Bezpieczny WordPress – lista kontrolna

Poziom bezpieczeństwa

Jeśli często pracujesz przy projektach opartych na platformie WordPress, poniższa lista pomoże ci usprawnić pracę. Jest to lista kontrolna zawierająca elementy zwiększające bezpieczeństwo stron WordPressowych. Moim celem było przygotowanie uniwersalnej listy, która przydatna będzie także w mojej codziennej pracy.

Postaraj się, aby Twój projekt był na 100% bezpieczny - im więcej punktów z tej listy kontrolnej wykonasz, tym bezpieczniejszy będzie Twój blog.

Oczywiście oprócz punktów z tej listy, zachęcam do stosowania własnych zabezpieczeń. Jeśli uważasz, że na poniższej liście brakuje kluczowych pozycji, podziel się tym w komentarzu. Poniższy spis zapewne z czasem będzie aktualizowany.

wp-config 1
Strona logowania 10
  • Blokowanie strony logowania po kilku nieudanych próbach (zobacz: Login Lockdown iThemes Security )
  • Włączona autoryzacja dwuetapowa (zobacz: Google Authenticator )
  • Adresu e-mail jako login zamiast nazwy użytkownika (zobacz: Force Email Login )
  • Zmiana adresu URL do panelu logowania (zobacz: iThemes Security )
  • Brak widocznych linków do panelu logowania
  • Silne hasła dla wszystkich profili (małe i duże litery, cyfry, znaki specjalne)
  • Regularna zmiana hasła
  • Wyłączone WP REST API, jeśli nie jest używane (zobacz: Disable REST API )
  • Wyłączona możliwość rejestrowania się nowych użytkowników
  • Wyłączona strona rejestrowania użytkowników (przez boty) (zobacz: Disable WP Registration Page )
Panel administracyjny 8
  • Zabezpieczony hasłem folder wp-admin
  • Zaktualizowany WordPress
  • Brak konta o loginie "admin"
  • Brak konta użytkownika o domyślnym identyfikatorze user_id = 1
  • Używanie konta redaktora przy publikacji treści
  • Zaimplementowane szyfrowanie SSL w sekcji administracyjnej
  • Wtyczka sprawdzająca zmodyfikowane pliki (zobacz: Acunetix WP Security Wordfence Security iThemes Security )
  • Skanowanie strony na występowanie wirusów, malware, czy luk bezpieczeństwa
Motywy 4
  • Aktualizowany motyw
  • Usunięte nieużywane motywy
  • Zainstalowane motywy pochodzące z zaufanych źródeł
  • Usunięty numer wersji WordPressa z motywu
Wtyczki 4
  • Zaktualizowane wtyczki
  • Wtyczki pochodzące z zaufanych źródeł
  • Usunięte nieużywane wtyczki
  • Przestarzałe, nieaktualizowane wtyczki zastąpione alternatywnymi nowszymi
Baza danych 3
  • Niestandardowy prefiks dla tabel
  • Systematyczne kopie bezpieczeństwa bazy danych (zobacz: UpdraftPlus WordPress Backup Plugin )
  • Silne hasła dla użytkownika bazy danych (małe i duże litery, cyfry, znaki specjalne)
Hosting 7
  • Wiarygodny dostawca usług hostingowych
  • Łączenie się z serwerem przez SFTP lub SSH
  • Uprawnienia dla wszystkich folderów na 755 oraz plików na 644 (zobacz: WordPress Codex )
  • Plik wp-config.php niedostępny dla innych
  • Usunięcie lub blokowanie przez .htaccess plików license.txt, wp-config-sample.php, readme.html
  • Blokowanie edycji plików edytorem WordPressa poprzez dodanie kodu: define('DISALLOW_FILE_EDIT', true); (zobacz: WordPress Codex )
  • Blokowanie listowania zawartości folderów wpisem w .htaccess: Options All -Indexes

Dodaj komentarz

Powiadom o
avatar
wpDiscuz