Bezpieczeństwo WordPress to temat, w którym możesz spotkać się ze sprzecznymi opiniami. W tym poradniku obalamy mity na temat bezpieczeństwa WordPress oraz radzimy jak skutecznie zabezpieczyć platformę przed utratą danych, wirusami oraz atakami hakerów.
Bezpieczeństwo WordPress
W internecie krąży wiele mitów na temat bezpieczeństwa stron WordPress. Zapewne nie raz i nie dwa dane było Ci usłyszeć/przeczytać takie lub podobne opinie:
WordPress jest dziurawy i często jest atakowany przez hakerów.
WordPress nie jest bezpieczny i nie warto go używać.
Nie da rady zabezpieczyć WordPress przed wirusami w sieci.
Zazwyczaj padają one z ust osób, które nie mają zbyt dużego doświadczenia w WordPress, dlatego, gdy spotkasz się z taką opinią to pewne jest tylko to, że nie warto korzystać z usług „specjalisty„, który wypowiada takie słowa.
Jak więc naprawdę jest z bezpieczeństwem WordPress i czy system ten jest bezpieczny, a jeżeli nie, to czy można go zabezpieczyć? Przeczytaj teraz naszą opinię zbudowaną na podstawie setek stron WordPress oraz tysięcy godzin spędzonych na tej platformie 🤓
1. Czy WordPress jest bezpieczny?
Tak, ale nie oznacza to, że jest pozbawiony słabych stron. Sam system WordPress wspierany jest przez społeczność z całego świata, jego otwarty kod oraz nieustanny rozwój sprawiają, że jest mu bliżej do bezpiecznego, aniżeli niebezpiecznego systemu.
Charakterystyka budowy i licencjonowania WordPress sprawia, że system ten ma bardzo sprawny, szybki i skuteczny system aktualizacji, a co za tym idzie, wdrażania poprawek bezpieczeństwa. Jeżeli korzystasz z automatycznych i ręcznych aktualizacji WordPress to Twoja strona jest bezpieczna.
Istnieją jednak zewnętrzne czynniki, które mają (korzystny lub negatywny) wpływ na ryzyko naruszenia bezpieczeństwa strony WordPress i należą do nich:
- Hosting WordPress
- Szablon WordPress
- Wtyczki WordPress.
- Certyfikat SSL
Czy to jednak powód, aby głosić skrajne informacje o tym, że WordPress jest dziurawy i niebezpieczny? Niekoniecznie.
Warto także pamiętać, że:
Każda nowa wersja WordPress wprowadza nowe zabezpieczenia oraz ulepszenia platformy pod kątem bezpieczeństwa przechowywania oraz dostępu do wrażliwych danych użytkownika.
2. Czy można zwiększyć bezpieczeństwo WordPress?
Oczywiście, że tak. Chociaż sam WordPress „prosto z pudełka” jest wystarczająco zabezpieczony dla początkującego użytkownika, to jednak w pewnych sytuacja warto zastosować dodatkowe środki bezpieczeństwa w celu jeszcze mocniejszego „utwardzenia” (z ang. hardening) warstwy ochronnej.
Przyda się to szczególnie w sytuacji, w której Twój WordPress przechowuje szczególnie wrażliwe dane np. w przypadku, gdy jest to sklep internetowy lub dedykowana platforma z ograniczonym dostępem.
Dodatkowe zabezpieczenia mają za zadanie jedynie utrudnić dostęp do WordPress osobom niepowołanym i stanowią jedynie uzupełnienie ochrony dostarczanej wraz z oprogramowaniem przez społeczność.
O tym jak to zrobić dowiesz się w dalszej części tego poradnika.
3. Czy WordPress jest częstym celem ataków?
Tak ze względu na swoją dużą popularność. To co musisz wiedzieć to to, że hakerzy jak i twórcy szkodliwego oprogramowania zawsze wybierają jako swój cel najpopularniejsze narzędzia dostępne w internecie, dzięki czemu mogą przeprowadzić wyskalowany i zautomatyzowany atak. Dotyczy to nie tylko zabezpieczeń platformy WordPress, lecz całego szeregu aplikacji używanych w internecie takich jak np. Gmail, czy Facebook.
