Jak zabezpieczyć stronę na WordPress? – część 3

Blog WordPress

Ostatnia część konfiguracji wtyczki Better WP Security, która służy do zwiększenia bezpieczeństwa Twojego bloga na WordPressie. 

 

Jak zabezpieczyć swojego bloga przed hakerami? – część 3

 

Zakładka SSL

Z tej opcji możesz skorzystać, gdy posiadasz certyfikat szyfrujący SSL. Warto z niego skorzystać do stron logowania, panelu administracyjnego i tam gdzie są wykorzystywane wrażliwe dane. Istotne też jest, aby Twój serwer posiadał możliwość obsługi SSL. Takiego certyfikatu nie posiadam, więc jeszcze nie korzystałem z tej opcji.

 

Zakładka Tweaks 

Tutaj znajdziesz wiele różnych opcji zwiększających bezpieczeństwo. Jednak większość z nich może spowodować nieprzewidziane problemy. Pewne motywy lub wtyczki mogą przestać działać lub będą działać nieprawidłowo. Omówię opcje, jakie znajdziesz na tej stronie. Gdy coś Ci nie będzie później działało, to wyłączaj po jednej opcji z tej strony. W ten sposób ustalisz, która opcja powoduje u Ciebie problemy. Wystarczy, że wyłączysz tylko te opcje, które powodują konflikty we wtyczkach i motywie na Twoim blogu, a resztę opcji zostawisz włączone. Pamiętaj o zrobieniu kopii zapasowej bazy danych przed włączeniem opcji na tej stronie.

 

Server Tweaks

Ustawienia dla Server tweaks dla wtyczki Better WP Security WordPress

  • Protect Files – Ochrona przed publicznym dostępem do wrażliwych plików jak: readme.html, readme.txt, wp-config.php, install.php, wp-includes, and .htaccess.
  • Disable Directory Browsing – Ochrona przed możliwością przeglądania zawartości katalogów na Twoim serwerze, w których nie ma pliku index. Można nie włączać tej opcji, ale należy pamiętać, aby w każdym katalogu był plik index.html lub index.php.
  • Filter Request Methods – Filtrowanie żądań metod śledzących tak, aby nie wydostały się na zewnątrz niepowołane dane.
  • Filter Suspicious Query Strings – Filtrowanie podejrzanych ciągów znaków w adresie URL

 

Header Tweaks

Ustawienia dla Header tweaks dla wtyczki Better WP Security WordPress

  • Remove WordPress Generator Meta Tag – Usuwa meta tag z kodu Twojej strony, który jest automatycznie generowany przez WordPressa. W takim kodzie zawarta jest informacja, że dana strona działa na WordPressie i w jakiej wersji. Po co ułatwiać zadanie hakerowi. Lepiej ukryć tą informację, zaznaczając tą opcję.
  • Remove wlwmanifest header – Usuwa informację o Windows Live Writer lub innych blogowych klientach. Nie korzystam z takich programów, więc nie potrzebuję wpisów w kodzie mojego bloga na ten temat. Jeśli też nie używasz takich programów, to zaznacz tą opcję.
  • Remove EditURI header – Kolejna informacja dla konkretnych programów, aby działały. Tym razem chodzi o programy, które używają funkcjonalności Really Simple Discovery. Według przykładu opisu takiej funkcji używa serwis Flickr, gdzie zamieszcza się zdjęcia. Jeśli nie używasz połączeń do tego typu programów, to zaznacz tą opcję.

 

Dashboard Tweaks

Ustawienia dla Dashboard tweaks dla wtyczki Better WP Security WordPress

  • Hide Theme Update Notifications – Ukrywa informację o aktualizacjach motywów przed użytkownikammi, którzy nie mają uprawnień, aby dokonać aktualizacji motywów. Dodatkowa informacja dla opcji z tej grupy mówi, że ta opcja działa inaczej dla wersji WordPressa Multisite, czyli do prowadzenia wielu stron jednocześnie w jednym panelu administracyjnym.
  • Hide Plugin Update Notifications – Ukrywa informację o aktualizacjach wtyczek przed użytkownikammi, którzy nie mają uprawnień, aby dokonać aktualizacji wtyczek.
  • Hide Core Update Notifications – Ukrywa informację o aktualizacjach WordPressa przed użytkownikammi, którzy nie mają uprawnień, aby dokonać aktualizacji WordPressa.

 

Strong Password Tweaks

Ustawienia dla Strong password tweaks dla wtyczki Better WP Security WordPress

Zaznacz opcję Enable strong password enforcement, jeśli chcesz wymusić nadawanie silnych haseł dla kont w WordPressie. Na liście Strong Password Role wybierz rolę użytkownika, od której będzie obowiązywała ta zasada. Domyślnie jest to nadane tylko dla kont administratorów, ale możesz śmiało wymusić to na każdym użytkowniku. Jeśli chcesz tak zrobić, to wybierz najniższą rolę, czyli Subskrybent.

 

Other Tweaks

Ustawienia dla Other tweaks dla wtyczki Better WP Security WordPress

  • Remove WordPress Login Error Messages – Usuwa komunikat, jaki pojawi się, gdy ktoś zaloguje się błędnymi danymi.
  • Write to WordPress core files – To właśnie ta opcja odpowiada za pozwolenie tej wtyczce na zmiany w plikach konfiguracyjnych WordPressa i serwera, czyli wp-config.php i .htaccess. Po odznaczeniu tej opcji, już nie będziesz mógł dokonać pewnych zmian przez tą wtyczkę jak np. zmienić prefiks tabel bazy danych. Uprawnienia do pliku można zmienić samemu, np. poprzez program FTP – FileZilla.
  • Reduce comment spam – Ta opcja redukuje ilość śmieciowych komentarzy, jakie mogą pojawić się na Twoim blogu, pochodzące od robotów, które tylko zamieszczają takie gotowe komentarze, aby złapać linka ze stron.  Opcja ta wymaga zaznaczenia powyższej opcji Write to WordPress core files. Nie wiem na ile dobrze ocenia ta wtyczka komentarze pod względem spamu. Wiem, że żaden automat nie jest doskonały i można w ten sposób nie dostać wartościowego komentarza. Z tego względu wolę samemu przeglądając komentarze i zatwierdzać lub usuwać. Nie zaznaczam tej opcji.
  • Remove write permissions from .htaccess and wp-config.php – Usunięcie praw zapisu do plików .htaccess i wp-config.php. Nie zaznaczam tej opcji, bo inne wtyczki mogą przestać mi działać.
  • Display random version number to all non-administrative users – Usuwa informację o numerze wersji WordPressa dla użytkowników, którzy nie mają uprawnień administrator. Tam, gdzie nie można usunąć numeru wersji, to jest wstawiana losowa inna liczba niż prawdziwy numer wersji. Przy pokazaniu fałszywego numeru wersji jest takie ryzyko, że pewne wtyczki lub motywy mogą przestać działać prawidłowo.
  • Prevent long URL strings – Chroni przed długimi adresami URL. Często w ten sposób hakerzy chcą wniknąć w dane w Twojej bazie danych. Jeśli masz długie adresy URL na blogu, to jest ryzyko, że niektóre strony mogę nie działać. Jednak na swoim blogu mam niektóre adresy URL dość długie i po włączeniu tej opcji, otwierają się mi te strony. Pewnie chodzi o jeszcze dłuższe adresy. Przetestuj tą opcję u siebie. Sprawdź czy każda strona z długim adresem otwiera się.
  • Turn off file editor in WordPress Back-end – Wyłączenie możliwości edycji plików motywu i wtyczek z panelu administratora WordPressa. Czasem może się zdarzyć, że chcesz szybko zmienić jedną małą rzecz w kodzie strony. To wtedy najszybciej jest to zrobić przez Edytor w WordPressie. Zaznaczenie tej opcji zblokuje Ci możliwość edycji kodu w ten sposób. Do większych zmian polecam użyć edytora, który koloruje tekst i robi wcięcia, aby sprawnie poruszać się po kodzie. Z drugiej strony, jeśli ktoś włamie Ci się do WordPressa, a tą opcję będziesz miał włączoną, to nie będzie w stanie Ci namieszać w kodzie strony.

 

Zakładka Logs

Zakładka Logs dla wtyczki Better WP Security WordPress

W tej ostatniej zakładce zobaczysz takie informacje jak:

  • ilość prób zalogowań z błędnymi danymi,
  • zablokowani użytkownicy i komputery (tutaj możesz też ich odblokować),
  • ilość otwarć stron 404,
  • ilość wszystkich blokad,
  • jakie pliki zostały dodane, usunięte lub zmodyfikowane .

Te dane są przechowywane stale w bazie danych. Dla zmniejszenia objętości bazy danych i zmniejszenia obciążenia procesora serwera, co za tym idzie szybszym otwieraniem się Twojego bloga, usuwaj co jakiś czas te dane. Na tej stronie możesz to zrobić. Wystarczy, że zaznaczysz kwadraciki przy poszczególnym danych, które chcesz usunąć, a następnie klikniesz przycisk Remove Data.

 

Jakich problemów obawiasz się w związku z bezpieczeństwem swojego bloga?


Jeśli podoba Ci się artykuł to kliknij poniżej przycisk „Lubię to!”.

Paweł Protaś podpis

Podziel się na:
  • Facebook
  • Wykop
  • Twitter
  • Blip
  • Śledzik
  • Google Bookmarks
  • Gadu-Gadu Live
  • Blogger.com
  • co-robie
  • Forumowisko
  • Kciuk.pl
  • LinkedIn
  • Drukuj

Komentarze: 5

  1. DMati pisze:

    Sprawdzałeś może, czy BWS dalej blokuje linki FeedBurnera?
    DMati ostatnio opublikował..[] Zostań mistrzem Drupala w 7 godzin (a może i szybciej ;) – darmowy ebookMy Profile

  2. Michal pisze:

    Jak wygląda aktualizacja WordPress automatyczna? wywali jakiś błąd czy wysypie się jakiś błąd z bazą? pytam bo wprowadziłem nie tylko jedną zmianę a wtyczka dużo zmieniła.

    • A czemu zakładasz, że od razu ma się pojawić jakiś błąd? Ważne przy aktualizacjach jest to, aby przed tym zrobić kopię zapasować bazy danych i warto też plików na serwerze, bo pliki też zostaną podmienione podczas aktualizacji. Jeśli pojawi się niespodziewany błąd, to wtedy można wrócić do poprzedniej działającej wersji.

  3. Tomasz pisze:

    Doskonały poradnik. Sam wykorzystuję kilka technik, które opisałeś w tym artykule do zabezpieczenia swojego WP, ale oczywiście nie wszystkie teraz już wiem chyba wszystko :) Pozdrawiam
    Tomasz ostatnio opublikował..Bestseller – Darmowy Kurs Pozycjonowania StronMy Profile

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

CommentLuv badge

Czemu służy to pytanie?