Jak zabezpieczyć bloga WordPress przed atakami hakerskimi

by | Lut 23, 2012 | Wordpress | 36 comments

Możesz mieć wypasionego bloga, którego podziwiają dosłownie wszyscy. Możesz zajmować pierwsze miejsca w Google na frazy po kilkadziesiąt tysięcy wyszukiwań miesięcznie. Możesz zarabiać tysiące z reklam, czy też kursów promowanych na blogu…

Możesz również wszystko to stracić w ciągu zaledwie jednej chwili.

Dlatego tak ważna jest ochrona treści i bezpieczeństwo całej twojej strony. To, że twój hosting oferuje różne zabezpieczenia wcale nie czyni twojej strony w 100% bezpiecznej, a zagrożenie w sieci rośnie w ostatnich miesiącach w podwojonym tempie. Fakt, że WordPress jest jednym z najbardziej bezpiecznych CMSów nie uchroni cię przed atakami hakerskimi.

Jeśli nie przykładasz wagi do zabezpieczenia swojej strony, pewnego dnia możesz być bardzo zaskoczony..

Do czego zmierzam? Lepiej szanuj swoją pracę i zabezpiecz swoje strony na WordPress’ie, bo zagrożenie jest coraz większe.

W Polsce bardzo mało mówi się o zabezpieczeniu WordPress’a. Być może dlatego, że Internet nawet 2 lata temu nie był tak dobrze rozwinięty, jak ma to miejsce dzisiaj. Liczba internautów w Polsce rośnie bardzo szybko, a co za tym idzie – liczba hakerów, wirusów i innych plugastw również.

Tym wpisem chciałbym otworzyć cykl postów o bezpieczeństwie WordPressa. Napiszę kilka artykułów, jak skutecznie zabezpieczyć bloga WordPress, a zwieńczeniem mojej pracy będzie Raport PDF, który otrzymasz po zapisaniu się na moją listę mailingową.

Wracając do meritum, chciałbym Ci przedstawić kilka kroków, które powinieneś wykonać, aby twój blog był zabezpieczony.

[Pamiętaj, aby przed każdą zmianą, którą wprowadzisz u siebie zrobić porządny backup strony!!!]

Bezpieczeństwo WordPress’a #1 – Wzmocnij ochronę dostępu

a) Jeśli przy logowaniu używasz domyślnej nazwy użytkownika admin, koniecznie zmień ją na coś innego. Możesz to zrobić bardzo prosto za pomocą phpMyAdmin. Zobacz szczegółową instrukcję jak zmienić login admin w WordPress .

b) Ustaw również silne hasło dla administratora strony i broń Boże nie zapisuj go w przeglądarce. Zamiast zapamiętywania haseł w przeglądarce polecam używać Last Pass.

c) Zainstaluj wtyczkę Login Lockdown, aby kontrolować nieudane próby logowań do panelu admina. Wtyczka daje możliwość blokowania adresu IP po kilku (ustawionych przez Ciebie) błędnych próbach logowania.

Bezpieczeństwo WordPress’a #2 – Chroń treść oraz ustawienia strony

Regularnie wykonuj kopie zapasowe bazy danych oraz plików na serwerze. Dzięki wtyczce WP DB-Manager, możesz łatwo pobrać całą kopię bazy danych na swój dysk oraz zaplanować automatyczne wykonywanie backupów nawet co kilka godzin. Wtyczka daje możliwość również wysyłania kopii zapasowych na adres email. Zobacz również, jak odzyskać bazę danych w WordPress.

Raz na jakiś czas zadbaj również o bezpieczeństwo plików na serwerze. Zawsze lepiej jest mieć kopię zapasową wszystkich plików na swoim dysku. Przynajmniej raz w miesiącu zmieniaj hasło FTP. Pamiętaj, że jest to najczęściej atakowana droga dostępu do twojej strony.

Bezpieczeństwo WordPress’a #3 – Zabezpiecz bloga przed atakami typu SQL Injection

W tym celu zmień Prefix tabel w WordPress. Domyślny prefix to wp_. W ten sposób utrudnisz ataki hakerowi używającemu SQL Injection. Ryzyko ataków tego typu będzie zredukowane do minimum, jeśli nie wyeliminuje go całkowicie.

Prefix powinieneś zmienić przy instalacji WordPress’a, jeśli jednak masz już zainstalowanego bloga, również jest taka możliwość. Możesz to zrobić w prosty sposób korzystając wtyczkę WP Security Scan  Zobacz również artykuł Jak zmienić WordPress table prefix[28 luty].

