Zabezpiecz WordPress. Zapora firewall jako wtyczka.

Obrazek dla Zabezpiecz WordPress. Zapora firewall jako wtyczka.

Zapora firewall to nie tylko element systemu operacyjnego komputera, routera sieciowego ale i również Twojej witryny. Stosowanie wtyczek typu firewall w WordPress jest ważne, ponieważ pomaga w zabezpieczeniu witryny przed podstawowymi atakami i zagrożeniami związanymi z cyberbezpieczeństwem. Firewalle chronią witrynę przed próbami nieautoryzowanego dostępu i popularnych rodzajów ataków, co jest istotne dla jej bezpieczeństwa i wydajności.

Bezpieczny hosting WordPress w hitme.pl

Hosting WordPress oraz hosting WWW w hitme.pl posiada już wiele rodzajów zabezpieczeń, która chronią Twój WordPress przed zagrożeniami z sieci, w tym atakami DDoS, próbami włamań, złośliwym oprogramowaniem i wieloma innymi. Do takich zabezpieczeń należy aktywna usługa Imunify360 oraz filtracja ruchu od malware.experts. Jeśli nie dysponujesz tymi usługami na swoim planie hostingowym to dobrym pomysłem będzie instalacja dodatkowej wtyczki firewall. Przyda się też ona tym, którzy już korzystają z bezpiecznego hostingu w hitme.pl gdyż posiada wiele dodatkowych funkcjonalności, które sprawią że Twója strona WordPress stanie się jeszcze bardziej bezpieczna.

AIOS – firewall dla WordPress

AIOS, czyli All In One WP Security, jest darmową wtyczką do WordPress, która pomaga zabezpieczyć Twoją witrynę internetową przed różnymi atakami. Ta wszechstronna wtyczka zapewnia rozległe funkcje ochronne, które mają na celu zwiększenie bezpieczeństwa Twojego serwisu WordPress.

wordpress firewall
AIOS – All in One Security – wtyczka firewall dla WordPress.

Wśród jej głównych zastosowań można wymienić ochronę przed próbami ataków typu brute force na panel administracyjny, zmiana adresu logowania, monitorowanie i blokowanie podejrzanych działań, kontrolę dostępu do plików i katalogów, a także reakcję na próby dostępu do niebezpiecznych zasobów. Przejrzyjmy kilka przydatnych funkcji wtyczki AIOS, które przydadzą się każdemu posiadaczowi witryny WordPress.

Zainstaluj wtyczkę AIOS, dostępną w repozytorium wtyczek WodPress, aktywuj ją i uruchom proces auto-konfiguracji wtyczki zanim rozpoczniesz włączanie zabezpieczeń.

aios wordpress
Auto-konfiguracja na początek oraz miernik bezpieczeństwa.

O poziomie zabezpieczeń poinformuje Cię wizualnie licznik zabezpieczeń. Zaczynamy z wartością równą 40. Miernik jest tylko wizualną reprezentacją możliwości wdrożenia zabezpieczeń poprzez przydzielane punkty, za każde aktywne zabezpieczenie. Nie ma potrzeby dobicia do maksymalnej wartości. Włączaj zabezpieczenia z rozwagą WordPress wedle potrzeby.

Przed rozpoczęciem prac z firewall w WordPress zrób kopię zapasową.

Ważne: Jeśli na jakimś etapie włączysz za dużo zabezpieczeń i Twoja witryna zacznie zachowywać się niepoprawnie – możesz zresetować ustawienia, wyłączyć wszystkie zabezpieczenia lub nawet bezpiecznie usunąć katalog wtyczki z serwera – jeśli nie będziesz mógł się zalogować do kokpitu.

Przed rozpoczęciem wdrażania zabezpieczeń wykonaj kopię swojego pliku .htaccess. Możesz to zrobić używając wtyczki AIOS lub klienta FTP czy Menadżera plików w Panelu hostingowym DirectAdmin.

htaccess backup
Wykonaj kopię zapasową strony. A przynajmniej aktualnego pliku .htaccess.

