Kreatywna.pl Gazeta Kreatywna
Podobne artykuły
Tworząc stronę internetową na WordPress warto zadbać o jej bezpieczeństwo, poufne dane oraz higienę kodu. Powinniśmy być świadomi że strony internetowe które nie są odpowiednio bezpieczne narażone są na ataki, włamania czy zainfekowania. Głównym powodem wyłączenia strony w najlepszym przypadku przez hosting po włamaniu jest brak aktualizacji systemu CMS i wtyczek oraz liczne dziury i luki pozostawione podczas jej wdrożenia.
Jeżeli posiadasz już stronę internetową warto aby była zabezpieczona odpowiednio. Istotne jest by posiadała szereg mechanizmów które będą chronić ją przed atakami, a transakcje dokonywane z jej pomocą będą bezpieczne dla Twoich Klientów. Warto zabezpieczyć prewencyjnie stronę zaraz po uruchomieniu, a w kolejnych miesiącach dbać o jej aktualizację i wykonywać przeglądy techniczne.
Higiena kodu strony i wdrożenia WordPress
Sam WordPress może być wdrożony na kilkanaście sposobów od łopatologicznego wdrożenia przez amatora wykorzystującego wtyczki do wszystkiego i gotowe szablony, po rozwiązania pseudoeksperckie freelancerów mających już jakąś wiedzę ale tylko na potrzeby tworzenia stron z bloków Elementora, profesjonalistów którzy nigdy go nie dotykają, lub bardzo rzadko.
O co tu chodzi ?
WordPress to darmowy system na licencji open source na którym możemy wdrożyć dowolną stronę internetową na kilka sposóbów, w toku upraszczania procesu tworzenia stron oraz filozofii nocode Klient nie wie tak naprawdę jaka technologia stoi za wdrożoną stroną, czy kod jest dobrze napisany i przechodzi testy optymalizacji, jest zgodny z wytycznymi SEO oraz algorytmami Core Web Vitals, czy dobrze się renderuje ? Stosowanie wszelkiej maści builderów upraszczających życie freelancerom przyśpieszają proces tworzenia stron internetowych przeładowanych skryptami js, css, zbędnym kodem html czy shortcodami wczytującymi każdą sekcję, motyw w dowolne miejsce na stronie. To powoduje problemy z czasem wczytania się strony internetowej, jej pozycjonowaniem i renderowaniem przez Google oraz przeglądarki.
Jak tworzyć stronę na WordPress to tylko bez buildera
Im lepszy kod, zoptymalizowany, posiadający poprawną strukturę tym lepiej dla strony internetowej i jej odwiedzających. Zobacz poprawne tworzenie stron na WordPress bez użycia buildera. Możliwości optymalizacyjne strony internetowej są ograniczone w przypadku strony która jest przeładowana skryptami i źle napisana.
Zadbaj o ważny certyfikat SSL
Często zainstalowany certyfikat SSL darmowy lub podstawowy jest już jakiegoś pokroju zabezpieczeniem jednak warto wyposażyć się w przypadku większych stron lub ecommerce w dedykowane certyfikaty SSL na domenę. Użytkownik oprócz kłódki przy adresie oraz https w adresie URL otrzymuje po kliknięciu w certyfikat informację na jaką domenę został on wystawiony. Wie i ma wiarygodne potwierdzenie że jest na stronie internetowej na którą chciał się dostać.
Odpowiednio zabezpiecz katalogi i dostęp do plików
Warto o ile nie mamy domyślnie zablokowanych katalogów i dostępów do plików WordPressa domyślnie zablokować konieczne foldery przed możliwością edycji przez osoby trzecie. Wszelkie informacje odnośnie używania wordpress, jego wersji powinniśmy usunąć ze strony internetowej.
Używaj silnych haseł i weryfikacji dwuetapowej
Często popularnym loginem pozostawionym na stronie docelowej, który służy do logowania do systemu CMS jest po prostu ‘admin’, unikaj takiego loginu. Warto stworzyć indywidualny login oraz mocne hasło zawierające cyfry i znaki specjalne. Hasła do logowania typu imie + cyfry czy rok + data nie są dobrym pomysłem.
Jeżeli to możliwe poproś wykonawcę strony internetowej o wdrożenie weryfikacji logowania poprzez Google Authenticator. Znacznie poprawi weryfikację osób które mogą zalogować się do panelu CMS. Również dobrym pomysłem jest weryfikacja logowania i możliwość logowania tylko z określonych adresów IP, pozostałe powinny być odgórnie zablokowane.
Brak automatycznej rejestracji. To również częsty przypadek, otwarte drzwi dla hakera aby dokonał rejestracji, jeżeli nie mamy weryfikacji email z linkiem autoryzującym możemy spodziewać się w niedługiej przyszłości ataku tą właśnie drogą.
Aktualizuj system CMS i wtyczki WordPress
WordPress jak każdy system CMS potrzebuje by o niego zadbać. Warto raz na miesiąc lub nawet częściej aktualizować wtyczki oraz samego WordPress. W przypadku jeżeli nasz motyw jest dobrze napisany (zakodowany) aktualizacja nie powinna nam sprawić problemu.
Aktualizacje stron WordPress – jak przeprowadzić
Niestety bywa i tak że aktualizacje lubią spowodować błąd na stronie lub w motywie, zepsuć działanie warstwy frontend lub spowodować błędnie wyświetlanie naszej strony. Tutaj wiele zależy od autora naszej strony internetowej oraz tego jakich rozwiązań użył do jej napisania. W przypadku builderów np: Elementor czy Divi oraz zbyt dużej ilości wtyczek, które instalowane są do wszystkiego możesz być prawie pewien że będą problemy. Sam Elementor po aktualizacji lub generować problemy nie wspominając o jego kompatybilności z innymi wtyczkami które mogą nie być tak często aktualizowane.
Przed aktualizacją wykonaj backup strony internetowej
To ważne zwłaszcza gdy nie masz pewności co do wykonania integracji WordPress lub buildera który został użyty. Warto realizować backup okresowo np: co miesiąc i przed większą aktualizacją samego wordpressa, jeżeli nie znasz się na technicznych sprawach warto zlecić usługę typu opieka WordPress agencji, która zadba o kompleksową obsługę Twojej strony internetowej w ramach abonamentu.
Wtyczki do zabezpieczenia WordPressa czy warto ?
Tutaj zdania są podzielone. Część osób potwierdzi że stosuje i ich strony www mają się dobrze, specjaliści i programiści będą zdania że taka wtyczka niewiele wnosi, a nawet jest kolejną która naraża Cię na ataki.
Dlaczego nie stosować wtyczek zabezpieczających WordPress?
Pozornie wtyczka ma zabezpieczać Ciebie przed atakami jednak jest to nakładka, która może zablokować próbę logowania lub zmienić stronę logowania, dodać captche czy zmienić prefix bazy danych. Monitoring ataków na stronę i ilość prób logowań czy nieudanych logowań jest złudna i często jedynie informacyjna.
Materiał partnera
