Kolejny webinar z cyklu Akademii home.pl za nami. Godzinne spotkanie pozwoliło nam na omówienie szerokich możliwości zabezpieczania strony na WordPressie przed atakami hackerskimi. W trakcie prezentacji pojawiło się także sporo pytań od uczestników. Poniżej zawieramy odpowiedzi, przygotowane przez naszego specjalistę.
Czy można zmienić prefix bazy danych na działającym już WordPress’ie ?
Jest to możliwe, należy w pliku konfiguracyjnym wp-config.php odszukać linijkę: $table_prefix = 'wp_’;
która domyślnie ustawiona jest na np. wp_. Następnie po zalogowaniu do bazy danych strony trzeba zaktualizować tabele – można to zrobić na kilka sposobów, kwerendą SQL albo pobrać bazę na dysk poprawić ręcznie i ponownie wgrać. W tym czasie WordPress będzie zwracał błędy.
.htpassword zawiera zaszyfrowane hasło … prawda?
Hasło może być zaszyfrowane, dokładna instrukcja znajduje się na naszej stronie:
https://pomoc.home.pl/baza-wiedzy/jak-korzystac-z-pliku-htpasswd-na-serwerze-w-home-pl
Czy używanie wtyczek modyfikujących podstawy WP jest bezpieczne, jeżeli i one mogą być narażone na ataki, dziurawe?
Jeśli wtyczka potrafi wpłynąć na podstawy WP to również wirus mógłby być w stanie to zrobić. Jeśli jest potrzeba użycia takiej wtyczki, można jej użyć. Jednak warto ustawić wykonywanie kopii zapasowych, aby w razie problemów wrócić do działającej wersji.
Jak najłatwiej zabezpieczyć formularze na stronach, przed dopisywaniem użytkowników przez boty?
Metod jest wiele, dwie najpopularniejsze to:
- Recaptcha Google, którą większość popularnych wtyczek posiada zaimplementowaną w kodzie, wtedy wystarczy dodać klucze wygenerowane z https://www.google.com/recaptcha/admin i wybrać miejsce jej wyświetlania oraz czy chcemy v2 lub v3, (v2 to przycisk „czy jesteś robotem”, v3 nowocześniejsza, która wykrywa swoimi algorytmami czy użytkownik jest botem a w razie wysokiego ryzyka wyświetla kafelki do wyklikania,
- zadanie matematyczne lub odpowiedź na pytania, taką opcję posiada większość darmowych wtyczek, przeważnie uruchamia się to w ustawieniach formularza.
Jaką wtyczkę 2FA polecacie?
Każda wtyczka 2FA, która jest uaktualniana powinna podnosić bezpieczeństwo, najczęściej korzystamy opcji jednak z Google Recaptcha. Dobrym rozwiązaniem jest również Google Authenticator, który umożliwia skorzystanie z zewnętrznej aplikacji Google do uwiarygodniania logowanych użytkowników – https://pl.wordpress.org/plugins/miniorange-2-factor-authentication/
Czy usunięcie informacji o wersji WP itp. ma wpływ na bezpieczeństwo?
Jeśli dobrze rozumiem pytanie, to usunięcie treści tekstowej strony zbudowanej j na WordPressie nie wpływa to na bezpieczeństwo użytkowania.
Jak zabezpieczyć WordPressa przy pomocy .htaccess?
Treści zmieniane w .htaccess dostępne są z dokładną instrukcją pod adresem
https://pomoc.home.pl/baza-wiedzy/jak-korzystac-z-pliku-htpasswd-na-serwerze-w-home-pl
Jakie są inne wtyczki, do przywrócenia danej wersji wtyczki?
Plugin od backupów wykonuje kopie zapasowe aktualnego stanu wtyczki czyli aktualnej wersji. Jeśli potrzebujemy poprzednie wersje wtyczek, to musimy skorzystać z np. starszych wersji kopii zapasowej, która posiada starszą wersję. Jeśli nie posiadamy starszych wersji kopii to należy poszukać na stronie producenta wersji archiwalnych, ewentualnie na np. Github, jeśli kod został publicznie udostępniony.
Aby być w miarę bezpiecznym, czy wystarczy tylko zmienić nazwę strony do logowania – wp-admin?
To kwestia indywidualna i tak naprawdę szczęścia, bo jeśli nasza strona jest atakowana poprzez /wp-admin, a my wcześniej wykonaliśmy jego zmianę, to jesteśmy w miarę bezpieczni. Gorzej jeśli atak potoczył się przez inne miejsce, atakujący zignorował próbę wtargnięcia przez wp-admin, wtedy taka zmiana była niewystarczająca.