Jak założyć bloga? Cz.4: Bezpieczeństwo bloga.

SEOWAY

jak_zabezpieczy___swojego_bloga

Każdy, kto zdecydował się postawić bloga na własnej domenie opartej o WordPress zdaje sobie sprawę z jego olbrzymich możliwości. Jednak istnieją też ciemne strony popularności WordPressa – niestety w wersji podstawowej nie należy on do najlepiej zabezpieczonych CMSów…

Im większy ruch na blogu tym większe ryzyko utraty bezpieczeństwa. W raz z liczbą Twoich postów, rośnie też prawdopodobieństwo, że staniesz się ofiarą niecnych, hakerskich uczynków. I choć nigdy nie będziesz w stanie osiągnąć stuprocentowej ochrony swojej strony możesz podjąć kilka stanowczych kroków w celu zwiększenia jej bezpieczeństwa.

Zapraszamy na czwartą (przynajmniej na jakiś czas ostatnią) część naszego cyklu z praktycznymi wskazówkami dla blogerów..

1. Aktualizacja WordPressa

W parze z powyższym nieprzerwanie idzie aktualizacja WP. Dbaj o to, aby Twoja strona była zawsze oparta na najnowszej wersji WordPressa. Stanowi to pierwszą linię obrony Twojego bloga.

Każde uaktualnienie posiada w sobie rozwiązania na najnowsze problemy związane m.in. z ochroną danych. I choć twórcy oprogramowania zadbali, by ich użytkownicy pierwsi wiedzieli o aktualizacjach, tylko od Ciebie zależy, czy je zainstalujesz. Zrób to!

2. Jak wygląda dobre hasło?

Może dla Ciebie to już banał, ale im bardziej skomplikowane hasło tym trudniej je złamać.  Co więcej, niech Twoje hasło nie będzie konkretnym słowem, a stanowi bardziej ciąg losowych znaków  i zawiera w sobie:

  • małe litery,
  • wielkie litery,
  • liczby,
  • znaki specjalne.

Przykładowy efekt? -> p*G#ms2&a3T 😉

3. Indywidualna nazwa użytkownika

Jeśli login do Twojego WordPressa to admin powinieneś jak najszybciej go zmienić. Wiele z włamań polega właśnie na próbach logowania na stronę bez Twojej wiedzy.

Na początku zeszłego roku autorzy strony wpamurai.pl podali, iż na ich WP podjęto ponad 10 000 prób włamania właśnie przez zgadywanie loginu i hasła(screen niżej). Prawie połowę z tego stanowił login admin

bezpieczny_wordpress_login

Zamiast powyższych loginów wybierz nazwę mniej oczywistą.

Aby zmienić login musisz utworzyć nowego użytkownika na prawach administratora, następnie zalogować się na nowe konto, usunąć starego użytkownika pod nazwą admin i postępując zgodnie z instrukcjami wyświetlanymi w panelu WP przypisać wszystkie posty opublikowane przez admina do nowego administratora.

Nigdy nie publikuj postów na blogu pod Twoją nazwą administratora! W przeciwnym razie usunięcie oczywistego loginu nie przyniesie żadnego pozytywnego skutku, a haker, który chciał znaleźć Twój login i tak go znajdzie.

4. BackUp, czyli blogi zapasowe

Mówi się, że w Internecie nic nie znika – otóż czasami znika i to bezpowrotnie. W konsekwencji możesz stracić swoje dane poprzez działania zewnętrzne (haker, niezależne awarie serwerów itd.) i wewnętrzne (ludzkie błędy administratorów). Z tego względu koniecznym staje się przygotowywanie kopii zapasowych bloga.

BackUp można zrobić w następujący sposób:

  • korzystając z usług solidnych firm hostingowych,
  • za pomocą menadżerów stron jak WPDASH.

Backup powinien być wykonywany często i systematycznie. Jeśli Twój blog jest stale uaktualniany o nowe informacje warto wykonywać kopie zapasowe nawet raz w tygodniu.

