Jak zabezpieczyć swojego CMS. Bezpieczeństwo Wordpress, zabezpieczona Joomla

Historie pod tytułem „hacked” dzieją się każdego dnia od nowa. Z poniższego tekstu dowiesz się jak zwiększyć bezpieczeństwo Twojej strony WWW.

Zabezpieczanie strony - działania na start.

Tu wymieniam prace, które trzeba wdrożyć i nie ma tu tłumaczenia brakiem wiedzy czy doświadczenia.

1. Jakość haseł dostępowych do stron, serwera, domeny

Hasła typu admin/admin już od ponad dekady nie są śmiesznym żartem. Warto stosować hasła długie, to znaczy takie powyżej 8 znaków. Hasła powinny zawierać małe i duże litery oraz cyfry. W świadomości wielu użytkowników dostęp do strony to jedna dana. W efekcie często jedno hasło pasuje do CMS Wordpress czy Joomla lub innej Presty, to samo hasło jest do panelu serwera, do FTP, do domeny a nierzadko także do e-mail Pamiętaj:

każda usługa = logowanie = inne dane dostępowe

2. Częstość zmian haseł

Raz zdefiniowane hasło nie jest sprawą zamkniętą. Zmieniaj hasła możliwie często. Ustaw sobie przypomnienia, zrób tabelkę w dokumentach Google, cokolwiek. To ważne aby hasła rotowały i były aktualizowane. Zmieniaj także login.

Tutaj sugeruję rozwiązanie stosowane przeze mnie. Menadżer haseł KeePass. Jest to darmowy, bardzo prosty w obsłudze program o bardzo zaawansowanych procesach kryptograficznych. Dostępny jest do w wersji do instalacji oraz portable. Najbardziej cenię ten program za:

  • zaawansowaną kryptografię: baza danych jest serio bezpieczna
  • możliwość wygenerowania "pliku kontrolnego". Nawet znając hasło, bez pliku nie otworzysz bazy danych.
  • generator haseł możesz skonfigurować tak, aby generował np klucz 128 bit (serio trudny do złamania) i program sam generuje ciąg znaków - Twoje hasło.
  • funkcję "auto type". Bardzo przydatna funkcja automatycznego wypełniania formularza, zwłaszcza kiedy np w chwili pisania tego tekstu mam przeszło 900 rekordów.

Pamiętaj! Warto zachować sobie regularnie kopię zapasową bazy danych, np w przypadku jeśli ktoś pilnie będzie potrzebował Twojego pendrive, żeby mieć z czego przywrócić dostępy (tu przydatna jest chmura). Warto też zapamiętać hasło główne. Deszyfracja bazy danych to jakiś nierealny obłęd! Program KeePass możesz pobrać po zapisaniu się na newsletter:

20191117 keepass

Aby pobrać KeePass zostaw swój e-mail

Administratorem Państwa danych osobowych jest Barnaba Mądrecki prowadzący działalność gospodarczą pod firmą Barnaba Mądrecki Firma Handlowo Usługowa, ul. Bukowska 67A, 60-567 Poznań. Dane osobowe przetwarzane będą w celu nawiązania kontaktu i prowadzenia korespondencji na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO). Więcej informacji dotyczących przetwarzania danych osobowych zawartych jest w Polityce prywatności .

 

 

3. Wyłącz rejestrację użytkowników, komentarze, debugowanie

Jeśli prowadzisz stronę samodzielnie lub zatrudniasz kilka osób i nie zakładasz możliwości zdalnego tworzenia kont przez czytelników - wyłącz tę możliwość. 

W Wordpress:

  • Zaloguj się do panelu
  • Ustawienia ogólne
  • "Każdy może się zarejestrować" -> odznacz tę opcję.

W Joomla:

  • Zaloguj się do panelu
  • Użytkownicy -> Lista użytkowników
  • Opcje
  • Rejestruj nowych - > przesuwasz na "nie" - wartość domyślnie ustawiona.

 

Optymalizacja strony, bez tajemnej wiedzy Know How

Utrzymuj porządek na serwerze

Porządek to zawsze prosta sprawa, a często zaniedbywana. Jak się robi bałagan?

Zamieszczasz coś „na chwilę” i zostaje. Instalujesz coś do testów…. I zostaje. To przykłady drastyczne i nie spotykane zbyt często. Co zatem często zaśmieca serwer?

Zdjęcia i filmy z wakacji. No to nie jest tak, że jak jesteś szefem w swojej firmie to na serwerze firmowym możesz wrzucać swoje prywatne zdjęcia. Google sobie indeksuje serwery i możesz dać sporo uciechy informatykom konkurencji.

Usuwane zdjęcia ze strony. To także częsty problem. Na stronę wrzucasz nowe foto firmy, np. po remoncie, albo nowej specjalistki od HR, a stara, fota nie specjalistka, zostaje na serwerze. Po co? Nikt tego nie wie.

Najczęściej bałagan to utrzymywanie starych treści na stronie. Wrzucasz online nową stronę kontaktową, przekierowujesz linki na nową stronę. A stara strona kontaktowa? Nowe wdrożone, więc IT zamyka zadanie i robi następne. Stara strona hula po sieci i z czasem niezabezpieczony formularz staje się szeroko otwartą bramą dla hakerów.

W praktyce najlepiej utrzymywać online tylko te materiały, które są przeznaczone dla użytkowników. Nic więcej.

Nie korzystaj z auto instalatorów

Tu komentarz jest zbędny. Nie rób tego i tyle. Kropka.

Aktualizuj wtyczki, system

Niezależnie, czy korzystasz z Wordpress, Joomla, czy innego CMS regularnie sprawdzaj wykorzystywane wtyczki. Dbaj o ich regularne aktualizacje. Brak aktualizacji wtyczek to jeden z najczęstszych powodów włamań na stronę. Aktualizację systemu traktuj jak aktualizację najważniejszej wtyczki. Aktualny CMS jest kwestią fundamentalną

Dwuetapowa autentykacja

Podobnie jak to ma miejsce w przypadku kont Google czy Facebook- zadbaj o wykorzystanie tej opcji także na Twojej stronie. Błędy w strukturze kodu to nie wszystkie luki, które wykorzystują hakerzy. Często zawodzi czynnik ludzki.

Osobny użytkownik, osobne hasło, osobna baza danych

To kolejny element z kategorii „czynnik ludzki”. Pewnie nie raz zdarzało się korzystać z „wspólnego” loginu. W przypadku stron WWW i w ogóle z resztą jest to niedopuszczalne. Precyzyjne wyznaczanie ról, uprawnień oraz zakresu prac to minimalizacja ryzyka oraz łatwiejsze określenie źródła „kłopotów".

Korzystaj z certyfikatu SSL

To zabezpieczenie, które odczują Twoi klienci. Będą korzystali z formularzy kontaktowych i ścieżki zakupowej  bez możliwości łatwego podsłuchania transmisji danych. Jak to się ma do Ciebie? Google od dawna kładzie spory nacisk na bezpieczeństwo strony. Instalując SSL zwiększysz ruch na stronie.

Jak już zamówisz certyfikat SSL, nie korzystaj z wtyczki aby go wdrożyć. Może to doprowadzić do wolniejszego działania strony. Prawidłowe wdrożenie SSL dla Web developera to moment. Zrób to dobrze!

Rozdzielaj serwery zamiast łączyć (testy/ produkcja)

Dla Ciebie, właściciela strony to informacja bardziej biznesowa. Zakładam, że masz stronę WWW w dwóch środowiskach: produkcja- czyli online, to co widzą Twoi klienci, oraz testowa- czyli to nad czym pracują serowcy, marketingowcy i co dostajesz do wglądu do oceny przed wdrożeniem. Warto, aby te dwa środowiska były na oddzielnych serwerach. Wynika to ze względów bezpieczeństwa danych: do wersji roboczej często mają dostęp osoby, które nie powinny mieć dostępu do wersji online. Kolejny aspekt to użycie zasobów- tworzenie, testy, to częste przeładowywanie strony. Warto aby statystyki użycia serwera strony online były realne.

