Zabezpieczamy WordPressa – Poradnik Cz. 3/9 ?‍?

retromedia-pl-agencja-kreatywna-torun-zabezpieczamy-wordpressa-cz-3-9-poradnik

CMS

Jeśli wytrzymałeś moje mądrości 😉 z pierwszej i drugiej części tego poradnika, to jest mi bardzo miło. A jeśli nie, to zapraszam do zapoznania się z poprzednimi odcinkami, żebyś miał pogląd na całość.
Teraz szybkie przypomnienie, co zrobiliśmy do tej pory: poznaliśmy definicję postrzegania bezpieczeństwa, rozwialiśmy mity o hackerach i wspomnieliśmy dobre nawyki na przykładzie – często ignorowanej – własnej stacji roboczej.
Dzisiaj już przejdziemy do właściwej części poradnika, czyli do kokpitu CMSa – w naszym przypadku do WordPressa. Zapraszam do lektury!

Instalacja WordPressa

Nie będę się rozpisywał jak zainstalować WP, bo o tym napisano i nagrano wiele świetnych instrukcji i do jednej odsyłam tutaj. Nie mniej jednak w wielkim skrócie wygląda to tak:
– stawiasz bazę danych sql i definiujesz dane dostępu, które potem będą w wp-config.php
– ściągasz paczkę CMSa wyłącznie z wordpress.org
– rozpakowane pliki przesyłasz na serwer zaszyfrowanym FTP
– wpisujesz domenę pod którą docelowo była wrzucona paczka i postępujesz zgodnie z instrukcjami.

Zajmuje ci to jakieś 5-10 min w zależności od umiejętności, szybkości hostingu i prędkości złącza internetowego. Nawet jeśli zajmie ci to dłużej, to potraktuj to jako dobra lekcję, bo bez świadomej kontroli nad CMS-em nie ma bezpieczeństwa.
Nie potrzebujesz do tego żadnego śmiesznego, jak żarty teściowej, autoinstalatora WordPressa. Już pisałem w innym poradniku, że nie zawsze jest aktualizowany i narobi więcej szkody, niż pożytku. Tak samo unikamy zabawnych – jak pensja netto przeciętnego Polaka – kokpitów forsowanych przez firmy hostingowe, a zastępujące nam oryginalny panel WordPressa. Zdarza się to bardzo rzadko, ale są takie upośledzone firmy hostujące strony www.

Na koniec przypomnę kilka ważnych rzeczy:
– paczkę WordPressa pobieramy wyłącznie z wordpress.org
– baza danych najlepiej jak jest postawiona na localhost
– jedna baza danych na jedną stronę
– nie używamy oczywistej nazwy użytkownika typu: admin, administrator, webmaster, etc
– ustawiamy trudne – znaki specjalne, duże i małe litery, cyfry, minimum 16 znaków – niepowtarzalne hasła
– każda strona – osobne hasło
– podczas instalacji zmieniamy prefix bazy ze standardowego wp_ na inny np. na losowe iuqeyqhe_

Aktualizacje WordPressa

Czasem po świeżej instalacji – jak wszystko pójdzie ok i zdołasz się zalogować poprawnie – trzeba zrobić aktualizację. W ogóle aktualizacja to ulubione słowo speców od infosec. I mają rację, więc ja też będę powtarzał: aktualizacja, aktualizacja i jeszcze raz aktualizacja! Tylko, że…
Trzeba update’ować CMS-a z głową. Pamiętaj, że nie wszystkie wtyczki w chwili nowelizacji rdzenia sa do niego przystosowane dlatego najlepiej zrobić backupa przed całym procesem. Lepiej dmuchać na zimne, niż zastanawiać się co zrobić, jesli po aktualizacji strona nam się sypnie. Dlatego nie stawiaj na wtyczki, a rób wszystko manualnie i świadomie. Jeśli upierasz się co do wtyczek, to rób to świadomie i miej, chociaż kontrole nad nimi.