Wykonaj też kopię zapasową bazy danych WordPress Importowanie i eksportowanie bazy danych MySQL , a jeśli możesz najlepiej wykonaj kopię zapasową całego swojego serwisu. Użyj do tego Autoinstalatora dostępnego w panelu hostingowym Instalacja na hostingu jednym kliknięciem? Co ułatwia z WordPress? lub panelu hostingowego DirectAdmin Samodzielne tworzenie i przywracanie kopii zapasowej w DirectAdmin lub narzędzia JetBackup Odzyskiwanie plików z kopii przyrostowej – JetBackup Directadmin.

Zabezpieczamy WordPress za pomocą firewall.

Na początek łatwizna, czyli usuwanie tagu meta w kodzie HTML, który WordPress sam dodaje, a którego złe roboty mogą szukać. Settings → WP version info

ukryj wersja wordpress
Ukrywanie wersji WordPress w kodzie.

Każdorazowo po zaznaczeniu danego zabezpieczenia kliknij w przycisk [ Save settings ] aby zapisać zmiany. Mamy +5 punktów na liczniku, lecimy dalej.

Potwierdzanie rejestracji użytkownika WordPress

Jeśli nie prowadzisz sklepu e-commerce lub nie potrzebujesz aby na Twojej stronie rejestrowali się nowi użytkownicy to rozważ to dodatkowe zabezpieczenie. Włącz ręczne potwierdzanie każdej rejestracji. Ta funkcja automatycznie ustawi nowo zarejestrowane konto jako „oczekujące”, dopóki administrator go nie aktywuje. Dlatego niepożądani rejestrujący nie będą mogli zalogować się bez Twojej wyraźnej zgody.

Możesz wyświetlić wszystkie nowo zarejestrowane konta, korzystając z wygodnej tabeli poniżej, a także możesz wykonać zbiorcze zadania aktywacji/dezaktywacji/usunięcia na każdym koncie.

rejestracja użytkownik wordpress
Zatwierdzanie każdego nowego użytkownika WordPress ręcznie.

Zmiana prefixu tabeli bazy danych WordPress

Twoja baza danych WordPress to kluczowy zasób Twojej witryny, zawierający wiele ważnych informacji. Jest to również często celem ataków hakerskich, takich jak próby wstrzykiwania kodu SQL lub automatyczne ataki na konkretne tabele. Jednym z metod zabezpieczenia bazy danych jest modyfikacja prefiksu tabeli WordPress, np. zamiast domyślnego „wp_”, możesz wybrać trudniejszy do odgadnięcia lub losowy prefiks za pomocą wtyczki. Ta funkcja umożliwia dostosowanie prefiksu do wybranej wartości, co zwiększa bezpieczeństwo Twojej witryny.

Ta operacja przeprowadzana jest na Twojej bazie danych. Jeśli wykonałeś kopie zapasową możesz śmiało włączyć tę opcję.

db prefix wordpress
Zmiana domyślnego prefixu tabeli bazy danych WordPress.

Prawidłowe prawa do plików WordPress na serwerze

Twoja konfiguracja WP zawiera już dość bezpieczne konfiguracje uprawnień do plików dla systemu plików. Niemniej jednak zdarzają się sytuacje, w których osoby lub inne wtyczki zmieniają ustawienia uprawnień dla określonych głównych folderów lub plików WP, nieumyślnie zmniejszając bezpieczeństwo swojej witryny internetowej z powodu wyboru niewłaściwych wartości uprawnień.

Ta funkcja przeskanuje najważniejsze foldery i pliki WordPress, identyfikując wszelkie niebezpieczne ustawienia uprawnień. Jeśli jakiś istotny plik/folder będzie miał ustawione niezalecane prawa, możesz je poprawić klikając w [ Set recommended permissions].

wordpress prawa plików
Pomaga ustawić prawidłowe prawa plików i katalogów na serwerze.

