Jak skutecznie zabezpieczyć Wordpressa przed włamaniami

Jak każdy inny CMS, również i Wordpress jest podatny na różnego rodzaju włamania. Poniżej przedstawię kilka konkretnych porad jak ustrzec się tych zagrożeń i jak utrudnić życie ludziom chcącym dostać się do naszej strony internetowej.

1. Wybierajmy zawsze sprawdzony hosting

Mając kilkanaście serwisów na wielu różnych serwerach wiem jak ważny jest wybór firmy hostingowej. Nie próbujmy na tym oszczędzać bo w końcu po wielu problemach i włamaniach na nasz serwis i tak będziemy chcieli go przenieść w inne miejsce. Zalecam do razu wybór sprawdzonej firmy hostingowej – pisałem szerzej o tym tutaj - http://webmaster-www.blogspot.com/2013/08/wybor-hostingu-na-co-zwrocic-uwage-moje.html

2. Pamiętajmy o aktualizacji Wordpressa do najnowszej wersji

Sam z doświadczenia mogę powiedzieć, że strony które budowałem w oparciu o Wordpressa i nie aktualizowałem przez dłuższy okres, stawały się bardzo często „ofiarami” ataków. Aktualizując Wordpressa do nowej wersji łatamy dziury w zabezpieczeniach, dzięki czemu nasz serwis staje się dużo bardziej odporny na różne włamania.

3. Aktualizujmy wtyczki i instalujmy jedynie te sprawdzone, często aktualizowane przez ich twórców

Niestety wtyczki mają również dużo dziur i dlatego musimy zadbać o to aby były jak najczęściej aktualizowane.

4. Zabezpieczajmy dostęp do naszego serwisu naprawdę dobrymi i skomplikowanymi hasłami i nigdy nie używajmy standardowej nazwy użytkownika, czyli admin

Pamiętajmy aby hasło do naszej strony zawierało duże i małe litery, znaki specjalne oraz cyfry. Po instalacji Wordpressa zmieniajmy też od razu nazwę użytkownika admin, gdyż często ataki brute force są przeprowadzane właśnie na taką nazwę użytkownika.

5. Zabezpieczajmy nasze serwisy sprawdzonymi wtyczkami chroniącymi przed włamaniami

Wtyczki jakich od jakiegoś czasu używam na swoich serwisach to:

- Brute Protect  - chroniąca przed atakami brute force;

- iThemes Security (dawniej Better WP Security) która po włączeniu wykrywa nam nieprawidłowości jakie narażają nas na potencjalną próbę włamania i dzięki której możemy między innymi zmienić standardowy adres logowania do panelu administratora wp-login.php na inny oraz blokować przez określony czas użytkowników wykonujących wiele prób logowania do serwisu (ustawiamy np. aby po dwóch nieudanych próbach logowania użytkownik był zbanowany całkowicie lub np. na 100, 200, czy 300 minut).

Oczywiście pamiętajmy też o robieniu kopii bezpieczeństwa naszego serwisu (zarówno kopii bazy jak i plików) korzystając bądź to z wtyczek do tego rodzaju operacji lub też po prostu robiąc to ręcznie co pewien czas. Zawsze lepiej mieć u siebie kopie swoich serwisów w razie gdyby firma hostingowi miała jakiś problem z przywróceniem serwisu po włamaniu.