dzięki za ten wpis :-) Właśnie od kilku dni myślę o tym, że na moim blogu jest sporo treści dzielących społeczeństwo. Sporo osób może chcieć mi bloga zepsuć. Ciągle miałem w pamięci, że muszę wygooglować o zabezpieczaniu bloga, ale nie mogłem znaleźć czasu. Teraz wpadłem na ten wpis przypadkowo, przeglądając Twojego bloga w pracy. Więc zapiszę sobie link na mailu i w domu przeanalizuję. Przejrzałem wstępnie – bardzo treściwy wpis :-)
    Jarek ostatnio opublikował..Basen ogrodowy rozporowy 305 x 76 cm 7w1 INTEX 56922 [cena: 379,00 zł]My Profile

  23. Rafał Nowak pisze:

    Bardzo dobry artykuł. Szczególnie zainteresowała mnie wtyczka Login LockDown, o której wcześniej nie słyszałem. Na pewno zainstaluje. Dzięki.

  24. Krzysztof pisze:

    Bardzo dziękuje za ten wpis. Dowiedziałem się wielu ciekawych rzeczy

  25. Pytajacy_A pisze:

    Mam pytanie z innej beczki jest jakaś wtyczka upload/download by mieć przez stronę dysk sieciowy, na hasło i login?

  26. Michał pisze:

    Nie zmieniłem prefiksu wp_ a blog prowadzę już od jakiegoś czasu, kilku miesięcy i teraz pytanie jak zmienię prefiks wp_ na inny to blog upadnie tak? bo zajdą zmiany w tabelach.

  27. lukas pisze:

    Ostatnio dużo pochlebnych opinii słyszałem na temat systemów prewencyjnych coś w stylu jak tu https://penetrator24.com/index.xhtml Jeszcze nie bardzo kumam o co chodzi, wiem tylko, że nie jest to antywirus, tylko aplikacja, która bada i wskazuje luki w zabezpieczeniach, które mogą wykorzystać hakerzy. Zacząłem się nad tym zastanawiać, bo prowadzę blog i zależy mi na tym, by nie stracić swój dorobek. Jeszcze nie tak dawno myślałem, że nie potrzebuję ochrony, bo przecież nikt się nie pokusi na stronę początkującego blogera. Ostatnio jednak blog mojego znajomego zhakowali, choć prowadzi go dopiero od kilku miesięcy nie ma jakiegoś dużego ruchu. Co myślicie o takim systemie? Warto zainwestować, a może są jakieś inne skuteczniejsze sposoby.

    • W bezpieczeństwo zawsze warto inwestować. Choć trzeba też pamiętać, że nie ma czegoś takiego jak idealne zabezpieczenie, ale warto wprowadzić jak najwięcej zabezpieczeń, co zmniejsza szanse na włamanie. Oferta systemów prewencyjnych jest dość ciekawa, ale na ile się sprawdzi, to tylko można sprawdzić samemu, bo każdy może napisać, że daje najlepsze zabezpieczenia, a już działanie tych zabezpieczeń potwierdzą na ile jest to skuteczne.

  28. Anna pisze:

    Lockout Length jest bardzo fajna wtyczką, o której nie miałam pojęcia.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

CommentLuv badge

Czemu służy to pytanie?