Jak zadbać o cyberbezpieczeństwo strony opartej na WordPress?

Obecnie około 30-40% witryn na całym świecie bazuje na systemie WordPress. Z następnego pod względem popularności systemu korzysta jedynie kilka procent użytkowników. Firmy chętnie decydują się na rozwiązanie w postaci WordPress przede wszystkim ze względu na niskie koszty i łatwość utworzenia strony internetowej. Podczas zarządzania stroną www za pomocą tego systemu warto pamiętać o odpowiednich zabezpieczeniach, żeby cyberprzestępcy nie mogli zdobyć wartościowych danych ani przejąć witryny do własnych celów. Jak to zrobić? Sprawdź poniżej.

Ustaw odpowiedni login i hasło do panelu administratora.

Wiele stron opartych na WordPress używa domyślnego loginu w postaci słowa “admin”. Firmy nie potrafią tego zmienić albo nie wiedzą, że można i trzeba. To poważny błąd. Cyberprzestępcy od razu wpisują taki login, próbując się włamać na witrynę. Znajomość połowy danych logowania znacznie ułatwia im sprawę. Dlatego warto ustawić inne słowo kojarzące się z administratorem, które nie będzie takie oczywiste. Koniecznie też poświęć uwagę hasłu, by nie stanowiło łatwej do odgadnięcia kombinacji znaków.

Wprowadź uwierzytelnianie dwuskładnikowe.

Ustaw na WordPress weryfikację dwuetapową, by przy logowaniu potrzebny był dodatkowy krok poza wpisaniem loginu i hasła – a mianowicie podanie kodu przychodzącego na smartfona. Nawet jeśli hakerzy rozpracują dane logowania, niewiele im to da, gdy napotkają kolejną przeszkodę na swojej drodze. Żeby wprowadzić takie rozwiązanie, wystarczy zainstalować dedykowaną wtyczkę, na przykład WP 2FA lub Two Factor.

Ogranicz liczbę osób z dostępem do panelu administratora.

Zastanów się, kto faktycznie potrzebuje przy swojej pracy dostępu do systemu WordPress, a komu jest to zupełnie zbędne. Im mniej osób ma dane logowania, tym mniejsze szanse, że  w wyniku wycieku hasła osoba niepowołana dostanie się do wewnętrznych zasobów strony internetowej. Poza tym jeśli decydujesz się na kilku adminów, każda z tych osób powinna mieć indywidualne konto administratora, z własnym (unikalnym) loginem i hasłem.

Nie zapomnij o protokole HTTPS.

Kojarzysz kłódeczkę widoczną po lewej stronie paska adresowego? Sygnalizuje ona, że domena używa certyfikatu SSL, a więc jest znacznie bardziej bezpieczna niż domeny pozbawione takiego oznaczenia. Certyfikat SSL zabezpiecza przesyłanie poufnych danych, w tym haseł, loginów, danych osobowych czy numerów kart kredytowych. Zmniejsza ryzyko przechwycenia tych informacji. Jednocześnie zwiększa wiarygodność i prestiż witryny. Koniecznie pamiętaj o wprowadzeniu tego rozwiązania u siebie, dzięki czemu na początku adresu strony pojawi się “https”. Niektóre hostingi oferują to bezpłatnie.

Przejrzyj zainstalowane wtyczki.

Sprawdź, które z wtyczek zainstalowanych na stronie są potrzebne do jej działania. Wszystkie nieużywane i zbędne możesz z powodzeniem odinstalować. Każda taka wtyczka wiąże się z ryzykiem skutecznego ataku hakerskiego, więc ogranicz szanse wystąpienia problemu. Instalując nową wtyczkę, upewnij się, czy pochodzi ona ze sprawdzonego źródła i czy faktycznie jej potrzebujesz. Nie lekceważ też aktualizacji stosowanych wtyczek. Są one bardzo ważne, gdyż nierzadko naprawiają wykryte podatności i luki.

Od czasu do czasu zmieniaj hasło.

Nigdy nie masz pewności, czy dane logowania do panelu administratorskiego już gdzieś nie wyciekły, zwłaszcza gdy korzysta z nich sporo osób. Niestety zdarza się, że pracownik zapisuje takie informacje na karteczce i przykleja do monitora. Jednak nawet jeśli nie nastąpi błąd ludzki, hakerzy potrafią złamać hasło, zwłaszcza jeśli nie jest ono zbyt skomplikowane. Dlatego staraj się co jakiś czas ustawiać nowe, oczywiście jak najmniej podobne do poprzedniego.

Regularnie wykonuj kopie zapasowe.

Regularne robienie kopii zapasowych to jeden z filarów cyberbezpieczeństwa firmy. Nie zaniedbuj też tej kwestii, jeśli chodzi o dane zgromadzone na stronie internetowej. Wyobraź sobie, że w wyniku ataku ransomware cyberprzestępcy przejmują Twoją stronę i szyfrują lub kasują wszystkie zawarte na niej informacje – zarówno te widoczne dla internautów, jak i zgromadzone na koncie administratora. Nagle tracisz źródło kontaktu z klientami i mnóstwo wartościowych danych. Mając kopię zapasową, sprawnie postawisz nową witrynę i nie staniesz przed dylematem, czy płacić okup za odblokowanie danych.

Aktualizuj WordPress.

Pamiętaj, aktualizacje proponowane przez system są ważne. Często dotyczą kwestii bezpieczeństwa, na przykład służą załataniu wykrytej luki w zabezpieczeniach lub podnoszą poziom ochrony. Zignorowanie aktualizacji witryny do najnowszej wersji oprogramowania znacznie zwiększa ryzyko cyberataku. Żeby ułatwić sobie życie i nie robić wszystkiego za każdym razem ręcznie, w ustawieniach możesz zaplanować automatyczną aktualizację WordPress.

Jak zwiększyć bezpieczeństwo firmy w cyberprzestrzeni? Przeprowadź bezpłatny audyt cyberbezpieczeństwa, który odkryje luki w zabezpieczeniach. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso