\n Ten cytat jest wystarczaj\u0105co dobry, aby da\u0107 ci wyobra\u017cenie o problemach bezpiecze\u0144stwa, kt\u00f3re maj\u0105 miejsce na ca\u0142ym \u015bwiecie. W rzeczywisto\u015bci bezpiecze\u0144stwo stron internetowych to temat, kt\u00f3ry od dawna sp\u0119dza bezsenne noce w\u0142a\u015bcicielom witryn. Nikt nie by\u0142 w stanie zapewni\u0107 100% bezpiecze\u0144stwa swojej witryny biznesowej.\n<\/p>\n
\n Wed\u0142ug ankiety przeprowadzonej przez Juniper Research cyberprzest\u0119pczo\u015b\u0107 b\u0119dzie kosztowa\u0107 firmy ponad 2 biliony dolar\u00f3w do 2019 roku. To alarmuj\u0105ca statystyka, kt\u00f3ra pokazuje, \u017ce codzienne zabezpieczanie strony internetowej staje si\u0119 bardzo trudne. Jednocze\u015bnie musisz znale\u017a\u0107 sposoby zabezpieczenia swojej witryny, poniewa\u017c zawiera ona Twoje najwa\u017cniejsze dane, a tak\u017ce informacje wra\u017cliwe.\n<\/p>\n
\n Jak wszyscy wiecie, WordPress obs\u0142uguje 31% Internetu i dlatego jest bardzo jasne, \u017ce platforma WordPress b\u0119dzie boryka\u0107 si\u0119 z najwi\u0119ksz\u0105 liczb\u0105 problem\u00f3w zwi\u0105zanych z bezpiecze\u0144stwem sieci. Wi\u0119kszo\u015b\u0107 u\u017cytkownik\u00f3w ufa tej wspania\u0142ej platformie i dlatego zbudowali na niej swoje witryny biznesowe.\n<\/p>\n
\n Jednak wed\u0142ug bada\u0144 przeprowadzonych przez Sucuri, WordPress jest najbardziej zainfekowan\u0105 platform\u0105 internetow\u0105 w 2018 roku.\n<\/p>\n
\n Dlatego wa\u017cne jest, aby wszyscy byli \u015bwiadomi r\u00f3\u017cnych luk w zabezpieczeniach WordPress i sposob\u00f3w ich naprawy. A wi\u0119c zacznijmy i przeanalizujmy ka\u017cd\u0105 luk\u0119 po kolei.\n<\/p>\n
\n\n Istniej\u0105 dwa rodzaje firm: te, kt\u00f3re zosta\u0142y zhakowane, i te, kt\u00f3re jeszcze nie wiedz\u0105, \u017ce zosta\u0142y zhakowane.\n <\/p>\n
\n \u2014 Johna Chambersa\n <\/p>\n<\/blockquote>\n
\n Top 10 luk w zabezpieczeniach WordPressa\n<\/p>\n
\n
- Niebezpieczny hosting\n <\/li>\n
- U\u017cywanie s\u0142abego has\u0142a\n <\/li>\n
- Brak aktualizacji WordPressa\n <\/li>\n
- Wstrzykni\u0119cie SQL\n <\/li>\n
- Zapominanie o zabezpieczeniu pliku konfiguracyjnego WordPress\n <\/li>\n
- Brak aktualizacji wtyczek lub motyw\u00f3w\n <\/li>\n
- Korzystanie ze zwyk\u0142ego FTP\n <\/li>\n
- Brak zmiany prefiksu tabeli WordPress\n <\/li>\n
- Z\u0142o\u015bliwe oprogramowanie\n <\/li>\n
- Nieprawid\u0142owe uprawnienia do plik\u00f3w\n <\/li>\n<\/ol>\n
\n 1 Niebezpieczny hosting
\n<\/h4>\n\n Jest to prawdopodobnie jeden z g\u0142\u00f3wnych powod\u00f3w, dla kt\u00f3rych witryny WordPress s\u0105 \u0142atwo zainfekowane. Podobnie jak wszystkie inne strony internetowe, witryna WordPress jest r\u00f3wnie\u017c hostowana na serwerze. Czasami zdarza si\u0119, \u017ce dostawcy us\u0142ug hostingowych nie zabezpieczaj\u0105 swojej platformy. W takim scenariuszu istnieje du\u017ce prawdopodobie\u0144stwo, \u017ce Twoja witryna WordPress mo\u017ce zosta\u0107 zaatakowana przez osob\u0119 z zewn\u0105trz.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n Najlepszym sposobem rozwi\u0105zania tego problemu jest hostowanie witryny WordPress na niekt\u00f3rych z najlepszych platform hostingowych. Oto lista najlepszych dostawc\u00f3w us\u0142ug hostingowych WordPress, kt\u00f3rych mo\u017cesz u\u017cy\u0107 w swojej witrynie biznesowej.\n<\/p>\n
\n Najlepsi dostawcy hostingu WordPress\n<\/p>\n
\n
- Bluehost\n <\/li>\n
- HostGator\n <\/li>\n
- SiteGround\n <\/li>\n
- DreamHost\n <\/li>\n
- Hosting InMotion\n <\/li>\n<\/ul>\n
\n 2 U\u017cywanie s\u0142abego has\u0142a
\n<\/h4>\n\n Has\u0142a s\u0105 tak kluczowym elementem bezpiecze\u0144stwa Twojej witryny WordPress. Zawsze musisz upewni\u0107 si\u0119, \u017ce u\u017cywasz silnego has\u0142a do swojego konta WordPress. Wed\u0142ug bada\u0144 przeprowadzonych przez WPTemplate, 8% witryn WordPress na ca\u0142ym \u015bwiecie zostaje zhakowanych z powodu has\u0142a tygodniowego. Tygodniowe has\u0142o mo\u017ce zapewni\u0107 \u0142atwy dost\u0119p do nast\u0119puj\u0105cych rzeczy:\n<\/p>\n
\n
- Konto administratora WP\n <\/li>\n
- Konto C-Panel\n <\/li>\n
- Konto FTP\n <\/li>\n
- Twoja baza danych WordPressa\n <\/li>\n<\/ul>\n
\n Dlatego posiadanie silnego has\u0142a do witryny WordPress staje si\u0119 niezwykle wa\u017cne.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n
- \n
\n Utw\u00f3rz z\u0142o\u017cone has\u0142o<\/strong>\n <\/p>\n
\n Jednym ze sposob\u00f3w rozwi\u0105zania tego problemu jest utworzenie z\u0142o\u017conego has\u0142a do witryny. Zawsze staraj si\u0119 u\u017cywa\u0107 kombinacji alfabetu, cyfr, znak\u00f3w specjalnych itp. do tworzenia has\u0142a. Pomo\u017ce Ci to stworzy\u0107 silne has\u0142o, kt\u00f3rego nie da si\u0119 \u0142atwo odgadn\u0105\u0107.\n <\/p>\n<\/li>\n
- \n
\n Skorzystaj z Mened\u017cera hase\u0142<\/strong>\n <\/p>\n
\n Innym sposobem rozwi\u0105zania tego problemu jest u\u017cycie mened\u017cer\u00f3w hase\u0142. Mened\u017cer hase\u0142 to aplikacja, kt\u00f3ra umo\u017cliwia przechowywanie wszystkich hase\u0142 w jednym miejscu, a nast\u0119pnie zarz\u0105dzanie nimi za pomoc\u0105 has\u0142a g\u0142\u00f3wnego. USP ka\u017cdego mened\u017cera hase\u0142 polega na tym, \u017ce ma on funkcj\u0119 automatycznego uzupe\u0142niania.\n <\/p>\n
\n Oto lista najlepszych mened\u017cer\u00f3w hase\u0142:\n <\/p>\n
\n
- Ostatnia przepustka\n <\/li>\n
- 1Has\u0142o\n <\/li>\n
- Dashlane\n <\/li>\n<\/ul>\n<\/li>\n
- \n
\n Uwierzytelnianie dwusk\u0142adnikowe<\/strong>\n <\/p>\n
