Jeżeli twoja strona oparta na systemie CMS WordPress została zaatakowana przez hakerów, albo zauważyłeś wzmożone zużycie transferu, to warto przyjrzeć się zabezpieczeniom, których używasz. Jakiś czas temu sam padłem ofiarą ataku JS Injection, dlatego postanowiłem lepiej przyjrzeć się stosowanym zabezpieczeniom przeciw różnego rodzaju atakom w WordPressie.
Źródło: pixabay.com, pixelcreatures
Jak zabezpieczyć się przed atakami w WordPress?
Istnieje kilka ważnych zasad, które mogą uchronić Waszą stronę internetową przed atakami i należy ich bezwzględnie przestrzegać. Chodzi tutaj oczywiście o wszelkiego rodzaju aktualizacje – zarówno silnika WordPress, oraz wtyczek i szablonów. Jeżeli mamy możliwość skonfigurowania strony internetowej w taki sposób, aby aktualizacje uruchamiały się automatycznie to warto to zrobić. Dodatkowo warto usunąć nieużywane wtyczki, oraz szablony.
Kolejną rzeczą na którą należy zwrócić szczególną uwagę jest silne hasło zabezpieczające – starajmy się również, aby login administratora nie był zbyt popularny (min. admin, root). Część ataków wykorzystuje tzw. metodę słownikową, która polega na próbie zalogowania się z wykorzystaniem popularnych loginów i haseł. Jeżeli korzystamy z takiego samego loginu i hasła to sami prosimy się o kłopoty.
Źródło: Źródło: Warto również sprawdzić uprawnienia do poszczególnych plików umieszczonych na serwerze. Prawa dostępów do folderów to 755, natomiast do większości plików 644. Aby zmienić uprawnienia należy zalogować się na swój serwer (możemy tutaj wykorzystać darmowy menedżer FTP Filezilla).
Wtyczki poprawiające bezpieczeństwo WordPress – nie daj się hakerom!
Poniżej przedstawię kilka użytecznych wtyczek, które pomogą chronić Waszą stronę internetową przed różnego rodzaju atakami z zewnątrz. Nic nie stoi na przeszkodzie, aby korzystać ze wszystkich jednocześnie – postaram się w przyszłości trochę szerzej o nich napisać – teraz przedstawię jedynie krótki opis:
- Block Bad Queries (BBQ) – chroni przed atakiem typu SQL Injection, różnego rodzaju podejrzanymi zapytaniami przesyłanymi w URL i ostatnio dość popularnymi atakami na pliki JS z wykorzystaniem funkcji eval, base64….
- All In One WP Security – jedna z bardziej rozbudowanych wtyczek, która znacznie poprawia bezpieczeństwo naszego WP. Wtyczka pozwala usunąć informację o zainstalowanej na stronie wersji WordPress, zablokować użytkowników, którzy wielokrotnie wpiszą błędne hasło i login, umożliwia zmianę prefiksu bazy danych WordPress (domyślnie wp_), chroni przed atakami typu brute-force, posiada filtry antyspamowe, a nawet umożliwia zabezpieczenie strony przed kopiowaniem.
- Wordfence Security – skanuje pliki WordPress w poszukiwaniu złośliwego kodu, pokazuje w czasie rzeczywistym informację o użytkownikach, którzy przebywają na stronie internetowej, wyświetla wskazówki dotyczące zmian w plikach w porównaniu z oryginalnymi umieszczonymi w repozytorium. Wtyczka jest na tyle dokładna, że potrafi znaleźć różnicę nawet w sytuacji, gdy zmienimy arkusz stylów CSS. Dodatkowo posiada wiele mechanizmów zabezpieczających WP przed cyberatakami.
Wszystkie wtyczki pobierzecie oczywiście z oficjalnego repozytorium wtyczek WordPress.
Jak zablokować ruch z Rosji i Chin – czyli blokada terytorialna na stronie internetowej.
Na kilku niezabezpieczonych stronach opartych o WordPress zauważyłem próby logowania użytkowników, którzy identyfikują się adresem IP należącym do użytkowników z Rosji. Zresztą to chyba nic nadzwyczajnego skoro spora liczba hakerów, oraz tzw. komputerów zombi pochodzi z Rosji i Chin.
Dobrym sposobem pozbycia się większości potencjalnych intruzów jest zablokowanie ruchu z określonych krajów. Aby tego dokonać należy odpowiednio skonfigurować plik .htaccess – wszystko zostało opisane na portalu komputerowym pod hasłem blokowanie dostępu do strony dla danego kraju.
Bardzo zapotrzebowany artykuł, zachwaszcza patrząc na ostatnie ataki masowe.
Ohhhhhh I thank you so much for thinking of me. But i dont want awards, sorry i hope you not angry about me.B….ut i am very happy about your words!Many warm hugs from andrella
Niestety w dzisiejszych czasach hakerzy robią co chcą, a te wtyczki choć trochę dają nadzieję, że może im się przez przypadek nie uda.
Bo prawda jest taka, że każde zabezpieczenie można złamać…
Teraz takie zabezpieczenia to już powinien być standard. Dwóch wtyczek nie znałam, na pewno się przydadzą. Dzięki.
Wbrew pozorom to nie takie trudne, jak by się mogło wydawać, no i bardzo dokładnie opisane 🙂
Najlepszą metodą ochrony jest wykonanie audytu bezpieczeństwa strony internetowej, audyt pozwoli na poznanie oraz eliminację luk bezpieczeństwa polecam usługi firmy NetAudit – http://www.netaudit.com.pl
Maurizio Tonelli:perché non prendere in considerazione l’ipotesi di trasferirsi altrove? Per esempio, in Nepal, oppure in Cecenia, magari in Romania.Voglio dire: chi ve lo impedisce? Perché seguitate a restare in Italia? Avete una risposta al ri#1;rdo?Ru2;—————————a&g8212;——–Perché se non sei un imprenditore italiano in Romania a fare il rumeno ti conviene emigrare in Italia e il cerchio si chiude. Ma che domande fai? C’è chi ha la sua vita qui, poi non è detto che un giorno faccia come Gauguin al contrario: vado a dipingere la neve nell’est Europa
A co jeżeli IP osób rejestrujących się jest polskie a e-maile są z końcówkami .ru?