Skip to content
Firma hostingowa roku
  • narzędzia
    • Cloud MailZarządzanie pocztą
    • Active.adminAdministracja serwerem
    • Active.statsStatystyki Twojej strony
    • phpMyAdmin Administracja bazami MySQL
    • phpPgAdmin Administracja bazami PostgreSQL
    • VPS Administracja VPS
  • panel klienta
  • poczta
Program partnerski 50% prowizji
  • Backup
  • Domeny
  • Poczta
  • Hosting
  • Wordpress
  • e-sklep
  • Vps
  • ssl
Twój koszyk
Promocja: pl – od 10 zł | eu – od 10 zł | com – od 20 zł
Przenieś domenę do nazwa.pl
Home  /  Bezpieczeństwo • Strona WWW  /  Podnoszenie bezpieczeństwa WordPressa przy użyciu gotowych wtyczek
Posted on 18 czerwca 2020

Podnoszenie bezpieczeństwa WordPressa przy użyciu gotowych wtyczek

Podnoszenie bezpieczeństwa WordPressa przy użyciu gotowych wtyczek | nazwa.pl

WordPress to najpopularniejsze oprogramowanie służące do tworzenia stron internetowych, stosowane począwszy od małych blogów, poprzez portale informacyjne, a skończywszy na sklepach internetowych. Od ponad 17 lat, gdy została opublikowana jego pierwsza ogólnodostępna wersja, stale umacnia swoją pozycję wśród oprogramowania wykorzystywanego zarówno przez amatorów, jak i profesjonalistów, tworzących strony WWW.

Swoją popularność WordPress zawdzięcza przede wszystkim możliwości łatwej rozbudowy funkcjonalności, poprzez dołączanie niezliczonej ilości dodatków, wydawanych przez mniej lub bardziej profesjonalnych programistów. Niestety, o ile sam kod programu podlega systematycznym aktualizacjom, to nie wszystkie z udostępnionych do niego wtyczek również są rozwijane. Brak aktualizacji dowolnego programu dołączonego do WordPressa może skutkować problemami z bezpieczeństwem całej strony WWW i podatnością na ataki hakerskie.

Co zrobić, aby uchronić się przed czyhającymi na nas tego typu zagrożeniami? Co zrobić, gdy już mamy zbudowaną stronę WWW w oparciu o ten program i obawiamy się, żeby efekt naszej ciężkiej pracy, jaką włożyliśmy w jej stworzenie, nie został zmarnowany? Posiadacze stron internetowych, którzy nie podejmą właściwych kroków, aby zabezpieczyć WordPressa i wszystkie zainstalowane do niego dodatki, mogą przecież w wyniku zaniechań w aktualizacji oprogramowania albo stracić cenne dane, albo też ich strony WWW mogą zostać oznaczane jako potencjalnie niebezpieczne przez wyszukiwarki internetowe i programy antywirusowe.

Chcielibyśmy zatem przedstawić sposoby na wyeliminowanie lub przynajmniej zminimalizowanie większości zagrożeń związanych z atakami hakerskimi na ten popularny program.

WordFence

WordFence jest wtyczką do WordPressa, która zgodnie ze statystykami publikowanymi na stronie wordpress.org została pobrana już ponad 3 miliony razy, co czyni ją jednym z najbardziej popularnych dodatków, jakie dotychczas były wydane dla tego programu. Bardzo wysoka popularność wtyczki przyczynia się do tego, że posiada ona jedną z najbardziej aktualnych baz informacji o potencjalnych zagrożeniach, jakie pojawiają się w związku z jej wykorzystywaniem na milionach serwisów internetowych.

WordFence oferuje takie funkcjonalności jak:

– firewall, który blokuje podejrzany ruch kierowany do naszej strony WWW, zapobiegając większości ataków na naszą stronę,

  • skaner bezpieczeństwa, który sprawdza zawartość poszczególnych plików WordPressa i jego dodatków pod kątem obecności podejrzanego kodu malware,
  • zabezpieczanie logowania do WordPressa poprzez dwuetapowe uwierzytelnianie 2FA, z zabezpieczeniem za pomocą CAPTCHA przed autologowaniem przez boty,
  • blokowanie dostępu z określonych IP, hostów, przeglądarek czy odnośników.

Wszystkie te opcje są dostępne w bezpłatnej wersji wtyczki. Udostępniona jest też za opłatą wersja „Premium”, w której użytkownik zyskuje dostęp do aktualizowanej w czasie rzeczywistym bazy sygnatur do skanera bezpieczeństwa i firewalla, a także uaktualnianej w czasie rzeczywistym bazy adresów IP, z których odnotowano próby włamań. W wersji bezpłatnej otrzymujemy te same sygnatury zabezpieczeń i blokady IP, ale z 30-dniowym opóźnieniem.

