Bez zbędnych wstępów – omówię dziś 10 rzeczy, które musisz zmienić, sprawdzić lub skonfigurować w WordPress, aby Twoja strona już na starcie była odpowiednio przygotowana do wyzwań, jakie przed nią postawisz. Większość zmian to konfiguracja, która zwiększa bezpieczeństwo, ale nie tylko.
Nie używaj Autoinstalatora
Jest to jedna z najgorszych możliwych opcji instalowania WordPressa – Powody takiego stanu rzeczy poznasz w artykule – Dlaczego nie warto używać autoinstalatorów, aby zainstalować WordPressa?
Pamiętaj, że im więcej rzeczy będziesz w WordPress robić samodzielnie tym lepiej go poznasz, będziesz w stanie się więcej nauczyć i będziesz mógł samodzielnie rozwiązywać większość problemów… lub jak ja staniesz się specjalistą od WordPressa :)
Zmień domyślny prefix tabeli baz danych
Jest to jedno z najważniejszych ustawień, które należy odpowiednio skonfigurować, aby uchronić się od części ataków, a przy okazji problemów. Domyślnie nadawany prefix WP_ jest bardzo niebezpieczny.
Przykładowo – Jeżeli ktoś znajduje lub wykorzystuje lukę pozwalającą wykonywać zapytania do bazy danych to musi znać prefix, aby wykonać w niej operacje np. dodać nowego użytkownika, masowe strony i wpisy promujące viagrę.
Polecam ustawienia niestandardowe np. 1D56_W34_, ale nic nie stoi na przeszkodzie, aby było to po prostu PL837F.
Jak zmienić prefix bazy danych opisałem a innym artykule:
Możesz też zrobić to z pomocą wtyczki (uprzednio wykonując backup) i pokazuje to w tym filmie:
Sprawdź klucze bezpieczeństwa (Secret Key) w WP-CONFIG
W pliku WP-CONFIG wygląda to mniej więcej tak:
define('AUTH_KEY', '6*+#fr)7$l|8Deup 2a96`1jI$v-Cqp+XqNQB$/xO:&JH_sYTqOO$gQ1#ENj_o>c');
define('SECURE_AUTH_KEY', '<<#+[C?|A+|:W ,m]=za?W7q?[c9;U[/e{r@V$r1]=~8>}cz6>&2mb1nk$+)M;; ');
define('LOGGED_IN_KEY', 'bq<,MObC8F`?qRLXvQ=&^szo5xJZk-?rYF;Y@8Rr9V8}P-Zev-+<)i}p?68~QPAn');
define('NONCE_KEY', 'xXF:tKNUx{Vk%IP!RTSkH6B``,BQ-q|j1?V6,E8&7+VyC#hUW-y3w~pX0l6:=t^T');
define('AUTH_SALT', 'sh n5F5u~`uB*Bgaq:_O/d*YUFFCb4S8~n`te{QyNRjyV10rB:W3w|g|Py..3u^9');
define('SECURE_AUTH_SALT', '^qi/;5R)<j_wnQbD`R6HL/)<LERl3Msc^g/A4gXcA8l|4CgB+*g](kR@N4t(]cfx');
define('LOGGED_IN_SALT', 'W91&|mVvGc)p8<[H~B{v1sgLw}-Xr`.[.nVE*+0hkvRm5D=:upT^tJ=-zUsd4PcN');
define('NONCE_SALT', 'i>]f~4]_<u:br; U6Xn,-}S1N]cc;X(Bj5P_0%vGj#xry})/L|Q J~zxsuY}S|Hp');
Aby je wygenerować w celu zmiany lub dodania wychodzimy pod ten link, a następnie kopiujemy i zmieniamy istniejące linijki na nowo wygenerowane.
Wyłącz Debugowanie
Jeżeli instalowałeś WordPress przez autoinstalator może się zdarzyć, że domyślnie pozostawił on aktywną opcję pokazywania błędów naszego WordPressa – aby wyłączyć wystarczy znaleźć zmienną WP_DEBUG i zmienić ’true’ na ’false’
Zmień format bezpośrednich odnośników
Tutaj są dwie drogi – jedni ustawiają standardowo strona.pl/nazwa-wpisu lub podobne, jednak można zabezpieczyć się dodatkowo (tak wiem, że powstrzymam tylko ułamek ataków) ustawiając niestandardowe bezpośrednie odnośniki – zwróć uwagę, że każdy z moich wpisów zawiera jego ID oraz rozszerzenie PHP.
ID ustawiłem w celu późniejszego zgłoszenia bloga do Google News, a PHP właśnie jako niestandardowe i nietypowe dla WordPressa ustawienie. Tutaj masz pewną dowolność, ponieważ odnośnik może przybrać dowolną formę.
Zmień uprawnienia plików WP-CONFIG oraz .HTACCESS na 440 lub 400
Te dwa krytyczne pliki nie powinny już być zmieniane (zbyt często), więc możemy spokojnie pozostawić je tylko do odczytu dla właściciela i grupy (chmod 440) lub tylko dla właściciela (chmod 400).
Jest jednak pewna niedogodność – niektóre zmiany będą wymagały zapisu do tych plików informacji – wtedy wystarczy nadać uprawnienia umożliwiające zapis, wykonać zaplanowaną operację i przywrócić ponownie bezpieczne uprawnienia dla tych plików.
Usuń WP-CONFIG-SAMPLE.php, plik README oraz LICENSE
Każdy z nich jest po prostu zbędny – dodatkowo plik Readme zawiera informacje o używanej wersji WordPress – niby wykonanie tego wg niektórych jest bez sensu, ale właściwie po co nam ten plik ?
Zmień opis witryny
Domyślnie „Kolejna witryna oparta o WordPress” jest dość często niezmieniana – W ustawieniach ogólnych zmień to na dowolny – własny opis.
To też jedna z tych opcji, która jest istotna do ustawienia, jeżeli będziesz chciał rozpocząć pozycjonowanie swojej strony internetowej.
Usuń Hello Dolly oraz Akismet i niepotrzebne motywy domyślne
Dlaczego warto usunąć Akismeta pisałem tutaj, hello dolly to „pusta wtyczka”, a domyślne motywy usuń jeżeli już zainstalowałeś motyw, na którym będziesz pracować.
Upewni się, że katalogi wp-content, upload, themes, i plugins zawierają pusty plik index.php
W 99,9% przypadków te pliki istnieją, jednak nie zaszkodzi upewnić się, że nikt nie zobaczy zawartości tych katalogów.
Zobacz Również: Kurs WordPress: Ochrona przed Spamem i hakerami
Ilustracja: ShutterStock – Poznaj darmowe źródła zdjęć na bloga i stronę.
