PORADNIK Ochrona Wordpressa - MINI PORADNIK

Jako, że na forum padały pytania dotyczące ochrony Wordpressa przed atakami postanowiłem napisać mini poradnik jak to zrobić, część z jego punktów dotyczy nie tylko Wordpressa, ale i wielu innych CMS.
Poradnik będzie składał się z kilku części pisanych w miarę możliwości czasowych.

Część 1

1. Kasowanie tagu generator

Prawie w każdej templatce znajdziemy wpis z tagiem generator mający treść:

Kod:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Mimo, że autorzy proszą o zostawienie powyższego tagu, nie jest bezpieczne jego zachowanie. Podobna sprawa dotyczy np CMS Joomla i jego wpisu do tagu generator.

Opis jak usunąć ten wpis znajdzie się w oddzielnym wpisie.

2. Zmiana nazwy (loginu) administratora

Zmiana ma na celu między innymi ochronę przed atakami typu brutal force

Aby to zrobić należy połączyć się z bazą danych używając phpMyAdmin wpisując w pasku adresu:
http://sql.nazwaserwera.home.pl
dane bazy danych wordpressa znajdziemy między innymi na serwerze FTP wchodząc do folderu wordpressa. Plikiem w jakim te dane się znajdują jest plik wp-config.php

Nazwa użytkownika/bazy

Kod:

define('DB_USER', '123456_00001');

Hasło do bazy:

Kod:

define('DB_PASSWORD', '^%&FGF^%ghj56wt3uyt');

Po zalogowaniu klikamy na naszą bazę w menu po lewej stronie i z rozwiniętej listy wybieramy tabelę wp_users i zmieniamy wartość w polach user_login, user_nickname oraz display_name klikając na nazwę admin i zmieniając wpis, po zmianie klikamy ENTER
Od tej chwili możemy logować się inną nazwą administratora.

 

Grzegorz faktycznie masz rację, nawet nie pomyślałem o tej czynności

3. Wordpress na home.pl jest zabezpieczony przed dostępem do jego wewnętrznych folderów przez co zabezpieczanie folderów (prócz wp-admin) można pominąć.
Jak zabezpieczyć folder wp-admin dodatkowym hasłem:

tworzymy plik .htaccess o treści:

Kod:

AuthName "Podaj haslo"
AuthType Basic
AuthUserFile .htpasswd
Require valid-user

wgrywamy go do katalogu wp-admin

wchodzimy na stronę: http://aspirine.org/htpasswd_en.html wybieramy po prawej stronie w oknie 2. Generated htpasswd file pole crypt(), w pole 1. Users and passwords wpisujemy swojego użytkownika i po spacji wpisujemy swoje hasło, po prawej stronie klikamy Generate htpasswd content i kopiujemy zawartość powyższego pola.
tworzymy plik .htpasswd wklejamy do niego to co skopiowaliśmy z poprzedniego okna, zapisujemy plik i wgrywamy w to samo miejsce w które wgraliśmy plik .htaccess.

Od tej pory wchodząc na admina wordpressa będziemy proszeni o dodatkowe hasło.
To dodatkowe hasło da znacznie silniejsze zabezpieczenie panelu wordpressa i jest polecane wszystkich którym zależy na blogu.

Więcej informacji o plikach .htaccess i .htpasswd:
https://pomoc.home.pl/baza-wiedzy/jak-korzystac-z-pliku-htpasswd-na-serwerze-w-home-pl/

 

4. Wyłączanie rejestracji użytkowników (jeśli nie potrzebna)
W ustawieniach ogólnych odznaczamy checkbox przy "każdy może się zarejestrować"
Jest to dość poważna sprawa i jeśli nie chcemy aby użytkownicy się rejestrowali, powinniśmy wyłączyć dla bezpieczeństwa tą funkcję.

 

5. Zainstaluj certyfikat SSL
Tak dla Wordpressa również warto zainstalować taki certyfikat, między innymi aby nigdzie nie wyciekły nasze dane logowania jak i dlatego aby blog pozycjonował się jeszcze lepiej.

 

6. Zainstaluj wtyczkę Login Lockdown - pozwala ona kontrolować logowania do panelu jak i blokować dostęp po kilku nieudanych logowaniach.
https://wordpress.org/plugins/login-lockdown/

 

7. Jeśli to możliwe nie ustawiaj prefixu dla tabel wp_ lecz całkiem inny, częściowo zabezpieczy to naszego bloga przed SQL Injection

 

poprosze przyklad konfiguracji Login Lockdown moze byc podstawowa bo pewnie zaraz napiszesz @TheL ze ma pierdyliard opcji takze te podstawowe tylko poza tym jakis videotutorial by sie zdal.Caly czas bede was namawial na Ochrone premium Wordpress hosting skoro sucuri.net funkcjonuje przy swoich cenach ktore na nasze realia sa dosc wysokie znaczy ze sie da