WordPress Toolkit

Jak zainstalować i zabezpieczyć WordPress za pomocą Plesk WordPress Toolkit

Jeżeli zapytasz mnie jak najszybciej zainstalować i zabezpieczyć aplikację WordPress, bez wahania odpowiem, że przy pomocy panelu Plesk i oferowanego przez niego bezpłatnie WordPress Toolkit.

Osobiście zainstalowałem i zabezpieczyłem w ten sposób około tysiąca instalacji WordPress, a WordPress Toolkit świetnie się sprawdził na placu boju. Oto jak to zrobić.

Z tego poradnika dowiesz się:

  • jak zainstalować WordPress’a w panelu Plesk w kilku kliknięciach,
  • jak zabezpieczyć nową instalację WordPress przed hakerami,
  • jak utworzyć automatyczną kopię zapasową strony.

Zaloguj się do hostingowego panelu Plesk i wybierz zakładkę „Strony WWW i domeny”, a następnie zakładkę „Dodaj nową domenę”.

Podaj odpowiednio:

  1. Nazwę domeny. Ja dodaję domenę wpsamouczek.pl
  1. Pozostaw domyślną opcję „Utwórz nową przestrzeń dyskową”. Zmiana tej opcji mogłaby być przydatna jedynie, jeśli podpinasz domenę do już istniejącej instalacji WordPress.
  1. Jeżeli dysponujesz dedykowanym adresem IP i chcesz go przypisać do dodawanej właśnie strony, to możesz to zrobić w tym miejscu. W przeciwnym wypadku pozostaw domyślny adres IP.
  1. Wprowadź nazwę użytkownika. Nie jest to jeszcze nazwa użytkownika WordPress. Ta nazwa użytkownika będzie Ci potrzebna w przypadku, gdyby w przyszłości zaszła potrzeba połączenia się z serwerem za pomocą klienta FTP. Spokojnie, jeśli ją zapomnisz to łatwo można ją później sprawdzić lub zmienić.
  1. Wygeneruj hasło dla wprowadzanego wcześniej użytkownika, w razie potrzeby również łatwo można go później zmienić.
  1. Zaznacz opcje zabezpieczenia strony WWW bezpłatnym certyfikatem SSL. To dzięki temu zabezpieczeniu połączenie z instalowanym właśnie WordPressem będzie szyfrowane, a przeglądarki będą informować o bezpiecznym połączeniu.
  1. To wszystko, kliknij przycisk „OK”.

Domena dodana?

Świetnie.

Teraz wybierz zakładkę „WordPress”  i kliknij w link „Zainstaluj” (znajdujący się obok ikony WordPress).

Teraz zainstalujemy WordPress’a.

1) Zakładam, że chcesz zainstalować WordPress’a pod domeną, która właśnie została przez Ciebie dodana, dlatego ścieżkę instalacji pozostaw domyślną.

2) Podaj tytuł strony.

3) Jeżeli często instalujesz WordPress’a z konkretnymi wtyczkami lub motywami, to możesz je wcześniej w Plesku zdefiniować jako zestaw. Dzięki temu wtyczki i motywy te będą automatycznie instalowane przy instalacji WordPress’a. Jeżeli chcesz zainstalować wcześniej zdefiniowany zestaw wtyczek, to możesz go tutaj wybrać.

4)Wybierz jaki domyślny język ma mieć zainstalowany WordPress.

5) Wybierz wersję WordPress do instalacji. Gorąco zachęcam do wybrania najnowszej.

6) Wpisz login, który będzie używany przez administratora (swój lub klienta, dla którego instalujesz WordPress’a).

7 i 8) Wygeneruj hasło (zachęcam do wybrania tej opcji) lub wpisz własne.

9) W zakładce bazy danych w 99.9% będziesz chcieć zostawić domyślne ustawienia.

10) Rozwiń zakładkę „Automatyczne ustawienia aktualizacji”.

Aktualizacje zarówno WordPress jak i wtyczek oraz motywów, są bardzo ważne ze względu na bezpieczeństwo oraz wydajność WordPressa.

Dlatego zachęcam Cię do włączenia automatycznych aktualizacji, szczególnie jeżeli używasz sprawdzonych motywów i wtyczek.

1) Wybierz, czy chcesz automatycznie wykonywać tylko mniejsze aktualizacje np. z WordPress 5.5.1 do 5.5.2, ale nie z WordPress 5.5.1 do 5.6. Osobiście jestem zwolennikiem również większych aktualizacji, zatem np. z 5.5 do 5.6.

2 i 3) Wybierz czy chcesz automatycznie aktualizować wtyczki i motywy. Tutaj również jestem zwolennikiem zaznaczenia tych opcji.

Następnie kliknij w przycisk „Zainstaluj”.

Dobra robota! WordPress właśnie został zainstalowany.

Zostało nam jeszcze wykonać kilka czynności związanych z zabezpieczeniem instalacji przed „złymi gośćmi”.

W tym celu wybierz z menu Pleska zakładkę „WordPress”. Następnie odszukaj wykonaną przed chwilą instalację i obok zakładki „Status bezpieczeństwa” kliknij w przycisk „Widok”.

Teraz zaznacz checkbox „Środki bezpieczeństwa” i kliknij „Zabezpiecz”.

Zostaną wykonane czynności zabezpieczające Twoją instalację.

Czasami może się zdarzyć, że niektóre z tych zabezpieczeń mogą sprawiać drobne problemy w codziennym użytkowaniu WordPressa. W takim jednak przypadku zabezpieczenie sprawiające problemy można łatwo cofnąć.

Wystarczy wrócić do tej zakładki i kliknąć przy danym środku bezpieczeństwa link „cofnij”.

Dla formalności poniżej lista co dany środek bezpieczeństwa „robi”:

Ogranicz dostęp do plików i katalogów – środek ten ogranicza dostęp do ważnych plików WordPress. Przykładowo, jeżeli niepowołana osoba uzyskałaby dostęp do pliku „wp-config”  to równałoby się to z przejęciem przez hakera całej Twojej instalacji.

Skonfiguruj klucze bezpieczeństwa – Plesk sprawdzi czy klucze szyfrujące (m.in. dane zawarte w plikach cookies) są odpowiednio mocne.

Blokuj przeglądanie katalogów – nie raz widziałem sytuację, kiedy osoby sprzedające w internecie treści np. w formie PDF, nie zdawały sobie sprawy, że sprzedawane przez nie materiały są dostępne dla ogółu przez nieodpowiednio zabezpieczone katalogi. Ta opcja pomaga uniknąć takich sytuacji.

Zabroń wykonywania skryptów PHP w katalogu wp-includes – ten środek bezpieczeństwa uniemożliwia wykonanie plików PHP w katalogu wp-includes w celu przejęcia Twojej instalacji WordPress.

Zabroń wykonywania skryptów PHP w katalogu wp-content/uploads – ten sam środek bezpieczeństwa co wcześniej, aczkolwiek dla innego często używanego katalogu.

Zablokuj nieautoryzowany dostęp do wp-config.php – plik wp-config jest jednym z najważniejszych plików Twojego WordPressa, a niepowołany dostęp do niego skutkuje przejęciem całej witryny.

Wyłącz łączenie skryptów dla panelu administracyjnego WordPress – środek zapobiegawczy przeciw atakom typu DoS.

Wyłącz pingbacki – pingbacki mogą zostać wykorzystane do ataku DDoS oraz do spamowania Twojej witryny.

Włącz ochronę przed hotlinkowaniem – opcja ta w dużej mierze chroni przed „kradzieżą” grafik z Twojej strony. Przykładowo spamer nie będzie już mógł automatycznie importować grafik z twojej strony na swoją za pomocą kanału RSS.

Wyłącz nieużywane języki skryptowe – WordPress nie używa takich języków programistycznych jak Python czy Perl. Nie ma powodu więc trzymać tych języków włączonych i narażać się na wykorzystanie potencjalnej luki bezpieczeństwa w tych językach skryptowych.

Wyłącz wykonywanie PHP w katalogach pamięci podręcznej – w katalogach pamięci podręcznej nie powinny być wykonywane żadne skrypty. Gdyby zainfekowany plik trafił do pamięci podręcznej opcja ta uniemożliwi mu wykonanie złośliwego skryptu.

Wyłącz edycję plików w Panelu WordPress – domyślnie kod wtyczek czy motywu możesz edytować z poziomu panelu WordPress. Jednak, kiedy np. konto administracyjne klienta dostałoby się w niepowołane ręce, to atakujący bez problemu mógłby dodać złośliwy kod do witryny.

Zmień domyślny prefiks tabeli bazy danych – zmiana prefiksu bazy danych utrudnia niepowołanym osobom uzyskanie nieautoryzowanego dostępu do danych. Dla świeżej instalacji ta operacja jest całkowicie bezpieczna. Może jednak wywołać problemy w działaniu niektórych wtyczek, jeżeli zmiana wykonywana jest dla „starej” instalacji.

Włącz ochronę przed botami – blokuje szkodliwe boty, które skanują Twoją witrynę w celu wykrycia luk bezpieczeństwa.

Zablokuj dostęp do poufnych plików – podnosi poziom bezpieczeństwa poprzez zablokowanie dostępu do plików, których dane mogą być wykorzystane do ataku na Twoją witrynę.

Zablokuj dostęp do potencjalnie wrażliwych plików – tak jak wyżej, blokuje dostęp do plików, których dane mogą potencjalnie zostać wykorzystane do ataku na Twoją witrynę.

Zablokuj dostęp do plików .htaccess i .htpasswd – plik .htaccess bywa wykorzystywany przez hakerów do przekierowywania ruchu z Twojej witryny na inną.

Zablokuj skanowanie autora – środek ten blokuje boty, które to skanują witrynę w poszukiwaniu nazwy użytkowników, a następnie próbują odgadnąć hasło użytkownika w celu przejęcia konta.

Zmień domyślną nazwę użytkownika administratora – jedną z najczęstszych form ataku na WordPressa jest próba włamania się do witryny poprzez odgadnięcie hasła administratora. Jeżeli zostawiasz domyślną nazwę administratora, ułatwiasz zadanie botom, które będą próbować włamać się tą metodą.

Jak utworzyć automatyczne kopie bezpieczeństwa witryny WordPress w Plesku

Osobiście rzadko musiałem korzystać z kopii bezpieczeństwa, ale kiedy już musiałem to zrobić, to ratowało mnie to z gigantycznej opresji.

Skonfigurowanie automatycznych kopii zapasowych w Plesku jest dziecinnie proste i nie warto odkładać tego w czasie, ponieważ może się okazać, że odłożyliśmy to o jeden dzień za dużo.

Skonfigurowanie ich zajmie Ci około minuty. A zatem zaczynamy.

Wybierz zakładkę „Kopia zapasowa”.

Następnie wybierz zakładkę „Plan zajęć”.

1) Zaznacz opcję „Uruchom zadanie tworzenia kopii zapasowych”.

2) Wybierz czas, kiedy kopia ma zostać wykonana. Polecam godziny nocne, ze względu na to, że wtedy serwer jest zazwyczaj mniej obciążony.

3) Zaznacz opcję przyrostowej kopii zapasowej. Po zaznaczeniu tej opcji zamiast tworzenia za każdym razem pełnej kopii zapasowej, będą zapisywane tylko zmiany dokonane od ostatniej kopii. Pozwoli Ci to zaoszczędzić miejsce na dysku.

4) Wybierz, co jaki czas ma być tworzona pełna kopia zapasowa, np. co tydzień.

5) Wybierz, przez jaki czas mają być przetrzymywane kopie zapasowe. Automatyczne usuwanie starych kopii zapobiega szybkiemu wyczerpaniu miejsca na dysku.

Pamiętaj, że w przypadku przyrostowej kopii zapasowej, jeżeli zostanie usunięta główna kopia zapasowa, to zostaną też usunięte powiązane z nią kopie przyrostowe. Zatem jeżeli tworzysz pełne kopie zapasowe co tydzień, a przez resztę dni tygodnia kopie przyrostowe, to usunięcie pełnej kopii spowoduje też usunięcie pozostałych 6 kopii przyrostowych z reszty dni powiązanych z daną pełną kopią.

6) Wybierz co powinna zawierać kopia. Polecam zaznaczyć wszystkie opcje.

7) Domyślnie pliki kopii przechowywane są lokalnie. W Plesku możliwe jest też przechowywanie kopii zdalnie na innym serwerze FTP lub w chmurze np. Dropbox’ie. Jeżeli dodatkowe opcje backupowe w Plesku są skonfigurowane przez Ciebie lub administratora serwera, to będziesz mieć tutaj możliwość ich wyboru.

8 i 9) Tutaj masz możliwość wyłączenia niektórych plików z backupu jak np. pliku z logami lub dowolnego innego wybranego przez Ciebie pliku.

10) Czasami może zdarzyć się, że z jakichś przyczyn kopie bezpieczeństwa przestaną się prawidłowo wykonywać. Na szczęście możesz zaznaczyć opcję powiadomienia mailowego o tym fakcie.

To wszystko kliknij przycisk ”OK”.

Dobra robota. Kopie zapasowe ustawione.

Teraz możesz śmiało zalogować się do swojej nowej instalacji WordPress’a klikając w przycisk „Zaloguj”.

Jak widzisz instalowanie i zabezpieczenie aplikacji WordPress nie musi być czasochłonne, można to zrobić szybko i sprawnie.

Jeżeli masz pytania lub potrzebujesz pomocy, to śmiało zostaw komentarz poniżej lub napisz do nas za pomocą formularza kontaktowego.