Podnoszenie bezpieczeństwa WordPress - wordfence protection

Securi

Securi to kolejna wtyczka pozwalająca m.in. na skanowanie strony WWW w poszukiwaniu malware czy zabezpieczenie jej przed potencjalnymi atakami. Według statystyk udostępnianych na stronie wordpress.org, wtyczka ta została pobrana już ponad 700 tysięcy razy, co stawia ją również w czołówce najbardziej popularnych dodatków wykorzystywanych w instalacjach WordPressa.

Wśród jej licznych funkcji można wymienić także:

  • monitorowanie podejrzanych aktywności na stronie WWW,
  • sprawdzanie integralności kodu strony pod kątem nieautoryzowanych modyfikacji,
  • weryfikacja umieszczenia strony na blacklistach takich jak np. Sucuri Labs, Google Safe Browsing, Norton, AVG, Phish Tank, ESET, McAfee Site Advisor, Yandex czy SpamHaus,
  • informowanie o potencjalnych nowych zagrożeniach dla strony.

Securi udostępnia także schematyczną pomoc na wypadek, gdyby nasza strona WWW jednak stała się celem skutecznego ataku hakerskiego. Wtyczka została wyposażona w system rejestracji logowań, zarówno tych prawidłowych, jak i nieskutecznych, z błędną nazwą użytkownika lub błędnym hasłem.

W przypadku różnego rodzaju wykrytych zagrożeń wtyczka komunikuje się z administratorem strony poprzez alerty wysyłane e-mailem. Korzystanie z niej jest bezpłatne, chyba że postanowimy jeszcze bardziej podnieść poziom zabezpieczeń i wykorzystać funkcje związane z integracją z Securi Firewall. Nawet jednak bez nich wtyczka doskonale się sprawdza, zapewniając podstawową ochronę strony internetowej przed zagrożeniami i pomoc dla użytkownika w przypadku wystąpienia jakichkolwiek problemów z bezpieczeństwem.

Podnoszenie bezpieczeństwa WordPressa - sucuri

iThemes Security

To, co wyróżnia wtyczkę iThemes Security na tle wcześniej przedstawionych WordFence i Securi, to bardzo przyjazny interfejs, który docenią w szczególności mniej zaawansowani technicznie użytkownicy. Wtyczka iThemes w sposób bardzo przyjazny i prosty pozwala zrozumieć każde z wprowadzanych ustawień, co czyni ją bardzo łatwą w użytkowaniu. W panelu konfiguracyjnym iThemes Security wszystkie dostępne funkcje są zaprezentowane jako oddzielne moduły, z których każdy jest dokładnie opisany. Pozwala to w łatwy sposób aktywować i ustawiać tylko te opcje, z których faktycznie chcemy korzystać.

iThemes Security udostępnia ponad 30 różnych modułów, z których wartymi wymienienia są:

  • aktywacja zabezpieczeń „jednym kliknięciem”, dzięki czemu faktycznie poprzez „jedno kliknięcie” użytkownik może uruchomić wszystkie ważniejsze funkcje iThemes Security, a w szczególności autoryzację dwuetapowa 2FA, kopie baz danych czy zabezpieczenie przez atakami typu brute-force,
  • moduł nieobecności (Away Module), dzięki któremu panel WordPress stanie się niedostępny przez określony przez użytkownika czas, uniemożliwiając tym samym wprowadzanie zmian za jego pomocą,
  • wymuszenie trudnego hasła (Strong Password Enforcement), składającego się z kombinacji znaków specjalnych, cyfr, małych i wielkich liter,
  • możliwość logowania bez użycia hasła (Passwordless Logins), co pozwala na wyłączenie korzystania z hasła przy logowaniu, zastępując je wysłaniem każdorazowo do logującego się użytkownika e-maila z linkiem, którego kliknięcie będzie pozwalało na zalogowanie się do panelu zarządzania.

Opisując funkcje dostępne w iThemes Security, nie należy zapominać o „standardowych” opcjach, takich jak skaner strony pod kątem malware czy firewall.

Podnoszenie bezpieczeństwa WordPressa - ithemes security

Securi, WordFence, iThemes Security – jak zainstalować te dodatki do naszego skryptu?

Instalacja bezpłatnych wersji pluginów Securi, WordFence i iThemes Security nie różni się od sposobu instalacji każdej innej, oficjalnie dostępnej wtyczki dla skryptu WordPress. Jedynie wersje płatne nie są dostępne do automatycznej instalacji z poziomu wyszukiwarki wtyczek i konieczne jest „ręczne” zainstalowanie zakupionego przez nas dodatku.

Podnoszenie bezpieczeństwa WordPressa - instalacja wordfence

Proces instalacji wtyczek rozpoczyna się po zalogowaniu się do Panelu Administratora WordPress poprzez wybranie z menu po lewej stronie opcji Wtyczki > Dodaj wtyczki. W kolejnym kroku należy wyszukać interesującą nas wtyczkę, podając jej nazwę i uruchomić jej automatyczną instalację. Po zakończeniu procesu automatycznej instalacji trzeba aktywować wtyczkę (przycisk Aktywuj). Dzięki tym kilku prostym krokom będziemy mogli od teraz cieszyć się bardziej bezpieczną wersją skryptu WordPress, odporną na większość potencjalnych zagrożeń.

Czy sama wtyczka wystarczy?

Wbrew wrażeniu, które można byłoby odnieść po wcześniejszym opisie, WordPress sam w sobie jest dość bezpiecznym narzędziem. Określenie „dość bezpieczny” odnosi się tu głównie do kwestii otwartego kodu, który każdy może prześledzić, aby odnaleźć w nim ewentualne zagrożenia i je wyeliminować. Program nie zaskoczy nas żadnym „nieprzewidywalnym” zachowaniem, o ile wykorzystujemy wersję oficjalną, pobraną ze strony wordpress.org. Dodatkowe uruchomienie wtyczek, takich jak WordFence, Securi czy iThemes Security, będzie właściwym krokiem, który pozwoli nam na stosowanie na przykład bezpiecznego, dwuetapowego logowania czy rejestracji wszystkich podejrzanych zdarzeń, dotyczących naszej strony WWW.

Niemniej ważnym elementem w całej tej układance jest również korzystanie z bezpiecznego serwera hostingowego posiadającego zabezpieczenia w postaci systemu DDoS, firewalla aplikacyjnego WAF oraz systemu wykrywania i zapobiegania włamaniom, Intrusion Prevention System (IPS). Dzięki nim próby ataków na Twoją stronę WWW zostaną zidentyfikowane i zablokowane jeszcze zanim nastąpi połączenie z Twoim serwerem.

Wśród polskich firm świadczących usługi hostingowe na tle technologicznym wyróżnia się nazwa.pl, która w przeciwieństwie do innych dostawców zapewnia kompleksową ochronę wraz z aktywny system wykrywania i zapobiegania włamaniom, IPS. System ten w czasie kilku mikrosekund skanuje każde zapytanie przychodzące do setek tysięcy serwisów utrzymywanych przez spółkę, wykrywając nie tylko ataki, ale również próby skanowania chronionych stron WWW pod kątem występujących błędów w oprogramowaniu. To, co dla systemu WAF chroniącego pojedynczą stronę WWW wydaje się tylko przypadkowym błędem logowania, dla systemu IPS stanowi już pierwszą informację o potencjalnym zagrożeniu. Gdy takie zdarzenie powtórzy się na kolejnych serwisach chronionych przez IPS, następuje blokada adresu IP hakera. I warto tutaj dodać, że jeszcze przed tym, jak zacznie on atakować którykolwiek ze skanowanych serwisów WWW.

Nie ma złotego środka, aby zapewnić bezpieczeństwo swojej strony WWW. Stosowanie jednak wielopoziomowych zabezpieczeń, począwszy od filtrów DDoS, systemów wykrywania i zapobiegania włamaniom IPS, firewalla aplikacyjnego WAF oraz dodatkowych wtyczek do WordPressa, wymienionych powyżej, powinno zabezpieczyć Twój serwis w wystarczającym stopniu. Pamiętaj jednak również o regularnym wykonywaniu aktualizacji WordPressa i wszystkich zainstalowanym dodatków.

Tagi: bezpieczeństwo strona www Wordpress wtyczki plugin
Share on Facebook Share on Twitter Share on LinkedIn

Social Media

  • Facebook
  • Twitter
  • LinkedIn

Ostatnie posty

  • Firma nazwa.pl przyznaje coroczne wyróżnienia
    Dzięki nim Internet jest lepszy! Firma nazwa.pl przyznaje coroczne wyróżnienia
  • Dzięki nim Internet jest lepszy! Firma nazwa.pl przyznaje coroczne wyróżnienia