Domyślnie, panel administracyjny WordPress pozwala administratorom na edycję plików PHP, takich jak pliki wtyczek i motywów. Niestety, jest to często pierwszy punkt, który atakujący wybierają, jeśli uzyskają dostęp do panelu, ponieważ pozwala im to na potencjalne wykonanie niebezpiecznego kodu. Jeśli nie potrzebujesz możliwości edycji plików PHP z poziomu Kokpitu WordPress zdecydowanie wyłącz tę funkcjonalność. Zapewni to dodatkową warstwę ochrony przed potencjalnymi zagrożeniami.

Dodatkowo wyłącz też możliwość dostępu do plików readme.html, license.txt czy wp-config-sample.php.

ochrona plików WordPress
Zablokowane edycji plików PHP z kokpitu oraz blokowanie plików instalacyjnych WordPress.

Zmiana adresu logowania WordPress wp-login i CAPTCHA.

Skuteczną strategią w celu zabezpieczenia przed atakami typu Brute Force jest dostosowanie adresu URL strony logowania WordPress.

Zazwyczaj, aby zalogować się do WordPressa, odwiedzasz główny adres URL swojej witryny, a następnie dodajesz „/wp-login.php” lub /wp-admin.

Ta funkcja umożliwia personalizację adresu URL logowania poprzez konfigurację własnego sluga (fragmentu adresu URL) oraz zmianę ostatniej części adresu URL zawierającej plik „wp-login.php” na dowolny, wybrany ciąg znaków na przykład /mojpanel.

Dzięki temu działaniu, boty i potencjalni hakerzy nie będą w stanie bezproblemowo zlokalizować Twojej strony logowania, gdyż nie będą znali nowego, dostosowanego adresu URL.

Uwaga! Po włączeniu tych funkcji nie zamykając obecnej karty przeglądarki, uruchom nowe okno przeglądarki w trybie incognito i podaj swój nowy adres logowania i przeprowadź testowe logowanie do kokpitu WordPress. Jeśli logowanie nie działa poprawnie odznacz i zapisz ponownie aby wyłączyć to zabezpieczenie.

zmiana logowania wordpress
Zmiana adresu logowania do kokpitu WordPress.

Dodatkowo lub zamiast tego możesz włączyć mechanizm CAPTCHA na formularzach logowania WordPress, rejestracji, zapomnianego hasła. Możesz podać tu klucze Google reCaptcha, Cloudflare Turnstile lub działanie matematyczne.

wordpress login captcha
Zabezpieczanie formularzy WordPress przez CAPTCHA.

Zapobieganie logowaniu brute-force w WordPress

Hakerzy często próbują włamać się na witryny za pomocą taktyki ataku typu „brute-force”, polegającej na wielokrotnych próbach logowania w nadziei odgadnięcia hasła. Aby zwiększyć bezpieczeństwo, poza stosowaniem mocnych haseł, skutecznym podejściem jest śledzenie i blokowanie adresów IP, które generują wielokrotne błędy logowania w krótkim czasie. Atak logowania za pomocą brutalnej siły to popularna metoda, w której hakerzy nieustannie próbują logować się na konto, aż odgadną hasło.

Uwaga! Włącz tylko jeśli nie używasz już podobnej funkcjonalności realizowanej przez inną wtyczkę np. Limit Login Attempts

wordpress brute force
Zabezpieczenie przed siłowym logowaniem w WordPress.

Jeśli zechcesz korzystać z tej funkcji, a masz wielu użytkowników dobrym pomysłem jest włączenie powiadomień o blokadzie na adres e-mail. Z kolei bardzo przydatne będzie dodanie swojego publicznego adresu IP do tzw. białej listy, abyś nigdy sam się przypadkowo nie zablokował.

