Stworzenie własnej strony internetowej nigdy nie było łatwiejsze niż teraz. Jest to możliwe dla praktycznie każdego. Jednak tworząc witrynę musisz zadbać o to aby była ona bezpieczna zarówno dla ciebie jak i użytkowników. Kiedy klienci dokonują płatności kartą kredytową, muszą wiedzieć, że ich dane są bezpieczne.

Odwiedzający nie chcą, aby ich dane osobowe wpadły w niepowołane ręce.

Co więcej Tobie też powinno zależeć aby być jak najmniej narażonym na ataki hakerów. Będąc właścicielem witryny powinieneś być na bieżąco z aktualizacjami wtyczek i wszystkiego, co wymaga aktualizacji. Oprócz naprawiania błędów lub usterek, aktualizacje oprogramowania zazwyczaj zawierają ulepszenia lub łatki bezpieczeństwa. Hakerzy zawsze będą szukać sposobów na wykorzystanie luk w oprogramowaniu. Jeśli nie jesteś na bieżąco z najnowszymi wersjami oprogramowania, z łatwością zidentyfikują Twoją witrynę, zanim będziesz mógł coś z tym zrobić.

Bezpieczeństwo strony internetowej to zarówno prosty, jak i skomplikowany proces. Istnieje co najmniej kilka podstawowych kroków, żeby je poprawić, zanim będzie za późno.

1. Dodaj certyfikat SSL

SSL (Secure Sockets Layer) jest punktem wyjścia do posiadania bezpiecznej strony internetowej. Szyfruje informacje, aby uniemożliwić innym odczytanie ich podczas przesyłania oraz odmawia osobom nieposiadającym odpowiednich uprawnień dostępu do danych. Bez niego dane są niechronione i podatne na ataki hakerów.

Nie musisz znać technicznych tajników bezpieczeństwa SSL, więc nie martw się, jeśli tak naprawdę nie rozumiesz, jak to działa. Najważniejsze żebyś wiedział, że Twoja witryna potrzebuje certyfikatu i jak się do tego zabrać.

Możesz na przykład:

• wybrać dobrej jakości kreator stron internetowych, który zawiera SSL w pakiecie
• wybrać dostawcę hostingu , który zapewnia SSL we wszystkich planach
• zainstalować podstawowy Let’s Encrypt SSL za darmo

Jeśli zależy Ci na dużo wyższym poziomie bezpieczeństwa, będziesz musiał zapłacić za zaawansowany certyfikat SSL. Różnią się one ceną i można je kupić od dostawców hostingu lub rejestratorów domen. Jednak jeśli nie prowadzisz dużego sklepu internetowego lub nie obsługujesz dużych ilości wrażliwych danych, prawdopodobnie wystarczy darmowa wersja SSL.

2. Zadbaj żeby twoje hasło było nie do złamania

Wielu osobom posiadając multum kont, nie chce się pamiętać, które hasło ustawili, do którego z nich, dlatego żeby ułatwić sobie życie, używają jednego do wszystkich z nich. Jest to poważny błąd narażający na ataki hakerów.

Dobre hasła powinny być długie, za każdym razem składać się z co najmniej dwunastu znaków i być kombinacją cyfr i symboli. Nigdy nie używaj tego samego hasła dwa razy ani nie udostępniaj go innym. Zamiast używać łatwych do odgadnięcia fraz, oto kilka rzeczy, które powinieneś zrobić:

• połącz trzy losowe, niepowiązane frazy
• użyj losowo wygenerowanej sekwencji znaków
• nigdy nie używaj danych osobowych w swoim haśle – to pierwsza rzecz, jaka pomoże hakerom

Istnieje pozornie nieskończona lista wskazówek dotyczących haseł i powinieneś połączyć kilka z tych taktyk, aby utworzyć hasła niemożliwe do złamania. Po uzyskaniu kuloodpornych haseł uważaj na nie – nie udostępniaj ich, nawet znajomym, i zmieniaj je regularnie (mniej więcej raz na kwartał). Jeśli jesteś właścicielem lub me firmy, upewnij się, że wszyscy pracownicy także często zmieniają swoje hasła.

O hasłach, których nie powinno się używać chcąc chronić swoje dane przeczytasz w artykule: Najpopularniejsze i najczęściej hakowane hasła

3. Twórz regularnie kopie zapasowe

Jeśli witryna Twojej witryny zostanie zhakowana, potrzebujesz sposobu na szybkie wznowienie działania, aby nie stracić klientów. Dlatego ważne jest abyś miał kopie zapasowe witryny, żeby szybko przywróć najnowszą nieuszkodzoną wersję, jeśli coś pójdzie nie tak.

Żeby nie musieć martwić się i pamiętać warto pomyśleć o automatycznych regularnych kopiach zapasowych. Im częściej aktualizujesz swoją witrynę, tym częstsze powinny być kopie zapasowe. Jeśli zostaniesz zaatakowany, nie będziesz żałować, że utworzyłeś zbyt dużo kopii zapasowych swojej witryny.

4. Aktualizuj oprogramowanie

Korzystanie z CMS z różnymi przydatnymi wtyczkami i rozszerzeniami daje wiele korzyści, ale niesie ze sobą również ryzyko. Główną przyczyną hakowania witryn internetowych są luki w rozszerzalnych komponentach systemu zarządzania treścią.

Ponieważ wiele z tych narzędzi jest tworzonych jako programy typu open source, ich kod jest łatwo dostępny – zarówno dla programistów o dobrych intencjach, jak i złośliwych hakerów. Hakerzy mogą szukać luk w zabezpieczeniach, które pozwolą im przejąć kontrolę nad Twoją witryną, wykorzystując wszelkie słabości platformy lub skryptu. Aby chronić swoją witrynę przed włamaniem, zawsze upewnij się, że system zarządzania treścią, wtyczki i aplikacje są aktualne.

Powinieneś być w stanie ustawić te aktualizacje tak, aby odbywały się automatycznie na pulpicie nawigacyjnym – ale nadal warto mieć na to oko i upewnić się, że wszystko działa płynnie. Dopuszczenie do dezaktualizacji witryny może być śmiertelnym ciosem w kontekście jakim jest bezpieczeństwo strony internetowej, więc nie zaszkodzi zachować czujność i być na bieżąco z aktualizacjami.

5. Monitoruj regularnie swoją stronę

Przeprowadzaj regularne kontrole bezpieczeństwa witryny
Dobra kontrola bezpieczeństwa może pomóc zidentyfikować ci potencjalne problemy z Twoją witryną. Użyj usługi monitorowania sieci, aby to zautomatyzować. Dobrze byś przeprowadzał test oprogramowania swojej witryny co najmniej raz w tygodniu.

Po otrzymaniu raportu zwróć szczególną uwagę na wyniki. Powinien on zawierać szczegółowe informacje na temat wszystkich luk. Może nawet klasyfikować je według poziomu zagrożenia. Przejrzyj je dokładnie i zacznij od naprawy tych najbardziej szkodliwych.

Odpowiednie zabezpieczenie i nauczenie się, jak chronić się przed hakerami, to część dbania o bezpieczeństwo strony internetowej na dłuższą metę. Nie zwlekaj z podjęciem wymienionych wyżej kroków.

Otrzymujemy informacje o problemach podczas logowania się na stronie www.roundcube.pl

PRZYPOMINAMY! To nie jest strona naszej firmy. W żaden sposób nie jest powiązana z naszymi serwerami. Ponadto nie jest to również oficjalna domena twórców tego webmaila. Logowanie poprzez tą stronę może narażać na niebezpieczeństwo!

Przypominamy, że wszyscy nasi klienci mogą logować się w następujący sposób:

https://hd-nnn.stpl.net.pl/roundcube lub https://hd-nnn.stpl.net.pl/webmail

W przypadku, gdy domena podpięta jest do naszego serwera, można zalogować się w następujący sposób:

https://mojastrona.pl/roundcube lub https://mojastrona.pl/webmail

Jeśli kiedykolwiek zdarzyło Ci się zalogować na stronę www.roundcube.pl, zalecamy natychmiastową zmianę hasła do skrzynki pocztowej.

Dziś (31 marca) obchodzimy Międzynarodowy Dzień Backupu.

Czym jest backup?

Backup danych to inaczej kopia zapasowa lub kopia bezpieczeństwa, którą wykonuje się w celu zabezpieczenia danych. Kopie przechowywane są na zewnętrznym serwerze.
Najczęściej uświadamiamy sobie jak ważne jest posiadanie backupu w przypadku nagłej awarii. Dopóki wszystko działa jak należy, wydaje nam się, że wykonywanie kopii zapasowych jest zbędne.

Jakie mogą być przyczyny utraty danych?

Przyczyny utraty danych dzielą się na dwie grupy:

• niezależne od człowieka – sprzęt jest tylko sprzętem. Nawet jeśli posiadamy usługę w najlepiej zabezpieczonej serwerowni mogą dopaść nas zdarzenia losowe, np. awarie sprzętu, usterki techniczne, awarie oprogramowania, aktualizacje systemu, ataki hakerskie
• zależne od człowieka – każdemu z nas zdarza się popełniać błędy, np. przypadkowo usunąć dane; bądź wprowadzając zmiany, zapomnimy ich zapisać; wystarczy nawet zapomnieć o aktualizacji oprogramowania/wtyczki/oprogramowania antywirusowego

Jednym słowem: wypadki chodzą po ludziach. Dlatego tak ważne jest, aby się przed tym zabezpieczyć.

Po co wykonywać backup?

Kopie bezpieczeństwa jak sama nazwa wskazuje, służą bezpieczeństwu naszych danych. A bezpieczeństwo naszych danych powinno być dla nas priorytetowe. Dane firmowe to istotny obszar działania firmy. W swoim biznesie przechowujemy mnóstwo bardzo ważnych danych, takich jak: dane klientów, faktury, dokumenty handlowe, bazy danych i wiele innych. Ich utrata mogłaby być bardzo bolesna w skutkach. Dlatego lepiej się uchronić przed tym posiadając aktualną kopię zapasową.

Jak wykonać kopie zapasowe danych?

Idealnie, gdy kopia zapasowa jest wykonywana automatycznie przez firmę hostingową. Ważne jest również, aby kopia zapisywana była na dyskach zewnętrznych.
Posiadając usługę z panelem DirectAdmin, można w prosty sposób wykonać backup we własnym zakresie:

• logujemy się na użytkownika
• w zakładce funkcje zaawansowane wybieramy ‘utwórz/przywróć kopię zapasową’

Kopie zapasowe w STATNET wykonywane są następująco:

• serwery VPS root – kopia wykonywana jest 1 raz w tygodniu
• hosting dedykowany/hosting dla agencji – kopia wykonywana 1 raz dziennie. Przechowujemy 1 kopię dzienną oraz 1 kopię tygodniową

Istnieje możliwość wykonania większej ilości backup’ów. W tym celu prosimy się z nami skontaktować: [email protected].

Jest to bardzo ważny temat, szczególnie w obecnych czasach pandemii, kiedy spędzamy mnóstwo czasu w sieci.

Jest to doskonała okazja, aby przypomnieć kilka prostych i ważnych zasad, dzięki którym zapewnimy sobie bezpieczeństwo w internecie.

Oto one:

1. Oprogramowanie antywirusowe – jego zadaniem jest wykrywanie, zwalczanie i usuwanie wirusów
2. Zapora sieciowa – monitoruje przychodzący i wychodzący ruch i decyduje o tym które elementy mogą zostać przepuszczone a które należy zatrzymać.
3. Aktualizacja oprogramowania – obejmują naprawy błędów oraz pozwalają na poprawę funkcjonalności i użyteczności.
4. Silne hasła – skomplikowane hasła trudniej rozszyfrować .
   

Na koniec przypominamy aby być czujnym. Cyberprzestępcy czyhają na błędy wynikające z braku czujności.

Jeśli masz pytania? Skontaktuj się z nami! Jesteśmy na TAK, żeby Ci pomóc.

Ostatni dzień marca już kilku dobrych lat kojarzy nam się ze Światowym Dniem Backupu.

Przypominamy, że posiadając usługę w STATNET możesz spać spokojnie. Wykonujemy backup po naszej stronie. Jednak mimo wszystko zachęcamy i zalecamy aby wykonywać go również we własnym zakresie.

W przypadku serwerów VPS wykonujemy codzienną kopię bezpieczeństwa na zewnętrzne serwery i przechowujemy 1 kopię.

Posiadając hosting dedykowany oraz hosting dla agencji również wykonywana jest codzienna kopia zapasowa. Przechowywana jest 1 kopia dzienna i 1 tygodniowa.

W przypadku serwerów dedykowanych backup należy wykonywać we własnym zakresie.

Jeśli ta ilość backupów jest nie wystarczająca i chciałbyś mieć ich więcej, nie ma sprawy! Skontaktuj się z nami, przedstawimy Ci ciekawą propozycję. Jesteśmy na TAK, żeby Ci pomóc 🙂

Wszyscy użytkownicy, którzy posiadają usługę z panelem DirectAdmin mogą wykonywać kopię w prosty sposób:

Po zalogowaniu się do panelu, wybieramy domenę a następnie klikamy 'Utwórz/Przywróć backup’. Wybieramy pozycje, które mają być umieszczone w kopii zapasowej następnie klikamy 'Utwórz kopię zapasową’. W zależności od ilości danych, wykonywanie kopii może trwać od kilku do kilkunastu a nawet kilkadziesiąt minut. Po zakończonej operacji otrzymamy maila.
Gdy chcemy wgrać swój backup na serwer klikamy ponownie 'Utwórz/Przywróć backup’, następnie wybieramy plik i klikamy 'Wybierz opcje odzyskiwania’

Tak jak wspomnieliśmy na początku, krąży takie powiedzenie, że ludzie podobno dzielą się na tych którzy robią kopie zapasowe oraz tych, którzy je robić będą 😉 A Ty do której grupy należysz?

Drodzy Klienci,

W związku z zaistniałą sytuacją zdrowotną dotyczącą koronawirusa, podjęliśmy decyzję o przejściu całkowicie na tryb pracy zdalnej. Chcemy ograniczyć w ten sposób ryzyko zachorowania. Zależy nam na zdrowiu naszym oraz naszych najbliższych.

W związku z tym zgłoszenia techniczne prosimy zakładać w standardowy sposób, przez nasz panel klienta:  https://panel.statnet.pl 

W pilnych sprawach prosimy o kontakt telefoniczny w godzinach 8-18 w dni robocze. 

Prosimy o wyrozumiałość w sytuacji, gdy czas odpowiedzi na zgłoszenia może się nieznacznie wydłużyć.

Jednocześnie uspokajamy, że nasi administratorzy dbają o nieprzerwane działanie wszystkich usług. 

Mamy nadzieję, że dzięki stosowaniu przez nasz wszystkich wszelkich zachowawczych metod, sytuacja się ustabilizuje i uda się zatrzymać rozprzestrzenianie wirusa. Dlatego też, gorąco wszystkich zachęcamy do stosowania się do zaleceń Głównego Inspektora Sanitarnego: https://gis.gov.pl/aktualnosci/apel-glownego-inspektora-sanitarnego-w-zwiazku-z-wystepowaniem-koronawirusa-w-polsce/

Bądźmy zdrowi!

Kilka dni temu podczas spotkania grupy CA/Browser Forum, firma Apple oznajmiła, że niebawem przeglądarka Safari nie będzie uznawała certyfikatów SSL, których ważność będzie dłuższa niż 398 dni (13 m-cy). Zmiana ma obowiązywać od 1 września 2020r.

Ważne: Wszystkie certyfikaty wydane przed 1 września na dłuższy okres pozostaną ważne i nie będą wymagać modyfikacji ani wymiany. Jednak wszelkie certyfikaty wydane 1 września lub później, będą musiały być odnawiane co roku, aby zachować zaufanie Safari.

Jedna z popularnych wtyczek Demo Importer posiada lukę dzięki której nieautoryzowany użytkownik może usunąć zawartość strony. Plugin Demo Importer jest częścią motywów WordPressa publikowanych przez twórcę ThemeGrill. Jak nazwa wskazuje, importuje on zawartość demo, widżety i ustawienia motywów. Importując te dane za pomocą jednego kliknięcia, ułatwia użytkownikom import zawartości demo, dając im w pełni skonfigurowane witryny wypełnione przykładowymi postami. Niestety umożliwia on również nieautoryzowanym użytkownikom wyczyszczenie całej bazy danych witryny WordPressa do jej stanu domyślnego, a następnie zalogowanie się jako administrator. Więcej na ten temat można przeczytać na stronie dostawcy WebARX zajmującego się bezpieczeństwem aplikacji internetowych tutaj.

Według firmy zajmującej się bezpieczeństwem, luka istnieje od około trzech lat w wersjach od 1.3.4 do 1.6.1 i dotyczy witryn korzystających z wtyczki, w której również zainstalowano i aktywowano motyw od ThemeGrill. Luka bezpieczeństwa tkwi w błędzie uwierzytelnienia wprowadzonym przez class-demo-importer.php, który ładuje funkcje importera wersji demo. Ten plik dodaje integruje się z kodem funkcji admin_init, czyli kodem działającym na dowolnej stronie administratora.

Kod dodany do admin_init umożliwia usunięcie zawartości bazy danych. Wszystko, co jest potrzebne do uruchomienia czyszczenia, to dołączenie parametru do_reset_wordpress do adresu URL na dowolnej stronie administracyjnych. Jedną ze stron administracyjnych jest /wp-admin/admin-ajax.php, która nie wymaga uwierzytelnienia użytkownika podczas ładowania. Załadowanie strony ze problematycznym spowoduje usunięcie tabel.

We wtorek 18 lutego opublikowano poprawioną łatkę – wersję 1.6.3.

Przypominamy, aby w sytuacji gdy nie używamy już danej wtyczki, najlepiej jest ją wyłączyć i usunąć.

Dziś obchodzimy Dzień Bezpiecznego Internetu.

Poniżej przedstawiamy 5 prostych zasad bezpiecznego korzystania z internetu:

1. Certyfikat SSL – zwracaj uwagę czy strona, z której korzystasz, posiada ważny certyfikat SSL (zielona kłódka przy adresie URL).
Dzięki bezpiecznemu protokołowi HTTPS Twoje dane zostaną szyfrowane i nie trafią w niepowołane ręce.

2. Silne hasła – zawsze używaj silnych i trudnych do odgadnięcia haseł. Dobrze jest w tym celu używać kombinacji dużych i małych liter, cyfr i znaków specjalnych. Dzięki temu trudniej będzie je rozszyfrować.

3. Podejrzane maile – zwracaj uwagę na podejrzane maile z załącznikami. Tutaj warto być czujnym. Jeśli nic nie zamawiałeś, ignoruj wiadomości od ‘firmy kurierskiej’, nie pobieraj podejrzanej faktury. Zwracaj uwagę na szczegóły – często zainfekowane wiadomości zawierają błędy językowe lub gramatyczne. Adresy mailowe mogą różnić się jedną literą od prawdziwej domeny nadawcy. Nie otwieraj linków do stron, których nie znasz.

4. Program antywirusowy – warto korzystać z tego typu programów aby zabezpieczyć swój komputer przed niechcianymi wirusami. Warto pamiętać, że nie wystarczy samo zainstalowanie, należy pamiętać o jego aktualizacjach!

5. Czujność – na koniec najważniejsza zasada. Bądź czujny 🙂 Cyberprzestępcy tylko czyhają na Twoje błędy wynikające z braku czujności.

Masz pytania? Skontaktuj się z nami! Jesteśmy na TAK, żeby Ci pomóc.

Niewątpliwie WordPress jest jednym z najpopularniejszych systemów CMS na świecie. Jest zbudowany i zaprojektowany w taki sposób, aby podnieść standardy sieciowe, estetykę oraz użyteczność. Właśnie to sprawia, że WordPress jest najczęściej wybieranym CMS wśród blogerów, projektantów i właścicieli firm. Jednak przy takim masowym użyciu wciąż krąży zły mit w branży, że jedynie dodanie certyfikatu SSL zapewni, że strona z WordPressem będzie bezpieczna.

Naszym zdaniem około połowa luk w platformie WordPressa występuje przez nieuwagę  użytkownika. To czyni ich łatwym celem do ataków. Istnieją niektóre sprawdzone metody, które pomogą wzmocnić bezpieczeństwo WordPressa. W tym artykule przedstawimy zarówno podstawowe informacje oraz kilka mniej popularnych porad dotyczących problemów związanych z zabezpieczeniami systemu WordPress.

Dzięki nim możemy zaoszczędzić sobie kłopotów związanych z bezpieczeństwem stron internetowych opartych na WordPress, a zamiast tego skupić się na rozwijaniu oraz ulepszaniu swojego projektu.

Wskazówki bezpieczeństwa WordPress

1. Odpowiedni hosting – już na samym początku możemy znacząco zwiększyć bezpieczeństwo naszej strony wybierając bezpieczniejsze i stabilniejsze rozwiązanie hostingowe. Istnieją cztery rodzaje rozwiązań hostingowych:

• hosting współdzielony– na jednym serwerze znajduje się wiele różnych użytkowników. Każdy z klientów otrzymuje dostęp do panelu administracyjnego, jest on stosunkowo prosty nawet dla laików. Zaletami tego typu rozwiązania jest zarówno łatwe użytkowanie oraz niska cena. Natomiast jeśli chodzi o wady to najistotniejszą jest jego niska stabilność oraz ograniczone zasoby. Jeśli którekolwiek z kont zostanie pomyślnie zhackowane, cały serwer zostanie uznany za zagrożony.

• serwer VPS– jest to wirtualna dedykowana maszyna instalowana na serwerze. Każdy użytkownik otrzymuje dedykowane zasoby RAM oraz HDD. Jeśli chodzi o CPU jest one współdzielone, jednak im większy pakiet tym współdzielenie jest mniejsze. Użytkownik otrzymuje czysty system operacyjny z dostępem ssh, serwer należy skonfigurować we własnym zakresie. Niewątpliwą zaletą zatem jest niezależność od pozostałych użytkowników, natomiast konieczne jest posiadanie umiejętności potrzebnych do obsługi serwera. Należy we własnym zakresie wykonywać kopię zapasową, pamiętać o wszelkich aktualizacjach itd.

• hosting dedykowany– jest to serwer VPS z administracją. Tutaj nie musimy się martwić, jeśli nie posiadamy ww umiejętności, ponieważ otrzymujemy w pełni skonfigurowany, gotowy do pracy system ( z bazą danych MySQL, PHP, serwerem poczty, serwerem FTP), z panelem administracyjnym DirectAdmin. W przypadku tej usługi nie musimy się martwić o bieżące aktualizacje, gdyż są one wykonywane po naszej stronie. Dodatkowo wykonywany jest codzienny backup, serwer jest również podpięty pod monitoring, dzięki któremu w porę wychwytywane są ewentualne awarie.

2.   Regularne kopie zapasowe – dzięki temu będziemy mieli pewność, że nawet jeśli zdarzy nam się jakiś błąd, zawsze możemy przywrócić swoją stronę do czasu sprzed wprowadzania zmian. Dlatego pamiętajmy, aby w miarę możliwości wykonać backup przed wprowadzeniem nowych zmian. 