\n Jest to jeden z najlepszych sposob\u00f3w ochrony witryny WordPress przed kradzie\u017c\u0105 hase\u0142. W scenariuszu uwierzytelniania dwusk\u0142adnikowego, je\u015bli jaki\u015b atakuj\u0105cy jest w stanie odgadn\u0105\u0107 has\u0142o do Twojej witryny WordPress, nie b\u0119dzie si\u0119 logowa\u0142 do Twojej witryny. On \/ ona b\u0119dzie wymaga\u0107 kodu bezpiecze\u0144stwa, kt\u00f3ry zostanie wys\u0142any na Tw\u00f3j telefon kom\u00f3rkowy. W ten spos\u00f3b b\u0119dziesz m\u00f3g\u0142 chroni\u0107 swoj\u0105 stron\u0119 internetow\u0105.\n <\/p>\n
\n Istniej\u0105 g\u0142\u00f3wne sposoby konfigurowania uwierzytelniania dwusk\u0142adnikowego w WordPress:\n <\/p>\n
\n
- Weryfikacja SMS-em\n <\/li>\n
- Aplikacja Google Authenticator\n <\/li>\n<\/ol>\n<\/li>\n<\/ul>\n
\n 3 Brak aktualizacji WordPressa
\n<\/h4>\n\n Jest wielu u\u017cytkownik\u00f3w, kt\u00f3rzy czuj\u0105 si\u0119 komfortowo z jedn\u0105 z wersji WordPress i dlatego nie aktualizuj\u0105 swojej wersji WordPress w regularnych odst\u0119pach czasu. G\u0142\u00f3wnym powodem jest to, \u017ce obawiaj\u0105 si\u0119, \u017ce zepsu\u0142oby to ich stron\u0119 internetow\u0105. Jednak ka\u017cda nowa wersja WordPress zawiera poprawki b\u0142\u0119d\u00f3w bezpiecze\u0144stwa i dlatego tak wa\u017cna jest aktualizacja witryny.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n Zawsze sprawdzaj najnowsz\u0105 wersj\u0119 WordPressa i staraj si\u0119 aktualizowa\u0107 swoj\u0105 witryn\u0119. Zminimalizuje to ryzyko wyst\u0105pienia jakichkolwiek problem\u00f3w z bezpiecze\u0144stwem. Dla tych, kt\u00f3rzy obawiaj\u0105 si\u0119, \u017ce aktualizacja WordPress spowoduje awari\u0119 witryny, mog\u0105 wykona\u0107 kopi\u0119 zapasow\u0105 swojej witryny. Je\u015bli wi\u0119c nowa wersja nie dzia\u0142a zgodnie z Twoimi wymaganiami, zawsze mo\u017cesz wr\u00f3ci\u0107.\n<\/p>\n
\n 4 Wstrzykni\u0119cie SQL
\n<\/h4>\n\n SQL Injection to jedna z najstarszych metod uzyskiwania dost\u0119pu do serwisu. Jak wszyscy wiecie, SQL jest j\u0119zykiem u\u017cywanym do pracy z baz\u0105 danych WordPress i dlatego w tego typu atakach hakerzy wprowadzaj\u0105 polecenia SQL do Twojej witryny, aby pobra\u0107 informacje. Hakerzy z dnia na dzie\u0144 staj\u0105 si\u0119 sprytniejsi i ka\u017cdego dnia wymy\u015blaj\u0105 nowy wstrzykni\u0119cie SQL. Tak wi\u0119c, jako w\u0142a\u015bciciel witryny, powiniene\u015b by\u0107 \u015bwiadomy sposob\u00f3w pozbycia si\u0119 tego problemu.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n
- \n
\n Skanuj w poszukiwaniu luki w zabezpieczeniach SQL Injection<\/strong>\n <\/p>\n
\n Powiniene\u015b regularnie sprawdza\u0107, czy w Twojej witrynie WordPress nie wyst\u0119puje problem z wstrzykiwaniem SQL. Jednak mo\u017ce to by\u0107 bardzo trudne zadanie do wykonania r\u0119cznie i dlatego powiniene\u015b u\u017cy\u0107 do tego celu niekt\u00f3rych narz\u0119dzi do skanowania bezpiecze\u0144stwa. Oto lista najlepszych narz\u0119dzi do skanowania bezpiecze\u0144stwa:\n <\/p>\n
\n
- Skanowanie bezpiecze\u0144stwa WordPress\n <\/li>\n
- SiteCheck Soki\n <\/li>\n
- Skanowanie WPS\n <\/li>\n<\/ul>\n<\/li>\n
- \n
\n Dodawanie kodu do pliku .htaccess<\/strong>\n <\/p>\n
\n Innym sposobem zapobiegania SQL Injection jest dodanie okre\u015blonego kodu do pliku .htaccess. .htaccess to plik konfiguracyjny u\u017cywany na serwerach WWW, dlatego zmieniaj\u0105c t\u0119 \u200b\u200bcz\u0119\u015b\u0107, b\u0119dziesz m\u00f3g\u0142 ograniczy\u0107 dost\u0119p os\u00f3b postronnych do Twojej bazy danych WordPress.\n <\/p>\n
\n Dodaj nast\u0119puj\u0105cy kod do pliku .htaccess:\n <\/p>\n
RewriteEngine On\nRewriteBase \/\nRewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]\nRewriteRule ^(.*)$ - [F,L]\nRewriteCond %{QUERY_STRING} ..\/ [NC,OR]\nRewriteCond %{QUERY_STRING} boot.ini [NC,OR]\nRewriteCond %{QUERY_STRING} tag= [NC,OR]\nRewriteCond %{QUERY_STRING} ftp: [NC,OR]\nRewriteCond %{QUERY_STRING} http: [NC,OR]\nRewriteCond %{QUERY_STRING} https: [NC,OR]\nRewriteCond %{QUERY_STRING} (|%3E) [NC,OR]\nRewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]\nRewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*([|]|(|)||\u00ea|\"|;|?|*|=$).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(\"|'|||{||).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]\nRewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$\nRewriteRule ^(.*)$ - [F,L]<\/code><\/pre>\n<\/li>\n<\/ul>\n\n 5 Zapominanie o zabezpieczeniu pliku konfiguracyjnego WordPress
\n<\/h4>\n\n Plik konfiguracyjny WordPress (wp-config.php) zawiera dane logowania do bazy danych WordPress. Dlatego je\u015bli kto\u015b z zewn\u0105trz uzyska dost\u0119p do tego pliku, mo\u017ce ukra\u015b\u0107 twoje informacje i spowodowa\u0107 uszkodzenie twojej witryny. Dlatego konieczne staje si\u0119 zrobienie wszystkiego, co mo\u017cliwe, aby chroni\u0107 ten plik.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n Jednym z najprostszych sposob\u00f3w ochrony pliku wp-config.php jest modyfikacja pliku .htaccess i ograniczenie dost\u0119pu. W tym celu po prostu dodaj nast\u0119puj\u0105cy fragment kodu do pliku .htaccess:\n<\/p>\n
\norder allow,deny\ndeny from all\n<\/code><\/pre>\n\n 6 Brak aktualizacji wtyczek lub motyw\u00f3w
\n<\/h4>\n\n Podobnie jak rdze\u0144 WordPress, wa\u017cne jest, aby u\u017cywa\u0107 najnowszej wersji wtyczek lub motyw\u00f3w w witrynie WordPress. U\u017cywanie przestarza\u0142ej wersji dowolnej wtyczki lub motywu mo\u017ce narazi\u0107 Twoj\u0105 witryn\u0119 na zagro\u017cenia bezpiecze\u0144stwa. Wed\u0142ug ankiety przeprowadzonej przez WPWhiteSecurity, 54% globalnych luk w zabezpieczeniach WordPressa wynika z wtyczek.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n Zawsze sprawdzaj dost\u0119pno\u015b\u0107 aktualizacji w dowolnej wtyczce i motywie. Upewnij si\u0119, \u017ce u\u017cywasz najnowszej wersji dost\u0119pnej w WordPressie. Post\u0119puj\u0105c zgodnie z t\u0105 metodologi\u0105, zminimalizujesz ryzyko zagro\u017ce\u0144 bezpiecze\u0144stwa w swojej witrynie WordPress.\n<\/p>\n
\n 7 Korzystanie ze zwyk\u0142ego FTP
\n<\/h4>\n\n Dla tych, kt\u00f3rzy nie wiedz\u0105, konta FTP s\u0142u\u017c\u0105 do przesy\u0142ania plik\u00f3w na serwer Twojej witryny za pomoc\u0105 klienta FTP. Wi\u0119kszo\u015b\u0107 dostawc\u00f3w hostingu obs\u0142uguje po\u0142\u0105czenia FTP przy u\u017cyciu r\u00f3\u017cnych typ\u00f3w protoko\u0142\u00f3w: Simple FTP, SFTP lub SSH.\n<\/p>\n
\n Wi\u0119kszo\u015b\u0107 w\u0142a\u015bcicieli witryn WordPress pope\u0142nia b\u0142\u0105d, u\u017cywaj\u0105c zwyk\u0142ego FTP. To, co dzieje si\u0119 w zwyk\u0142ym FTP, polega na tym, \u017ce twoje has\u0142o jest wysy\u0142ane na serwer w niezaszyfrowanej formie. Tak wi\u0119c ka\u017cdy, kto mo\u017ce zhakowa\u0107 serwer, mo\u017ce uzyska\u0107 \u0142atwy dost\u0119p do Twojej witryny WordPress.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n Zamiast korzysta\u0107 z FTP, mo\u017cesz wybra\u0107 opcj\u0119 SFTP lub SSH. W tym celu nie trzeba zmienia\u0107 klienta FTP. Po prostu zmie\u0144 protok\u00f3\u0142 na \u201eSFTP-SSH” podczas \u0142\u0105czenia si\u0119 ze swoj\u0105 witryn\u0105. Korzystaj\u0105c z tego protoko\u0142u, b\u0119dziesz m\u00f3g\u0142 przes\u0142a\u0107 has\u0142o do serwera w postaci zaszyfrowanej, co minimalizuje ryzyko problem\u00f3w z bezpiecze\u0144stwem.\n<\/p>\n
\n 8 Nie zmienianie prefiksu tabeli WordPress
\n<\/h4>\n\n Jak wszyscy wiecie, domy\u015blnie wszystkie tabele WordPress utworzone w bazie danych zaczynaj\u0105 si\u0119 od przedrostka o nazwie ks29so_. Wi\u0119kszo\u015b\u0107 programist\u00f3w WordPress nie dba o zmian\u0119 tego prefiksu, poniewa\u017c uwa\u017caj\u0105, \u017ce nie wp\u0142ynie to na wydajno\u015b\u0107 witryny.\n<\/p>\n
\n W zwi\u0105zku z tym ten prefiks sprawia, \u017ce \u200b\u200b\u200b\u200bTwoja witryna WordPress jest podatna na problemy z bezpiecze\u0144stwem. Powodem tego jest to, \u017ce osoba atakuj\u0105ca mo\u017ce \u0142atwo odgadn\u0105\u0107 nazw\u0119 tabel bazy danych WordPress. Dlatego powiniene\u015b spr\u00f3bowa\u0107 przywr\u00f3ci\u0107 ten problem tak szybko, jak to mo\u017cliwe.\n<\/p>\n
\n Spos\u00f3b rozwi\u0105zania tego problemu
\n<\/h5>\n\n Zamiast u\u017cywa\u0107 domy\u015blnego prefiksu dla tabel bazy danych WordPress, powiniene\u015b zdefiniowa\u0107 w\u0142asny prefiks, kt\u00f3ry jest skomplikowany z natury, aby nikt nie m\u00f3g\u0142 go odgadn\u0105\u0107. Mo\u017cesz zmieni\u0107 prefiks tabel bazy danych WordPress podczas instalacji. Wi\u0119c zawsze pami\u0119taj o tym punkcie. Po tym nie b\u0119dziesz mie\u0107 mo\u017cliwo\u015bci zmiany prefiksu.\n<\/p>\n
\n Oto jak mo\u017cesz zmieni\u0107 prefiks bazy danych WordPress, aby poprawi\u0107 bezpiecze\u0144stwo:\n<\/p>\n