Jak zabezpieczyć stronę na WordPress? – część 1

Blog WordPress

Wcześniej pisałem o sposobach dbania o bezpieczeństwo na swoim blogu opartym na WordPressie. Przedstawiłem wtyczki, z których korzystam do tego celu. Dowiedziałem się o innej wtyczce, która zwiększa ochronę przed hakerami. Przetestowałem ją. Dla mnie okazała się najlepszą wtyczką w tej kategorii jaką znam.

 

Zacząłem wdrażać ją na kolejnych moich stronach i wyniosłem kilka lekcji z jej używania. Pokazałem jej możliwości i jak ją ustawiam w filmie stworzonym do mojego szkolenia „Jak założyć bloga”. Zdecydowałem, aby umieścić ten film na blogu na prośbę osoby, dzięki której dowiedziałem się o tej wtyczce. Sądzę, że tobie też się przyda. Warto przecież chronić swoją pracę. Chciałem jak najdokładniej przekazać Ci co wiem, więc film wyszedł dość długi. Podzieliłem go na 3 części, aby dozować z umiarem dostarczaną Ci wiedzę.

 

Jak zabezpieczyć swojego bloga przed hakerami? – część 1

 

Wtyczka Better WP Security

Wtyczkę, którą pokażę na tym filmie możesz pobrać ze strony: http://wordpress.org/extend/plugins/better-wp-security/ lub wpisać jej nazwę w wyszukiwarce wtyczek w panelu administracyjnym WordPressa. Po zainstalowaniu wtyczki pojawi się nowa zakładka Security w menu po lewej stronie. Właśnie tam są ustawienia tej wtyczki.

Dlaczego ta wtyczka?

Jest wiele wtyczek do zabezpieczenia bloga na WordPressie. Każda wprowadza jakieś zabezpieczenia. Natomiast we wtyczce Better WP Security są wszystkie opcje bezpieczeństwa, jakie warto wprowadzić i są one dostępne w jednym miejscu. Nie trzeba instalować kilka wtyczek, aby uzyskać potrzebne opcje. Do tego opcje są dobrze posegregowana w zakładkach. Na stronie głównej tej wtyczki jest podsumowanie wprowadzonych zabezpieczeń. Za pomocą kolorów (o czym powiem później) można szybko zorientować się jak wygląda sytuacja zabezpieczeń na Twoim blogu.

Trzy pierwsze pytania od wtyczki

Przy pierwszym wejściu w ustawienia tej wtyczki pojawi się komunikat sugerujący utworzenie kopii zapasowej bazy danych. Warto to w tym momencie zrobić. Niestety po moich testach okazało się, że są problemy z kopią bazy danych utworzoną z wtyczki Better WP Security.

Zrób kopię bazy danych Better WP Security

Stworzenie kopii bazy danych z wtyczki, nigdy nie daje 100% gwarancji, że strona będzie w pełni dobrze działała, po skorzystaniu z takiej kopii. Pewniejszą opcją jest stworzenie samemu kopii poprzez panel administracyjny bazy danych na swoim hostingu www. Sposób mniej wygodny, bo trzeba pamiętać, aby regularnie robić samemu kopię. Dlatego polecam taką kopię robić co jakiś czas. Natomiast mieć też ustawioną wtyczkę, która automatycznie robi kopię codziennie.

Zrób kopię samemu. Sposoby jak to zrobić znajdziesz w tekście mojego wcześniejszego wpisu w podtytule Jak zrobić kopię zapasową plików i bazy danych na swoim serwerze? Przed skorzystaniem z tej wtyczki robię kopię bazy danych samemu, dlatego w tym przypadku wybierz opcję No, thanks. I already have a backup.

Zezwól na dostęp do plików Better WP Security

W drugim pytaniu wtyczka prosi Cię o dostęp do plików wp-config.php i .htaccess. Są to pliki, w których zawarte są informację, które mają duży wpływ na działanie WordPressa. Wtyczka potrzebuje zezwolenia na możliwość wprowadzenia zmian w tych plikach. Bez tego pewne opcje nie będą możliwe do ustawienia dla tej wtyczki bez tej zgody. Później możesz zabronić tej wtyczce na wprowadzanie zmian w te pliki, jak i dla każdej innej wtyczki.

Teraz wybierz opcję zezwolenia, czyli Allow this plugin to change WordPress core files. Drugi przycisk zabrania na wprowadzanie zmian w te pliki.

Podstawowe zabezpieczenia Better WP Security

Po tym zostało zgodzić się, aby wtyczka sama wprowadziła podstawowe ustawienia dla bezpieczeństwa strony. Kliknij przycisk Secure My Site From Basic Attacks.

