W pierwszej części opisaliśmy podstawowe zasady którymi powinniśmy się kierować podczas zabezpieczenia strony www opartej an WordPressie. Dużą role w zabezpieczaniu WordPressa mają wtyczki instalowane z pozycji panelu administracyjnego:
Strona logowania
Jak we wcześniejszym wpisie zaznaczyłem należy ukryć stronę logowania do strony www. Wtyczka WPS Hide Login pozwala na zamaskowanie domyślnej strony logowania (/wp-admin), warto rozważyć zmianę tego adresu na inny, bardziej intuicyjny dla Ciebie, a mniej oczywisty dla cyberprzestępców.
Dwuetapowe uwierzytelnianie
Obecnie login i hasło jakby nie było skomplikowane nie gwarantuje bezpieczeństwa. Dodatkowe zabezpieczenie logowania zapobiega włamaniom, kradzieżom haseł, taką funkcje posiada wtyczka np. Two Factor Authentication. Pozwala ona na dwuetapowe logowanie się do panelu, np. przez otrzymanie hasła jednorazowego mailem, czy też kod QR.
Nie używane wtyczki/motywy
Nie ma sensu pobierać więcej wtyczek niż jest to potrzebne dlatego warto usuwać te wtyczki, których nie używasz i są zbędne (analogicznie dotyczy to także motywów strony).
Kopie bezpieczeństwa
Bardzo ważne jest aby robić kopie bezpieczeństwa całej strony ponieważ w każdej chwili może dojść do awarii, która bezpowrotnie uszkodzić naszą stronę www. Istotne jest zachowanie zasady 3-2-1 przy kopi bezpieczeństwa. Zasada ta mówi iż powinieneś posiadać 3 kopie swoich danych, czyli dane główne oraz dwie kopie. Główne dane strony przechowywane są na hostingu, kopia może również znajdować się na hostingu, ale przynajmniej jedna z kopii danych powinna być przechorowywana na innym nośniku i w innej lokalizacji.
Monitoring
Zainstaluj wtyczkę, która monitoruje próby wejścia do strony od zaplecza i starają się je blokować, sprawdzoną wtyczką zajmującą się rejestrem logowań jest Limit Login Attempts.
Instalację dedykowanych wtyczek zabezpieczających
Oczywiście wtyczek zabezpieczających na rynku jest mnóstwo. Bardzo przydatna ale najlepiej w wersji płatnej wtyczka Wordfence Security – Firewall & Malware Scan poszerza funkcjonalność zabezpieczeń, monitorowania oraz dodatkowo zabezpiecza WordPressa przed atakami typu brute force i innymi.