Trudne hasło, to nie wszystko. Każde hasło da się odgadnąć, to kwestia czasu i mocy komputera. Trzeba zrobić tak, żeby jak najbardziej utrudnić atakującemu próbę odgadnięcia takiego hasła. Co zrobić, żeby nieco podnieść bezpieczeństwo WordPressa? Na początek proponuję 5 niedużych zmian, które Twojej stronie mocno podniosą odporność na ataki.
Usuwamy admina
Większość instalacji WordPressa pochodzi z systemów automatycznej instalacji na hostingach. Zazwyczaj w takiej instalce, w niezaawansowanych opcjach nie mamy wyboru zmiany nazwy admina i domyślnie nasz login to admin – no i cyk pierwsza z tajemnic odgadnięta, teraz wystarczy tylko odgadnąć hasło i można się komuś wbić na stronę. Dlatego dobrym rozwiązaniem w takim wypadku jest dodanie nowego użytkownika z przywilejami administratora, z trudnym loginem z różną wielkością liter i cyframi, oraz trudnym, długim hasłem. Starego admina usuwamy, w tym momencie WordPress nas zapyta, komu chcemy przypisać wszystkie stworzone przez tego admina wpisy i strony. Wybieramy z listy nasze nowe konto i przypisujemy naszemu nowemu adminowi wszystko.
Ustawiamy trudne hasło
Hasło ustawiamy na ciąg przypadkowych znaków, im dłuższe tym lepiej. Tak wiem, nie każdy ma głowę na wymyślanie takich haseł, dlatego można wykorzystać generator haseł. W internecie jest pełno stron, które oferują darmowe generowanie haseł choćby np. 1password jest to bardzo znany manager haseł. Oczywiście jeżeli nie chcemy generować takiego hasła przez stronę internetową, możemy zainstalować na swoim komputerze, lub smartfonie aplikację z managerem haseł i tam sobie generować, a potem zapamiętywać hasła. A nawet można ich użyć do wygenerowania loginu dla naszego admina, taki tandem to na prawdę trudna rzecz do złamania.
Ukrywamy stronę logowania wp-admin
Za pomocą wtyczki np. WPS Hide Login możemy ukryć stronę logowania i nie będzie ona już dostępna pod adresem: twoja_strona/wp-admin, tylko możemy jej dodać jakikolwiek swój adres. Więcej o zaletach i wadach używania takiej wtyczki napisałem tutaj. Połączenie tych trzech rzeczy to już jest spore wyzwanie dla kogoś, kto by chciał w jedno popołudnie uprzykrzyć nam życie.
Wyłączamy możliwość logowania przez XML-RPC
Tak na prawdę rzadko kiedy używany xml-rpc, a na wielu strona w ogóle nie używany, mało kto o nim pamięta – oprócz botów. Można go wyłączyć w prosty sposób. Więcej na ten temat opiszę w nowym artykule. Więc jeżeli masz po prostu stronę, nie prowadzisz bloga i nie zależy Ci na pingbackach i trackbackach, to zablokuj plik xmlrpc.php, co znacznie podniesie bezpieczeństwo Twojej strony.
Dodajemy logowanie 2FA
2FA, czyli „Two Factor Autentication”, a po naszemu dodatkowy token do logowania się na zapleczu WordPressa. Niby nic, teraz wiele się mówi, że tokeny i tak nie działają, bo sprytni „specjaliści z banku” i tak potrafią go od okradanej osoby wyciągnąć. No ale kto będzie do Ciebie dzwonił, lub pisał po token do Twojej strony? Raczej nikt, wiec taka dodatkowa zapora na pewno pomoże. Czego użyć i jak skonfigurować poprawnie działanie takiej apki, opiszę w następnym wpisie.