Uprawnienia zalogowanych

Większość władzy – demokratycznej czy autorytarnej – opiera się na rozdawaniu przywilejów wszystkim, którzy mogą nas w tej władzy wspierać. W systemach informatycznych jest inaczej. Czym mniejsze uprawnienia dajesz innym użytkownikom strony tym bezpieczniej, a ty ciągle będziesz królem adminem. Krótko mówiąc, nie dawaj nikomu konta admina, jeśli tylko pisze posty. Podobnie sprawa ma się z ograniczaniem czasu sesji na stronie. Ogranicz ją do zbędnego minimum. Jeśli ktoś pisze artykuły, to nie ma problemu jeśli takowy napisze w zew. edytorze, a potem szybko wrzuci na stronę.

Komentarze użytkowników

Wyłącz koniecznie komentarze WordPressa, a to dlatego, że są one jedną z najczęściej wykorzystywanych dróg do ataków typu XSS z listy OSWAP TOP 10. Konkretnie wyłączenie komentarzy znajdziesz w Ustawienia -> Dyskusja w panelu WordPressa, ale pamiętaj, żeby wyłączyć też opcję komentowania pod poszczególnymi postami. Dla tworzonych wpisów poszukaj w opcjach po prawej stronie w „Dyskusje” i odznacz „Zezwól na komentarze” i „Zezwól na track…”.
Dla utworzonych już wpisów wyłączenie komentowania znajdziesz w Wpisy -> Wszystkie wpisy.

Oczywiście reakcje i opinie odbiorców to fajna sprawa, dlatego masz wiele alternatyw, którymi możesz zastąpić te domyślne w WordPressie. Najlepsza opcją jest podłączenie komentarzy z social mediów, bo z reguły są one bezpieczniejsze i dobrze wpływają na SEO. W internecie znajdziesz dużo poradników jak połączyć np. komentarze z Facebooka ze stroną zrobioną w WordPressie, a w międzyczasie zobacz, jakie są konsekwencje ataków XSS:

ReCaptcha

Jeśli uprzesz się na wordpressowe komentarze, to polecam dobrać do nich zabezpieczenie zwane reCaptcha. Nie uchroni Cię to przed XSS-em, ale utrudni życie spamującym botom. Tak samo polecam implementację tego rozwiązania w formularzach kontaktowych, żeby sobie oszczędzić problemów z zalewającym nas spamem.
Najbardziej znanym rozwiązaniem w tej materii jest narzędzie Google’a i nie bez przyczyny, bo naprawdę świetnie się sprawuje. Nie mniej jednak na internecie znajdziecie wiele alternatyw działających lepiej lub gorzej. Każdy znajdzie coś dla siebie. Jednak trzeba pamiętać o jednej ważnej rzeczy! Pamiętaj, że są rozwiązania reCaptcha, które „tajno hasło” mają widoczny dla każdego w kodzie i każdy bot obejdzie takie „zabezpieczenia”. Dlatego zanim wprowadzisz takie rozwiązanie, to oceń je pod kątem bezpieczeństwa, lub skorzystaj ze sprawdzonych firm.
Na koniec są osoby, które stosują reCaptcha na stronie logowania do CMS-a i taka funkcja ma sens, jak dajemy możliwość rejestracji użytkownikom np. do sklepu online. Jednak jeśli jesteś jedyną osobą korzystającą ze strony od zaplecza, to nie wiem, czy jest sens używania tego narzędzia. Niepotrzebnie sobie utrudnisz życie.

Wtyczki do WP

W temacie pluginów jest mała wojenka między ich zwolennikami, a przeciwnikami, ale nie zmieni to faktu, że to właśnie wtyczki są motorem napędowym popularności i elastyczności WordPressa. Osobiście polecam wtyczki, ale pod pewnymi warunkami, które opiszę poniżej.

Po pierwsze, unikamy poradników typu „10 wtyczek must have my dear friend very najs for WordPress”. Pamiętaj, że autorzy takich tutoriali często zarabiają na polecaniu tych wtyczek, a poza tym to są ich subiektywne oceny i niekoniecznie musisz potrzebować, tych wszystkich 10 „magicznych” dodatków.

Po drugie, wystrzegajmy się ogromnych kombajnów jak np. Jetpack, jeśli będziemy korzystać z tylko jednej funkcji takiej wtyczki. Obciążasz serwer, zajmujesz miejsce na hostingu, a w repozytorium WordPressa jest pewnie – ze 100 – lżejszych wtyczek, które sprawniej załatwią nam sprawę, Dodatkowo instalujesz dodatkowe „drzwi” dla hakerów, bo takie wtyczki nie słyną z bezpieczeństwa. I na koniec pytanie: czy rozumiesz taką rozbudowaną wtyczkę i jej wszystkie funkcje?

