Zabezpieczenia cz III


Hosting

Ogranicz dostęp do panelu logowania

Panel logowania jest niemal najważniejszą częścią Twojej strony, ponieważ to on prowadzi do panelu zarządzania. Ograniczenie dostęp do tych paneli może w znacznym stopniu zabezpieczyć Ciebie i Twoich odwiedzających.

Jakiś czas temu poruszaliśmy na blogu ten temat. Możemy w prosty sposób zablokować dostęp do panelu logowania określając listę adresów IP, które swobodnie mogą z niego korzystać. Więcej na ten temat znajdziecie w artykule zatytułowanym Prosty sposób na ograniczenie dostępu do panelu administracyjnego

Korzystaj z certyfikatu SSL

Certyfikat SSL to narzędzie szyfrujące dane przesyłane drogą elektroniczną (informacje przesłane przez użytkownika do strony WWW i na odwrót) pomiędzy serwerem, a użytkownikiem w celu uniemożliwienia przechwycenia poufnych danych np. numerów kont bankowych, wiadomości e-mail itp. Certyfikaty SSL to swoista gwarancja wiarygodności dla użytkowników stron internetowych, które je posiadają. Prawdopodobnie niejednokrotnie miałeś już styczność ze stronami, korzystającymi z certyfikatów SSL i nie miałeś o tym pojęcia. Następnym razem, kiedy wejdziesz na Facebook’a, Twitter’a, czy Google zwróć uwagę, że przed adresem internetowym zamiast standardowego http jest https. Właśnie to jest dowodem bezpiecznego, szyfrowanego połączenia z daną stroną.

Korzystaj z Secure FTP (SFTP) oraz Shell accesss (SSH)

Przesyłanie plików na serwer poprzez FTP jest szybkim sposobem na uruchomienie strony, czy dodanie do niej jakiś dodatkowych plików, aczkolwiek nie tak bezpiecznym jak inne znane metody. Jeżeli przesyłasz pliki w ten sposób musisz wiedzieć, że hakerzy mogą przechwycić Twoje połączenie. Korzystanie z SFTP jest dużo bardziej bezpieczne ze względu na to, że Twoje hasła są szyfrowane. SSH jest inną, równie bezpieczną metodą przesyłania plików na i z serwera.

Jeśli nie masz zamiaru korzystać z FTP, dobrym rozwiązaniem może okazać się skasowanie konta FTP, aby na wszelki wypadek osoby niepożądane nie uzyskały do niego dostępu bez naszej wiedzy.

Zabezpiecz ważne foldery hasłem

Jeszcze bardziej utrudnisz zadanie hakerom, jeśli ustawisz hasło dostępu do folderów na Twoim serwerze. Możesz to zrobić w bardzo prostu sposób instalując wtyczkę AskApache Password Protect https://wordpress.org/plugins/askapache-password-protect/

Wszystko co musisz zrobić po instalacji to ustawić nazwę użytkownika oraz hasło. Twój plik .htaccess zostanie zmodyfikowany automatycznie.

Zmień w tabelach Prefiksu wp_

Domyślnie każda WordPress’owa baza danych zaczyna się od wp_. tak jak w przypadku innych rzeczy opisywanych w serii artykułów o zabezpieczeniach, pozostawienie domyślnego prefiksu ułatwia zadanie hakerom.

Zmiana prefiksu na inny, wymyślony przez nas samych jest kolejnym sposobem na ograniczenie dostępu osobom nieautoryzowanym.

Deweloperzy udostępniają wiele wtyczek umożliwiających zmianę prefiksu na inny m.in. Change DB Prefix.

https://wordpress.org/plugins/db-prefix-change/

Zmień nazwę swojej bazy danych

Ostatnim krokiem, który pomoże Ci zwiększyć bezpieczeństwo na Twojej stronie jest zmiana nazwy bazy danych z tego samego powodu co zmiana prefiksów w tabelach. Mimo wszystko nie jest to takie łatwe jakie mogłoby się wydawać ze względu na błędy, które mogą pojawić się po takiej zmianie dlatego w przyszłym tygodniu poświęcimy na te zagadnienie kolejny artykuł.

Podsumowanie

Tych  kilkanaście sposobów na temat zwiększenia zabezpieczeń opisanych w serii naszych artykułów na pewno znacznie zwiększą Twoje szanse w momencie, w którym ktoś zdecyduje się spróbować je złamać. Nie są to oczywiście wszystkie możliwości, więc zajrzyj raz na jakiś czas do nas ponownie, a być może poruszymy ten ważny temat ponownie :).