Można go wykonać na dwóch poziomach:  

• Offsite WordPress Backup- tworzenie kopii zapasowej jest dość łatwe. Dzięki wtyczce UpdraftPlus, która tworzy kopię zapasową witryny WordPress do pamięci zewnętrznej, takiej jak Dropbox, Dysk Google, Amazon S3 itd. 

• kopie zapasowe wykonane przez dostawcę hostingowego– przed wprowadzeniem zmian musimy zapoznać się z polityką tworzenia kopii zapasowej naszej firmy hostingowej i zlecić bądź wykonać ją samodzielnie.

Jeśli jesteś klientem STATNET, jesteś w dobrych rękach. Wykonujemy codzienną kopię zapasową. W razie problemu wystarczy napisać w zgłoszeniu a kopia zostanie wgrana na serwer. 

3.  Silne hasło- tworzenie silnego hasła jest absolutnym obowiązkiem. Zapewnia żelazną ochronę przed lukami w WordPress. Staraj się tworzyć hasła trudne do odgadnięcia (używaj liter alfabetu, liczb, znaków interpunkcyjnych).             

4.  Ograniczona ilość prób logowania- domyślnie WordPress pozwala użytkownikowi spróbować zalogować się wiele razy, co pozwala w prosty sposób na ataki typu Brute Force (technika łamania haseł polegająca na sprawdzeniu wszystkich możliwych kombinacji). Możemy utworzyć dodatkową warstwę zabezpieczeń dla swojej witryny WordPress, instalując wtyczkę ograniczającą próbę logowania (WP Limit Login Attempts). Narzędzie to blokuje adres IP hakera, który próbuje dostać się do panelu administracyjnego WordPress. Dodatkowo możemy ograniczyć także liczbę nieudanych prób logowania dla użytkownika.

• Użyjmy uwierzytelniania dwuetapowego – WordPress oferuje uwierzytelnianie dwuskładnikowe za pomocą wtyczek, które wymagają dodatkowych czynników identyfikacyjnych ,np: unikalne hasło wysyłane przez SMS/email, kod QR, powiadomienie push.

5.  Zmiana adresu URL logowania WordPress oraz domyślna nazwa użytkownika.

• Zmiana adresu URL logowania WordPress– sugerujemy zmianę domyślnego adresu URL logowania do WP-admin, aby utrudnić hakerom odgadnięcie i przeprowadzenie ataku Brute Force. (np. zamiast www.mojastrona.pl/wp-admin możemy ustawić www.mojastrona.pl/logowanie) W tym celu należy skorzystać z wtyczki WPS Hide Login. 

• Zmiana domyślnej nazwy użytkownika WordPress– zmiana nazwy użytkownika można wykonać za pomocą wtyczki Username Changer. Natomiast jeśli nie chcemy korzystać z wtyczki, możemy wykonać to w prosty sposób wchodząc w pulpit nawigacyjny, tworząc nowego użytkownika i przypisując mu rolę “Administratora”.

6.  Aktualizacja WordPressa– należy pamiętać o regularnych aktualizacjach. Pamiętajmy o tym, aby aktualizować zarówno samego WordPressa jak również wtyczki oraz szablony, dzięki temu nasza strona będzie działała stabilniej.

7.  Usuwanie nieużywanych wtyczek lub motywów– zachęcamy do testowania nowych motywów oraz wtyczek dzięki którym ulepszymy działanie naszej strony. Jednak po przetestowaniu bardzo często dezaktywujemy wtyczkę zamiast odpowiednio ją odinstalować. Niestety nieużywane i nieaktywne wtyczki oraz motywy stanowią potencjalne zagrożenie dla naszej strony. Różnica między dezaktywacją a deinstalacją jest prosta. Dezaktywacja tylko ‘wyłącza’ wtyczkę i zatrzymuje ją na wypadek, gdyby znowu była potrzebna, natomiast deinstalacja usuwa ją na stałe.

Poniżej przedstawiamy kilka z najlepszych praktyk stosowanych przez programistów, dzięki którym podniesiemy poziom bezpieczeństwa naszego WordPressa. 

8. Jak zapobiec iniekcji kodu SQL oraz hakowaniu adresów URL – atak iniekcji SQL polega na tym, że hakerzy umieszczają polecenia w polu URL użytkownika lub polu komentarza użytkownika, aby wywołać określone zachowanie w ich bazie SQL, będące językiem poleceń używanych w bazie danych MySQL. Jeśli zostanie poprawnie przekształcony w ‘zastrzyk’, może ujawnić poufne informacje o konkretnej bazie danych użytkowników. 

Wiele z dzisiejszych cyberataków na stronie internetowej odbywa się za pomocą różnych zastrzyków SQL. Ponieważ większość instalacji WordPressa jest hostowanych na serwerze WWW Apache, a do definiowania reguł dostępu używa pliku .htaccess. Niewielkie zmodyfikowanie kodu .htaccess może uratować użytkownika przed tego typu atakami. 

Poniżej przedstawiamy kod, który można wstawić na swojej stronie internetowej. Plik .htaccess zawierający zestaw reguł uniemożliwiających wielu poważnych iniekcji SQL.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\:  [NC,OR]
RewriteCond %{QUERY_STRING} http\:  [NC,OR]
RewriteCond %{QUERY_STRING} https\:  [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

 9. Jak odmówić dostępu do poufnych plików w WordPress – instalacja WordPress zawiera określone poufne pliki, takie jak wp-config.php, install.php i pliki readme.html. Pliki te w celach bezpieczeństwa powinny być ukryte przed dostępem z zewnątrz.

Oprócz uniemożliwienia dostępu do list katalogów użytkownika, poniższy kod pomoże także w ukrywaniu poufnego serwera oraz plików WordPress.

Options All -Indexes

<files .htaccess>
Order allow,deny
Deny from all
</files>

<files readme.html>
Order allow,deny
Deny from all
</files>

<files license.txt>
Order allow,deny
Deny from all
</files>

<files install.php>
Order allow,deny
Deny from all
</files>

<files wp-config.php>
Order allow,deny
Deny from all
</files>

<files error_log>
Order allow,deny
Deny from all
</files>

<files fantastico_fileslist.txt>
Order allow,deny
Deny from all
</files>

<files fantversion.php>
Order allow,deny
Deny from all
</files>

10. Usuń numer wersji WordPressa- WordPress automatycznie dodaje bieżący numer wersji WordPress. Nie trudno go znaleźć, jest widoczny w kodzie źródłowym strony. Publiczna dostępność wersji ułatwia hakerom wykonanie ataku wykorzystując luki określonej wersji.

 Wystarczy umieścić prosty wiersz kodu do pliku functions.php

remove_action( 'wp_head', 'wp_generator' );

Wybierając usługę Hosting Dedykowany otrzymujemy w pełni skonfigurowany serwer vps. Dodatkowo w celu zwiększenia bezpieczeństwa zapewniamy:

• Monitorowanie serwera
• Firewall
• Zaktualizowany system operacyjny wraz z aktualnymi aplikacjami
• Kopie zapasowe
• Możliwość uruchomienia darmowego certyfikatu SSL
• Wsparcie techniczne 

Wspomniane wyżej wskazówki zapewnią, że nasza strona będzie bezpieczniejsza. Jednak, podobnie jak w przypadku innych form bezpieczeństwa, ochrona witryny WordPress jest procesem ciągłym, który jest często modyfikowany poprzez wprowadzanie nowych kodów, trików i narzędzi.

Sugerujemy, aby zapisywać w dzienniku informacje o tym, co się wydarzyło w WordPressie za pomocą wtyczki audytu bezpieczeństwa, oraz korzystać z wtyczki bezpieczeństwa WordPress.

Masz pytania? Skontaktuj się z nami! Jesteśmy na TAK, żeby Ci pomóc.