Wprowadź swój publiczny adres IP w polu tekstowym i aktywuj tę funkcję. Dowiedz się jak sprawdzić swój publiczny adres IP.

biała lista ip wordpress
Biała lista adresów IP w WordPress AIOS.

Wyłączanie XMLRPC w WordPress i podstawowy firewall.

Skorzystaj też z opcji, jeśli chcesz zastosować w swojej witrynie podstawową ochronę firewall.
To ustawienie zaimplementuje w Twojej witrynie następujące podstawowe mechanizmy ochrony zapory sieciowej:

  1. Chroń swój plik htaccess, odmawiając mu dostępu.
  2. Wyłącz sygnaturę serwera.
  3. Ogranicz rozmiar przesyłanego pliku (100MB).
  4. Chroń swój plik wp-config.php, odmawiając dostępu do niego.

Powyższe funkcje zapory sieciowej zostaną zastosowane poprzez plik .htaccess i nie powinny mieć wpływu na ogólną funkcjonalność Twojej witryny.

Nadal zaleca się wykonanie kopii zapasowej aktywnego pliku .htaccess, na wszelki wypadek.

wordpress xmlrpc firewall
Regułki zapory firewall w WordPress.

Za pomocą AIOS możesz również zabezpieczyć menu kontekstowe i uniemożliwić skopiować tekst ze strony – dowiedz się więcej Jak zabezpieczyć stronę przed kopiowaniem treści? – HitMe Blog Hosting

Blokada komentarzy – SPAM w WordPress.

Komentarze zamieszczane przez boty SPAMerskie to zmora i poważny problem w WordPress. Opisujemy na naszej WIKI jak je wyłączyć jeśli nie korzystamy z tej funkcjonalności. Niechciane komentarze nawet jeśli nie są wyświetlane na stronie – powodują że rośnie pojemność bazy danych strony. Przekłada się to na funkcjonalność. Jeśli chcesz wyłączyć możliwość komentarzy w WordPress przeczytaj Jak wyłączyć komentarze w WordPress? | Jak to zrobić na hostingu? (hitme.pl).

Jeśli jednak chcesz pozostawić komentarze warto skorzystać z dodatkowego zabezpieczenia AIOS.

Większość spamu w komentarzach na blogach WordPress jest generowana automatycznie przez boty, a nie przez ludzi. Ta funkcja skutecznie ogranicza zbędny ruch i obciążenie serwera wynikające z spamujących komentarzy. Innymi słowy, jeśli komentarz nie pochodzi od osoby, która go rzeczywiście napisała na Twojej stronie, zostanie on odrzucony lub oznaczony jako spam.

komentarz spam wordpress
Dodatkowe zabezpieczenie przeciw SPAMerskim komentarzom w WordPress.

Za pomocą tej opcji możliwe jest automatyczne i stałe zablokowanie adresów IP, które wysłały powyżej określonej liczby komentarzy uznanych za spam.

Komentarze zostają zaklasyfikowane jako spam, gdy aktywowana jest funkcja „Wykrywanie komentarzy jako spam” lub gdy administrator ręcznie oznaczy dany komentarz jako „spam” w menu Komentarze WordPress.

wordpress spamer IP
Lista spamerskich adresów IP.

Ważne! To tylko kilka z wielu możliwości zapory firewall w postaci wtyczki AIOS. Zademonstrowane funkcjonalności są w miarę bezpieczne dla większości hostingów. Jednak wszystkie ustawienia należy włączać z rozwagą w zależności od funkcjonalności strony oraz możliwości hostingu. Niektóre zabezpieczenia mogą okazać się zduplikowane. Włączaj je pojedynczo i z rozwagą. Wybieraj te, których potrzebujesz. Ważne jest aby wykonać kopię zapasową strony, a w szczególności pliku .htaccess i bazy danych. W razie problemów usuń katalog z wtyczką z serwera lub przywróć kopię zapasową.