Jak zabezpieczyć WordPress’a

Bezpieczeństwo w Sieci jest zagadnieniem istotnym, ale także często ignorowanym przez właścicieli zarówno tych małych jak i większych witryn. Wynika to chyba po części z poczucia niskiej wartości inwestycji, jeśli koszty faktycznie były niewielkie. Gdy zrobisz stronę samodzielnie i nie wydasz przynajmniej kilku tysięcy złotych, to nie specjalnie czujesz jej wartości pomimo, że być może poświęciłeś jej całkiem sporo czasu. Ale często nawet jeśli zlecamy wykonanie strony i płacimy te kilka tysięcy złotych, to nie przychodzi nam do głowy, aby podjąć dodatkowy wysiłek i należycie ją zabezpieczyć. Wydaje nam się, że skoro mamy stronę i za nią zapłaciliśmy, to nic się nie wydarzy. Błąd!

Weźmy dla kontrastu np. zakup domu. Inwestujesz w niego kilkaset tysięcy złotych albo więcej. Czujesz więc, że taką inwestycję bezwzględnie trzeba odpowiednio zabezpieczyć – poszła gruba kasa. Ubezpieczasz go, instalujesz system alarmowy, być może także całodobowy monitoring z kamer, w co znowu inwestujesz, ale przecież nie chcesz żeby ktoś Ci się włamał i narobił szkód. Dmuchasz i chuchasz.

Pomimo, że strona internetowa zwłaszcza w formie wizytówki firmowej z niewielkim blogiem nie kosztuje tyle co dom, to także inwestycja. Inwestycja w własną firmę, jej przyszłość i wizerunek. Inwestycja, którą powinieneś chronić, bo pomimo, że koszty początkowe nie były wielkie w porównaniu do naszego przykładowego domu, to konsekwencje włamania mogą być równie dotkliwe, a niekiedy nawet bardziej niż wyniesienie z domu wartościowego sprzętu elektronicznego. Dlaczego więc nie robimy zbyt wiele aby nasze strony internetowe były bezpieczniejsze? Wynika to także z braku świadomości. Wydaje nam się, że stworzona strona z gruntu jest bezpieczna, a jeśli coś się wydarzy to nie my za to odpowiadamy tylko ktoś inny, np. dostawca usług hostingowych, firma która stronę dla nas wykonała, producent oprogramowania, itd…

Zwiększ bezpieczeństwo swojego WordPress’a

Samo oprogramowanie WordPress’a jest bezpieczne choć są tacy, którzy powiedzą że nie. Nie zgodzę się jednak z nimi, ponieważ WordPress jest nieustannie kontrolowany przez setki programistów na całym świecie i wszelkie luki w nim wykryte są szybko usuwane w kolejnych aktualizacjach bezpieczeństwa. Trzeba mieć świadomość, że w rzeczywistości nie ma systemów całkowicie bezpiecznych. Każdy ma jakieś słabe punkty, które jak w przypadku wspomnianych aktualizacji WordPress’a są eliminowane, ale to wcale nie znaczy że w to miejsce nie wskakują inne, które dopiero za jakiś czas będą zidentyfikowane. Z tego względu trudno mówić o całkowitym wyeliminowaniu ryzyka włamania, ale można mówić o jego znacznym zminimalizowaniu. O tym przeczytasz w tym artykule.  

Dlaczego bezpieczeństwo WordPress’a jest tak ważne?

Zhakowanie strony internetowej wiąże się bardzo często z poważnymi konsekwencjami takimi jak straty finansowe (spadek przychodów) i pogorszeniem wizerunku firmy. Hakerzy włamując się na Twoją stronę mogą wykraść dane Twoich Klientów, a także rozpowszechniać za pośrednictwem Twojej strony złośliwe oprogramowanie czy wręcz wykorzystywać ją jako miejsce umożliwiające przeprowadzanie ataków na inne strony.

Jeśli zdarzy się, że akurat Twoja witryna zostanie zhakowana, w dość krótkim czasie trafi na czarne listy, a to oznacza mocny cios w reputację Twojej firmy ponieważ Klientom zostaną wyświetlone informacje o tym, że strona np. rozpowszechnia niebezpieczne treści. Taki cios może Cię sporo kosztować.

Każdego tygodnia Google umieszcza na czarnych listach po kilkadziesiąt tysięcy stron za złośliwe oprogramowanie i kilkadziesiąt tysięcy za phishing. Nie jest to więc zjawisko o marginalnym zasięgu i może dotknąć każdego. Także Ciebie.