Hosting

  • PHP 8 na hostingu w nazwa.pl
    PHP 8 na hostingu w nazwa.pl
  • PHP 8 na hostingu w nazwa.pl
  • Composer w nazwa.pl. Wygodne zarządzanie pakietami dla języka PHP na hostingu
  • Czas na nagrody! Podsumowanie konkursu w Programie Partnerskim
  • Technologia ASP.NET i .NET Core w nazwa.pl
  • Zwiększ wydajność i bezpieczeństwo swojej strony WWW korzystając z najnowszych wersji PHP, MariaDB i PostgreSQL!
  • Nowe technologie w nazwa.pl wypierają stare usługi
  • PostgreSQL 13.1 na hostingu w nazwa.pl
  • Node.js i MongoDB od dziś na hostingu w nazwa.pl!
  • 2 GB dla pojedynczego procesu PHP na hostingu w nazwa.pl

Domeny

  • Czas na nagrody! Podsumowanie konkursu w Programie Partnerskim nazwa.pl
    Czas na nagrody! Podsumowanie konkursu w Programie Partnerskim
  • Czas na nagrody! Podsumowanie konkursu w Programie Partnerskim
  • Ciesz się darmowymi usługami w nazwa.pl
  • Europejska domena a bezpieczeństwo w sieci
  • Spółka nazwa.pl kolejny rok sponsorem projektu Let’s Encrypt, oferującego certyfikaty SSL dla stron internetowych
  • Europejska domena dla Twojej firmy. Dlaczego warto zdecydować się na „.eu”?
  • Wszystko na temat domen internetowych – czym jest domena? Jak i gdzie ją zarejestrować? Jak ją chronić i zabezpieczyć przed przejęciem?
  • nazwa.pl wyróżniona przez Asseco Data Systems jako Lider certyfikatów SSL 2019
  • Domena .eu – nowe możliwości dla polskiego biznesu

Bezpieczeństwo

  • 700.000 zatrzymanych ataków, czyli typowy dzień dla Intrusion Prevention System w nazwa.pl
    700.000 zatrzymanych ataków, czyli typowy dzień dla Intrusion Prevention System w nazwa.pl
  • 700.000 zatrzymanych ataków, czyli typowy dzień dla Intrusion Prevention System w nazwa.pl
  • nazwa.pl rozwija Cloud Backup wspólnie z Klientami!
  • Firma nazwa.pl wdrożyła mechanizm dwuetapowej autoryzacji 2FA
  • Ostrzeżenie przed fałszywymi mailami z przypomnieniem o płatności
  • Nowe technologie: node.js, .NET Core, MongoDB i Redis w nazwa.pl
  • PurePC.pl: Cloud Backup się opłaca!
  • Jak zorganizować pracę zdalną w firmie. Użyteczne narzędzia
  • Cloud Backup z wyróżnieniem Sprawdzony Produkt od redakcji PC World

E-commerce

  • Jak zoptymalizować ścieżkę zakupową | nazwa.pl
    Jak zoptymalizować ścieżkę zakupową?
  • Jak zoptymalizować ścieżkę zakupową?
  • 6 narzędzi do hakowania wzrostu w e-commerce
  • Jak zautomatyzować procesy w sklepie internetowym?
  • Cross-selling i up-selling. Czym są i jak z nich korzystać?
  • SEO dla e-commerce – 5 ważnych elementów
  • Dlaczego kupują? Motywacje klientów sklepów internetowych
  • Co powinieneś wiedzieć o SEO i pozycjonowaniu?
  • Jak komunikować się z klientami online

O firmie

  • Informacje ogólne
  • CloudHosting
  • Technologie
  • Bezpieczeństwo
  • Looking Glass
  • Zarząd spółki
  • Biuro prasowe
  • Kariera w nazwa.pl
  • Kontakt

Produkty

  • Backup
  • Domeny
  • Poczta
  • Hosting
  • WordPress
  • VPS
  • SSL
  • e-Sklep
  • Usługi IT
  • PHP i Bazy danych
  • SEO

Centrum pomocy

  • Szukaj w Centrum Pomocy
  • Produkty i Usługi
  • Narzędzia
  • Regulaminy
  • Cenniki
  • Polityka prywatności
  • RODO

Kontakt 24/7

  • 22 454 48 10
    tel. komórkowe
  • 801 33 22 33
    tel.stacjonarne
  • kontakt@nazwa.pl

Program partnerski 50% prowizji

Twój unikalny kod rabatowy w Programie Partnerskim umożliwia poleconym przez Ciebie osobom skorzystanie z 20% zniżki przy zamawianiu nowych usług w nazwa.pl. Przekaż voucher z kodem i zyskaj wynagrodzenie w wysokości 50% od pierwszej wpłaty za polecone przez Ciebie usługi oraz do 35% od kolejnych płatności.

ISO

© 2021 nazwa.pl. Wszelkie prawa zastrzeżone