WordPress to najpopularniejszy system zarządzania treścią na świecie, który napędza ponad 40% wszystkich stron internetowych. Ta popularność sprawia jednak, że staje się on atrakcyjnym celem dla hakerów. Dobra wiadomość jest taka, że większość ataków można skutecznie powstrzymać stosując podstawowe zasady bezpieczeństwa.
Dlaczego WordPress bywa atakowany
Wbrew obiegowym opiniom, WordPress sam w sobie jest bezpiecznym systemem. Problem pojawia się wtedy, gdy administratorzy zaniedbują aktualizacje lub instalują wtyczki z niepewnych źródeł. Hackerzy najczęściej wykorzystują znane luki w przestarzałych wersjach wtyczek, motywów lub samego WordPressa. Ataki typu brute force na panel logowania to drugi najpopularniejszy sposób włamań.
Silne hasła i zmiana domyślnych ustawień
Pierwszym krokiem powinno być usunięcie domyślnego użytkownika „admin”. Jeśli już go mamy, warto utworzyć nowe konto administratora z unikalną nazwą, przenieść wszystkie treści, a następnie usunąć stare konto. Hasło administratora powinno być długie – minimum 12 znaków, zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Menedżer haseł może tu bardzo pomóc.
Zmiana prefiksu tabel w bazie danych z domyślnego wp_ na coś unikalnego utrudni automatyczne ataki SQL injection. Można to zrobić podczas instalacji WordPressa lub później za pomocą wtyczek, choć ta druga metoda wymaga ostrożności.
Regularne aktualizacje – podstawa bezpieczeństwa
WordPress automatycznie instaluje drobne aktualizacje bezpieczeństwa, ale większe wydania wymagają ręcznej akceptacji. Wtyczki i motywy również trzeba regularnie aktualizować. Przed każdą większą aktualizacją warto wykonać kopię zapasową strony. Jeśli używamy wtyczek, które nie były aktualizowane od roku lub dłużej, lepiej poszukać aktywnie rozwijanej alternatywy.
Ograniczenie prób logowania
WordPress domyślnie pozwala na nieograniczoną liczbę prób logowania, co ułatwia ataki brute force. Warto zainstalować rozwiązanie, które po kilku nieudanych próbach tymczasowo blokuje dany adres IP. Niektóre wtyczki bezpieczeństwa oferują również możliwość ukrycia panelu logowania pod niestandardowym adresem URL zamiast standardowego wp-admin.
Kopie zapasowe – ostatnia linia obrony
Nawet najlepsze zabezpieczenia mogą zawieść, dlatego regularne kopie zapasowe są kluczowe. Backup powinien obejmować zarówno pliki strony, jak i bazę danych. Częstotliwość zależy od tego, jak często publikujemy nowe treści – dla aktywnego bloga może to być codziennie, dla strony firmowej wystarczy raz w tygodniu. Kopie warto przechowywać poza serwerem, na którym znajduje się strona – w chmurze lub na zewnętrznym dysku.
Uprawnienia plików i katalogów
Nieprawidłowe uprawnienia do plików mogą umożliwić hakerom modyfikację kodu strony. Katalogi powinny mieć uprawnienia 755, a pliki 644. Szczególnie ważny plik wp-config.php, zawierający dane dostępowe do bazy danych, powinien mieć uprawnienia 400 lub 440. Większość dobrych hostingów automatycznie ustawia prawidłowe uprawnienia, ale warto to sprawdzić.
Monitoring i logi
Regularne przeglądanie logów serwera może pomóc wykryć podejrzaną aktywność zanim dojdzie do włamania. Zwróćmy uwagę na nietypowe wzorce ruchu, wielokrotne próby logowania z tego samego IP czy próby dostępu do plików, które nie istnieją. Niektóre wtyczki bezpieczeństwa oferują monitoring w czasie rzeczywistym i powiadomienia mailowe o podejrzanych zdarzeniach.
SSL i bezpieczne połączenie
Certyfikat SSL szyfruje dane przesyłane między przeglądarką użytkownika a serwerem. To szczególnie ważne dla panelu administracyjnego, gdzie wprowadzamy hasła. Obecnie większość hostingów oferuje darmowe certyfikaty Let’s Encrypt, więc nie ma powodu, aby z nich nie korzystać. Po instalacji certyfikatu należy wymusić przekierowanie całego ruchu na wersję HTTPS.
Wybór hostingu ma znaczenie
Tani hosting współdzielony może oznaczać setki stron na jednym serwerze. Jeśli jedna z nich zostanie zhakowana, może to zagrozić pozostałym. Dobry hosting powinien oferować izolację kont, regularne aktualizacje oprogramowania serwerowego, firewall aplikacyjny (WAF) oraz wsparcie techniczne znające się na WordPressie. Hosting specjalizujący się w WordPressie często sam dba o wiele aspektów bezpieczeństwa.
Ostrożność z wtyczkami i motywami
Wtyczki i motywy z nieoficjalnych źródeł często zawierają złośliwy kod. Nawet jeśli początkowo działają prawidłowo, mogą zawierać backdoory umożliwiające późniejszy dostęp do strony. Korzystajmy tylko z oficjalnego repozytorium WordPress.org lub sprawdzonych marketplace’ów. Nulled (pirackie) wersje premium wtyczek to prosta droga do kłopotów.
Regularnie przeglądajmy zainstalowane wtyczki i usuwajmy te, których nie używamy. Nawet nieaktywna wtyczka może stanowić zagrożenie, jeśli zawiera lukę bezpieczeństwa.
TL;DR: Zabezpieczenie WordPressa sprowadza się głównie do regularnych aktualizacji, silnych haseł, kopii zapasowych i zdrowego rozsądku przy instalowaniu dodatków. Większość włamań wykorzystuje znane luki w przestarzałym oprogramowaniu lub słabe hasła – unikając tych podstawowych błędów, znacząco zwiększamy bezpieczeństwo naszej strony.