Zakładka Dashboard

Po odpowiedzi na 3 wstępne pytania znajdziesz się na stronie głównej tej wtyczki. Tutaj jest lista wszystkich możliwych zabezpieczeń do wprowadzenia za pomocą tej wtyczki. Za pomocą kolorów można szybko stwierdzić, które opcje bezpieczeństwa na jakim poziomie są wdrożone na Twoim blogu.

Podsumowanie zabezpieczeń Better WP Security

Oto co oznaczają kolory:

  • zielony – pełne zabezpieczenie dla tej opcji.
  • pomarańczowy – częściowe zabezpieczenie i można zmienić je na pełne.
  • niebieski – dodatkowa opcja bezpieczeństwa do wprowadzenia, ale nie konieczna. Te opcje na niebiesko mogą wywołać problemy w działaniu Twojego motywu i wtyczek. Jeśli tak się stanie, to przetestuj, która opcja powoduje u Ciebie problem i wyłącz ją.
  • czerwony – koniecznie włącz tą opcję dla bezpieczeństwa Twojej strony internetowej.

Przy każdej opcji jest link prowadzący do zakładki, gdzie możesz wprowadzić zmiany dla danej opcji. W dalszej części filmu i tego artykułu przedstawię Ci opcje dostępne w kolejnych zakładkach tej wtyczki. Zmiany, które Ci zaproponuję wprowadzą Ci większość zabezpieczeń, jakie oferuje ta wtyczka.

Zakładka User

W tej zakładce możesz zmienić nazwę użytkownika o roli administratora i jego numer ID w bazie danych. Po instalacji WordPressa domyślna nazwa użytkownika to admin. Dużo osób tego nie zmienia i dzięki temu niepowołane osoby mają ułatwione zadanie w dostępie do strony. Nazwę użytkownika już znają. Zostaje tylko złamać hasło za pomocą odpowiedniego programu. Hasła też są często proste, więc szybko można przejąć konto administratora.

Po co więc ułatwiać zadanie hakerom? Lepiej to zmienić. Jeśli przy instalacji nie zmieniłeś tego, to ta wtyczka pomoże Ci teraz wprowadzić te zmiany. Nazwę admin zmień, na coś bardziej wyszukanego. Pierwszy użytkownik w bazie danych ma numer ID równy 1. Kolejna ogólnie łatwo dostępna wiedza do wykorzystania. Warto numer ID zmienić na inny niż 1, co dodatkowo utrudni zadanie włamania dla hakera.

Zmień nazwę administratora Better WP Security

Do zmiany nazwy admin na inną wpisz w polu obok napisu Enter username inną nazwę niż admin. Ważne, aby trudno było ją odgadnąć. Następnie kliknij przycisk Change Admin Username. Po tej zmianie będziesz poproszony o ponowne zalogowanie się, bo zmieniłeś nazwę użytkownika. Logujesz się od tej pory nową nazwą.

Następnie kliknij przycisk Change User ID 1. Ten przycisk będzie widoczny, jeśli Twój użytkownik ma numer ID równy 1 w bazie danych. Jak to zmienisz, to ten przycisk zniknie.

Zakładka Away

W tej zakładce możesz wprowadzić dodatkową opcję dla bezpieczeństwa. Nie jest ona konieczna, ale może bardzo ograniczyć możliwości włamania się na Twoją stronę www. Możesz określić w jakie dni i w jakich godzinach dostępny będzie panel administracyjny WordPressa. Jak już się domyślasz jest to broń obusieczna. Jak ustalisz godziny, to Ty też nie będziesz mógł zalogować się do panelu WordPressa w określonym czasie.

Kiedy Cię nie ma zblokuj WordPressa Better WP Security

Jeśli chcesz skorzystać z tej opcji, to na tej stronie zaznacz kwadracik przy napisie Enable Away Mode. Następnie wybierz sposób działania tej opcji. W Type of Restriction opcja One Time oznacza, że ograniczenie dostępu zadziała tylko w przedziale czasowy podanym poniżej. Od daty początkowej do daty końcowej. Z kolei opcja Daily zignoruje daty, a weźmie pod uwagę tylko godzinę początkową i końcową. W podanym przedziale czasowym będzie codziennie blokowała dostęp do panelu WordPressa.

Start Date to data początkowa nałożenia blokady, a End Date to data końcowa. W Start Time wybierz od jakiej godziny ma zostać uaktywniona blokada, a w End Time kiedy ma się zakończyć.

