Nie da się ukryć, WordPress jest obecnie najbardziej popularnym systemem CMS na świecie. Obecnie strony zbudowane na WordPressie to ponad 28% całego Internetu. Jego sukces spowodowany jest w dużej mierze prostotą obsługi oraz istnieniem wtyczek niemalże do wszystkiego. Jedna z największych zalet – wtyczki, jest również jedną z największych wad. W bazie WordPressa znajduje się bardzo dużo wtyczek niskiej jakości, często nieaktualizowanych od dłuższego czasu, zawierających podatności pozwalające na wyrządzenie szkód Twojej stronie. Tak więc, zwykle nie sam WordPress, a jego wtyczki są czymś na co powinniśmy zwrócić szczególną uwagę. Często spotykam się z problemami ludzi, którzy zainstalowali szereg wtyczek zabezpieczających stronę, a jednak wciąż nie osiągneli oczekiwanego efektu.
Jak zatem zabezpieczyć stronę przed błędami we wtyczkach?
Typowy atak wykorzystujący podatność wtyczek wygląda w następujący sposób – atakujący umieszcza na serwerze własny skrypt PHP, który po uruchomieniu daje mu możliwość wglądu na serwer, modyfikowania zawartości plików, podglądu haseł itp. Wystarczy więc zablokować atakującemu możliwość uruchomienia tego dodatkowego skryptu, po jego umieszczeniu na serwerze. Nie naprawimy w ten sposób luki, ale nie damy możliwości aby została wykorzystana i wyrządziła szkodę naszej stronę. Aby tego dokonać, wystarczy w katalogu wp-content, w instalacji WordPressa umieścić plik .htaccess o treści:
<Files *.php> deny from all </Files>
Po dodaniu powyższego kodu – sprawdź dobrze działanie Twojej strony, czasami ta operacja może doprowadzić do niepoprawnego działania niektórych szablonów bądź wtyczek.
Ta prosta czynność daje zadziwiająco wysokie efekty – pozwala na wyeliminowanie około 80% ataków na strony oparte na WordPressie.
Jeśli nie chcesz ręcznie modyfikować plików – sprawdź hosting w AttHost. To, oraz wiele innych zabezpieczeń, możliwe jest do włączenia za pomocą kilku kliknięć myszką, z poziomu panelu zarządzania hostingiem.