 

 

Niebawem dalsze porady. Zapraszam

 

Szczegóły
barnaba

autor: Barnaba Mądrecki

Pozycjonuje strony, znajdzie przyczyny i pokonuje trudności w osiągnięciu celów e-marketingowych.

Opinie klientów:

Barnaba jest świetnym specjalistą. Ma głowę pełną niekonwencjonalnych pomysłów. Angażuje się w pracę na 100%, a co najważniejsze, angażuje też zespół: choćby do tworzenia treści. Po kilku miesiącach współpracy prowadzimy już social media samodzielnie, a Barnaba skupia się na działaniach off site oraz koordynuje prace on-site. Serdecznie polecam, bardzo komunikatywny, transparentny i uczciwy fachowiec!

Canik Arms

Dzięki za pomoc przy GA! :)

Ela Winiarek

Fachowiec godny polecenia. Ma indywidualne podejście, niebanalne pomysły. Współpraca jest bardzo transparentna. Polecam.

Marta Rudawska

Polecam, naprawdę profesjonalne podejście, cenne uwagi a przede wszystkim wzrosty. polecam.

Aleksandra Fijalkowska

Profesjonalna obsługa i ogromne zaangażowanie! Rzadkość! Bardzo żałuję, że nie trafiłem tu wcześniej.

Kamil Pionkowski

Serdecznie polecam! Bardzo profesjonalnie podejście. Efekty bardzo mnie zadowalają.

Justyna Dudek

Profesjonalny rzemieślnik. Jasna i przejrzysta komunikacja, współpraca i rozliczenie. Polecam.

Official MrBogus Profile

Firma godna zaufania - wspierali naszą firmę w procesie pozycjonowania stron www z branży finansowej. 5/5 Polecam z czystym sercem.

Przemysław Mysiak

Rzetelnie i profesjonalnie. Polecam

Aleksandra Fabiańska

Udana współpraca. Polecam

Agata Jezierska

 
 
 
 
Pozycjonowanie - blog co jak kiedy i dlaczego

Pozycjonowanie - co jak kiedy i dlaczego

Pozycjonowanie- chwalimy się sukcesami w pozycjonowaniu!

Pozycjonowanie WWW
moje skukcesy!

pozycjonowanie pdca

Pozycjonowanie stron WWW – oto jak działam

 

OTRZYMUJ MATERIAŁY NA TEMAT MARKETINGU W INTERNECIE!

Wpisz niżej swój adres mailowy, aby być bieżąco z nowymi treściami na WWW

Administratorem Państwa danych osobowych jest Barnaba Mądrecki prowadzący działalność gospodarczą pod firmą Barnaba Mądrecki Firma Handlowo Usługowa, ul. Bukowska 67A, 60-567 Poznań. Dane osobowe przetwarzane będą w celu nawiązania kontaktu i prowadzenia korespondencji na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO). Więcej informacji dotyczących przetwarzania danych osobowych zawartych jest w Polityce prywatności .
Wyrażam zgodę na przesyłanie na podany przeze mnie adres e-mail oraz numer telefonu informacji, w tym informacji handlowych (na podstawie ustawy z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną) od Barnaby Mądreckiego prowadzącego działalność gospodarczą pod firmą Barnaba Mądrecki Firma Handlowo Usługowa.
Wyrażam zgodę na przetwarzanie danych osobowych przez Barnabę Mądreckiego prowadzącego działalność gospodarczą pod firmą Barnaba Mądrecki Firma Handlowo Usługowa w celu otrzymywania newslettera.
Administratorem Państwa danych osobowych jest Barnaba Mądrecki prowadzący działalność gospodarczą pod firmą Barnaba Mądrecki Firma Handlowo Usługowa, ul. Bukowska 67A, 60-567 Poznań. Dane osobowe przetwarzane będą w celu przesyłania informacji handlowych za pośrednictwem newslettera (art. 6 ust. 1 lit. a RODO). Więcej informacji dotyczących przetwarzania danych osobowych zawartych jest w Polityce prywatności