Jak zabezpieczyć WordPress przed atakami – 39 sposobów

Codziennie w sieci powstają setki, jeśli nie tysiące nowych stron postawionych na WordPress. Tak, WordPress jest najpopularniejszym z dostępnych systemów CMS. Przez to też jest najbardziej zagrożony wszelkiego rodzaju atakami. W sieci działają roboty, które już automatycznie próbują się włamać na strony…

Ciebie to nie dotyczy?

Mój blog jest świeży, mało znany, nieznaczący, prawie nikt na niego nie wchodzi… dlaczego ktoś miałby atakować moją stronę?

Choćby dlatego, że kiedy napastnik uzyska dostęp do Twojej strony albo serwera to może go różnorako wykorzystać:

  • Wykorzystywać moc obliczeniową
  • Przekierowywać na inne strony
  • Wykraść dane użytkowników (adresy email, dokumenty, …)

I wcale atak nie musi być zaplanowany konkretnie na Ciebie, a atakujący nie musi Cię znać.

W sieci działa masa robotów, które automatycznie szukają stron postawionych na WordPressie i próbują się do nich dostać poprzez np:

  • logowania się do panelu administratora
  • wykorzystanie luk bezpieczeństwa w WordPressie
  • luki we wtyczkach
  • luki w szablonach
  • logowanie się na serwer ftp lub do bazy danych

Książkowy scenariusz ataku

Nie ważne, czy Twoja strona jest znana czy nie, jeśli robot stwierdzi, że to WordPress, to np: wchodzi od razu na stronę /wp-login, czyli domyślną stronę logowania (też pod taką stroną się logujesz?).

I wpisuje domyślną nazwę użytkownika administratora admin (też jej używasz?).

Potem metodą brute force odgaduje hasło… a jeśli jest ono proste, krótkie i łatwe do zapamiętania (np: alamakota, albo qwert12345) to nie zajmie mu to wiele czasu.

Zyskuje dostęp do panelu admina. Masz włączony edytor plików, więc bez problemu je modyfikuje i przejmuje kontrolę nad Twoją stroną. I albo orientujesz się od razu, że coś jest nie tak, albo nie…

Może zdarzyć się tak, że strona jest zainfekowana, ale aktualnie nie potrzebna… Dopiero kiedy będzie większa akcja (to może stać się za miesiąc, albo za rok) i atakujący będzie potrzebował np. mocy obliczeniowej Twojego serwera, to zorientujesz się, że coś jest nie tak.

Wtedy oczywiście jest już za późno.

Po czym poznać, że masz wirusa na stronie?

Jest kilka objawów, które na to wskazują

  • strona chodzi wolniej,
  • wyświetlają się dziwne błędy, niezrozumiały kod,
  • strona przekierowuje na inny adres,
  • przeglądarka albo Google informują, że strona stanowi zagrożenie,
  • pliki na serwerze są zmodyfikowane, są dodatkowe pliki i katalogi,
  • spada pozycja w Google,
  • hostingodawca zablokował Twoją stronę,
  • pojawiają się nowe konta użytkowników lub posty,

Poznajesz któryś z objawów? Może i Twoja strona jest zainfekowana?

Jak zapobiegać atakom?

Lepiej zapobiegać niż leczyć.

Jak już dojdzie do ataku, możesz sobie nie poradzić z przywróceniem strony, może będzie potrzebna pomoc specjalisty. Twoja strona będzie na jakiś czas niedostępnaNie masz backupów, by przywrócić poprzednią wersję, nie wiesz jak usunąć wirusa z serwera?

Zapobiegaj atakom

Żadna metoda nie daje 100% gwarancji bezpieczeństwa, jednak każda z nich zmniejsza prawdopodobieństwo ataku na Twoją stronę o kolejnych kilka procent…

Po co ułatwiać pracę robotom, nie lepiej zmienić adres strony logowania?

Sposobów jest mnóstwo, sam musisz wybrać jakie z nich zastosujesz u siebie.

Przygotowałem dla Ciebie 39 mniejszych lub większych sposobów jakie możesz wykorzystać w celu zwiększenia bezpieczeństwa Twojej strony WordPress.

Wskazówki te są w 5 osobnych artykułach, każdy z nich równie ważny, zatem zapoznaj się ze wszystkimi.

Zobacz wszystkie artykuły nt. zabezpieczenia WordPress

  1. Zmiana domyślnej nazwy użytkownika
  2. Ukrywanie strony logowania
  3. Logowanie i hasła
  4. Aktualizacje, wtyczki, motywy i backupy
  5. Dodatkowe kroki do zwiększenia bezpieczeństwa

Weź się ogarnij

Moje 7, najlepszych, sprawdzonych
sposobów na efektywną pracę zdalną
Do wdrożenia jeszcze dziś!



Ta strona wykorzystuje pliki cookies. Korzystanie ze strony oznacza zgodę na ich zapis lub odczyt wg ustawień przeglądarki. Więcej informacji znajdziesz w polityce prywatności. OK, rozumiem