Po trzecie. Trzeba się zastanowić czy potrzebujemy daną wtyczkę. Czasem bywa tak, że nie musimy instalować jakiegoś dodatku, bo możemy daną rzecz ogarnąć trzema linijkami w .htaccess. Oczywiście, że to rada dla bardziej zaawansowanych użytkowników, ale jeszcze raz podkreślę, że nawet najmniejsza świadomość WP, to klucz do naszego bezpieczeństwa.

Po czwarte. Zainstaluj tylko, te wtyczki, które naprawdę potrzebujesz. Wszystkie niepotrzebne wyłącz i odinstaluj. Jeśli są jakieś w ogóle wyłączone, bo może przydadzą się później, to też je usuń. Podobnie sprawa ma się z nieużywanymi szablonami, które technicznie, są też dodatkami – nie używasz, to wywal! Strona będzie bezpieczniejsza, a przy okazji zminimalizujesz wektor konfliktu między wtyczkami.

Po piąte pamiętaj, żeby instalować wtyczki tylko z repozytorium WordPressa. Innym, w miarę bezpiecznym źródłem, są strony zaufanych projektów lub producentów. Nie ściągaj wtyczek z forów, dziwnych witryn, wysłane przez nieznajomych,etc.

Po szóste musisz sobie zdawać sprawę, że wtyczki są pisane pod kątem fajnego wyglądu, szybkości działania lub poprawnością wykonywania swojej pracy, a nie koniecznie pod kątem bezpieczeństwa. Dlatego pamiętaj, że każda kolejna wtyczka, to potencjalnie kolejne dziury w Twojej stronie!

Po siódme! Nie dubluj wtyczek o podobnych funkcjach, bo niepotrzebnie powodujesz konflikty oprogramowania i obciążasz zasoby.

Na koniec pamiętaj, żeby od czasu do czasu robić przegląd wtyczek i eliminować ze swojej strony te porzucone przez autorów, bo spokojnie zastąpisz je innymi odpowiednikami! Więcej o bezpieczeństwie wtyczek:

Nie grzebiemy w kodzie

To powinna być taka oczywista rzecz, a jednak są osoby, które bezmyślnie kopiują kod znaleziony w sieci do plików wordpressa. Potem przychodzi update i wszystko znika…
Jedyny plik w WP, jaki powinien być poddawany edycją bezpośrednio to wp-config i żaden inny. Jeśli chcemy dodać jakiekolwiek kody, to używajmy odpowiednich wtyczek.
Szczerze mogę polecić do tego celu Code Snippets, która po dodaniu do strony ma zainstalowane przykłady użycia, a znajdziecie ją tu.
Do dodawania kodu w sekcji <head></head> polecam Head and footer injection (link tu). Dzięki niemu bezinwazyjnie dodasz kod html, js, lub inny. Świetnie nadaje się do wklejania reklam, jeśli chcemy na tym zarabiać.
Autor trochę zaniedbał aktualizację tej wtyczki, ale znajdziecie dużo odpowiedników w repozytorium WP.
Do manipulowania motywem służy nam „dodatkowy CSS” lub motyw potomny, a do tego jest świetna wtyczka Child Theme Configurator, której link wrzucam tutaj. Nie będę się rozpisywał ojej działaniu, bo w internecie znajdziesz dużo informacji, a w repozytorium są odpowiedniki tego plugina.

