Dlaczego audyt bezpieczeństwa jest ważny?
Regularny audyt pozwala znaleźć luki w zabezpieczeniach zanim zrobi to haker. Szczególnie ważny po instalacji nowych wtyczek lub motywów.
Darmowe narzędzia do audytu
- Sucuri SiteCheck (sitecheck.sucuri.net) — skan malware i lista czarnych list
- SSL Labs (ssllabs.com/ssltest) — ocena konfiguracji SSL (celuj w A+)
- Security Headers (securityheaders.com) — nagłówki HTTP bezpieczeństwa
- Mozilla Observatory (observatory.mozilla.org) — kompleksowy audyt
Checklist bezpieczeństwa WordPress
- Czy WordPress, wtyczki i motywy są aktualne?
- Czy jest aktywna wtyczką bezpieczeństwa (Wordfence)?
- Czy hasła administratora są silne i unikalne?
- Czy jest włączony 2FA?
- Czy certyfikat SSL jest ważny i poprawnie skonfigurowany?
- Czy są regularne kopie zapasowe?
- Czy plik wp-config.php ma odpowiednie uprawnienia (600)?
- Czy xmlrpc.php jest wyłączony lub zabezpieczony?
Wyłączenie xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>