Bezpieczeństwo jest bardzo często pomijanym aspektem podczas tworzenia stron internetowych. Oczywiście jako profesjonaliści w tym zakresie komunikujemy, że bagatelizowanie tego tematu to poważny błąd. Nawet najlepszy design i optymalizacja nie przyniosą korzyści, gdy ktoś złośliwy przejmuje kontrolę nad stroną internetową. Jako osoba zarządzająca serwisem internetowym musisz wiedzieć, że takie sytuacje zdarzają się i to dość często, szczególnie w przypadku open source’owych oprogramowań typu WordPress. Czy to sprawia, że tego typu rozwiązania są niewłaściwe? Oczywiście, że nie! WordPress jest świetnym środowiskiem do tworzenia stron internetowych. Wystarczy tylko odpowiednio zadbać o ich bezpieczeństwo. Tak się składa, że dziś świętujemy dzień bezpiecznego internetu i z tej okazji mamy dla Ciebie kilka cennych wskazówek jak zabezpieczyć swoją stronę internetową.

Wybierz bezpieczny hosting

Hosting jest niezwykle ważnym aspektem z wielu powodów. Wpływa on między innymi na prędkość dostarczania treści, czyli czas wczytywania strony. Szybkość ładowania strony jest oczywiście bardzo istotna, choćby dlatego, że jest jednym z kluczowych czynników dla pozycjonowania. Nie powinno się jednak ignorwoać kwestii bezpieczeństwa, ponieważ hosting to miejsce w którym “leżą” pliki Twojej strony, gdy je stracisz może być trudno je odzyskać.

Co więc tak na prawdę kryje się pod stwierdzeniem bezpieczny hosting?

Po pierwsze sprawdź jak często dostawca hostingu tworzy kopie zapasowe i jak długo je przechowuje. Dla naszych klientów zawsze proponujemy umieszczenie strony na serwerze z którego sami korzystamy, gdzie czas przechowywania plików to aż 28 dni. Po drugie zorientuj się jaki jest deklarowany czas online – jest to czas minimalny w któym Twoja strona będzie dostępna dla użytkowników, w tym przypadku im większy tym lepiej. Po trzecie wybieraj dostawców zapewniających jak najdłuższą pracę wsparcia technicznego. Najlepiej aby było to 24/7. Szybka reakcja supportu bywa zbawieniem przy ataku hakerskim.

Dbaj o systematyczne aktualizacje wtyczek, szablonów i WordPress

Jednym z podstawowych zadań dostawców oprogramowania jest jego ciągłe ulepszanie, Z każdą łatką motywy, wtyczki czy sam WordPress są coraz lepiej zabezpieczone. Posiadanie aktualnej wersji sprawia, że Twój WordPress będzie bardziej szczelny i odporny na ataki z zewnątrz.

Używaj aktualnej wersji PHP

PHP jest to jeden z podstawowych języków programowania, to między innymi na nim oparty jest WordPress. Aby skorzystać ze stale wprowadzanych łatek powinieneś regularnie aktualizować wersję PHP. W przypadku większości hostingów zrobisz to z poziomu panelu administracyjnego.

Używaj certyfikatu bezpiecznego szyfrowania SSL

To jedna z najważniejszych form zabezpieczenia strony internetowej. Obecnie jest standardem a nie wyłącznie dobrą praktyką. Klucz SSL zapobiega wykradnięciu poufnych danych szyfrując je i uniemożliwiając ich odczytanie osobom niepowołanym. Certyfikat sprawia, że nie ma możliwości zdobycia hasł Twoich i innych użytkowników Twojej strony lub sklepu internetowego.

Zmień prefiks tabel bazy danych

Strona internetowa potrzebuje dostępu do baz danych, które zawierają informacje o jej treściach, użytkownikach i innych danych. Wszystkie informacje zgrupowane są w tabelach a każda z nich opcjonalnie ma prefiks wp_

Ataki na bazy danych typu SQL injection mają na celu wykradnięcie wrażliwych danych (np. haseł). Jedną z wysoce efektywnych form obrony przed tego typu złośliwym działaniem jest właśnie edycja prefiksu tabel co skutecznie utrudnia włamanie się do bazy danych i w większości przypadków zniechęca agresorów, ponieważ wolą zająć się stronami, które same ułatwiają mu pracę.