Bezpieczeństwo WordPress’a #4 – Podwój ochronę przed atakami hakerów & malware

Zintegruj bloga WordPress z WebsiteDefender bądź Sucuri+ BulletProof Security.

Jeśli chodzi o mnie, testuję różne opcje ochrony, lecz najbardziej odpowiadają mi usługi WebsiteDefender.com.
Website Defender udostępnia darmową wtyczkę Secure WordPress, którą koniecznie powinieneś zainstalować. Możesz również przetestować BulletProof Security, lecz nie ma potrzeby używania obydwu wtyczek.

Zabezpiecz WordPress automatycznie dokonuje kilku ważnych zmian w WordPress, które dodatkowo zwiększają twoją ochronę.

Wtyczka usuwa informację o wersji WordPress’a, łącznie z ‚feed’; pokazuje wersję WordPress’a tylko użytkownikom mającym prawa do edycji wtyczek. Tworzy również plik index.php w folderach wtyczek i szablonów aby uniemożliwić listowanie folderów. Blokuje także złośliwe wywołania URL (malicious URL requests)

Bezpieczeństwo WordPress’a #5 – Codziennie skanuj bloga.

Website Deffender umożliwia również automatyczne skany twojego bloga w poszukiwaniu włamań, wirusów, malware, złośliwych skryptów itp. Automatycznie wysyła powiadomienia email oraz wyświetla porady, co i jak zmienić, aby twój blog był bezpieczny. Aby sprawdzić, czy twoja strona nie jest zainfekowana, możesz również skorzystać ze skanera Sucuri.

Bezpieczeństwo WordPress’a #6 – Zainwestuj w CDN

Mam tutaj na myśli świetne rozwiązanie wielu problemów – Content Delivery Network + funkcje zabezpieczające i optymalizujące, które opiszę po zakończeniu cyklu artykułów o bezpieczeństwie.

Jeśli nie chcesz, aby twoja strona została zablokowana przez Google, zniszczona przez hakerów, czy zarażona przez wirusy, zacznij dbać o bezpieczeństwo swojej strony. Sam zostałem zaatakowany na początku lutego 2012, więc mogłeś zaobserwować, co działo się z moją stroną… Na szczęście po kilku latach nauki i testowania różnych rozwiązań mój blog jest o wiele bardziej bezpieczny, niż nawet kilka miesięcy temu 😉

Weź sprawy w swoje ręce i nie pozwól, aby twoja praca poszła na marne!

Jeśli masz pytania, napisz je w komentarzach poniżej, bądź wyślij mi wiadomość.

36 komentarzy

  1. Iwona Sobieraj

    Super wpis! Nie zdajemy sobie sprawy z niebezpieczeństwa dopóki ,,coś nas nie trafi”. Właśnie wdrażam wszystkie Twoje zalecenia. I ogólnie bardzo dobry blog 🙂 Pozdrawiam
    Iwona

    Reply
  2. Tadeusz

    Właśnie skończyłem odzyskiwanie danych po zawirusowaniu bloga, trochę mnie to kosztowało czasu i nerwów. Zainstalowałem wszystkie zalecane wtyczki, chyba teraz będę bardziej dbał o bezpieczeństwo. A ataków dokonują nie prawdziwi hakerzy tylko jakieś gnidy crackerskie.
    Dzięki za porady. Pozdrawiam.

    Reply
  3. Deawu

    Dzięki za super wskazówki 🙂

    Reply
  4. Someone

    Super porady!
    Bez wątpienia warto zastosować je na blogu – ja zabieram się właśnie za ich wdrożenie 🙂
    Dzięki!

    Reply
  5. Michał

    Jak zmienić admin na coś innego na instalacji mutliblogowej WP? Jak zmieniam w PHP My Adminie w użytkownikach, to tracę dostęp do zarządzania siecią WP.

    Reply
  6. Szymon Janik

    Konta Super Adminów są przechowywane w tabeli wp_sitemeta. W tabeli wp_sitemeta znajdź pole site_admins. Znajdziesz tam wartość:
    a:1:{i:0;s:5:”admin„;}

    Następnie zamień admin na swoją nazwę – taką jak login do WordPressa (np. szymon12 ) oraz zamiast cyfry 5 wpisz ilość znaków jaką zawiera twój login. W przypadku zmiany na szymon12, wartość w polu site_admins będzie wyglądała następująco:

    a:1:{i:0;s:8:”szymon12″;}

    Reply
  7. Łukasz

    Bardzo fajny wpis, musiałem się zastosować do porad bo moja strona padła ofiarą jakiegoś ataku… ;/

    Reply
  8. Agnieszka

    A jak usunąć złośliwe oprogramowanie ze swojej strony? Program skanujący nic nie wykrył na stronie, ale dostaję informacje od czytelników swojego bloga, że strona jest zawirusowana. Będę wdzięczna za pomoc 🙂

    Reply
  9. SebQ

    Z sql injection to trochę pojechałeś. Jeśli baza danych jest na wersji 5=> to prefix nie gra roli

    Reply
    • Szymon Janik

      Jeśli, a jeśli nie? 😉 Lepiej zabezpieczyć bloga możliwie jak najdokładniej.
      Staram się pisać artykuły w ten sposób, żeby każdy, nawet początkujący potrafił zastosować porady. Dlatego czasem wyolbrzymiam niektóre rzeczy – szczególnie, jeśli chodzi o bezpieczeństwo.

      Bezpieczeństwo można porównać do cebuli – można je podzielić na warstwy. Im więcej warstw ochronnych, tym lepiej blog zabezpieczony, a o to przecież chodzi.

      Reply
  10. evoc

    bardzo fajny, wartościowy artykuł dla kogoś kto nie miał dużej styczności z wordpressem,
    ogólnie przyjdatna zawartość, tylko ten namolny popup trochę zniechęca

    Reply
    • Szymon Janik

      Dzięki 😉 Problem z PopUpem już rozwiązany. Dzięki za potwierdzenie, bo coś mi się wydawało, że nie działał, jak należy 😉
      Pozdrawiam.

      Reply
  11. forum detailing

    Dzięki bardzo cenne porady, raz mi się włamano na stronę 4cham.pl, ale na szczęście podminili tylko index.php

    Reply
  12. Someone

    Super! Dzięki za garść wskazówek – i to w1 miejscu!

    Reply
  13. Jan

    Witam
    A jak zmienić ID administratora bez tworzenia nowego i kasowania starego. Gdyż w tej sytuacji zmieni się ID z 1 na 2 . Czyli można powiedzieć, że dużo to nie dało. Ja chciałbym zmienić np na ID 528. Jak to można zrobić?

    Reply
  14. Marcin

    Witam
    Ja w tym miesiącu drugi raz przywracam stronę po atakach „tureckich” hakierów. Plik Index zostaje podmieniany i wyswietla się po wejsciu informacja : Hacked ExeOver i jakies tureckie napisy i grafiki. Z tego co rozmawialem z adminem to bledy w skorach WP pozwalają na takie ataki. Szkoda tylko ze stalo sie to na kilku stronach o roznych „skórach”. Wdrazam powyższe i zobaczymy co będzie. Miał ktoś taką sytuacje i ustalił którędy zmieniają pliki ?

    Reply
    • Piotr

      Jeśli masz strony na wspólnym koncie hostingowym (na jednym Twoim koncie) wystarczy luka w jednej templatce przez którą wstrzykuje się szkodliwy plik a następnie podmienia wszystkie pliki index (oby tylko). System jest tak bezpieczny jak jego najsłabiej zabezpieczona strona.

      Reply
    • Piotr

      a i jeszcze jedno. Jeśli nastąpił atak na Twoje strony wystarczy popatrzeć do logów serwera. Tam jest wszystko napisane co zawiodło i przez jaką dziurę nastąpił atak. Wiele templatek ma nadal nieaktualne pliki timthumb przez które w dziecinnie prosty sposób można przejąć kontrolę nad stroną.

      Reply
  15. Doradca

    Dużo tych wtyczek – ja stosuję secure wp i w sumie to chyba wystarcza, do tego jeszcze zabezpieczenia antyspamowe i wszystko gra.

    Reply
    • Szymon Janik

      Obecnie Polecam Better WP Security + Akismet. Better WP Security posiada chyba najwięcej potrzebnych funkcji poprawiających bezpieczeństwo. Do tego Akismet oraz ewentualnie Sucuri.NET, jeśli mamy większy traffic i śmigamy 😉

      Reply
  16. Daniel

    Witam serdecznie,

    Zainstalowalem wtyczke Better WP Security, i otrzymuje kazdego dnia po 40 maili z wiadomoscia „File change warning”. Czy mial ktos z Was ten sam problem? Czytalem duzo pozytywanych opinii na temat tej wtyczki i nie wiem o co chodzi. Moze lepszym rozwiazaniem bedzie zainstalowanie polecanej w blogu wtyczki Secure WordPress, i integracja z websitedefender ?