Nad opcjami w tej zakładce widać aktualną datę i godzinę. Sprawdź czy jest zgodna z Twoim czasem. To jest istotne, bo czas do działania tej wtyczki jest brany z serwera, a nie z Twojego komputera. Czas na serwerze musi być taki sam, jak na Twoim komputerze. Jak będzie rozbieżny, to wtyczka zblokuje dostęp do panelu w innej godzinie niż chciałeś. Obok daty masz link prowadzący do Ustawień ogólnych WordPressa, gdzie możesz zmienić strefę czasową na właściwą dla Twojego miejsca zamieszkania.

Prawie każda zakładka ma przycisk Save Changes na dole strony. Pamiętaj, aby go kliknąć przed wyjściem z tej zakładki, jeśli chcesz zapisać zmiany.

Zakładka Ban

Tutaj możesz blokować dostęp dla określonych użytkowników i robotów. Jak zobaczysz w wyniku działania tej wtyczki, że z danego numeru IP masz próby włamania się na konto lub rozsyłany jest spam w postaci komentarzy, to możesz takie wejścia zblokować na stałe. Każdy komputer w sieci ma swój numer IP i po tym można go rozpoznać. Można blokować pojedyncze adresy lub grupy.

Zablokuj dostęp dla wybranych Better WP Security

Pierwszą rzeczą jaką możesz zrobić na tej strony jest skorzystanie z gotowej czarnej listy numerów IP, które warto zblokować. Ta lista została stworzona przez Jim Walker ze strony HackRepair.com. Jak chcesz dodać tą listę, to zaznacz kwadracik obok napisu Enable Default Banned List, a następnie kliknij przycisk Add Host and Agent Blacklist.

Jeśli chcesz skorzystać z dwóch poniższy pól do wpisania własnych numerów IP do blokowania, to zaznacz kwadracik obok napisu Enable Banned Users. W polu Ban Hosts wpisujesz w każdej oddzielnej linijce nowy adres IP lub grupę numerów IP. Każdy numer IP składa się z 4 cyfr oddzielonych kropkami. Cyfry są w przedziale od 0 do 255. Grupę adresów można określić poprzez symbol gwiazdki (*). Gwiazdka zastępuje cały przedział od 0 do 255. Pod tym polem jest też link prowadzący na stronę, na której możesz sprawdzić jaki jest numer IP serwera, do którego przypięta jest domena.

 

Jakie jest Twoje zdanie na temat możliwości tej wtyczki?


Jeśli podoba Ci się artykuł to kliknij poniżej przycisk „Lubię to!”.

Paweł Protaś podpis

Kolejna część artykułu i filmu

Podziel się na:
  • Facebook
  • Wykop
  • Twitter
  • Blip
  • Śledzik
  • Google Bookmarks
  • Gadu-Gadu Live
  • Blogger.com
  • co-robie
  • Forumowisko
  • Kciuk.pl
  • LinkedIn
  • Drukuj

Ten artykuł znaleziono w wyszukiwarce Google m.in. poprzez poniższe frazy kluczowe:

  • Jak zabezpieczy folder hasem

Komentarze: 5

  1. repilc pisze:

    Super poradnik. Przyda mi się do pracy inż.
    pozdrawiam autora.
    Więcej takich ludzi na świecie jest potrzebnych.

  2. Radek pisze:

    Witam
    Mam problem z sekcją Ban w WordPressie. Co jakiś czas w zakładce „Banners Users Conoiguration” pojawia mi się ban na IP robota Google. Jak to mozliwe ? Czy ktoś wchodzi do mojej strony ? Może przez serwer, albo w inny sposób.
    Radek

    • Cześć Radku. Skąd wiesz, że te IP to robota Google? Pierwszy raz spotkałem się z taką sytuacją, więc trudno mi coś odpowiedzieć na to. Robot Google nie próbuje się zalogować na konto administratora WordPressa, a ban dostają automatycznie te numery IP, które kilka razy z rzędu miały nieudane próby logowania. To po ilu próbach tak się dzieje jest w ustawieniach wtyczki.

  3. Gosia pisze:

    Witaj Pawle

    Bardzo przydatny film, właśnie tworzę stronę firmową. Część pracy mam za sobą i szkoda byłoby ją zmarnować. Kiedyś stwierdziłam, że nie poradzę sobie z WP i jakoś go sobie odpuściłam, ale mając pod ręką takie ciekawe filmiki instruktażowe, zdecydowanie zmieniłam zdanie, choć trochę czasu mi to zajęło :D
    Dzięki za poświęcony czas i zgadzam się z przedmówcą, że potrzeba nam więcej takich ludzi.

    Pozdrawiam.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

CommentLuv badge

Czemu służy to pytanie?