Jako właściciel strony internetowej masz obowiązek ją należycie chronić. Firma hostingowa może Cię w tym zakresie wspomóc stosowanymi technologiami na swoich serwerach, ale to nie załatwia wszystkiego. Bezpieczeństwo Twojej strony jest przede wszystkim w Twoich rękach.

Omówmy najważniejsze aspekty związane z bezpieczeństwem strony działającej na WordPress’ie. Wbrew pozorom odpowiednie jej zabezpieczenie, nawet jeśli nie masz o tym zielonego pojęcia nie jest trudne i nie wymaga od Ciebie zaawansowanej wiedzy.

Dbaj o aktualizacje WordPress’a

WordPress jak już wspomniałem jest bezpiecznym oprogramowaniem, ponieważ bardzo szybko pojawiają się aktualizacje, które eliminują wykryte luki. Tu jednak warto zwrócić uwagę na to, że WordPress jest niezwykle popularnym systemem Open Source. Na tyle popularnym, że praktycznie co trzecia witryna w sieci działa właśnie na WordPress’ie. Tak duża ilość stron jest łakomym kąskiem dla hakerów, którzy wykorzystując niewiedzę właścicieli stron i znane luki bezpieczeństwa mogą hurtowo atakować duże ilości witryn.

Właśnie dlatego aktualizacje są tak niezwykle istotnym czynnikiem mającym kluczowe znaczenie na polu bezpiecznego użytkowania WordPress’a.

Ale sam WordPress to nie wszystko. Zapewne instalując WordPress’a wykorzystasz na nim także jakiś motyw i wtyczki rozszerzające jego możliwości. One także powinny być aktualizowane tak często jak to możliwe. Im więcej wtyczek tym więcej potencjalnych niebezpieczeństw, dlatego poza aktualizacjami staraj się odpowiednio dobierać to co instalujesz, a wtyczki czy motywy z których nie korzystasz zawsze usuwaj.

Ostatnio trafił do mnie Klient prowadzący sklep internetowy na Woocommerce z kobiecymi akcesoriami (kosmetyczki, torebki itp). Okazało się, że firma, która sklep przygotowała dorzuciła wtyczkę ukrywającą informację o dostępnych aktualizacjach. Zapytałem Klienta czy to działanie ma jakieś konkretne uzasadnienie, ale nie potrafił odpowiedzieć. Po prostu nie miał o tym pojęcia za co trudno go winić bo nie został o tym poinformowany. Firma zrobiła sklep, oddała go, a skoro działał, to w oczach Klienta wszystko wydawało się być w porządku. Domyślam się, że motywem takiej konfiguracji były ręczne modyfikacje kodu niektórych wtyczek jakie firma tworząca sklep wprowadziła. Doszli zapewne więc do wniosku, że jeśli odetną możliwość aktualizacji środowiska, Klient nie nadpisze wprowadzonych przez nich modyfikacji i sklep się nie wysypie. Takie działanie dla mnie osobiście jest karygodne, bo firma oddająca taki sklep Klientowi w sposób świadomy naraziła go na poważne konsekwencje. Pół biedy gdyby mieli umowę w ramach której sami dokonywaliby aktualizacji, ale tak nie było. Gdyby coś się stało i gdybym to ja był właścicielem takiej strony nie miałbym skrupułów, aby wystąpić na drogę sądową. Nie mógłbym jednak cofnąć już wygenerowanych strat, a co najważniejsze utraty reputacji.

Aktualizacje WordPressa, jego motywów i wtyczek to podstawowy czynnik podnoszący bezpieczeństwo strony. Nie zaniedbuj tego pod żadnym pozorem. Proces aktualizacji nie jest trudny. WordPress sam informuje o tym, że jest nowa wersja takiego czy innego elementu i wystarczy jedynie kliknąć w przycisk aktualizacji. To wszystko.

Używaj silnych haseł

Bardzo często do włamania na stronę dochodzi za sprawą używania prostych, słownikowych haseł. Wynika to po prostu z faktu, że nie lubimy zapamiętywać skomplikowanych haseł, dlatego ułatwiamy sobie życie korzystając z prostego hasła, a niekiedy nawet jest to hasło jakie stosujemy w wielu innych miejscach np. logując się do profili społecznościowych, na innych swoich stronach itd… Namawiam do zmiany przyzwyczajeń i do stosowania możliwie złożonych haseł do każdego miejsca w sieci. Z pomocą przychodzą tu rozmaite narzędzia, które umożliwiają przechowywanie haseł do różnych stron i systemów w jednym miejscu. Wykorzystaj chociażby darmowy KeePass lub poszukaj podobnych narzędzi, co ułatwi Ci zarządzanie swoimi hasłami i nie będziesz musiał ich wszystkich pamiętać.

W sytuacji gdy masz kilka stron na WordPress’ie i chcesz zarządzać nimi z poziomu jednego panelu wykorzystaj Hosting WordPress. Jeśli podepniesz do niego swoje strony będziesz mógł logować się do nich wszystkich z jednego miejsca. Co więcej hosting będzie także kontrolował zarządzanie aktualizacjami wszystkich Twoich stron, a więc z jednego panelu wykonasz aktualizacje WordPress’a, motywów i wtyczek na wszystkich swoich witrynach.

Silne hasła stosuj do konta hostingowego, kont FTP, poczty – wszędzie.

Rola hostingu

Usługodawca hostingu odgrywa znacząca rolę w temacie zabezpieczeń, choć tak jak wspomniałem nawet najlepszy operator nie jest w stanie zagwarantować Ci pełnego bezpieczeństwa, jeśli sam o nie nie zadbasz.

Operatorzy usług hostingowych stosują bardzo różne mechanizmy ochrony. Jedni ograniczają się do minimum inni wdrażają systemy monitorujące i reagujące w tle na wypadek różnych zdarzeń. W odniesieniu do usług współdzielonych ważne jest także to, aby twoja strona działała w odseparowanym środowisku, co eliminuje możliwość ataku na Twoje konto z innego “sąsiedniego”.

Na kontach hostingowych DiDHost, a w szczególności na Hostingu WordPress znajdziesz nie tylko odseparowane środowisko dla każdego konta, ale także systemy monitorujące Twoją stronę pod kątem takich zagrożeń jak wirusy, ataki bruteforce, malware i wiele innych. Znajdziesz tu także monitoring określonych zachowań, które blokują podejrzanemu dostęp do strony i całego konta jeśli aktywność wskazuje na robota.

Zadbaj o kopie bezpieczeństwa

Kopie plików strony są pierwszą linią obrony czy raczej reakcji na skutki włamania, ale jak się okazuje nie tylko. 10 marca 2021 spłonęła jedna z serwerowni OVH, doszczętnie i bezpowrotnie niszcząc ogromne ilości danych.

Podkreślam to raz jeszcze. Nie ma stron w 100% bezpiecznych bez względu na podjęte środki. Skoro hakerom poddają się strony rządowe i strony wielkich korporacji, to także Twoja może być na nie podatna.

Backup pozwoli Ci szybko cofnąć spustoszenie jakiego dokonają hakerzy i uniknąć sytuacji w której sprawcy zażądają od Ciebie dużych kwot w zamian za przywrócenie strony do jej pierwotnego stanu. Unikniesz również skutków kataklizmów, które wydają się nieprawdopodobne, a jednak realne.

Operatorzy kont hostingowych zazwyczaj udostępniają kopie bezpieczeństwa, jednak dobrze jest zadbać także o własne nad którymi masz kontrolę. Do tego celu możesz wykorzystać dodatkowe wtyczki, które w określonych odstępach czasu będą wykonywać kopie bezpieczeństwa bazy danych i ważnych plików.

Istotne jest tu to, żeby plików kopii nie przechowywać na koncie hostingowym. Innymi słowy, skonfiguruj wtyczkę w taki sposób, aby kopie były przesyłane na zewnątrz np. na DropBox’a, Google Drive czy innej lokalizacji, do której masz dostęp. Chodzi o to, że w sytuacji zhakowania strony sprawcy mogą uzyskać dostęp do wszystkich zasobów, więc w takiej sytuacji zapewne stracisz też swoje lokalne kopie, zwłaszcza jeśli celem ataku będzie wyciągnięcie od Ciebie pieniędzy za odtworzenie strony.

Dobrym rozwiązaniem w przypadku zewnętrznych kopii bezpieczeństwa jest wtyczka WPvivid w wersji Premium z uwagi na możliwość tworzenia kopii przyrostowych. W praktyce tego typu wtyczek jest bardzo dużo. Możesz wybierać 🙂

Dla sklepów internetowych, gdzie cały czas projekt żyje: wpadają zamówienia, zmieniają się ich statusy itd…, polecam kopie w czasie rzeczywistym, które są w stanie wykryć ważne zdarzenia i automatycznie zrobić zrzut danych. To ważne, bo wyobraź sobie, że masz kopie nocne. Cały dzień sklep funkcjonuje pełną parą, wpadły zamówienia i ogólnie sporo się działo. Wieczorem przydarza się coś niedobrego i pojawia się konieczność odtworzenia sklepu z kopii. Odtwarzasz z kopii nocnej, ale… tracisz cały jeden dzień, wszystko co działo się na sklepie od czasu wykonania kopii przepada. Nie ma zamówień, rejestracji z ostatniej doby, co może być bolesne, ale na szczęście są sposoby, aby się przed takimi sytuacjami zabezpieczyć.

Polecam BlogVault. To system tworzący kopie, który w najwyższym planie może to robić w czasie rzeczywistym. Moich Klientów i uczestników kursów na PoznajWP zapraszam do kontaktu ze mną przed zakupem.

WordPress i najlepsze wtyczki bezpieczeństwa

Kolejnym elementem, który trzeba uwzględnić to rozszerzenie, które będzie czuwało nad pozostałymi aspektami związanymi z bezpieczeństwem strony na WordPress’ie. Jeśli Twoja strona zostanie zainfekowana wówczas zmianie ulegają określone pliki. Wtyczki monitorujące ich integralność wyłapią zmianę bardzo szybko i poinformują Cię o tym fakcie. Dzięki temu będziesz mógł zareagować zanim wprowadzone zmiany narobią rzeczywistych szkód.

Dodatkowo tego typu wtyczki oferują bardzo często o wiele szerszy zakres ochrony, np. przed atakami brute force, oferują dwuwarstwową autoryzację, czy firewall w modelu WAF.

Przetestowałem wiele tego typu rozwiązań i mam swoje dwa ulubione, które także Tobie rekomenduję do sprawdzenia i ostatecznie wdrożenia jednego z nich.

Sucuri

Mój zdecydowany faworyt. W wersji darmowej załatwia praktycznie wszystkie najważniejsze elementy związane z integralnością plików, odpieraniem ataków brute force, monitorowaniem strony pod kątem złośliwego oprogramowania.

W wersji płatnej wzbogacamy stronę dodatkowo o potężny firewall (WAF) i co najważniejsze firewall działający w chmurze. W praktyce oznacza, to przefiltrowanie ruchu kierowanego na stronę pod katem różnego rodzaju ataków w tym DDOS, szkodliwych botów itp… jeszcze na etapie zanim zastuka na Twój serwer. Ta forma ochrony poza samym odfiltrowaniem szkodliwego ruchu, nie tylko nie ma negatywnego wpływu na wydajność strony (nie obciąża serwera), ale przyczynia się do jej poprawy dzięki wykorzystaniu mechanizmów cache w chmurze i serwowaniu danych statycznych poprzez sieć CDN.

Sucuri wykorzystuję zarówno na tej stronie jak również na stronach moich Klientów, którzy zdecydowali się na wdrożenie tej formy ochrony. Korzyści są fenomenalne.

Na potrzeby tego artykułu zrobiłem test wyłączając na jeden dzień wtyczkę na tym blogu, żeby sprawdzić jaki to będzie miało wpływ na wydajność i jakie będzie generowało obciążenia. Dzień w którym wtyczka była wyłączona zaowocował wykorzystaniem procesora na poziomie blisko 30%.

W kolejnym dniu ponownie aktywowałem wtyczkę i efekt jej działania natychmiast przełożył się na spadek obciążenia poniżej 1%. Trzydziestokrotny spadek obciążenia dzięki wyeliminowaniu szkodliwego ruchu i ataków.

Już same dane dotyczące wykorzystania zasobów obliczeniowych serwera mówią bardzo wiele o skuteczności tego rozwiązania. W sytuacji gdy Twoja strona generuje spory ruch, a w ślad za tym obciążenia, a operator konta hostingowego zaczyna Cię upominać czy wręcz blokuje Twoje konto, zastosowanie tego rozwiązania może diametralnie odwrócić Twoje położenie.

W ciągu każdego dnia Sucuri niweluje skutki ataków DDOS, odpiera ataki brute-force, eliminuje boty próbujące wbijać komentarze i rozmaite inne niebezpieczne i zarazem niepożądane zdarzenia. Na JZS odpiera w ten sposób ponad pół tysiąca ataków dziennie.

Dla mnie to narzędzie numer jeden. Niestety jego wadą jest cena. O ile wersja darmowa pozwala na monitoring integralności plików, skanuje stronę pod kątem zagrożeń malware i udostępnia jeszcze kilka innych wartościowych funkcji bezpieczeńśtwa o tyle firewall, który robi najlepszą robotę jest już usługą płatną zaczynającą się od niecałych 10 dolarów miesięcznie. Jeśli jednak możesz sobie pozwolić na taki wydatek rozwiązanie jest warte zdecydowanie warte każdej wydanej na nie złotówki.

WordFence

Druga wtyczka na mojej liście polecanych rozszerzeń związanych z bezpieczeństwem. W wersji bezpłatnej oferuje naprawdę bardzo dużo włącznie z zaawansowanym Firewallem (WAF) z tą jednak różnicą, że firewall działa bezpośrednio na WordPressie, co eliminuje szkodliwy ruch w momencie kiedy dociera do strony, co ma wpływ na jej wydajność. Dodatkowo skanery poszukujące zmian w plikach także potrafią podnieść poziom obciążenia. Wiem, że niektórzy operatorzy współdzielonych usług hostingowych wręcz zabraniają korzystania z tej wtyczki z uwagi na pokaźne wykorzystanie zasobów obliczeniowych maszyn. I choć producent nieustannie optymalizuje procesy ochrony stosowane przez wtyczkę, to jednak tarcza działa bezpośrednio na stronie a nie tak jak w przypadku Sucuri poza nią, co chcąc nie chcąc musi generować obciążenia, a także spowalniać stronę (ma więcej pracy do wykonania).

Poza powyższym wtyczka działa rewelacyjnie i całkowicie spełnia swoje zadanie. W wersji PRO mamy dostęp w czasie rzeczywistym do danych o szkodliwych adresach IP, botach itp… gromadzonych w całej sieci WordFence. Gdyby nie fakt, że wtyczka miewała wpływ na wydajność z pewnością nie interesowałbym się innymi rozwiązaniami. Przez kilka lat WordFence skutecznie chronił JZS i choć teraz robi to Sucuri, to WordFence nadal zalicza się w mojej ocenie do topowych narzędzi zabezpieczających WordPress’a.

Wynik WordFence w moim teście jest także świetny. Odpierając ataki i szkodliwy ruch zmniejszył obciążenie generowane przez bloga prawie dziesięciokrotnie.

Moja sugestia. Jeśli masz poważny projekt biznesowy, gdzie wydajność i bezpieczeństwo ma kluczowe znaczenie wykorzystaj Sucuri. W sytuacji gdy masz mniejszą witrynę, której wewnętrzne skanery WordFence nie będą musiały intensywnie skanować wybierz WordFence. W większości sytuacji wersja bezpłatna jest w zupełności wystarczająca.

WebTotem

Dojrzewające narzędzie, ale niestety wciąż jeszcze sprawia trochę trudności. Idea jest podobna do tego co oferuje weteran WordFence. Skanuje pliki, filtruje złośliwy ruch, monitoruje wiele parametrów bezpieczeństwa.

WebTotem wykorzystuję na kilku swoich projektach i uważnie obserwuję rozwój. Na razie na strategicznych witrynach nie używam, ale narzędzie interesująco się rozwija i sądzę, że w 2022 roku będzie już na tyle dojrzałe, że zdecyduję się użyć go także na ważnych dla mnie projektach. Polecam uwadze, ponieważ narzędzie dostępne jest w przyzwoitej cenie. Moi Klienci mogą z niego korzystać bez opłat.

O czym jeszcze warto pamiętać

Jeśli zadbałeś o wszystko o czym już napisałem jest rewelacyjnie, ale oczywiście zawsze jeszcze można coś zrobić. Im bardziej utrudnisz hakerom próby złamania Twojej strony tym lepiej. 

Zmień domyślną nazwę administratora

Bardzo często pozwalamy aby login głównego konta administracyjnego miał oklepaną nazwę “admin”. Instalując WordPress’a nie myśl, że skoro instalator podpowiada Ci akurat taką a nie inną nazwę, to taka powinna zostać. Wręcz przeciwnie! Hakerzy w pierwszej kolejności wykorzystują w atakach ten login licząc na to, że nie tylko nie zmieniłeś domyślnie proponowanego loginu, ale do tego użyłeś niezbyt skomplikowanego hasła. Połączenie tych dwóch rzeczy jest bardzo niebezpieczne.

Jeśli dopiero jesteś na etapie instalacji WordPress’a od razu na dzień dobry ustaw inny login administratora, a jeśli już masz stronę i taki login zmień go. W tym drugim wypadku WordPress uniemożliwia dokonanie zmiany loginu z poziomu edycji użytkownika, dlatego w takiej sytuacji masz trzy wyjścia.

• Założenie nowego użytkownika z prawami administratora, a następnie usunięcie użytkownika admin.
• Zmianę nazwy użytkownika przy wykorzystaniu wtyczki, która to umożliwia
• Wprowadzenie zmiany bezpośrednio w bazie danych w tabeli użytkowników korzystając np. z phpMyAdmin’a, który prawdopodobnie masz na swoim koncie hostingowym

Gdy już to zrobisz, a korzystasz z WordFence sugeruję Ci przejść do ustawień jego konfiguracji i odszukać miejsce gdzie można wpisać loginy, po których użyciu delikwent zostanie z miejsca zablokowany. Wpisz tu admin, root, administrator itp.. po czym zapisz zmiany.

Od tej pory każdy kto spróbuje się zalogować korzystając z loginu admin zostanie natychmiast odcięty od Twojej strony.

Wyłącz możliwość edycji plików z poziomu panelu WordPress’a

WordPress umożliwia modyfikację kodu plików zarówno motywów jak i wtyczek bezpośrednio z panelu administracyjnego. Warto tę funkcjonalność wyłączyć np. jednym kliknięciem jeśli korzystasz z Sucuri,  ale można to zrobić także z palca dodając do pliku konfiguracyjnego WP (config.php), mały fragmentu kodu:

define( ‘DISALLOW_FILE_EDIT’, true );

Kontroluj ilość prób logowania się

Standardowo WordPress dopuszcza dowolna ilość prób logowania się do Panelu zarządzania co jest skwapliwie wykorzystywane przez atakujących, którzy próbują trafić w nazwę użytkownika i hasło. Takich prób jeśli masz już stronę od jakiegoś czasu masz zapewne dziennie spora ilość choć być może o tym nawet nie wiesz.

Jesli korzystasz z Sucuri lub WordFence, to temat masz praktycznie ogarnięty. W WordFence możesz nawet ustawić bardzo restrykcyjnie tego typu ochronę i wyciąć logującego się już nawet po jednej nieudanej próbie. 

Ja zazwyczaj dopuszczam 5 nieudanych prób logowania się ale oczywiście mam projekty gdzie ten limit jest mniej restrykcyjny. Możesz tym sobie dowolnie sterować.

W sytuacji gdy nie korzystasz z WordFence lub Sucuri ani z jakiegokolwiek innego skryptu zapewniającego Ci szeroka ochronę w tym także ochronę przed tego typu zdarzeniami, zainstaluj wtyczkę Login LockDown, która pozwoli Ci na wprowadzenie podobnych limitów.

Wyłącz XML-RPC

Zablokowaliśmy nieudane próby logowania się jednak tylko za pośrednictwem standardowej strony WordPress’a. Jest jednak jeszcze jeden kanał komunikacji, który został wprowadzony do WordPressa w wersji 3.5, który umożliwia integrację systemu z zewnętrznymi aplikacjami. Żeby to lepiej zobrazować, to nasz przykładowy haker gdyby chciał standardowo wykonać powiedzmy 500 prób logowania się wykorzystując różne wariacje loginu i hasła musiałby to zrobić 500 razy przy czym nasze wcześniejsze zabezpieczenie zablokowałoby mu dostęp już po piątej próbie. Jeśli jednak użyje do tego celu kanału XML-RPC i system.multicall  będzie mógł przetestować kilkaset różnych haseł przy pomocy zaledwie kilku żądań.

Dlatego jeśli nie wykorzystujesz XML-RPC zdecydowanie zalecam aby go wyłączyć. Możesz to zrobić korzystając z Firewalla WAF lub dodając odpowiedni regułkę do pliku .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
allow from 000.00.00.000
</Files>

Oczywiście wpisujesz powyżej adres IP z którego dopuszczasz uruchamianie pliku xmlrpc.php dając tym samym dostęp do niego tylko wybranym przez siebie systemom.

Nagłówki HTTP

Jeśli to tylko możliwe zadbaj o skonfigurowanie kilku podstawowych nagłówków bezpieczeństwa HTTP. Nagłówki te informują przeglądarkę stron WWW w jaki sposób może korzystać z zasobów Twojej strony, na co pozwalasz, a na co nie. Nowoczesne przeglądarki respektują te nagłówki.

Więcej na ich temat znajdziesz w osobnym artykule „Nagłówki bezpieczeństwa HTTP”.