Używaj silnych haseł i dwustopniowej weryfikacji

Dużo mówi się o solidnych, nieoczywistych hasłach, niepodawaniu ich osobom nieupoważnionym, niepowielaniu danych dostępowych do różnych miejsc. Mimo to, wciąż często prosząc klientów o dostępy do ich stron internetowych, których nie tworzyliśmy otrzymujemy dane np. admin – admin123. Jest to oczywiście przykład skrajnej nieodpowiedzialności ze strony osób, które wdrażały daną stronę. To jak proszenie się o włamanie. Dlatego zachęcamy do tworzenia własnych nazw użytkownika i trudnych do złamania tj. skomplikowanych haseł. Zachęcamy też do zastosowania dwuetapowej weryfikacji – np. hasło + e-mail lub kod sms. Możesz to ustawić w panelu administracyjnym WordPressa.

Usuń zbędne wtyczki i motywy

Nieużywane wtyczki i motywy mogą stać się wyłomem w murze obronnym Twojej witryny, jeżeli jakieś narzędzie lub motyw jest zbędne po prostu je usuń, nie ułatwiaj pracy cyberprzestępcom.

Używaj tylko zaufanych wtyczek

Jak mawiają programiści nie ma oprogramowania bez błędów. Niestety wiedzą o tym także hakerzy, dlatego warto wystrzegać się zbyt dużej ilości wtyczek, szczególnie tych niewiadomego pochodzenia. Najlepiej korzystaj więc z pluginów z oficjalnego repozytorium WordPressa lub znanych kanałów sprzedaży jak np CodeCanyon. W przypadku tego drugiego źródła wtyczki poddawane są weryfikacji między innymi pod kątem bezpieczeństwa.

Do weryfikacji bezpieczeństwa wtyczek możesz także używać narzędzia Plugin Inspector. Ten darmowy plugin pomoże Ci w wykryciu złośliwego oprogramowania w instalowanych rozszerzeniach.

Regularnie twórz backupy

Tę pozycję celowo zostawiłem na sam koniec aby ta porada została Ci w pamięci, ponieważ regularnie tworzone kopie zapasowe to podstawa! Ta prosta i wcale nie czasochłonna czynność powinna stać się Twoim nawykiem jako administratora strony www. Regularne tworzenie i zapisywanie na komputerze kopii zapasowej sprawi, że nawet jeżeli Twoja strona padnie ofiarą ataku z łatwością ją odzyskasz. My swoje witryny backupujemy raz w tygodniu. Jeżeli jednak nie wprowadzasz codziennie zmian na swojej stronie, nie prowadzisz regularnych publikacji itd. wystarczy, że zrobisz to raz w miesiącu.

Regularny backup pozwoli Ci też w przypadku ewentualnych awarii lub innych losowych sytuacji. Wtyczka. Aby wykonać kopię zapasową możesz użyć wtyczki UpdraftPlus – jest ona bardzo prosta w obsłudze, intuicyjna i pozwala pobierać kopię bezpieczeństwa na dysk twardy komputera lub przechowywać ją na serwerze. Dzięki temu pluginowi możesz ustawić automatyczne tworzenie kopii zapasowych, pamiętaj jednak aby monitorować ilość miejsca na dysku oraz co jakiś czas zapisać kopię na nośniku fizycznym.

Mam ogromną nadzieję, że dzięki temu postowi skutecznie unikniecie ataków na Wasze strony internetowe. Oczywiście sposobów na zabezpieczenie stron internetowych jest znacznie więcej. My przedstawiliśmy wyłącznie te podstawowe, które bez większego trudu wykonasz samodzielnie.

Zachęcam do podzielenia się tym artykułem ze znajomymi, im więcej bezpiecznych stron internetowych tym trudniej żyje się cyberprzestępcom!