Posiadanie i utrzymanie bezpiecznej strony wykorzystując wordpress wcale nie musi być trudne – wystarczy tylko chwila czasu i chęci.
Poniżej pokazuje Ci 5 kroków których przestrzeganie znacząco podniesie bezpieczeństwo twojej witryny

1) Regularnie wykonuj aktualizacje

Jeśli miałbym podać jedną zasadę dotycząca nie tylko wordpressa to byłaby właśnie ta – posiadanie aktualnych wersji to najważniejsza rzecz jaką możesz zrobić w celu zapewnienia bezpieczeństwa twoich witryn.
Nieważne czy aktualizacja nanosi tylko nowe funkcjonalności czy to poprawka bezpieczeństwa – zawsze wykonuj aktualizację.

2) Usuń niepotrzebne wtyczki i motywy

Mniej znaczy lepiej, zarówno w życiu jak i w wordpressie.
Jeśli nie potrzebujesz już jakiejś rzeczy w domu to ją wyrzucasz do kosza. Tak samo zrób z wyłączonymi wtyczkami czy motywami – jeśli ich nie potrzebujesz to je usuń.
W ten sposób zwolnisz zasoby na serwerze, ale przede wszystkim będziesz miał mniej rzeczy do pilnowania.
Nawet jeśli wtyczka jest wyłączona to nadal jej pliki są na serwerze – wystarczy więc że ktoś odkryje podatność z nią wiązaną i twoja strona jest już zagrożona.

3) Nie każdy musi być administratorem

Jeśli do twojego wordpressa musi mieć dostęp kilka osób to pamiętaj o 2 ważnych zasadach:

1. Każdej osobie wygeneruj osobne konto

Korzystanie z jednego wspólnego konta nie jest ani wygodne, ani bezpieczne.
Nie masz kontroli nad tym kto faktycznie dokonuje zmian, gdzie i jak loguje sie do serwisu oraz jak bezpiecznie przechowuje dane dostęowe

2. stosuj zasadę jak najmniejszych uprawnień

Jeśli ktoś dodaje teksty na stronie, to dlaczego ma rolę administratora? Obecnie wordpress oferuje 6 ról:
A – Super Administrator : ktoś, kto ma dostęp do funkcji administratora sieci witryn ( wordpress multisite)
B – Administrator : ktoś, kto ma dostęp do funkcji administratora witryny
C – Redaktor : ktoś, kto może publikować i wprowadzać zmiany we wszystkich postach
D – Autor : ktoś, kto może publikować i wprowadzać zmiany we własnych postach
E – Współtwórca : ktoś, kto może pisać i wprowadzać zmiany do swoich postów bez możliwości ich publikowania
F – subskrybent : ktoś, kto ma dostęp tylko do swojego profilu

Jak widzisz, rola “Współtwórca” lub “Autor” w zupełności wystarczy by ktoś mógł dodawać wpisy.
Im niższa rola, tym możesz być pewniejszy że nikt “z ciekawości” nie będzie zaglądał tam gdzie nie powinien.

4) Użyj dwuskładnikowego uwierzytelniania (2FA)

Jest to dodatkowa metoda autoryzacji – nawet jeśli ktoś odgadnie/złamie twoje hasło to nie zaloguje się na konto, gdyż nie będzie posiadał specjalnego kodu.
Najpopularniejszą wtyczką jest Google Authenticator ktorą wystarczy zainstalować, następnie pobrać aplikację “Authenticator” na telefon i sparować je ze sobą.

5) Używaj skomplikowanych haseł

Nawet jeśli używasz podwójne autoryzacji to nie chciałbyś by ktoś znał twoje hasło.
Stosowanie długich i skomplikowanych haseł oraz używanie unikalnych haseł (każda witryna ma inne hasło) to jedna z lepszych metod zabezpieczenia się przed skutkami nieautoryzowanego logowania.
Oczywiście nie musisz pamiętać wszystkich haseł – wystarczy że skorzystasz z menedżera haseł ( ja polecam keepass).

To tyle – jeśli poświęcisz teraz 5 minut dla wdrożenia powyższych punktów to możesz być pewien że twoja witryna będzie bezpieczna.

A dla osób bardziej technicznych – kilka dodatkowych porad:

6) Co jakiś czas zmieniaj klucze:

Klucze SALT to zmienne, które przechowują dane logowania w postaci zaszyfrowanej. Domyślnie WordPress zapisuje dane logowania w plikach cookie, które można przechwycić.

Jednym ze sposobów uniknięcia tego ryzyka jest ręczna zmiana kluczy bezpieczeństwa w pliku wp-config.php.
Klucze możesz wygenerować pod tym linkiem.

7) Wyłącz edytor plików

WordPress umożliwia wygodne edytowanie plików z poziomu kokpitu ( np edytor motywów). Jest to jednak bardzo niebezpieczna opcja – wystarczy że ktoś złamie twoje hasło do wordpressa i już będzie mógł edytować pliki na serwerze, a tym samym przejąć całe konto.
Zazwyczaj edytora używasz raz na jakiś czas – w pozostałym czasie wyłącz możliwość edycji dodając do wp-config.php:

8) Zablokuj dostęp w .htaccess dla wp-config.php

W zasadzie nie powinno być możliwości podejrzenia tych plików, ale dla pewności możesz dodać w .htaccess:

9) Wyłącz informacje o wersji wordpressa

Bez względu na to czy masz aktualną wersję wordpressa nie powinno się podawać informacji o jej wersji – im mniej widać tym lepiej .
Wyłącz więc informacje o wersji wp w pliku functions.php aktywnego motywu dodając:

10) Jezeli nie korzystasz z zewnętrznych narzędzi do publikacji wpisów na twojej stronie możesz wyłączyć dostęp do pliku xmlrpc.php.

Za pomocą .htaccess:

lub filtra:

11) Wyłącz możliwość enumeracji użytkowników dodając w .htaccess:

12) Wyłącz możliwość uruchamiania plików php w katalogu uploads tworząc plik .htaccess.