Cześć!
Chciałabym Wam dzisiaj troszeczkę opowiedzieć o aspektach bezpieczeństwa związanych z autoinstalatorami WordPressa. Jest to bardzo fajne narzędzie, które super sprawdzi się początkującym użytkownikom i wszystkim osobom, które chcą szybko postawić świeżą instancję WordPressa, aby zacząć pracować nad swoją stroną.
Niestety autoinstalatory mają to do siebie, że z perspektywy bezpieczeństwa to rozwiązanie nie jest do końca słuszne. A z jakiego powodu?
Prefiks bazy danych to oznaczenie każdej tabeli, np. wp_posts, wp_users. Autoinstalatory ustawiają je domyślnie na wp_. Zalecane jest ustawienie czegoś bardziej skomplikowanego i niestandardowego, aby usunąć potencjalny wektor ataku.
Te klucze odpowiadają za dodatkowe zabezpieczenia sesji logowania. W przypadku autoinstalatora nie mamy nad tym kontroli, ale możemy to później zmienić ręcznie. Trzeba jednak pamiętać, że wiąże się to z edycją pliku PHP, co może być trudne dla początkujących.
Instalatory bardzo często go ustawiają. A to także ułatwia atak. Lepiej ustawić coś bardziej niestandardowego.
Zazwyczaj po prostu /autoinstalator.
I tutaj ciekawostka: jeżeli prowadzimy bloga, to warto w ustawieniach WordPressa zmienić, żeby nie wyświetlał się autor w postaci naszego loginu (np. „admin”), tylko np. imię, nazwisko albo pseudonim. Dzięki temu dodatkowo utrudniamy odgadnięcie loginu.
Najbezpieczniejszą opcją, choć wiem, że nie do końca najłatwiejszą, jest instalacja WordPressa poprzez wykorzystanie serwera FTP. Wygrywamy wtedy pliki WordPressowe i przeprowadzamy sami całą instalację, dzięki czemu mamy możliwość ustalenia tych wszystkich, jakże ważnych rzeczy, aby zachować maksymalne bezpieczeństwo.
W najbliższym czasie przedstawię Wam tutorial, jak bez stresu, krok po kroku, możecie wgrać taką instalację i w jaki sposób zabezpieczyć stronę od samego początku.
Masz problem z wykonaniem takiej instalacji? Chętnie pomogę!