W 2019 roku WordPress był używany przez:
34% stron internetowych wszystkich stron internetowych na naszym globie
400 milionów użytkowników przeglądających sieć oraz strony www.
28% wszystkich sklepów internetowych w branży e-commerce.
Liczby te robią wrażenie nie tylko na Tobie, ale także na osobach żyjącej po ciemnej stronie 👿 mocy internetu.
Jednak najważniejsze jest to, że:
W całej naszej wieloletniej praktyce zdarzyło się tylko kilka pojedynczych sytuacji, w których zostało naruszone bezpieczeństwo WordPress i zazwyczaj przyczyną było oprogramowanie na hostingu.
Dlaczego bezpieczeństwo WordPress jest ważne?
Wpływ na bezpieczeństwo strony WordPress ma bardzo wiele aspektów. Należą do nich m.in. regularne aktualizacje platformy, czy też wykonywanie kopii zapasowych. Bez względu na to w jakiej ilości oraz jakiego rodzaju dane przetwarzasz na swojej stronie internetowej, warto poświęcić dodatkowy czas na poprawę bezpieczeństwa strony internetowej WordPress.
Bezpieczny WordPress to nie tylko mniej problemów po stronie administratora, lecz także komfort i wygoda użytkowników. W sytuacji, gdy Twoja strona internetowa zostanie zainfekowana przez wirusy mocno ucierpieć może np. pozycja strony w Google.
Taka sytuacja jak powyższa, gdy zamiast meta description widnieją chińskie znaki to rzadkość, jednak może się zdarzyć w przypadku zawirusowania strony WordPress. Oczywiste jest, że żaden użytkownik nie wejdzie na tak wyglądający opis strony internetowej. Nie spodoba się on także robotowi Google, który po pewnym czasie może spenalizować stronę za szkodliwy kod.
To jednak i tak jeden z najlepszych scenariuszy jaki może Cię spotkać w przypadku, gdy Twój WordPress używa np. nieaktualne wtyczki lub działa na hostingu z przestarzałym oprogramowaniem.
Warto dbać o bezpieczeństwo WordPress, aby uniknąć:
- Utraty plików na serwerze.
- Niepożądanych zmian w bazie WordPress.
- Negatywnego wpływu na użytkowników.
- Spadku pozycji strony w SEO.
- Niestabilności pracy platformy.
- Zablokowanie strony przez hosting.
- Wyświetlenia komunikatu o niebezpiecznej stronie.
- Dodatkowych kosztów naprawy WordPress.
Odpowiednie praktyki w zabezpieczaniu strony WordPress pozwalają więc uniknąć w znacznym stopniu zagrożeń, a także zmniejszyć ich ewentualne skutki. Korzystając z porad zawartych w tym poradniku dowiedz się jak skutecznie zabezpieczyć WordPress krok po kroku. Zaczynamy 🤓
Sprawdź także nasz poradnik: Usuwanie wirusów WordPress [i innych infekcji]
Jak zabezpieczyć WordPress
Przedstawimy Ci teraz najważniejsze kwestie oraz porady związane z zabezpieczeniem strony WordPress przed zagrożeniami w sieci. Poradnik ten ma na celu jedynie zwiększenie bezpieczeństwa Twojej strony internetowej WP i nie gwarantuje ona ochrony przed zagrożeniami w wyniku własnych działań lub czynników zewnętrznych strona internetowa.
1. Bezpieczny WordPress – aktualny WordPress
Pierwszą i najważniejszą rzeczą, którą możesz zrobić, aby Twój WordPress był bezpieczny jest dokonać jego aktualizacji. W tym celu musisz udać się do zakładki Kokpit i Aktualizacje. Status aaktualizacji WordPress powinien wyglądać tak:
Regularne aktualizacje WordPress, a także jego wtyczek i szablonów to gwarancja najnowszych łatek bezpieczeństwa, a także nowych funkcji, których celem jest zmniejszenia ryzyka ataku. Dodatkowo, aktualizując WordPress zwiększasz stabilność pracy platformy.
Pamiętaj, że:
Duże wydania WordPress musisz zawsze zaktualizować ręcznie.
Jak to zrobić? Sprawdź ten i ten poradnik.
2. Bezpieczny WordPress – silne hasła
Chcesz aby Twój WordPress był bezpieczny? To zacznij stosować silne hasła! Panel administratora WordPress to najważniejsze miejsce, swoiste centrum, z którego zarządzasz całą platformą. Koniecznie więc zmień swoje hasło do admina na takie, które jest silne i bezpieczne. Wbrew pozorom, słabe hasło jest częstą przyczyną ataków hakerskich.
Jednak silne hasło powinno dotyczyć nie tylko samego panelu admina, lecz także:
- Konta FTP.
- Bazy danych MySQL.
- Panelu hostingu.
- Skrzynek pocztowych.
Silne i trudne do zapamiętania hasła możesz przechowywać w zewnętrznych aplikacjach oraz systemowych sejfach, dzięki czemu musisz ich za każdym razem sobie przypominać.
Stosowanie silnych haseł dotyczyć powinno także pozostałych użytkowników systemu WordPress.
Przeczytasz o nich tutaj.
Aby zmienić swoje hasło udaj się do ustawień użytkownika w WordPress:
3. Bezpieczny WordPress – solidny hosting
Jedną z najczęstszych przyczyn zawirusowania strony WordPress jest infekcja serwera (szczególnie jeżeli jest to serwer współdzielony). Oczywiście sprawdzone firmy hostingowe WordPress oferuję szereg zabezpieczeń oraz stały monitoring pracy serwerów celem ochrony swoich klientów, jednak takie sytuacje się zdarzają.
Dobrym, lecz znacznie bardziej kosztownym rozwiązaniem jest korzystanie z własnego serwera w chmurze i/lub stałej obsługi ekspertów takich jak w naszej marce, dzięki któremu Twój WordPress zawsze pozostanie zaktualizowany i bezpieczny.
Wybierając hosting WordPress należy szczególną uwagę zwrócić na kwestie takie jak regularne wykonywanie kopii zapasowych, wspieranie certyfikatów Let’s Encrypt oraz usługi CloudFlare.
4. Bezpieczny WordPress – regularne backupy
Backupy, czyli kopie zapasowe to najważniejsza linia obrony dla Twojej strony. Niezależnie od tego, czy Twój WP hosting wykonuje regularne kopie zapasowe, dobrze jest wdrożyć automatycznie tworzenie i wysyłanie backupów na zewnętrzny serwer.
Wykonywanie regularnych kopii zapasowych pozwoli Ci, w razie nagłej potrzeby, na szybkie przywrócenie plików oraz bazy MySQL np. sprzed ataku. W ten sposób możesz bardzo łatwo odzyskać kontrolę nad stroną lub przenieść ją na np. inny serwer WordPress.
O tym jak to zrobić przeczytasz w naszym poradniku: Kopie zapasowe WordPress [backup] krok po kroku.
5. Bezpieczny WordPress – twarda wtyczka
Dobrą metodą na zwiększenie bezpieczeństwa WordPress jest instalacja wtyczki do ochrony strony takiej jak iThemes Security (formerly Better WP Security). To darmowa i prosta wtyczka, która pozwala w kilka minut skonfigurować bezpieczną stronę WordPress.
Możesz domyślnie włączyć wszystkie opcje ochrony WordPress poprzez kliknięcie przycisku Enable lub też skonfigurować oddzielnie każde z nich. Niestety wtyczka nie posiada tłumaczenia, jednak jest na tyle prosta i intuicyjna, że może skorzystać z niej każda osoba (chociażby za pomocą translatora Google). Wtyczka iThemes Security oferuje także płatne funkcje, jednak do zabezpieczenia strony w zupełności wystarczy wersja darmowa.
Chociaż na rynku istnieją także inne, darmowe wtyczki do zabezpieczenia strony WordPress to w naszej praktyce iThemes Security sprawdza się najlepiej.
6. Bezpieczny WordPress – zielona kłódka
Bezpieczny WordPress w oczach Google to taki, który posiada certyfikat SSL. To zielona kłódka lub przedrostek https:// widoczny w pasku przeglądarki. Świadczy on o tym, że komunikacja pomiędzy stroną internetową a serwerem jest szyfrowana oraz chroniona.
O tym jak wdrożyć certyfikat SSL na stronie WordPress pisaliśmy w tym i tym poradniku. Darmowe certyfikaty Let’s Encrypt pozwalają na pełną ochronę stony internetowej, a dodatkowo, są wartościowym sygnałem SEO dla Google.
Jeżeli nie wiesz jak wdrożyć certyfikat SSL na swojej stronie i zabezpieczyć WordPress napisz do nas.
Zabezpieczenie strony WordPress dla zaawansowanych
Istnieją dodatkowe sposoby na zabezpieczenie strony WordPress, jednak nie są polecane dla początkujących osób. Mogą one znacznie podnieść poziom bezpieczeństwa WordPress, jednak wymagają specjalistycznej wiedzy, dlatego nie zalecamy ich ręcznego dodawania początkującym administratorom WordPress. Z łatwością możesz większość z nich skonfigurować za pomocą wtyczki iThemes Security.
Należą do nich:
1. Zabezpieczenie WordPress – zmiana domyślnego loginu admina WordPress
Pozwala uniknąć ryzyka zalogowania się na konto administratora. W tym celu musisz zalogować się do bazy MySQL i dokonać edycji użytkownika o nazwie admin lub skorzystać z jednego z modułów wtyczki iThemes Security.
2. Zabezpieczenie WordPress – wyłączenie edycji plików z poziomu panelu WordPress
Chroni ważne pliki systemowe przed edycją z poziomu panelu WordPress Aby dowiedzieć się jak to zrobić przeczytaj ten poradnik: Jak wyłączyć edycję plików WordPress.
3. Zabezpieczenie WordPress – wyłączenie wykonywanie kodu PHP w folderach
Pomaga chronić przed wykonywaniem szkodliwego kodu w folderach WordPress. Wyłączyć możesz tę funkcję dodając poniższy kod do pliku .htaccess np. w folderze /wp-content/uploads:
<Files *.php> deny from all </Files>
4. Zabezpieczenie WordPress – dwustopniowa weryfikacja logowania
Dodatkowe zabezpieczenie przed niepowołanym dostępem do WordPress. Najprostszym sposobem na wdrożenie dwustopniowej weryfikacji będzie założenie konta na wordpress.com oraz zainstalowanie wtyczki Jetpack od WordPress.com. Możesz także skorzystać z innych pluginów w repozytorium WordPress.
5. Zabezpieczenie WordPress – zmiana prefiksu bazy danych MySQL
Wpływa na większe bezpieczeństwo przechowywanych danych w bazie MySQL. Zmianę prefiksu dokonasz za pomocą darmowych wtyczek WordPress w repozytorium takich jak WP Prefix Changer.
6. Zabezpieczenie WordPress – wyłączenie indeksowania i przeglądania folderów
Chroni przed listowaniem folderów i plików na serwerze WordPress. Odbywa się to poprzez dodanie w pliku .htaccess w wybranym folderze linijki kodu:
Options -Indexes
7. Zabezpieczenie WordPress – wyłączenie protokołu XML-RPC
Niebezpieczny i często niepotrzebny protokół. Dodaj w pliku functions.php w folderze szablonu poniższy kod:
add_filter('xmlrpc_enabled', '__return_false');
8. Zabezpieczenie WordPress – skanowanie WordPress w poszukiwaniu zagrożeń
Chroni WordPress przed szkodliwymi plikami. Aby skanować foldery pod kątem malware możesz skorzystać z darmowej wtyczki WordPress, która służy do tego celu np. Wordfence Security – Firewall & Malware Scan.
9. Zabezpieczenie WordPress – zmiana kluczy bezpieczeństwa WordPress
Klucze bezpieczeństwa chronią przechowywane hasła w plikach cookies. W celu ich zmiany otwórz tę stronę, a następnie skopiuj wszystkie klucze (generowane losowe) i wklej je w pliku wp-config.php.
10. Zabezpieczenie WordPress – hasło HTTP do panelu logowania
Za pomocą uwierzytelniania HTTP możesz dodać dodatkowe zabezpieczenie do panelu logowania administratora. Aby to zrobić, stwórz plik .htpasswd, a następnie dodaj w nich wygenerowany login i hasło. Następnie stwórz w folderze /wp-config plik .htaccess i dodaj w nim:
AuthUserFile /home/platne/public_html/.htpasswd AuthType basic AuthName "Restricted Resource" require valid-user # This is the whitelisting of the ajax handler <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
Pamiętaj, aby zmienić ścieżkę pliku /home/platne/public_html/.htpasswd na bezwzględny adres na Twoim serwerze.
11. Zabezpieczenie WordPress – zmiana adresu logowania
Opcja ta pozwala zmienić i ukryć domyślny adres logowania do panelu administratora przed hakerami. Użyj do tego celu wyczki WPS Hide Login.
12. Zabezpieczenie WordPress – usunięcie komunikatów logowania
Wyłączenie komunikatów błędów logowania do panelu administratora utrudnia niepożądanej osobie odgadnięcie loginu, czy też hasła. Aby tego dokonać, dodaj w pliku functions.php w folderze szablonu ten kod:
function no_wordpress_errors(){ return 'Something is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
13. Zabezpieczenie WordPress – wymuszenie logowania poprzez HTTPS
Możesz wymusić, aby w panelu logowania administratora wymagane było połączenie przez HTTPS za pomocą tego kodu dodanego do pliku wp-config.php:
define('FORCE_SSL_ADMIN', true);
14. Zabezpieczenie WordPress – zabezpiecz panel logowania
Przeczytaj nasz poradnik Jak zabezpieczyć panel administracyjny WordPress, z którego dowiesz się jak krok po kroku samodzielnie zabezpieczyć panel administracyjny WordPress przed atakami oraz włamaniem.
15. Zmień domyślne ID administratora WordPress
Domyślnie po instalacji WordPress administrator ma przypisane ID = 0. A ponieważ jest to najważniejsze konto na stronie WordPress, które ma dostęp do wszelkich informacji i ustawień platformy to warto dokonać jego zmiany, aby uniknąć pewnych ataków.
Dokonasz tego za pomocą naszego poradnika Jak zmienić identyfikator [ID] użytkownika WordPress.
16. Przenieś plik wp-config.php do innej lokalizacji
W ten sposób w znacznym stopniu zwiększysz bezpieczeństwo swojej platformy WordPress oraz użytkowników, którzy z niej korzystają. Kliknij w ten link i dowiedz się jak wykonać przenoszenie pliku wp-config.php w WordPress.
17. Zablokuj adresy IP w pliku .htaccess
Za pomocą pliku .htaccess możesz zablokować adresy IP, które mogą potencjalnie zaszkodzić Twojej stronie internetowej. W tym celu sprawdź nasz poradnik Jak zablokować adres IP w .htaccess, z którego poznasz wszystkie możliwości blokowania adresów IP w .htaccess.
Zabezpiecz WordPress razem z nami
To już wszystkie nasze porady jak zabezpieczyć WordPress krok po kroku. Jeżeli nie chcesz przechodzić przez wdrożenie każdego z nich skontaktuj się z nami, a my zajmiemy się bezpieczeństwem Twojej strony WordPress. Pomożemy Ci kompletnie zabezpieczyć stronę WordPress przed zagrożeniami z sieci, a także udzielimy niezbędnego szkolenia jak utrzymać wysoki poziom bezpieczeństwa platformy. Nie czekaj i napisz do nas w tym momencie.