Code Snippets – przykłady

Pierwsza rzecz, jaką zrobimy, to zablokujemy dostęp do REST-API, który służy do komunikacji naszej witryny z zewnętrznymi aplikacjami. Oczywiście zostało to zaprojektowane do dobrych celów, ale hakerzy też tego używają – jak wiadomo w innym celu. Przykładowy kod, jakim możesz zablokować endpointy API, wygląda tak:

/**usuwanie REST API info z nagłówków**/
remove_action( 'xmlrpc_rsd_apis', 'rest_output_rsd' );
remove_action( 'wp_head', 'rest_output_link_wp_head', 10 );
remove_action( 'template_redirect', 'rest_output_link_header', 11 );

/**REST API info tylko dla zalogowanych**/
function allow_logged_in_rest_access( $access ) {
    if( ! is_user_logged_in() ) {
        return new WP_Error(
            'rest_cannot_access',
            __( 'Login required to access', '...' ),
            array( 'status' => rest_authorization_required_code() )
        );
    }

    return $access;
}
add_filter( 'rest_authentication_errors', 'allow_logged_in_rest_access' );

Skuteczność tego kodu sprawdzisz odpytując JSONa np.: twojaniepowtarzalnadomena pl/wp-json/wp/v2/users

Druga rzecz jaką można zrobić – poprawiając bezpieczeństwo WP – to zablokowanie informacji o jego wersji. Wiem, że są osoby, które uważają takie działanie za bezsensowne, ale nikt nie zaprzeczy, że są boty, które szukają podatności pod kątem wersji jaką używamy. Jeśli usuniemy fingerprint CMSa, to utrudnimy im życie, dlatego warto ten zabieg stosować. Przykładowy kod poniżej:

/**usuwanie wersji wordpressa**/
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'start_post_rel_link');
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'adjacent_posts_rel_link');
remove_action('wp_head', 'wp_generator');
function my_secure_generator( $generator, $type ) {
	return '';
}
add_filter( 'the_generator', 'my_secure_generator', 10, 2 );
function my_remove_src_version( $src ) {
	global $wp_version;

	$version_str = '?ver='.$wp_version;
	$offset = strlen( $src ) - strlen( $version_str );

	if ( $offset >= 0 && strpos($src, $version_str, $offset) !== FALSE )
		return substr( $src, 0, $offset );

	return $src;
}
add_filter( 'script_loader_src', 'my_remove_src_version' );
add_filter( 'style_loader_src', 'my_remove_src_version' );
add_filter('xmlrpc_enabled', '__return_false');

Efekt tego kodu sprawdzisz na pierwszym lepszym skanerze bezpieczeństwa. Powinien zwrócić informację, że nie jest w stanie rozpoznać wersji WordPressa.

Trzeci przykład przyda się bardzo dla administratorów sklepów opartych o WooCommerce, ponieważ poniższy kod będzie blokował rejestrację ze spamerskich adresów e-mailowych. Nie wolno zapominać, że przy blokowaniu rejestracji spamerów pomagają tez takie zabiegi, jak ograniczanie ilości rejestracji z jednego adresu IP, blokowanie niechcianych krajów, reCaptcha, etc.
Czarną listę blokowanych domen pocztowych trzeba aktualizować, ale w sieci znajdziecie dużo przykładów takich adresów – przykładowa lista.

    add_action( 'register_post', 'codecheese_register_post', 10, 3 );
     
    function codecheese_register_post( $sanitized_user_login, $user_email, $errors ) {
        
        // Blocked domains  
        $domains = array( 'somedomain.com', 'otherdomain.com' );
        
        // Get visitor email domain
        $email = explode( '@', $user_email );
        
        // Check and display error message for the registration form if exists
        if( in_array( $email[1], $domains ) )
            $errors->add('invalid_email', __('ERROR: Please use another email.'));
    }

Oczywiście konsekwencje wklejenia kodu testujemy podczas rejestracji.

Podałem tylko trzy przykłady zwiększające bezpieczeństwo WordPressa, ale dodawania własnych akcji, filtrów lub funkcji, to w ogóle fajna sprawa. Możesz np. włączyć dodawanie plików *.webp, które dają lepszy stosunek jakość obrazu do kompresji, niż JPG, ale domyślnie są w Worspressie zablokowane. Nie muszę przypominać, że nie zmieniamy kodu bezpośrednio?
Pamiętaj, żeby nie kopiować bezmyślnie kodów do swojej strony, tylko testować ich działanie na oddzielnej wersji testowej. Po drugie nie każdy kod jest bezpieczny, więc bierz je od sprawdzonych i zaufanych web developerów i programistów.

Wtyczki bezpieczeństwa

To kolejny temat, który ma swoich zwolenników i przeciwników, dlatego często usłyszysz skrajnie sprzeczne opinie. Jeden będzie polecał takie wtyczki na każdy problem ze stroną www, a inny odeśle Cie na stos, jeśli cokolwiek o takiej wtyczce wspomnisz. Osobiście uważam, że warto być gdzieś pośrodku, bo świat nie jest monochromatyczny. Wszystko ma plusy i minusy, a czy będzie działać, to wszystko zależy od tego, jak o to dbasz.

Plusy:
– są (do pewnego stopnia) bezpłatne
– chronią wrażliwe elementy WP (np. REST-API)
– mają przydatne funkcje (np. blokowanie IP lub krajów)
– chronią przed atakami brute force
– posiadają podstawowy WAF
– posiadają system przejrzystych logów
– posiadają skaner integralności plików
– posiadają skanery antymalware
– blokują spamerskie boty
– są elastyczne i można je zintegrować z innymi systemami np. reCaptcha, Cloudflare, etc.
– informują mejlowo o podejrzanych zachowaniach, błędach, etc.

Minusy:
– są drogie (czesto z płatną subskrypcją)
– bezpłatna wersja ma ograniczenia czasowe lub funkcjonalne
– obciążają serwer
– wydłużają ładowanie strony
– same mogą być źródłem podatności
– czasem wymagają bardziej zaawansowanej wiedzy

Ogólnie jest więcej pozytywnych cech takich pluginów, ale to nie jest cudowne i magiczne rozwiązanie wszystkich problemów bezpieczeństwa. Wszystko też zależy indywidualnie od konkretnej wtyczki i jej funkcji. A marketingowe przechwałki firm wydających takie dodatki do stron nie robią wrażenia na hakerach, bo ci drudzy dobrze wiedzą, że tak nie jest i każdy system jest do obejścia. Dlatego polecam takie wtyczki, ale zanim taką zainstalujesz, to zastanów się nad kilkoma kwestiami:

  1. Co ci daje ta wtyczka?
    Musisz się zastanowić, dlaczego musisz ją zainstalować. Czy wszystkiej jej funkcje są Ci niezbędne? Czy ze wszystkiego będziesz korzystał? Bez sensu instalować wtyczkę z której wyciągniemy tylko 10% potencjału!
  2. Czy dasz radę poprawnie ustawić taką wtyczkę.
    To jest bardzo ważna kwestia, bo wprowadzenie niepoprawnej konfiguracji narobi więcej szkody, niż pożytku. Jeśli nie czujesz się na siłach, to poczytaj, dokształć się i przetestuj taką wtyczkę w oddzielnej stronie testowej. Ewentualnie poproś kogoś o pomoc.
  3. Sprawdź bazy danych z podatnościami.
    Dobrze jest przejrzeć różne bazy danych z bugami pod kątem wybranej przez nas wtyczki. Jeśli w przeszłości dochodziło do odkrycia wielu dziur w takim pluginie, to nie wiem, czy nie lepiej poszukać czegoś innego.
  4. Przetestuj pod kątem wydajności.
    To dla mnie oczywisty temat, ale wielu ludzi zapomina o nim. Trzeba przetestować plugin bezpieczeństwa, jak wpływa bezpośrednio na kondycje naszej strony. Jeśli kiedyś ładowała się 2 s, a teraz 10, to nie wiem, czy warto wprowadzać takie „zabezpieczenia”.
  5. Sprawdź support.
    Wiem, że przy bezpłatnej wersji support nie śpieszy się odpowiedziami, ale warto zwrócić uwagę na sposób i czas pomocy. Czasem jest tak, że dobrze skonfigurujesz wtyczkę, a ona odmawia współpracy. Wtedy pomoc autora wtyczki jest bezcenna.
  6. Jak szybko wychodzą aktualizacje.
    Tu sprawa jest bardzo prosta. Jeśli wyszła nowa wersja WP, a developer wtyczki, którą używamy, wyda aktualizację po 2 miesiącach, to polecam unikać. Może być tak, że przy nowej wersji CMSa, wtyczka bezpieczeństwa nie będzie nas chronić tak jak powinna, a to już pierwszy krok do katastrofy.

