Zapisz się na bezpłatny WordPressowy newsletter i odbierz checklistę za 0 zł!

Dowiedz się, na co zwrócić uwagę przed oddaniem strony klientowi, by była bezpieczna i funkcjonalna!

Checklista WordPress — co sprawdzić przed oddaniem strony klientowi?
RODO*zgoda na przetwarzanie danych osobowych

infoblogerka-wordpressowy-newsletter-wtyczki-wordpress-bezpieczenstwo

„Mam wtyczkę!” Czy to twoja strategia bezpieczeństwa? 

?„Mam wtyczkę!” Czy to twoja strategia bezpieczeństwa? ?

Wielu projektantów WordPressa robi świetną robotę wizualnie. Ładna strona, ładne fonty, UX się zgadza. Ale co z backendem i wtyczkami? Zabezpieczenia? Zazwyczaj kończy się na zainstalowaniu Wordfence’a i życzeniu klientowi powodzenia. 

To nie jest tak, że jak zainstalujesz wtyczkę typu Wordfence albo iThemes Security, to temat bezpieczeństwa masz z głowy. Jest raczej na odwrót. 

Prawdziwe bezpieczeństwo to cały system – rozpoczynający się od użytkownika (przeszkolonego!), przechodzący przez zestaw dobrych praktyk, decyzji i ustawień, które razem tworzą zaporę nie do przejścia. 

Bezpieczna strona to proces, nie pstryknięcie

Jeśli projektujesz dla innych, bezpieczeństwo to część Twojej odpowiedzialności, nawet jeśli nie oferujesz „opieki technicznej”. Ta odpowiedzialność nie kończy się na przekazaniu hasła do WordPressa. 

Na czym polega ten proces?

  • na szkoleniu użytkownika końcowego z dobrych praktyk pracy ze stroną WWW zwłaszcza nadawaniu dostępów do strony innym osobom
  • na cyklicznym aktualizowaniu WordPressa, wtyczek i motywów
  • na cyklicznym robieniu backupów i przechowywaniu ich na zewnętrznym serwerze
  • na ustawieniu silnych haseł do panelu administratora (menedżer haseł!)
  • na uruchomieniu uwierzytelniania dwuskładnikowego
  • na usuwaniu wtyczek z których strona nie korzysta
  • na korzystaniu z wtyczek dobrej jakości

a propos wtyczek…

Jakich wtyczek nie należy używać?

Really Simple SSL lub innych do SSL-i

Certyfikat SSL uruchamiasz na hostingu a nie na stronie. Hostingodawca nie ma bezpłatnego Let’s Encrypt? Zmień go! Najlepiej na LH.pl. (pamiętaj że z kodem INFOBLOGERKA masz rabat na pierwszy rok).

Wtyczek do statystyk

Statystyki strony WWW sprawdzaj w panelu dostarczonym przez  np. Google Analytics. Wiadomo, że fajnie jest mieć wszystko w jednym miejscu, tylko po co dodatkowo obciążać stronę (zarówno pod kątem wydajności jak i bezpieczeństwa

Kombajnów do wszystkiego

Każda dodatkowa wtyczka to kod dodawany do strony WWW. Nie tylko może stronę obciążyć, ale też zwiększyć podatność na ataki. O wtyczkach-do-wszystkiego pisałam w poprzednim newsletterze. Zapraszam do archiwum 🙂

Pagebuilderów

Elementor czy Divi być może wydają się fajnym wyborem, bo przecież łatwo poprzestawiać klocki i zbudować fajną stronę. Ale wiesz co? Z Gutenbergiem jest dokładnie tak samo, ale strona jest lżejsza. Z jeśli korzystasz z Kadence Blocks to na dodatek masz interfejs po polsku. 

No i oczywiście… wtyczek do „bezpieczeństwa”

Dlaczego nie warto korzystać z wtyczek do bezpieczeństwa?

Zacznijmy od tego jak te wtyczki działają. Na stronach tych wtyczek w repozytorium można znaleźć mniej więcej takie funkcje jak: firewall WAF, skanowanie w czasie rzeczywistym w poszukiwaniu wirusów i malware, zmiana adresu logowania do WordPressa, recaptha, uwierzytelnianie dwuskładnikowe, naprawa zainfekowanych wtyczek poprzez nadpisanie ich oryginalnymi wersjami, skanowanie zawartości plików w poszukiwaniu niebezpiecznych adresów URL czy spamu. 

1. WAF: Firewall implementuje się na serwerze, nie w samym WordPressie. Wystarczy tu wybrać dobry hosting.

2. Skanowanie w czasie rzeczywistym: Zadaj sobie ważne pytanie: po co Ci wtyczka, która poinformuje Cię o tym, że masz robala jak on będzie już w środku? A przy okazji strona zwolni, bo zostanie obciążona przez te skany.

3. Zmiana adresu logowania: to nie jest rzeczywiste zabezpieczenie tylko ukrycie. Włamania na WordPressa to głównie podatności we wtyczkach czy motywach albo poprzez protokół XMLRCP, który służy do zdalnej komunikacji ze stroną.

4. ReCaptha – dobre formularze pozwalają się zintegrować z ReCaptha i nie potrzebujesz do tego wielkiej wtyczki, która robi więcej złego niż dobrego. W ostateczności możesz skorzystać z małej wtyczki, która dodaje TYLKO ReCaptha. 

5. Uwierzytelnianie dwuskładnikowe. Nie mam zastrzeżeń. To moim zdaniem ważna rzecz i potrzebna, jednak tak jak powyżej: nie musisz mieć do tego wtyczki kombajnu.

6. Naprawa zainfekowanych wtyczek: Wydaje się to całkiem w porządku ale zastanów się: skąd masz pewność, że kopiowanie plików się uda? Skąd masz pewność, wirus, którego masz w WordPressie nie nadpisze ponownie tych plików, albo sprawi, że będziesz myśleć że wszystko się udało? Czyszczenie witryny, to rzecz którą trzeba mieć pod kontrolą. 

7. Skanowanie: Jak już wyżej wspomniałam będzie obciążać stronę, a tego nikt nie chce. 

8. Ochrona przed SPAMEM: Po pierwsze można to zrobić w WordPressie w ustawieniach Dyskusji, albo zainstalować np. Antispam Bee do zajęcia się tylko tą kwestią.

I najważniejsze: dają fałszywe poczucie bezpieczeństwa. Klient myśli, że skoro „coś piszczy i świeci się na zielono”, to wszystko gra. A Ty przestajesz działać systemowo, bo przecież „jest wtyczka”.

Podsumowując

Zaufanie do magicznych obietnic typu „zabezpieczymy wszystko za Ciebie” to luksus, na który nie możesz sobie pozwolić, zwłaszcza jeśli odpowiadasz za strony klientów. Ich dane, ich reputacja, ich sprzedaż – leżą w Twoich rękach. Nie musisz być ekspertem od cyberbezpieczeństwa, ale musisz przestać myśleć, że wtyczka zrobi wszystko sama. Nie zrobi, bo to Ty masz to zrobić i zacznij od tego by nie używać wtyczek do bezpieczeństwa i innych wymienionych wyżej. Albo licz się z tym, że pewnego dnia obudzisz się z wiadomością od klienta, że „coś jest nie tak ze stroną”.

kurs online wordpress dla wirtualnych asystentek freelancerek infoblogerka kurs wordpress z certyfikatem

Ps. Chcesz wiedzieć więcej o WordPressie i o tym jak tworzyć funkcjonalne, czytelne i skuteczne strony WWW – z przemyślaną architekturą, dobrą obsługą klienta i sprawdzonym procesem współpracy? Nauczę Cię tego!

Sprawdź kurs WordPressPLUS w którym daję Ci wiedzę nie tylko o samym WordPressie, ale także o strategii planowania strony, rozwiewam wątpliwości o technikaliach i pokazuję, jak wygląda proces pracy z klientem! A nawet dam Ci swoją własną checklistę podsumowującą pracę!

Sprawdź Kurs WordPressPLUS
Gabriela Kurowska
Gabriela Kurowska
Artykuły: 247

Zapisz się na newsletter po więcej takich treści

Pamiętaj, że zapisując się do newslettera, wyrażasz zgodę na przetwarzanie danych osobowych, które podasz w formularzu zgodnie z Polityką prywatności. Administratorem danych osobowych jest Gabriela Kurowska NIP 6772361178

Podobne wpisy

Dodaj komentarz

Dodając komentarz na moim blogu, wyrażasz zgodę na przetwarzanie danych osobowych, które podasz w formularzu zgodnie z Polityką prywatności. Administratorem danych osobowych jest Gabriela Kurowska prowadząca dzialalność gospodarczą wpisaną do CEiDG pod numerrm NIP 6772361178

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *