Zabezpieczenia cz II


Inne

Używaj wtyczek i motywów tylko ze sprawdzonych źródeł

Oficjalne motywy i wtyczki znajdziemy na stronie WordPress.org Większość z nich deweloperzy udostępniają nam w wersjach darmowych. Mimo tego, że ich rozszerzone wersje faktycznie posiadają więcej możliwości, mniej wymagający użytkownicy nie będą mieli potrzeby inwestowania w nie.

Przed instalacją wtyczki na naszej stronie należy w pierwszej kolejności zwrócić uwagę na datę aktualizacji. Jeżeli twórcy nie rozwijają swojego „dziecka” szanse na to, że we wtyczce są jakieś luki w zabezpieczeniach zdecydowanie rosną. Kolejną wcale nie mniej ważną rzeczą jest ocena, a także opinia użytkowników, którzy z niej korzystają. Programista programiście nie jest równy. Nie każda wtyczka jest odpowiednio zoptymalizowana i może doprowadzić do spowolnienia w działaniu naszej strony.

To samo dotyczy motywów. Korzystanie z tych wciąż wspieranych przez twórców znacznie zmniejsza szanse ewentualnego złamania naszych zabezpieczeń.

Oczywiście WordPress.org nie jest jedynym sprawdzonym źródłem porządnych wtyczek i motywów. W takiej sytuacji najlepiej porządnie przeszukać sieć i zapoznać się z opinią innych użytkowników, zanim zdecydujemy się na instalację.

Nie zapominaj o kopii zapasowej

O konieczności tworzenia kopii zapasowej pisaliśmy już wcześniej, w odrębnym artykule na naszym blogu. Kopia zapasowa raz w tygodniu będzie na pewno rozsądnym posunięciem wśród małych i średnich serwisów. Jeszcze raz przypomnijmy, że tego typu dane najlepiej przechowywać poza naszym systemem operacyjnym- np. w chmurze, bądź na nośniku zewnętrznym.

Korzystaj z wtyczki pełniącej rolę antywirusa

Wspomniana w poprzedniej części artykułu wtyczka Wordfence Security

https://wordpress.org/plugins/wordfence/  posiada cały wachlarz zabezpieczających nas możliwości, z których warto skorzystać. Na szczęście wtyczka posiada również opcje, które pomogą oczyścić naszą stronę po niemiłym fakcie, jakim zdecydowanie można nazwać włamanie na naszą stronę. Skutecznie pozbędzie się wirusów w postaci złośliwego kodu, czy plików.

Nie jest to oczywiście jedyna wtyczka, która posiada takie możliwości, ale zdecydowanie można zaliczyć ją do grona najbardziej popularnych.

Zgodnie z zasadą, iż lepiej zapobiegać, niż leczyć, już teraz powinniście zainstalować tę lub podobną wtyczkę.

Zmień standardową nazwę użytkownika

Po każdorazowym utworzeniu strony internetowej na platformie WordPress, domyślną nazwą użytkownika konta administratora jest „admin”. Jeżeli jeszcze jej nie zmieniłeś, powinieneś zrobić to natychmiast, bo jedyne co w takiej sytuacji musi zrobić haker, to odgadnąć Twoje hasło. Kiedy natomiast do odgadnięcia są te dwie rzeczy szanse na włamanie staje się automatycznie dwukrotnie mniejsza.

Zmień uprawnienia do plików i folderów (chmods)

Szczegółowe informacje na ten temat możemy przeczytać w WordPress Codex- http://codex.wordpress.org/Changing_File_Permissions

777- Wszyscy mają pełne prawa (niezalecane)

755- Właściciel ma wszystkie prawa do pliku, reszta użytkowników tylko prawo do odczytu i uruchomienia

640- Właściciel ma prawo do zapisu i odczytu, reszta użytkowników tylko prawo odczytu

600- Tylko właściciel pa prawo do odczytu i zapisu

Wszystkie katalogi powinny być 755 lub 750 (uwaga! Nie nadawać praw katalogom 777)

Wszystkie pliki powinny być 644 lub 640 (wyjątek: wp-config.php powinno być 600)

Domyślne uprawnienia:

644 -rw-r–r– /home/user/wp-config.php
644 -rw-r–r– /home/user/cgi-bin/.htaccess
644 -rw-r–r– /home/user/cgi-bin/php.ini
755 -rwxr-xr-x /home/user/cgi-bin/php.cgi
755 -rwxr-xr-x /home/user/cgi-bin/php5.cgi

Bezpieczne uprawnienia:

600 -rw——- /home/user/wp-config.php
604 -rw—-r– /home/user/cgi-bin/.htaccess
600 -rw——- /home/user/cgi-bin/php.ini
711 -rwx–x–x /home/user/cgi-bin/php.cgi
100 —x—— /home/user/cgi-bin/php5.cgi

Wszystkie te informacje (wraz z odpowiednim uzasadnieniem) znajdziemy czytając WordPress Codex.

Kolejna, ostatnia część artykułu będzie dostępna już w przyszłym tygodniu 🙂