Chciałabym Wam dzisiaj troszeczkę opowiedzieć o aspektach bezpieczeństwa związanych z autoinstalatorami WordPressa. Jest to bardzo fajne narzędzie, które super sprawdzi się początkującym użytkownikom i wszystkim osobom, które chcą szybko postawić świeżą instancję WordPressa, aby zacząć pracować nad swoją stroną.
Niestety autoinstalatory mają to do siebie, że z perspektywy bezpieczeństwa to rozwiązanie nie jest do końca słuszne. A z jakiego powodu?
1. Domyślne prefiksy bazy danych
Prefiks bazy danych to oznaczenie każdej tabeli, np. wp_posts, wp_users. Autoinstalatory ustawiają je domyślnie na wp_. Zalecane jest ustawienie czegoś bardziej skomplikowanego i niestandardowego, aby usunąć potencjalny wektor ataku.
2. Brak możliwości ustawienia własnych kluczy w pliku wp-config.php
Te klucze odpowiadają za dodatkowe zabezpieczenia sesji logowania. W przypadku autoinstalatora nie mamy nad tym kontroli, ale możemy to później zmienić ręcznie. Trzeba jednak pamiętać, że wiąże się to z edycją pliku PHP, co może być trudne dla początkujących.
3. Domyślny login „admin”
Instalatory bardzo często go ustawiają. A to także ułatwia atak. Lepiej ustawić coś bardziej niestandardowego.
4. Przewidywalna ścieżka instalacji
Zazwyczaj po prostu /autoinstalator.
I tutaj ciekawostka: jeżeli prowadzimy bloga, to warto w ustawieniach WordPressa zmienić, żeby nie wyświetlał się autor w postaci naszego loginu (np. „admin”), tylko np. imię, nazwisko albo pseudonim. Dzięki temu dodatkowo utrudniamy odgadnięcie loginu.
Najbezpieczniejszą opcją, choć wiem, że nie do końca najłatwiejszą, jest instalacja WordPressa poprzez wykorzystanie serwera FTP. Wygrywamy wtedy pliki WordPressowe i przeprowadzamy sami całą instalację, dzięki czemu mamy możliwość ustalenia tych wszystkich, jakże ważnych rzeczy, aby zachować maksymalne bezpieczeństwo.
Masz problem z wykonaniem takiej instalacji? Chętnie pomogę!