5. Instalacja wtyczek bezpieczeństwa

Nie jesteś sam w walce z zagrożeniami. Z pomocą przyjdą Ci liczne wtyczki bezpieczeństwa, z których wiele jest darmowych. Tak naprawdę najlepiej samemu przetestować i ocenić, który plugin najbardziej Ci odpowiada. Do wyboru masz m.in:

  • Stealth Login Page
  • SI CAPTCHA Anti-Spam
  • All In One WP Security & Firewall
  • Acunetix WP Security

O tym skąd najlepiej pobierać wtyczki dowiesz się z cz. 2 naszego cyklu.

Aby ograniczyć liczbę prób logowania warto zainteresować się wtyczką Limit Login Attempts. Za jej pomocą ustawisz po ilu próbach logowania kończonych niepowodzeniem możliwość zalogowania ma zostać wyłączona i po jakim czasie zostanie ponownie odblokowana.

6. Wypróbuj Rublon

Rublon_bezpieczeństwo_bloga

Prócz powyższych przykładów wtyczek mogę polecić też polski Rublon. Sam plugin nie wymaga większych konfiguracji, a jego użytkowanie jest bardzo proste.

Działanie Rublona oparte zostało na zabezpieczeniu Twojej strony przed odgadnięciem hasła i loginu. W tym celu wtyczka inicjuje tzw. sieć zaufanych komputerów.

Jak to działa?

  • Instalujesz wtyczkę WordPress Rublon, aplikację Rublon na smartfonie i logujesz się na stronie produktu,
  • Aktywujesz wtyczkę – wygenerowany zostaje QR Code,
  • Skanujesz QR Code smartfonem,
  • Potwierdzasz, czy komputer, który wygenerował QR Code ma dołączyć do sieci zaufanej.

7. Ukryj wersję swojego WordPressa   

Nie pokazuj wersji oprogramowania, którego używasz. Aby to zrobić:

1. Odnajdź w kodzie HTML strony linijkę:

<meta name=”generator” content=”WordPress x.x”>

2. Znajdź katalog szablonu i otwórz plik functions.php,

3. Na końcu pliku dodaj linijkę:

remove_action(‚wp_head’, ‚wp_generator’); 

8. Porządkuj blogi

Porządkuj swoje skórki, motywy i odinstaluj wszystkie, które moją podobne funkcje.

Wiele z nich może stanowić realne zagrożenie dla Twojego bloga. Zwracaj uwagę na autorów pluginów (¾ z nich powstaje w amatorskich warunkach, bez solidnych fundamentów) i wybieraj tych zaufanych, posiadających własne strony z opiniami użytkowników.

Nawet jeśli wyłączyłeś wtyczkę może ona dalej stanowić zagrożenie. Odinstaluj ją.

Za przestrogę niech posłuży Ci historia z końca ubiegłego roku (więcej o tym tu), kiedy to ofiarami braku aktualizacji wtyczki padło ponad 100 tysięcy stron korzystających z Slider Revolution…


Jeśli prowadzisz albo dopiero zamierzasz zacząć prowadzić bloga na WP i chcesz poznać więcej praktycznych wskazówek zapoznaj się z poprzednimi częściami cyklu „Jak założyć bloga?”:

1. „Zewnętrzna platforma vs. własna domena„,

2. „Przydatne linki„,

3. „Promocja„.

Teraz wystarczy już tylko wprowadzić zdobytą wiedzę w życie i obserwować wzrost ruchu 🙂 Powodzenia!

4 Comments. Leave new

Patryk Zieliński
06/02/2015 16:58

Ostatnio na swoim blogu poruszałem kilkukrotnie te kwestię. A jest ona bardzo ważna a rzadko widzę żeby strony moich klientów były dobrze zabezpieczone. Nie mówiąc nic o tworzeniu kopii zapasowych..

Odpowiedz

Skoro hostingodawca zapewnia, że tworzy regularnie kopie i jest bezpiecznie to co się Kowalski będzie prywatnie bujał z backupami ;-))))

Odpowiedz
Adam Trześniowski
07/02/2015 22:41

Dokładnie Patryk, zainteresowanie tematem wzrasta z reguły jak coś już się stanie… ale powoli powoli i może będzie lepiej 🙂

Odpowiedz
Patryk Zieliński
10/02/2015 14:59

http://toplinkx.pl/blog/ithemes-security/

Ta jedna wtyczka może znacząco wpłynąć na poziom bezpieczeństwa.

Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *