PROCEDURA: SN Checklist for WPExperts
29 kwietnia 2014
Typy blogów – Blog Korporacyjny, Firmowy i Osobisty
11 maja 2015

Kurs WordPress: Ochrona przed Spamem i hakerami

Kurs Wordpress: Ochrona przed Spamem i hakerami

W przypadku WordPressa, dużym problemem jest SPAM w komentarzach, który oprócz bałaganu w kokpicie potrafi mocno obciążać stronę.

W dzisiejszym artykule dowiesz się jak w 3 minuty pozbyć się spamu w komentarzach, oraz jak zabezpieczyć stronę przed hakerami.

Krok 1: Wtyczka AntySpam dla WordPress

Usuń Akismeta, ta wtyczka jest już dawno przestarzała i nie jest skuteczna (a do tego płatna – więcej tutaj) – działa na zasadzie spamu w Gmail, porównuje komentarze, które są dodawane do tych, które posiada w swojej bazie… co w przypadku komentarzy typu: „jdjsdobd jkdsjfbn” jest mało skuteczne.

Więc jaką wtyczkę antyspamową wybrać?

Najlepszą i najskuteczniejszą jest obecnie Anti-Spam. Metoda działania jest prosta – kiedy użytkownik wchodzi na stronę widzi formularz taki jak ten:

spam w komentarzach WordPress

Kiedy jednak na stronę wchodzi robot, on z automatu wypełnia wszystkie pola formularza i zmienia już te, które istnieją – dla niego formularz wygląda tak:

 

Kiedy wartości powyższych pól ulegają zmianie lub odznaczony zostanie checkbox (zmieni je robot), wtedy komentarz nie jest akceptowany – nawet jeżeli zrobimy to my.
anti-spam-czy-dziala

Krok 2: Zmień adresy URL na nietypowe

UWAGA! Zmiana na serwisach, które już istnieją jakiś czas, bez konsultacji ze specjalistą, może skończyć się spadkiem pozycji w Google i ruchu oraz spowoduje błędy „nie znaleziono” dla starych linków!

WordPress’a bardzo łatwo poznać po kilku szczegółach m.in. adresach URL.

Udaj się do ustawień odnośników bezpośrednich (Ustawienia > Bezpośrednie Odnośniki) i zmień np. na te pokazane poniżej.

format-adresu-posta-w-wordpress

Na powyższym przykładzie %postname% odpowiada za tytuł, a %post_id% za ID w bazie danych. Oczywiście możemy stosować końcówki PHP/HTML i inne, nie musi być to dokładnie tak jak powyżej ważne, aby format był inny od domyślnych.

Krok 3: Usuń pliki LICENSE i README z głównego katalogu

Po ich zawartości bardzo łatwo będzie sprawdzić czy np. posiadasz podatną na jakiegoś szkodnika wersję WordPress

Krok 4: Usuń ze stopki informację typu „Dumny z Wordpressa”

W edycji szablonu lub widgeta odpowiadającego za wyświetlanie stopki.

Krok 5: Zmień treść Błędu 403 (odmowa dostępu)

Jeżeli, ktoś jednak postanowi sprawdzić czy posiadasz WordPressa pierwszym krokiem będzie sprawdzenie istnienia podstawowych katalogów, jakie posiada każdy blog na tym skrypcie np. wp-admin – ustaw przekierowanie błędu 403 na nieistniejącą stronę, tak aby odwiedzający uzyskał komunikat, że podana strona nie istnieje – w pliku .htaccess wystarczy wpisać kod:

RewriteEngine On
RewriteBase /
ErrorDocument 403 http://domenajakas.pl/blad

Dodatkowe Informacje

Polecam zapoznanie się z Wpisem Szymka o tutaj, ale dodam uwagi od siebie:

  • Jeżeli zablokujesz plik WP-LOGIN za pomocą logowania dodatkowego przez .htpasswd blokujesz sobie możliwość zabezpieczania wpisów hasłem, aby ukryć wpis lub zabezpieczyć go przed dostępem osób niepowołanych możesz skorzystać z tej metody.
  • Zawsze przy nowej instalacji zmień nazwę admin na inną (nietypową) np. ad_83i.
  • Zawsze rób niestandardowe prefixy bazy danych (lub zmień istniejące) np. zamiast wp_ niech będzie jdue7_kdn
  • Po utworzeniu nowego użytkownika (np, pierwszego po instalacji) zmień jego ID z domyślnego 1 na np. 668551 instrukcję znajdziesz w kodeksie lub bezpłatnie wyślę ją e-mailem
  • Zmień domyślną lokalizacje pliku WP-CONFIG najlepiej na taką, która nie jest dostępna z poziomu internetu – jeżeli twoja strona jest w katalogu /home/uzytkownik/domains/domena.pl/public_html/ wtedy plik WP-CONFIG umieść w katalogu /domena.pl/ i odpowiednio zmodyfikuj zapisy pliku, aby mógł się wykonywać.
  • Usuń wszystkie nie używane motywy i wtyczki oraz minimalizuj ich ilość – pamiętaj, że każda może być narażona na atak. Listę wtyczek, które są podatne znajdziesz w EXPLOIT-DB gdzie nie tylko opisują, które są podatne, ale też pokazują jak dokonać ataku i jak szukać podatnych stron.
  • Zablokowanie bezwzględnie (jeżeli nie korzystamy) pliku XML-RPC.php w głównym katalogu WordPress
Jakub Jaworowicz
Jakub Jaworowicz
Marketingiem zajmuję się od 15 roku życia, zacząłem od brzydkich stron w kreatorze stron usługi Republika serwisu Onet - obecnie obsługuje ponad 200 klientów i 450 serwisów WWW rocznie, które tworzyłem lub mam je pod swoją opieką (w zakresie wsparcia i utrzymania). Ostatnio etatowo pracowałem jako Specjalista ds Marketingu w największym ogrodniczym sklepie internetowym (SADOWNICZY.PL) oraz jako kierownik działu wsparcia sprzedaży dla tego sklepu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Powiązane tematy: Wordpress, Kurs Wordpress, Ochrona przed SPAM'em i Hakerami

Szczegóły wpisu: Opublikowano - przez