Większość włamań nie bierze się od sprytnych hakerów, tylko od nieaktualnych wtyczek i słabych haseł. Omawiamy niezbędne minimum ochrony dla właściciela strony bez własnego działu IT.
Stronę na WordPressie włamuje się nie dlatego, że ktoś celowo poluje na Twój biznes. W dziewięciu przypadkach na dziesięć to automatyczny bot, który po kolei sprawdza tysiące stron i wchodzi tam, gdzie zapomniano zaktualizować wtyczkę albo ustawiono hasło admin123. Poniżej zebraliśmy działające minimum ochrony: zamknie ono większość luk i nie będzie wymagać własnego działu IT.
Wyobraź sobie sklep przy ruchliwej ulicy. Drzwi szklane, witryna na widoku, zapasowy klucz pod wycieraczką. Włamywacz nie musi być profesjonalistą: wystarczy pociągnąć za klamkę przy stu drzwiach i wejść do tych, które są otwarte. Ze stroną jest tak samo. Ochrona opiera się nie na jednym drogim zamku, lecz na kilku prostych nawykach.
Dlaczego strony na WordPressie atakuje się tak często
WordPress pozostaje najpopularniejszym systemem do tworzenia stron na świecie: działa na nim mniej więcej co trzecia strona w internecie. Im popularniejszy system, tym bardziej opłaca się pisać pod niego boty: jedna znaleziona luka otwiera dostęp od razu do setek tysięcy stron, a bot sprawdza je automatycznie, bez udziału człowieka.
Zagrożenie rzadko tkwi w samym rdzeniu systemu. Częściej słabym punktem stają się wtyczki i motywy od zewnętrznych twórców, zwłaszcza darmowe i dawno porzucone. Jeśli wtyczka nie była aktualizowana przez dwa lata, z dużym prawdopodobieństwem ma znaną lukę, a instrukcja jej wykorzystania leży już w sieci, dostępna dla każdego.
Podstawa: aktualizacje, hasła, 2FA i role
Cztery nawyki zamykają większość ryzyk, zanim jeszcze pomyślisz o płatnych narzędziach.
- Aktualizacje. Trzymaj rdzeń systemu, motyw i wszystkie wtyczki w aktualnej wersji. Większość włamań idzie przez luki, dla których łatka wyszła już dawno, tyle że jej nie zainstalowano. Włącz automatyczne aktualizacje przynajmniej dla wtyczek.
- Hasła. Długie, losowe hasło do każdego konta, inne dla panelu, hostingu i poczty. Menedżer haseł zapamięta je za Ciebie. Standardowego loginu admin lepiej w ogóle nie używać.
- Logowanie dwuskładnikowe (2FA). To drugi kod z aplikacji w telefonie, dodatkowo do hasła. Nawet jeśli ktoś ukradnie hasło, bez Twojego telefonu nie wejdzie do panelu. Podłącza się darmową wtyczką w pięć minut.
- Role użytkowników. Daj każdemu dokładnie taki dostęp, jakiego potrzebuje. Autor artykułów nie potrzebuje uprawnień administratora. Im mniej osób z pełnym dostępem, tym mniej punktów, przez które można wejść.
Wtyczki bezpieczeństwa i ograniczenie logowania
Osobna wtyczka bezpieczeństwa bierze na siebie to, co trudno śledzić ręcznie. Jej główna funkcja, dla której warto ją instalować, to ograniczenie prób logowania. Domyślnie system pozwala wpisywać hasło w nieskończoność, a bot może próbować kombinacji całymi dobami. Po ustawieniu limitu adres zostaje zablokowany już przy piątej-szóstej nieudanej próbie.
Przydaje się jeszcze kilka rzeczy: skanowanie plików pod kątem podejrzanych zmian, ochrona strony logowania i e-mail na pocztę przy dziwnej aktywności. Nie instaluj trzech wtyczek bezpieczeństwa naraz: wchodzą sobie w drogę i spowalniają stronę. Jedna sprawdzona, skonfigurowana według instrukcji, załatwia sprawę.
Kopie zapasowe poza hostingiem i plan na wypadek włamania
Kopia zapasowa to nie ochrona przed włamaniem, lecz gwarancja, że przeżyjesz je bez strat. Kluczowa zasada jest prosta: kopia musi być przechowywana oddzielnie od samej strony. Jeśli backup leży na tym samym hostingu, przy zainfekowaniu serwera stracisz jednocześnie i stronę, i kopię.