    Dzieki wielkie za odpowiedz.
    Pozdrawiam

    Reply
  17. luka;)

    Super informacje. Bardzo przydatne. Na poczatku tego roku zaatakowali moj portal i moj hosting zablokowal dostem gdyz bylo tam sporo dziadostwa. Uzywalem php-fusion a teraz chcialem sprobowac z wp i szukalem wlasnie takich informacji. Dzieki wielkie, napewno twoje rady pomoga nie jednej osobie;)

    Reply
  18. Marcin Nurski

    Witam i bardzo dziękuję za powyższy artykuł. Wczoraj włamano się na moją z Turcji i dokonano sporych spustoszeń. moje dane zastąpiono jakąś propagandą. Nie przywiązywałem zbytniej wagi do bezpieczeństwa i nie robiłem systematycznych kopii danych. Do trzeciej w nocy ręcznie rekonstruowałem pliki index.php i header.php. Udało mi się cofnąć skutki ataku. Jestem wściekły nie tylko na tego biednego kretyna, który dopuścił się ataku, ale na siebie samego. Dzięki Panu zacząłem implementować wszystkie sugerowane przez Pana zabezpieczenia. Ufam, iż zredukuje to ataki na moją stronę. Otworzyły mi się oczy. Teraz zdecydowanie będę stawiał bezpieczeństwo na pierwszym miejscu. Uprzejmie dziękuję i pozdrawiam serdecznie!

    Reply
  19. Firmy SEO

    Dzięki za ten Artykuł, miałem ostatnio podobne problemy ze stronami Klientów, które właśnie były zainfekowane z powyższych powodów. Skutkowało to tym, że jak świętej pamięci prof. Religa operowałem każdego bloga osobno, usuwając złośliwy kod kawałek po kawałku. Wszystko trwało około 2 dni – od tej chwili wolę instalować wtyczki zabezpieczające i nie martwić się o atak Gimbazy na blogi 🙂

    Reply
  20. pawlo

    Dodam jeszcze że ja mam np.w .htaccess denny allow Ip prócz mojego z którego się loguje.
    Jak ktoś loguje się tylko ze swojego IP jednego stałego- też może się przydać.
    Prosta sprawa a utrudnia też 🙂

    Reply
    • pawlo

      Jeszcze ważne żeby też zabezpieczyć odpowiednio nasze konto email bo to tam w razie czego trafiają przypomnienia,nawet najlepiej zabezpieczony wordpress nic nie da jak hacker ma dostęp do naszego maila.

      Reply
  21. Kamil

    Co prawda to prawda, mając bloga nawet profesjonalnego nie można zapomnieć o jego zabezpieczeniu to jedna z ważniejszych roli, która odgrywana jest w funkcjach dobrego bloga.

    Reply
  22. drukarnia

    Trudność hasło to bardzo ważna sprawa, ostatnio miałem szanse się niestety o tym przekonać.

    Reply
  23. adam sitek

    trzeba te praktyki przetestować ,zapewne pomorze to w bezpieczeństwie WordPress ,chociaż z 2 strony te zabezpieczenia są tak naprawdę potrzebne hostingowi bo przeważnie hakerzy blokują bloga na WordPressie przez hostingi

    Reply
  24. Tomek M

    Super porada na pewno się przyda

    Reply
  25. Przemysłowy

    Całkiem przydatne rady, pewnie nawet dla osób, które nie posiadają WordPress’a tylko zwykłe strony interentowe

    Reply
  26. Lukas

    Ostatnio dużo pochlebnych opinii słyszałem na temat systemów prewencyjnych coś w stylu jak tu penetrator24.com/index.xhtml Jeszcze nie bardzo kumam o co chodzi, wiem tylko, że nie jest to antywirus, tylko aplikacja, która bada i wskazuje luki w zabezpieczeniach, które mogą wykorzystać hakerzy. Zacząłem się nad tym zastanawiać, bo prowadzę blog i zależy mi na tym, by nie stracić swój dorobek. Jeszcze nie tak dawno myślałem, że nie potrzebuję ochrony, bo przecież nikt się nie pokusi na stronę początkującego blogera. Ostatnio jednak blog mojego znajomego zhakowali, choć prowadzi go dopiero od kilku miesięcy nie ma jakiegoś dużego ruchu. Co myślicie o takim systemie? Warto zainwestować, a może są jakieś inne skuteczniejsze sposoby.

    Reply
  27. Anna

    Dziękuje za artykuł. Dużo wniósł 🙂 Pozdrawiam serdecznie

    Reply
  28. Amator

    Czy w dalszym ciągu WebsiteDefender i Sucuri są na ty samym poziomie?

    Reply

Submit a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Subskrybuj Newsletter

Otrzymuj najnowsze treści prosto na skrzynkę email:

Optin
Zamknij Okienko