Czym właściwie jest Wordfence?
Wordfence to wtyczka typu All-in-One Security. Składa się z dwóch głównych elementów:
Firewall (Zapora): Identyfikuje i blokuje złośliwy ruch, zanim dotrze on do Twojej strony. To taki „bramkarz”, który nie wpuszcza osób z czarnej listy.
Skaner: Regularnie sprawdza wszystkie pliki na Twojej stronie, szukając wirusów, podejrzanych kodów lub luk w zabezpieczeniach.
Średnio strona internetowa może być atakowana ok. 20-50 razy dziennie. Dlatego wtyczka bezpieczeństwa jest kluczowa dla strony.
Instalacja i konfiguracja wstępna:
Podaj adres e-mail: Wpisz maila, na którego mają przychodzić powiadomienia o zagrożeniach (najlepiej mail techniczny, do którego zaglądasz). – Wykonane – podany początkowy mój adres, w momencie przekazania zmieniony na Twój (od tego momentu informacje o zagrożeniach przychodzą do Ciebie).
Klucz licencyjny: Wybierz “Get Your Wordfence License”, a następnie “Get a Free License”. Musisz odczekać 30 dni na pełną aktualizację bazy sygnatur (ograniczenie wersji darmowej), ale ochrona podstawowa działa od razu. – Wykonane.
Optymalizacja Firewalla (WAF):
To najważniejszy krok. Wordfence musi działać na poziomie serwera, zanim WordPress w ogóle się załaduje.
Wejdź w Wordfence > Firewall.
Kliknij przycisk “Manage Firewall”.
Kliknij “Optimize the Wordfence Firewall”.
Pobierz kopię zapasową pliku .htaccess (zostaniesz o to poproszony). To ważne na wypadek błędów serwera.
Kliknij “Continue”. Jeśli zobaczysz komunikat “Success”, Firewall działa w trybie rozszerzonym.
Learning Mode: Pozostaw Firewall w statusie “Learning Mode” przez ok. 1 tydzień. W tym czasie wtyczka uczy się normalnego ruchu na stronie, aby nie blokować Twoich działań. Po tygodniu sama przełączy się w “Enabled and Protecting”. – Wykonane
Ochrona przed Brute Force (Atakami na hasło):
Kluczowe jest, aby nikt nie odgadł hasła do panelu Twojej strony.
Ścieżka dostępu: Wordfence > Firewall > Manage Firewall > Brute Force Protection.
Parametry zostały ustawione następująco:
Lock out after how many login failures: 3 (po 3 nieudanych próbach użytkownik zostaje zablokowany).
Lock out after how many forgot password attempts: 3.
Count failures over what time period: 1 dzień.
Amount of time a user is locked out: 2 months (bądź rygorystyczny – jeśli Ty zapomnisz hasła, odblokujesz się przez maila, ale boty dostaną długą blokadę).
Immediately lock out invalid usernames: Możliwość natychmiastowego blokowania najpopularniejszych i najbardziej oczywistych loginów – w pierwszej kolejności wykorzystywanych przez boty.
Masz wstępnie ustawione do blokowania: admin, administrator, tytusdziewiecki.pl, tytus, Tytus, dziewiecki, Dziewiecki.
Bezpieczeństwo Logowania (2FA):
Uwierzytelnianie dwuskładnikowe (2FA) to najsilniejsza ochrona. Nie jest wstępnie ustawione.
Wejdź w Wordfence > Login Security.
Zeskanuj kod QR aplikacją (np. Google Authenticator lub Authy) na swoim telefonie.
Wpisz kod weryfikacyjny i kliknij Activate.
Pobierz kody zapasowe (Recovery Codes) i zapisz je w bezpiecznym miejscu (nie na serwerze strony!). Pozwolą Ci wejść na stronę, jeśli zgubisz telefon.
W zakładce Settings (wewnątrz Login Security) zaznacz:
Require 2FA for all administrators: Tak.
Disable XML-RPC authentication: Tak (to wyłączy starą metodę logowania, którą często wykorzystują hakerzy).
Konfiguracja Skanera (Scan Settings):
Darmowy Wordfence skanuje stronę co jakiś czas. Ustawienia zostały Zoptymalizowane pod kątem wydajności małego serwera.
Ścieżka: Wordfence > Scan > Manage Scan.
Scan Scheduling: Ustawione na “Let Wordfence choose when to scan” (w wersji darmowej nie masz pełnej kontroli nad godziną, ale to wystarczy).
General Options:
Włączone: Scan images, binary, and other files as if they were executable.
Ograniczenie powiadomień (Email Notifications):
Nie chcesz dostawać maila za każdym razem, gdy bot spróbuje się zalogować (będzie ich setki). Wykonane następujące ustawienia
Ścieżka: Wordfence > All Options > Email Alert Preferences.
Email me when Wordfence is automatically updated: Tak.
Email me if Wordfence is deactivated: Tak.
Alert when an IP address is blocked: Nie ( przy ustawieniu przychodzą dziesiątki maili dziennie – nie ma potrzeby, Wordfence radzi sobie z blokowaniem automatycznie).
Alert when someone is locked out from login: Nie (zmień jeśli chcesz monitorować ataki w czasie rzeczywistym).
Alert me when someone with administrator privileges logs in: Tak (warto wiedzieć, kiedy ktoś wchodzi na Twoje najważniejsze konto).
Scenariusz: Dostałem maila "Critical Problem Found"
Bez paniki! To najczęstszy komunikat, który zazwyczaj oznacza sprawę administracyjną, a nie włamanie.
Co się stało?
Zazwyczaj Wordfence wykrył, że jedna z Twoich wtyczek lub sam WordPress wymaga aktualizacji, ponieważ wykryto w nich lukę bezpieczeństwa.
Co musisz zrobić?
Zaloguj się do swojego WordPressa.
Wejdź w zakładkę Wordfence > Scan.
Zjedź na dół do sekcji “Findings”. Tam zobaczysz listę problemów.
Jeśli przy problemie widnieje napis “The Plugin [Nazwa] needs an upgrade”, po prostu przejdź do zakładki Wtyczki i ją zaktualizuj.
Po aktualizacji wróć do skanera i kliknij “Mark as Fixed”.
Scenariusz: Instalujesz nową funkcjonalność, plugin i coś nie działa.
Czasami Wordfence jest „nadgorliwy”. Jeśli instalujesz nową wtyczkę (np. do rezerwacji wizyt) i widzisz białą stronę lub komunikat o zablokowaniu akcji, oznacza to, że Firewall uznał nową funkcję za podejrzaną.
Rozwiązanie: Learning Mode (Tryb Nauki)
Przejdź do Wordfence > Firewall > Manage Firewall.
Znajdź pole Web Application Firewall Status i zmień go na Learning Mode.
Wróć do nowej wtyczki i spróbuj ponownie wykonać czynność, która była blokowana (np. zapisz ustawienia kalendarza).
W tym trybie Wordfence „patrzy Ci na ręce” i uczy się, że to Ty wykonujesz te działania i są one bezpieczne.
Ważne: Po zakończeniu konfiguracji wróć do ustawień i przełącz Firewall z powrotem na Enabled and Protecting.
Scenariusz: „Ktoś próbował się zalogować na konto admin”
Będziesz dostawać powiadomienia o zablokowanych próbach logowania. To normalne – boty w Internecie skanują tysiące stron dziennie. Nie musisz na to reagować. Wordfence wykonał swoją pracę i zablokował intruza. Dzięki aktywnemu 2FA (kod z telefonu – jeśli oczywiście ustawisz 2FA) Twoje konto jest bezpieczne, nawet jeśli ktoś odgadłby hasło.
Twoja miesięczna rutyna:
Zaloguj się i sprawdź, czy w Dashboardzie Wordfence nie ma czerwonych powiadomień.
Zaktualizuj wtyczki, jeśli system o to prosi.
Spójrz na wykresy (tylko z ciekawości), aby zobaczyć, ile setek ataków Twoja tarcza odbiła bez Twojego udziału.