Ustaw automatyczne kopiowanie na zewnętrzny magazyn (chmura lub osobny dysk) z częstotliwością dopasowaną do tempa Twoich zmian. Dla bloga wystarczy raz w tygodniu, dla sklepu z zamówieniami lepiej codziennie. Raz na kilka miesięcy sprawdź, czy kopia faktycznie daje się przywrócić. Backup, którego ani razu nie próbowano odtworzyć, nierzadko okazuje się pusty w najbardziej potrzebnym momencie.
Hosting też odpowiada za bezpieczeństwo
Tani hosting za kilka euro oszczędza kilkadziesiąt złotych rocznie, a może Cię kosztować całej strony. Dobry dostawca sam aktualizuje wersję PHP, izoluje strony od siebie, robi własne backupy i blokuje część ataków, zanim w ogóle do Ciebie dotrą.
Niedawno przenosiliśmy stronę niewielkiego sklepu internetowego z kosmetykami ze włamanego, budżetowego hostingu na porządny, z podstawową ochroną; liczba prób podejrzanego logowania spadła o około 90%, a strona przestała samoczynnie się wykładać. Jeśli potrzebujesz ustawienia takiej ochrony pod klucz, zajmuje się tym tworzenie i utrzymanie stron internetowych.
Częste pytania o bezpieczeństwo WordPressa
Czy można zabezpieczyć stronę za darmo?
Tak, podstawowy poziom ochrony jest darmowy. Aktualizacje, mocne hasła, 2FA i ograniczenie logowania są dostępne bez nakładów. Pieniądze potrzebne są raczej na dobry hosting i regularne backupy, a to dziesiątki, nie setki złotych miesięcznie.
Jak poznać, że strona została już zhakowana?
Niepokojące oznaki: obce strony i linki, przekierowanie na cudze witryny, ostrzeżenie przeglądarki albo e-mail od hostingu. Czasem strona po prostu gwałtownie zwalnia, bo jej zasoby są wykorzystywane do rozsyłania spamu.
Czy potrzebna jest płatna wtyczka bezpieczeństwa?
Dla większości małych stron wystarcza darmowa wersja. Płatne plany dają automatyczne leczenie zainfekowanych plików i priorytetowe wsparcie. To rozsądne dla sklepu, ale zbędne dla bloga czy strony-wizytówki.
Jak często robić kopie zapasowe?
Zależnie od częstotliwości zmian na stronie. Stronę, która nie zmienia się tygodniami, wystarczy kopiować raz w tygodniu. Sklep z codziennymi zamówieniami kopiuj każdego dnia, inaczej przy awarii stracisz świeże zakupy.
Czy certyfikat SSL chroni przed włamaniem?
Nie, to dwie różne rzeczy. SSL (kłódka w pasku adresu) szyfruje dane między odwiedzającym a stroną, ale nie blokuje włamania przez słabe hasło czy dziurawą wtyczkę. Jest potrzebny, lecz samej ochrony nie zastąpi.
Krótko
Bezpieczeństwo strony to nie jedno drogie narzędzie, lecz kilka prostych nawyków: aktualizować na czas, ustawiać mocne hasła z 2FA, ograniczać logowanie i trzymać backup oddzielnie od hostingu. Zacznij od aktualizacji i kopii zapasowej już dziś, to zamknie większość ryzyk w jeden wieczór.
Podobne artykuły
Zastanawiasz się od czego zacząć promowanie firmy w internecie?
Założenie strony internetowej dla biznesu to zaledwie początek pracy - aby osiągnąć rozpoznawalność i pozyskać klientów, zacznij promowanie firmy w in...
Trendy Google przed świętami: jak przygotować sklep internetowy?
Google Trends to narzędzie służące do monitorowania wyszukiwań użytkowników w konkretnym okresie.
Jak długo trwa stworzenie strony internetowej?
Stworzenie własnej witryny zaczyna się od wyboru nazwy i wykupienia domeny, następnie przystępujesz do wyboru serwera, a na końcu zaczyna się najbardz...
Masz pytania?
Zadzwoń - omówimy szczegóły
Każdy projekt jest indywidualny, potrzebuje uwagi i dokładnego planowania. Pomogę Ci w realizacji Twoich pomysłów i zrobię wszystko, abyś osiągnął swój cel.