Weryfikacja własnych wtyczek i automatyczne aktualizacje

wp warning

“Stawiając stronę na WordPress” (nie lubię tego określenia) instalujemy mniej lub bardziej potrzebne wtyczki. Przeważnie staramy się wszystko aktualizować na bieżąco. Generalnie powinniśmy mieć wtyczki pod kontrolą, na ile to możliwe. Co to oznacza?
Instalujemy i “trzymamy” tylko takie wtyczki, które są pobrane z zaufanego źródła. Aktualizujemy je, aby nie przegapić, żadnej wykrytej luki bezpieczeństwa. W momencie kiedy wtyczka nie jest już rozwijana, warto rozejrzeć się za inną.
No właśnie, ale jak to sprawdzić czy i kiedy wtyczka była ostatnio aktualizowana?
Najprościej można to zrobić klikając w menu Wtyczki > Zainstalowane wtyczki. Obok wtyczki powinien znajdować się link “Szczegóły”. Następnie w nowym oknie trzeba znaleźć datę ostatniej aktualizacji – czyli ile dni minęło od ostatniej aktualizacji. Trzeba “przeklikać” każdą wtyczkę.
Przy starszych wersjach wtyczki pojawia się ostrzeżenie:

Ta wtyczka nie została przetestowana przy użyciu najnowszych 3 głównych wersji WordPress. Nie można go dłużej utrzymywać ani obsługiwać, a także może mieć problemy ze zgodnością w przypadku korzystania z nowszych wersji WordPress

Wtyczki, które ostrzegą nas o tym, że wtyczka wypadła z oficjalnego repozytorium WordPress lub już nie jest aktualizowana od kilku lat:

Narzędzia online do sprawdzania luk bezpieczeństwa WordPress

Podstawą bezpieczeństwa stron opartych na WordPress jest jego aktualizacja. Korzystanie z aktualnej wersji WordPressa nie oznacza jednak, że ​​twoja strona jest całkowicie bezpieczna. Dziurawe mogą być również wtyczki i motyw wykorzystany na stronie. Według statystyk to tą drogą najchętniej hakerzy atakują strony.
Nie chcę się tu rozwodzić na temat samego zabezpieczenia, polecę tylko ten artykuł.

Dzisiaj mały przegląd skanerów online, z pomocą których można sprawdzić luki przed atakiem, jak i po, o ile nie zostanie zablokowany dostęp do strony..
Większość skanerów sprawdzi witrynę pod kątem znanego szkodliwego oprogramowania, statusu czarnej listy, błędów witryny i przestarzałego oprogramowania.
Skanery są dostępne w wersji darmowej, niektóre również w wersji płatnej (premium).
Czytaj dalej Narzędzia online do sprawdzania luk bezpieczeństwa WordPress

Jak włączyć i wyłączyć automatyczne aktualizacje w WordPress?

code wordpress

WordPress jest systemem CMS, który co jakiś czas wymaga aktualizacji w związku z tym, że jest cały czas rozwijany i poprawiany. Niestety (albo stety) czasem wiąże się to również z naprawianiem luk bezpieczeństwa, stad jest jest to bardzo ważne, żeby pilnować aktualizacji na bieżąco.
Twórcy WordPressa już jakiś czas temu (wer. 3.7, październik 2013) wprowadzili mechanizm automatycznych aktualizacji działających w tle. Czytaj dalej Jak włączyć i wyłączyć automatyczne aktualizacje w WordPress?

Zmiana prefiksu bazy danych po zainstalowaniu WordPress

wpdb

W poprzednim artykule dotyczącym najczęstszych grzechów początkujących użytkowników WordPressa wspomniałam o tym, że aby zwiększyć bezpieczeństwo i zmniejszyć ilość ataków na stronę, warto zmienić domyslny prefiks bazy danych już podczas instalacji (o jaki parametr dokładnie chodzi widać na obrazku poniżej).
install-wp-step3
Zacznijmy jednak od początku.

Dlaczego mielibyśmy zmieniać domyślny prefiks bazy danych?

Powody do zmiany domyślnego prefiksu bazy danych mogą być (co najmniej) dwa. Czytaj dalej Zmiana prefiksu bazy danych po zainstalowaniu WordPress

Jak robić kopie zapasowe strony (backup)?

backup

Mówi się, że

“Ludzie dzielą się na tych co robią backupy i na tych co będą je robić”

Awarie, nawet najlepiej zabezpieczonych stron, mogą się zdarzyć i to w najmniej oczekiwanym momencie. Często wiążą się one z wieloma problemami i stratami dla właściciela witryny. Dlatego warto się zabezpieczyć na taką ewentualność zanim ona się wydarzy.
Backup strony powinien być robiony regularnie na wszelki wypadek na przykład: awaria serwera, uszkodzenie bazy danych, atak hakerski… Zalecane jest również robić backup w momencie dodawania nowych treści na stronę, ale również (a może przede wszystkim) przed wykonaniem aktualizacji systemu WordPress, wtyczek i skórek i przed przenosinami strony na inny serwer.
Czytaj dalej Jak robić kopie zapasowe strony (backup)?

Jak zabezpieczyć stronę przed atakami (securing WordPress)

web page security

Zamieszczając stronę w internecie warto pamiętać o jej zabezpieczeniu.
Skrypt WordPress jest darmowy, ogólnodostępny i niestety nie jest w 100% bezpieczny… Jego popularność sprawiła, że jest często atakowanym skryptem.
Oto kilka rzeczy, na które warto zwrócić uwagę, chcąc uniknąć zhakowania naszej witryny.

Regularne aktualizacje

Przede wszystkim warto trzymać się zasady o bezwzględnej aktualizacji skryptu, jak i wtyczek i używanych szablonów. Ponieważ najczęściej zdarzającym się atakiem jest dostęp przez lukę w nieaktualnej wtyczce.
Wiele hostingów zapewnia automatyczne aktualizacje, żeby chronić de facto również swoje zasoby.
Aby włączyć automatyczne aktualizacje w skrypcie WordPress w pliku wp-config.php powinien znaleźć się zapis:
define ( 'WP_AUTO_UPDATE_CORE', true );
Jednak należy liczyć się z tym, że podczas automatycznych aktualizacji może coś pójść nie tak. Na przykład w przypadku, gdy korzystamy z wtyczek, które modyfikują konfigurację naszej strony, a nie są często aktualizowane…
Czytaj dalej Jak zabezpieczyć stronę przed atakami (securing WordPress)

Jak nie dać się hackerom czyli zabezpieczanie WordPressa

wordpress_logo

Temat artykułu być może jest nieco przewrotny, ale warto wiedzieć jakie luki bezpieczeństwa ma skrypt WordPressa, skoro się z niego korzysta.
Jednym z podstawowych sposobów włamania do WordPressa jest wykorzystanie faktu, że ktoś używa starej wersji WordPressa. Aby hacker mógł sprawdzić z jakiej wersji korzysta aktualnie użytkownik wystarczy, że przeczyta plik readme.html pod adresem: http://adresnaszejstrony.pl/readme.html
Informacje o lukach w starszych wersjach WordPressa można łatwo znaleźć na stronach firmy Secunia i Security Focus.
Przykładowa zawartość pliku Readme:
readme.html
Dla poprawy bezpieczeństwa zaleca się usunąć po instalacji oraz każdej aktualizacji plik readme.html z głównego katalogu oraz oczywiście aktualizację WordPressa i wtyczek na bieżąco.
Innym sposobem na zabezpieczenie dostępu do tego pliku jest odpowiedni wpis w .htaccess
Czytaj dalej Jak nie dać się hackerom czyli zabezpieczanie WordPressa