Każda strona w Internecie jest narażona na ataki. Dlatego szukając dobrych sposobów na zabezpieczenie swojego bloga, skompilowałem listę kilku najciekawszych porad, które w znacznym stopniu zwiększą bezpieczeństwo świeżo zainstalowanego Wordpressa.

Nie ma powodu dla których można by ignorować bezpieczeństwo Twojego bloga. O ile szansa, że ktoś celowo będzie próbował hackować Twoją stronę, nie jest zbyt duże, to z większym prawdopodobieństwem można spodziewać się wizyty różnych spambotów. Przeczesują one Internet w poszukiwaniu potencjalnych możliwości włamania. W najgorszym przypadku Twój blog może zostać wykorzystany jako farma linków lub jako bramka do wysyłania spamu.

1. Zawsze używaj najnowszej wersji Wordpressa. Z dużym prawdopodobieństwem można stwierdzić, że posiada ona najmniej błędów (przynajmniej wszystkie te, znane z poprzednich wersji były naprawione). O ile to możliwe, dobrze jest aktualizować zarówno silnik jak i zainstalowane wtyczki.
2. Zabezpiecz swój katalog wp-admin. To tam siedzą najwazniejsze pliki w Twoim blogu. Najprościej użyć pliku .htaccess. Możesz to zrobić na kilka sposobów, np. pozwalając na dostęp do tego katalogu tylko dla Twojego adres IP AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Administracja"
AuthType Basic
order deny,allow
deny from all
# dopuść adres z domu
allow from 132.120.168.12
# dodaj mój adresy z pracy
allow from 66.143.114.201
# itd...
   Jak sprawdzić swoje IP? Na przykład tutaj lub tutaj . Takie zabezpieczenie nie zadziała jednak, gdy mamy zmienne adresy IP. Wtedy możesz dodać na przykład zabezpieczenie w postaci hasła:
   AuthName "Administracja"
AuthType Basic
# ścieżka do pliku z hasłem np.
AuthUserFile /home/johny/.htpasswd
Require valid-user
   W pliku .htpasswd powinny się znaleść login i hasło (można wyklikać np. tutaj) w postaci: username:password
3. Jeśli ktoś nie lubi ręcznej zabawy z plikiem .htaccess, można skorzystać z wtyczki AskApache Password Protect. Automatycznie zatroszczy się ona o zabezpieczenia plików i katalogów w Twojej instalacji Wordpressa. Niestety, nie odmawia współpracy z moim obecnym hostingiem. W najbliższych dniach planuję jednak przenieść się na lepszy serwer, więc później napiszę może jeszcze trochę o jej możliwościach.
4. Zabezpiecz Twój katalog z pluginami. Wtyczki do Wordpressa pozwalają rozszerzyć możliwości Twojego bloga. Tworzone przez społeczność skupioną wokół wordpressa mogą przecież zawierać błędy. W WP domyślnie, katalog z wtyczkami jest niezabezpieczony. Potencjalny włamywacz mógłby sprawdzić jakich wtyczek (lub ich wersji) używasz, a następnie wykorzystać znane w nich luki do próby włamania. Nie daj takiej szansy. Wystarczy że do katalogu /wp-content/plugins/ umieścisz pusty plik index.html aby uniemożliwić wyświetlenie zawartości takiego katalogu. Albo możesz użyć pliku .htaccess: Options -Indexes
5. Nie używaj defaultowego loginu: admin. Zmieniając domyślny login, w prosty sposób dodasz kolejne zabezpieczenie. Hakerowi będzie trudniej odkryć (złamać) Twoją kombinacje login/hasło. Jeśli nie zrobiłeś tego na samym początku, nie szkodzi.  Utwórz nowego autora z prawami administratora, a następnie usuń starego przypisując jednocześnie jego rzeczy (posty i linki) do nowego konta.
6. Wtyczka Login Lockdown pozwoli zabezpieczyć Twój login przez atakami brute force. Jeśli zły login/hasło pojawia się zbyt często plugin chwilowo blokuje możliwość logowania.
7. Zmodyfikuj template z nagłówkiem Twojej strony. W sekcji <head> nie musisz wyświetlać wersji Wordpressa, której używasz. Może to potencjalnie dać szansę na wykorzystanie luk bezpieczeństaw występujących w konkretnych wersjach. Ponieważ string z generatorem jest dodawany automatycznie przez Wordpressa, należy w pliku functions.php dla aktualnie używanego szablonu dodać linijkę: remove_action('wp_head', 'wp_generator');
   Jeśli chcesz zostawić informacje o Wordpress możesz ręcznie w nagłówku strony wstaw wiersz <meta name="generator" content="Powered by Wordpress" />
8. Jeśli na swojej stronie kontaktu używasz formularza, to upewnij się że jest dobrze zabezpieczony. Niezabezpieczone formularze do wysyłania poczty stanowią często bramkę do wysylania spamu. Możesz skorzystać z wtyczki Secure Form Mailer, która pomoże stworzyć Ci bezpieczny formularz kontaktu.
9. Na koniec – nigdy do końca nie ufaj zabezpieczeniom. Zrób kopie zapasową Twojej bazy danych. Zainstaluj plugin wp-database-backup i skonfiguruj codzienne backupy Twojej bazy.