Konfiguracja zabezpieczeń WordPressa – jak to zrobić?
Ten etap podzielony będzie na trzy części.
W pierwszej zajmiemy się podpięciem do naszej strony certyfikatu SSL.
W drugiej, skonfigurujemy darmowy pakiet zabezpieczeń Wordfence.
W trzeciej, uniemożliwimy atakującym proste odgadnięcie naszej nazwy użytkownika.
Wszystkie te rzeczy mogą być wykonane niezależnie od siebie. Kolejność także nie jest ważna.
Podpięcie certyfikatu SSL
Kiedy w panelu administracyjnym dhosting.pl zauważysz, że certyfikat SSL został już podpięty do Twojej domeny będziesz mógł go także skonfigurować na własnej stronie. Aby to zrobić przejdź do ekranu logowania, dopisz https:// przed adresem swojej witryny a następnie wciśnij enter.
Twoja strona powinna się przeładować a w pasku adresu powinieneś zauważyć kłódeczkę informującą o szyfrowaniu połączenia.
Teraz zaloguj się do panelu administracyjnego swojej strony a następnie przejdź do sekcji Ustawienia > Ogólne.
Będąc w tej sekcji odnajdź adresy www swojej strony a następnie dopisz literkę s do http.
Po zapisaniu zmian będziesz automatycznie wylogowany.
Zanim jednak zalogujesz się ponownie, odwiedź swoją stronę wpisując niezabezpieczony adres zaczynający się od http:// (bez literki S). Zauważysz, że pomimo tego, że przed chwilą ustawiliśmy szyfrowanie połączenia dla Twojego adresu, to Twoja strona jest także dostępna z adresu niezabezpieczonego. Aby to zmienić, musimy włączyć przekierowanie ruchu z adresu niezabezpieczonego na zabezpieczony.
W tym celu zaloguj się do panelu administracyjnego swojej witryny, odszukaj w menu sekcję „LiteSpeed Cache” i wybierz w niej „edycja htaccess”.
Po przejściu na tą stronę zobaczysz kod. Nie będziesz go na szczęście musiał edytować. Wystarczy, że na jego początku dodasz kilka dodatkowych linijek, które pobierzesz ze strony z tym filmikiem z mojej witryny ebizneskrokpokroku.pl (patrz sekcja poniżej filmiku).
Wklej pobrany kod na początku pliku a następnie zmień adres na adres swojej witryny. Koniecznie na jej początku musi się znaleźć https.
Teraz możesz zapisać zmiany i ponownie przejść na pierwszą stronę swojego bloga. Jeśli wszystko zrobiłeś poprawnie to w pasku adresu powinieneś już widzieć zieloną kłódeczkę symbolizującą zabezpieczone połączenie.
Instalacja i konfiguracja Wordfence
Kolejnym etapem zabezpieczenia naszego systemu jest instalacja i konfiguracja pakietu zabezpieczającego Wordfence.
Aby go pobrać wyszukujemy w menu panelu administracyjnego naszej strony sekcję „Wtyczki” a następnie klikamy „Dodaj nową”.
W prawym górnym rogu wpisujemy Wordfence a następnie instalujemy go prosto z listy wyników wyszukania. Po chwili zostaniemy poproszeni o jego włączenie co oczywiście robimy.
Po włączeniu, zostaniemy przeniesieni na ekran z listą zainstalowanych przez nas rozszerzeń. Po jego lewej stronie zauważymy okienko namawiające nas do wpisania adresu email. Na ten adres będą wysyłane wszelkie komunikaty dotyczące zabezpieczeń. Warto tam ten adres wpisać lecz przed kliknięciem przycisku „get alerted” odznaczmy pole poniżej. Dzięki temu nie będziemy otrzymywali informacji o nowych artykułach z anglojęzycznego bloga Wordfence.
Po wyłączeniu okienka klikamy w przycisk „click here to configure” w górnej części ekranu.
Na kolejnej stronie klikamy „Continue”.
Na jeszcze kolejnej stronie przed wciśnięciem przycisku „continue” będziemy musieli pobrać i zapisać na dysku kopię pliku .htaccess. Zróbmy to a będziemy przeniesieni do ostatniego ekranu.
