iThemes Security to wtyczka, która pomaga w zwiększeniu poziomu bezpieczeństwa strony opartej na WordPressie. Wtyczka przedstawia nam zmiany, które powinniśmy wprowadzić oraz określa je jako Low, Medium i High Priority.
Pobranie i instalacja iThemes Security
Wtyczka dostępna jest poprzez wbudowany w WordPressa system wyszukiwania i instalacji wtyczek, możemy je także pobrać z oficjalnej strony rozszerzeń WordPress - https://wordpress.org/plugins/better-wp-security
Status bezpieczeństwa
Low Priority
Pierwsza sekcja to elementy, które mają mniejsze znaczenie ale warto zwrócić na nie uwagę. Warto zastanowić się nad zastosowaniem poniższych porad:
- Uruchomienie modułu blokowania podejrzanych hostów. Moduł umożliwia także blokowanie konkretnych adresów IP. Aby przejść do ustawień wchodzimy w Settings i szukamy sekcji Banned Users.
- Zwróć uwagę na zabezpieczenie logowania protokołem SSL. Jeśli Twój serwer go nie udostępnia uruchomienie funkcji może wywołać problemy z wyświetlaniem strony.
- Zablokuj wyświetlanie przeglądania katalogów jeśli w środku nie występuje plik z indexem. Dotyczy to głównie folderów z wtyczkami, szablonami.
- Zablokuj metody żądania HTTP, z których nie korzystasz.
- Zablokuj wyświetlanie znaków spoza języka angielskiego w adresach URL.
- Ustal maksymalną ilość znaków - 255 dla adresów URL.
- Usuń prawo do zapisu dla plików config.php oraz .htaccess.
- Jeśli używasz Windows Live Writer do edycji strony skasuj wyświetlanie tej informacji z nagłówka.
- Usuń nagłówek RSD.
- Usuń wyświetlanie informacji o Twojej wersji WordPressa z wszystkich miejsc gdzie jest ona wyświetlana.
- Zablokuj możliwość edycji kodu wtyczek oraz motywu z panelu WordPressa. Jeśli nie dokonujesz częstych zmian w kodzie warto wyłączyć tą opcję. Modyfikacji można dokonać poprzez klienta FTP, np.: Total Commander.
- Zamień wersję jQuery na bezpieczniejszą.
- Zablokuj wyświetlanie informacji o nieprawidłowym logowaniu.
- Zmień nazwę katalogu wp-content.
Medium Priority
Niektóre z dostępnych porad oznaczone są jako średnio ważne. A brzmią one następująco:
- Włącz wykrywanie użytkowników, u których wielokrotnie wyświetla się strona błędu 404.
- Zmień ID głównego użytkownika. Domyślnie jest to ID numer 1.
- Zastanów się na funkcją Away Mode. Jeśli nie wprowadzasz nigdy żadnych zmian pomiędzy 23:00 a 5:00 możesz właczyć ten moduł w tych godzinach. Dostęp do kokpitu WordPressa zostanie zablokowany w tych godzinach.
- Włącz wykrywanie zmian w plikach.
- Zmień adres URL kokpitu WordPressa co ochroni Cię przed atakami Brute Force.
- Chroń pliki readme.html, readme.txt, wp-config.php, install.php, wp-includes, i .htaccess, ponieważ zawierają one bardzo ważne informacje o Twojej stronie.
- Blokuj podejrzanie wyglądające parametry adresów URL.
- Usuń generator meta-tagu WordPress, który wyświetla w nagłówku strony aktualną wersję systemu.
- Zredukuj ilość komentarzy poprzez zablokowanie tych pochodzących z automatów i botów do linkowania.
- Zablokuj funkcje XMLRPC.
- Zablokuj wykonywanie kodu PHP w plikach z folderu Upload. Zminimalizujesz ryzyko zainfekowania poprzez różnego rodzaju skrypty.
- Zablokuj wyświetlanie publicznego profilu autora jeśli liczba jego wpisów wynosi 0.
- Zmień prefiks tabeli w bazie danych. Domyślnie jest to wp.
Wskazówki w tej sekcji mają większe znaczenie, warto się nad nimi zastanowić i zastosować jak najwięcej z nich.
High Priority
Sekcja High Priority w iThemes Security zawiera bardzo ważne wskazówki, których wprowadzenie może znacząco podnieść poziom bezpieczeństwa naszej strony. Brzmią one następująco:
- Uaktywnij wbudowany w iThemes Security moduł Brute Force Protection. Teraz mamy możliwość zablokowania możliwości logowania po kilku nieudanych próbach, ustalić maksymalną ilość prób logowania dla jednego użytkownika lub zablokować automatycznie użytkownika, który będzie próbował zalogować się jako admin.
- Zaplanuj automatyczne tworzenie kopii zapasowych bazy danych. Ustalamy jak często mają się one wykonywać oraz gdzie zostanie ona umieszczona (e-mail lub serwer).
- Pozwól na skanowanie w poszukiwaniu Malware. Wymagane będzie zarejestrowanie się aby uzyskać klucz.
- Wymagaj mocnych haseł dla wszystkich typów użytkowników.
- Wymagaj od wszystkich użytkowników unikalnych nazw.
Nadawanie uprawnień folderom
iThemes Security wyświetla także aktualne uprawnienia użytkowników do plików i folderów WordPressa oraz sprawdza czy są zgodne z zaleceniami. Aby je zmienić skorzystać możemy z dowolnego klienta serwerów FTP, np.: File Zilla czy Total Commander.
System Information
Dashboard iThemes Security dostarcza nam także Informacje na temat aktualnego użytkownika, systemu plików, bazy danych, serwera, wersji php, konfiguracji WordPressa oraz wersji wtyczki iThemes Security oraz aktualnych blokad.
Według mnie ta wtyczka to obowiązek dla każdego posiadacza strony opartej o system WordPress. 35 przydatnych fukcji robi dobrą robotę. A czy wy stosujecie iThemes Security czy może macie większe zaufanie do innej wtyczki?
Jeśli artykuł spodobał Ci się skorzystaj udostępnij go dalej korzystając z poniższych Social Share Buttonów.
7 Responses