Jak zabezpieczyć swojego CMS. Bezpieczeństwo Wordpress, zabezpieczona Joomla

Historie pod tytułem „hacked” dzieją się każdego dnia od nowa. Z poniższego tekstu dowiesz się jak zwiększyć bezpieczeństwo Twojej strony WWW.

Zabezpieczanie strony - działania na start.

Tu wymieniam prace, które trzeba wdrożyć i nie ma tu tłumaczenia brakiem wiedzy czy doświadczenia.

1. Jakość haseł dostępowych do stron, serwera, domeny

Hasła typu admin/admin już od ponad dekady nie są śmiesznym żartem. Warto stosować hasła długie, to znaczy takie powyżej 8 znaków. Hasła powinny zawierać małe i duże litery oraz cyfry. W świadomości wielu użytkowników dostęp do strony to jedna dana. W efekcie często jedno hasło pasuje do CMS Wordpress czy Joomla lub innej Presty, to samo hasło jest do panelu serwera, do FTP, do domeny a nierzadko także do e-mail Pamiętaj:

każda usługa = logowanie = inne dane dostępowe

2. Częstość zmian haseł

Raz zdefiniowane hasło nie jest sprawą zamkniętą. Zmieniaj hasła możliwie często. Ustaw sobie przypomnienia, zrób tabelkę w dokumentach Google, cokolwiek. To ważne aby hasła rotowały i były aktualizowane. Zmieniaj także login.

Tutaj sugeruję rozwiązanie stosowane przeze mnie. Menadżer haseł KeePass. Jest to darmowy, bardzo prosty w obsłudze program o bardzo zaawansowanych procesach kryptograficznych. Dostępny jest do w wersji do instalacji oraz portable. Najbardziej cenię ten program za:

  • zaawansowaną kryptografię: baza danych jest serio bezpieczna
  • możliwość wygenerowania "pliku kontrolnego". Nawet znając hasło, bez pliku nie otworzysz bazy danych.
  • generator haseł możesz skonfigurować tak, aby generował np klucz 128 bit (serio trudny do złamania) i program sam generuje ciąg znaków - Twoje hasło.
  • funkcję "auto type". Bardzo przydatna funkcja automatycznego wypełniania formularza, zwłaszcza kiedy np w chwili pisania tego tekstu mam przeszło 900 rekordów.

Pamiętaj! Warto zachować sobie regularnie kopię zapasową bazy danych, np w przypadku jeśli ktoś pilnie będzie potrzebował Twojego pendrive, żeby mieć z czego przywrócić dostępy (tu przydatna jest chmura). Warto też zapamiętać hasło główne. Deszyfracja bazy danych to jakiś nierealny obłęd! Program KeePass możesz pobrać po zapisaniu się na newsletter:

20191117 keepass

Aby pobrać KeePass zostaw swój e-mail

 

 

3. Wyłącz rejestrację użytkowników, komentarze, debugowanie

Jeśli prowadzisz stronę samodzielnie lub zatrudniasz kilka osób i nie zakładasz możliwości zdalnego tworzenia kont przez czytelników - wyłącz tę możliwość. 

W Wordpress:

  • Zaloguj się do panelu
  • Ustawienia ogólne
  • "Każdy może się zarejestrować" -> odznacz tę opcję.

W Joomla:

  • Zaloguj się do panelu
  • Użytkownicy -> Lista użytkowników
  • Opcje
  • Rejestruj nowych - > przesuwasz na "nie" - wartość domyślnie ustawiona.

 

Optymalizacja strony, bez tajemnej wiedzy Know How

Utrzymuj porządek na serwerze

Porządek to zawsze prosta sprawa, a często zaniedbywana. Jak się robi bałagan?

Zamieszczasz coś „na chwilę” i zostaje. Instalujesz coś do testów…. I zostaje. To przykłady drastyczne i nie spotykane zbyt często. Co zatem często zaśmieca serwer?

Zdjęcia i filmy z wakacji. No to nie jest tak, że jak jesteś szefem w swojej firmie to na serwerze firmowym możesz wrzucać swoje prywatne zdjęcia. Google sobie indeksuje serwery i możesz dać sporo uciechy informatykom konkurencji.

Usuwane zdjęcia ze strony. To także częsty problem. Na stronę wrzucasz nowe foto firmy, np. po remoncie, albo nowej specjalistki od HR, a stara, fota nie specjalistka, zostaje na serwerze. Po co? Nikt tego nie wie.

Najczęściej bałagan to utrzymywanie starych treści na stronie. Wrzucasz online nową stronę kontaktową, przekierowujesz linki na nową stronę. A stara strona kontaktowa? Nowe wdrożone, więc IT zamyka zadanie i robi następne. Stara strona hula po sieci i z czasem niezabezpieczony formularz staje się szeroko otwartą bramą dla hakerów.

W praktyce najlepiej utrzymywać online tylko te materiały, które są przeznaczone dla użytkowników. Nic więcej.

Nie korzystaj z auto instalatorów

Tu komentarz jest zbędny. Nie rób tego i tyle. Kropka.

Aktualizuj wtyczki, system

Niezależnie, czy korzystasz z Wordpress, Joomla, czy innego CMS regularnie sprawdzaj wykorzystywane wtyczki. Dbaj o ich regularne aktualizacje. Brak aktualizacji wtyczek to jeden z najczęstszych powodów włamań na stronę. Aktualizację systemu traktuj jak aktualizację najważniejszej wtyczki. Aktualny CMS jest kwestią fundamentalną

Dwuetapowa autentykacja

Podobnie jak to ma miejsce w przypadku kont Google czy Facebook- zadbaj o wykorzystanie tej opcji także na Twojej stronie. Błędy w strukturze kodu to nie wszystkie luki, które wykorzystują hakerzy. Często zawodzi czynnik ludzki.

Osobny użytkownik, osobne hasło, osobna baza danych

To kolejny element z kategorii „czynnik ludzki”. Pewnie nie raz zdarzało się korzystać z „wspólnego” loginu. W przypadku stron WWW i w ogóle z resztą jest to niedopuszczalne. Precyzyjne wyznaczanie ról, uprawnień oraz zakresu prac to minimalizacja ryzyka oraz łatwiejsze określenie źródła „kłopotów".

Korzystaj z certyfikatu SSL

To zabezpieczenie, które odczują Twoi klienci. Będą korzystali z formularzy kontaktowych i ścieżki zakupowej  bez możliwości łatwego podsłuchania transmisji danych. Jak to się ma do Ciebie? Google od dawna kładzie spory nacisk na bezpieczeństwo strony. Instalując SSL zwiększysz ruch na stronie.

Jak już zamówisz certyfikat SSL, nie korzystaj z wtyczki aby go wdrożyć. Może to doprowadzić do wolniejszego działania strony. Prawidłowe wdrożenie SSL dla Web developera to moment. Zrób to dobrze!

Rozdzielaj serwery zamiast łączyć (testy/ produkcja)

Dla Ciebie, właściciela strony to informacja bardziej biznesowa. Zakładam, że masz stronę WWW w dwóch środowiskach: produkcja- czyli online, to co widzą Twoi klienci, oraz testowa- czyli to nad czym pracują serowcy, marketingowcy i co dostajesz do wglądu do oceny przed wdrożeniem. Warto, aby te dwa środowiska były na oddzielnych serwerach. Wynika to ze względów bezpieczeństwa danych: do wersji roboczej często mają dostęp osoby, które nie powinny mieć dostępu do wersji online. Kolejny aspekt to użycie zasobów- tworzenie, testy, to częste przeładowywanie strony. Warto aby statystyki użycia serwera strony online były realne.

 

 

Niebawem dalsze porady. Zapraszam

 

O autorze strony minds Pozycjonowanie stron WWW w Poznaniu na linkedin
Pozycjonowanie stron Poznań Barnaba

Barnaba Mądrecki

Pozycjonuje strony, znajdzie przyczyny i pokonuje trudności w osiągnięciu celów e-marketingowych. 
.

 

 

OTRZYMUJ MATERIAŁY NA TEMAT MARKETINGU W INTERNECIE!

Wpisz niżej swój adres mailowy, aby być bieżąco z nowymi treściami na WWW