Ostatni ekran musimy odświeżyć aby pokazywał nam prawidłowe dane. W tym celu klikamy firewall z manu bocznego. Kiedy to zrobimy naszym oczom ukaże się zmieniona zawartość strony informująca o poprawnym włączeniu wtyczki.
Teraz przejdźmy do jej konfiguracji.
Konfiguracja
Konfiguracja wtyczki odbywa się w sekcji „Options”.
Ze względu na to, że korzystamy z darmowej wersji Wordfence, część ustawień będzie dla nas niedostępna.
Wśród nich znajduje się jednak opcja, którą warto zaznaczyć a która umożliwia systemowi automatyczne aktualizowanie naszego pakietu zabezpieczeń.
Wśród różnych opcji znajduje się tutaj także adres email na który będą przychodzić komunikaty od Wordfence. Dlatego jeśli nie podałeś go w poprzednim kroku to możesz zrobić to teraz.
W sekcji znajdującej się poniżej adresu, możesz z kolei ustawić jakie emaile będą ci przesyłane. Aby otrzymywać tylko te najważniejsze, zaznacz takie opcje jakie widzisz na ekranie.
Wyłączymy tutaj także przesyłanie raportów tygodniowych oraz dodatkowe komunikaty na stronie panelu administracyjnego.
W sekcji „scans to include” zaznaczamy dwa puste okienka. Dzięki temu nasz system będzie porównywał swoje pliki z ich oryginałami będącymi na zewnętrznym serwerze. A kiedy znajdzie w nich różnice, to nas o tym poinformuje.
W sekcji „rate limiting rules” zmień ustawienia na zgodne z tym co widzisz na ekranie. Dzięki temu uchronisz się przed niepowołanym skanowaniem Twojej strony, próbami przeciążenia serwera oraz innym złośliwym zachowaniem.
Poniżej znajdziesz także sekcję „Login security options”. Ustaw wszystko zgodnie z tym co widzisz a znacząco ograniczysz atakującym możliwość odgadnięcia Twojego hasła.
W końcu pod koniec listy ustawień zaznacz „Hide WordPress version”.
Zmiany w pliku htaccess
Jeśli zaznaczyłeś wcześniej opcje włączającą automatyczne aktualizacje zabezpieczeń, to po zapisaniu zmiany ustawień przejdź w menu do sekcji „Litespeed cache” a następnie „edycja htaccess”.
Na samej górze kodu, wklej skrypt, który pobierzesz ze strony z tym filmikiem, która znajduje się na mojej witrynie ebinzeskrokpokroku.pl. Link do niej znajdziesz (pod filmikiem na górze tej strony).
Po dodaniu kodu zapisz zmiany w pliku.
Zmiana nazwy użytkownika
Domyślnym loginem administratora w systemie WordPress jest admin. Takiego też używaliśmy dotychczas do logowania się do systemu. Jednak dalsze używanie go jest niebezpieczne ponieważ atakujący go znają więc do dostania się do strony pozostaje im wyłącznie odgadnięcie hasła.
Dlatego zaraz stworzymy nowego administratora o zupełnie innej nazwie a następnie usuniemy starego.
W tym celu przejdź do sekcji „Użytkownicy” w menu i wybierz dodaj nowego.
Wpisz unikalny login dla administratora a następnie zapisz go sobie w bezpiecznym miejscu.
Podaj swój adres email.
Wpisz także imię lub imię i nazwisko adnimistratora. Będą nim podpisywane artykuły, które stworzysz.
W kolejnym kroku dodaj silne hasło, skopiuj je i zapisz w bezpiecznym miejscu.
Później koniecznie odznacz wysyłanie powiadomienia i określ rolę nowego użytkownika jako administratora.
Wszystko to zapisz klikając niebieski przycisk a następnie wyloguj się.
Teraz możesz zalogować się ponownie, tym razem używając danych nowego administratora.
Z menu wybierz „użytkownicy” a następnie „wszyscy użytkownicy”.
Usuń starego administratora przypisując wszystkie stworzone przez niego treści do nowego.
Od teraz możesz logować się jako nowy administrator.