Sprawdzaj logi

Teraz ktoś może powiedzieć: „Ja się w ogóle nie znam na jakiś tam logach! O czym ty do mnie piszesz?”. I nie musisz się znać, bo poruszmy kwestię amatorskiego sprawdzania logów. Jeśli masz wtyczkę bezpieczeństwa i już miałeś okazję się nią bawić, to odkryłeś, że posiada ona tablicę logów. Strona z rekordami jest różnie nazywana i wszystko zależy od producenta. Jeśli nie masz wtyczki bezpieczeństwa, to do przeglądania logów wystarczy najprostsza wtyczka do statystyk strony. Z reguły chodzi o to, żeby sprawdzić:
– kto wchodził
– kiedy wchodził
– skąd wchodził
– o co pytał serwer
– co mu odpowiedział serwer.

retromedia-pl-agencja-kreatywna-toru-logi-serwera
Przykładowe logi serwera / fot. portent.com

Najbardziej trzeba zwracać uwagę na kody błędów. Jeśli serwer zwracał komuś 403, to oznaczało, że ktoś chciał wejść do zabronionego zasobu. W ogóle trzeba zwracać uwagę na wszystkie błędy powyżej kodu 399. Może, to oczywiście oznaczać, że ktoś zabłądził, ale z zasady radzę blokować takich łobuzów.

Druga rzecz na którą trzeba zerknąć, to bardzo nietypowe linki, które ktoś próbował wywoływać, np. twojadomena pl/?login=0000000.000. Podejrzane też będą odpytywania serwera twojadomena pl/?<scirpt>alert(1)</scirpt>. Zasadniocz każde pytanie wysłane do serwera, które nie wygląda, jak linki naszych stron lub postów, jest podejrzane!
Tak samo pytania, które odnoszą się bezpośrednio do strefy, tylko dla nas przeznaczonej np. twojadomena pl/wp-login.php. Może to oznaczać próby włamania i trzeba być na takie logi szczególnie uczulonym.

Trzecia rzecz, która powinna zapalić nam czerwoną lampkę, to bardzo częste wywoływanie naszej strony z jednego adresu IP. Może to oznaczać, że jakiś automat szuka podatności.

Oczywiście te interpretacje logów są bardzo uproszczone, ale podejmują 3 najważniejsze rzeczy na jakie trzeba zwracać uwagę: błędy >399, dziwne linki i bardzo częste zapytania z jednego miejsca. Do tego wszystko zależy od tego z jakiego narzędzia korzystasz i jak wyświetla ono wyniki. Nie mniej praktyka czyni mistrza i z czasem będzie od razu wyłapywał dziwne zachowania na Twojej stronie.

Uwierzytelnianie dwuskładnikowe

Dzisiaj trudne hasło do serwisu nie jest wystarczające, bo bazy danych z hasłami tak często wyciekają, jak wódka z kieliszka Januszowi na kacu, hasła są trzymane bezmyślnie bez szyfrowania albo użytkownicy sami dają je przestępcom, bo łykają wszystko jak pelikany.
Nie sugeruję, że jakiś przypadek z powyższych dotyczył Ciebie, ale warto pomyśleć jak tu utrudnić życie cyberłobuzom. A nawet nie musimy myśleć, bo ktoś pomyślał za nas i wymyślił 2FA – uwierzytelnianie dwuskładnikowe, czyli prócz hasła musisz podać jeszcze jeden składnik.
Konfiguracja 2FA w WP jest dziecinnie prosta. Instalujesz wtyczkę obsługującą drugi faktor, np. WP 2FA. Potem ściągasz na telefon Google Auhteticator. Robisz zdjęcie ekranu z telefonu i już działa.
No dobra! Tak naprawdę wszystko zależy od programów, z jakich korzystasz, ale mniej więcej tak to wygląda. Więcej szczegółów znajdziesz w dokumentacji lub od supportu swojego rozwiązania. Niemiej, wrzucam szybki poradnik poniżej.

Pamiętaj, żeby na innych zarejestrowanych użytkownikach wymóc to rozwiązanie, bo łańcuch jest tak słaby, jak jego najsłabsze ogniwo.

Wtyczki poprawiające bezpieczeństwo

Jeśli nie chcesz się brać za edycje kodów i wolisz swoje bezpieczeństwo oprzeć tylko na CMSie i wtyczkach, to może się okazać, że jedna wtyczka bezpieczeństwa ma ograniczone funkcje. Dlatego poniżej wrzucam listę ciekawych wtyczek poprawiających bezpieczeństwo Twojej strony i być może uzupełniających Twój główny security plugin.
Jednocześnie pamiętaj o tym, o czym pisałem w akapicie o wtyczce bezpieczeństwa – instaluj wszystko z głową.

  1. Better Plugin Compatibility Control
    Ciekawa wtyczka, bo sprawdza kompatybilność innych dodatków pod kątem zgodności z zainstalowaną wersją WordPressa. Jeśli wykryje jakąś nietestowaną wtyczkę, to wskaże ci jej nowszą wersję lub stosowną informację.
    Średnio pomocna, ale może się przydać dla mniej technicznych osób.
  2. Disable WP REST API
    Wtyczka do blokowania REST-API przed niepowołanym dostępem. Szczerze taką kontrolę można zamknąć w kilku linijkach w pliku .htaccess, ale jeśli unikasz kodowania, to pewnie Ci się przyda.
  3. WP-Ban
    Wtyczka służąca do blokowania pojedynczych lub całych zakresów adresów IP. Przyda się, jeśli nie potrafimy blokować IP z poziomu .htaccess/WAF, a nasza wtyczka bezpieczeństwa ma taką funkcję w ograniczonym zakresie.
  4. HTTP Headers
    Przydatna wtyczka do ochrony i kontroli nagłówków HTTP. Oczywiście jej funkcje można zastąpić paroma wierszami w .htaccess, ale jeśli nie masz o tym pojęcia, to tutaj ogarniesz to kilkoma kliknięciami.
  5. WPS Hide Login
    Jedna z wielu wtyczek, która jest odpowiedzialna za ukrycie wp-login.php pod personalizowanym linkiem. Problem z takimi wtyczkami polega na tym, że można taki link łatwo wykraść z cache’a lub dynamicznej mapy strony. Jednak utrudni życie niejednemu botowi.
  6. WP Hide & Security Enhancer
    Ta wtyczka daje trochę złudzenie, że schowanie folderów WordPressa jest równoznaczne z zabezpieczeniami, ale tak nie jest. Nie mniej odsieje ataki botów, które automatycznie poszukują standardowych folderów WP. Jednak polecam je porządnie zabezpieczyć, a nie tylko zapraszać do zabawy w chowanego.
  7. Akismet Anty-Spam
    Ta wtyczka jest automatycznie instalowana z WP. Zasadniczo odradzam używanie systemu komentarzy WP, ale jeśli ktoś się uprze, to warto pomyśleć nad taką wtyczką, która odsieje nam spam z komentarzy.
  8. stop XML-RPC Attacks
    Po raz kolejny powtórzę, że blokowanie ataków na XML-RPC, to kilka linijek w .htaccess, jednak osoby dalekie od edycji plików muszą korzystać z wtyczki lub jej alternatywy. Nie testowałem, ale wyskoczyła mi pierwsza w wynikach, więc wrzuciłem do zestawienia.
  9. Email Address Encoder
    Ja polecam ograniczanie kontaktu z klientem do zainstalowania formularza na stronie wzbogaconego o reCaptcha’e, ale są osoby, które wolą umieszczać adres swojego mejla bezpośrednio. Boty zbierają takie adresy i potem mamy potok spamu. Żeby się przed tym bronić, to najlepiej utrudnić odczytanie naszego adresu i ta wtyczka pełni taką funkcję.
  10. Lord of the Files: Enhanced Upload Security
    Jeśli masz formularz, w którym klient może wysyłać do Ciebie pliki, to warto zastanowić się nad sprawdzaniem, co nam ten klient dodaje. Od tego jest ta wtyczka, która jest za sprawdzanie rozszerzenia i struktury pliku. Pewnie są sposoby jej obejścia, ale myślę, że daje podstawowe bezpieczeństwo w tej materii.

O nie! To już koniec tego wpisu… ale w kolejnym zmierzymy się z panelem klienta oraz z jego pozycji będziemy edytować plik wp-config.php. Zapraszam.

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *