Uwierzytelnianie dwuskładnikowe w WordPressie

Pisząc o bezpieczeństwie serwisów opartych na WordPressie najczęściej skupiam się na zabezpieczaniu stron przed atakami z zewnątrz. Jednak równie ważne jest zadbanie o jak najlepsze zabezpieczenie samego procesu logowania, tak aby nikt niepowołany nie uzyskał dostępu do konta z uprawnieniami administratora.

Jedną ze skuteczniejszych i najpowszechniej stosowanych metod zabezpieczania procesu logowania jest uwierzytelnianie dwuskładnikowe (two-factor authentication), nazywane też dwuetapowym. Metoda ta polega na dodaniu do procesu logowania dodatkowego składnika w postaci zmieniającego się co pewien czas kodu. Kod ten może być dostarczany użytkownikowi za pomocą SMSa, poczty e-mail (podobnie jak w opisywanej przeze mnie wtyczce Paswordless) czy generowany przez dedykowaną aplikację. Dzięki temu nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, to i tak nie będzie w stanie zalogować się na nasze konto.

Czytaj dalej → komentarzy 9

Jak zmienić działanie funkcji zapamiętywania zalogowanego użytkownika

WP Login Timeout Settings

Logując się do panelu administracyjnego WordPressa mamy możliwość zaznaczenia opcji Zapamiętaj mnie, dzięki której pozostaniemy zalogowani przez kolejne 14 dni – oczywiście przy założeniu, że korzystamy z tego samego komputera i przeglądarki oraz że nie usuniemy wcześniej ciasteczek utworzonych przez naszą stronę. WordPress nie daje nam żadnej kontroli nad działaniem tej funkcji. Możemy jednak skorzystać z darmowej wtyczki WP Login Timeout Settings, która pozwala na wydłużenie lub skrócenie okres, po którym użytkownik zostanie automatycznie wylogowany.

Czytaj dalej → komentarze 4

3 wtyczki usprawniające eksport i import treści w WordPressie

Wbudowane w WordPressa narzędzia do eksportu i importu treści nie są doskonałe, przez co w praktyce możliwości ich wykorzystania są dość ograniczone. Do przenoszenia całych stron służą inne narzędzia, ale problem pojawia się gdy chcemy skopiować pomiędzy stronami tylko wybrane treści lub konfigurację.

Na szczęście autorzy wtyczek zauważyli tę lukę i powstało kilka wartych uwagi rozszerzeń, które usprawniają proces eksportu i importu zawartości strony.

Czytaj dalej → komentarzy 5

Jak (w miarę) bezboleśnie udostępnić stronę przez połączenie szyfrowane HTTPS

W ostatnim czasie nacisk na udostępnianie stron internetowych za pośrednictwem szyfrowanego protokołu HTTPS jest coraz większy. Oczywiście w przypadku witryn, na których użytkownicy wprowadzają swoje dane (loginy, hasła, dane osobowe), szyfrowanie to podstawa, ale coraz więcej „zwykłych” stron WWW również przechodzi na protokół HTTPS.

Ja również dałem się w to wciągnąć i od kilku dni WPzen jest dostępny tylko przez HTTPS. Niestety, natknąłem się przy tej okazji na chyba wszystkie możliwe problemy, o których opowiem w dalszej części wpisu.

Czytaj dalej → komentarze 123

Luty miesiącem WordUpów

Lokalne grupy miłośników WordPressa aktywowały się ponownie po świąteczno-noworocznej przerwie, co zaowocowało prawdziwym wysypem WordUpów. W tym miesiącu odbędzie się aż ~~cztery~~ pięć takich imprez.

Czytaj dalej → komentarze 3

Jak uzyskać 100/100 punktów w Google PageSpeed Insights

Google PageSpeed Insights to narzędzie, które dla wielu osób jest (często jedynym słusznym) wyznacznikiem jakości i szybkości działania strony internetowej. Nie jest to do końca prawda, ale faktem jest, że przedstawiany na stupunktowej skali wynik daje obraz tego, jak szybka jest nasza strona i co można zrobić, aby była szybsza.

Maksymalny wynik 100 punktów w teście PageSpeed Insights to marzenie niejednego właściciela serwisu internetowego. I mimo że jest to tylko „sztuka dla sztuki”, to w tym wpisie na konkretnym przykładzie pokażę, jak można taki wynik osiągnąć.

Czytaj dalej → komentarzy 113

6G Firewall – prosty sposób na zabezpieczenie strony przed atakami

Strony WWW są nieustannie atakowane przez boty, które próbują wykorzystać luki w popularnych skryptach używanych do budowy witryn internetowych. Jednym z najpopularniejszych celów takich ataków jest WordPress, głównie przez swoją popularność, ale również przez sporą liczbę dostępnych wtyczek i motywów, z których niektóre są niestety pełne błędów.

Istnieje mnóstwo narzędzi i wtyczek służących do zabezpieczania stron opartych na WordPressie przed tego rodzaju atakami. Zawsze jednak warto rozglądać się za dodatkowymi lub lepszymi od aktualnie używanych sposobami na powstrzymywanie złośliwych skryptów. Jednym z wartych uwagi narzędzi jest 6G Firewall.

Czytaj dalej → komentarzy 21

56 darmowych motywów dla WooCommerce

Darmowa wtyczka WooCommerce staje się coraz popularniejszym sposobem na stworzenie sklepu internetowego. W dużej mierze jest to zasługa popularności samego WordPressa, ale nie bez znaczenia są również stosunkowo niskie koszty stworzenia z wykorzystaniem tej wtyczki pełnoprawnego sklepu internetowego.

Jednym z pierwszych kroków, jaki musimy wykonać zabierając się za budowę własnej witryny e-commerce, jest wybór motywu. Aby ułatwić nieco to żmudne zadanie przygotowałem zestawienie 56 darmowych motywów dla WooCommerce.

Czytaj dalej → komentarzy 7

Przenoszenie strony na inny serwer

Nową stronę tworzymy zwykle na własnym komputerze lub na jakimś serwerze testowym. Gdy uznamy, że prace dobiegły końca, musimy przenieść cały serwis na docelowy serwer. WordPress nie posiada sensownego mechanizmu, który ułatwiałby taką operację. Wbudowany system eksportu danych nie nadaje się do przenoszenia całych serwisów – nie uwzględnia on bowiem ustawień strony, szablonu, wtyczek, menu i widgetów. Operację przenoszenia WordPressa na inny serwer można wykonać ręcznie, kopiując wszystkie pliki i bazę danych, a następnie modyfikując adresy URL, ale ponieważ zawsze staram się opisywać rozwiązania najprostsze, to zrobimy to za pomocą darmowej wtyczki Duplicator.

Aktualizacja – 18.01.2016: wpis został dostosowany do aktualnej wersji wtyczki (1.1.0).

Czytaj dalej → komentarze 94

WordPress 4.5 – jakich nowości możemy się spodziewać

Wprawdzie do wydania WordPressa 4.5 zostało jeszcze sporo czasu (dokładna data nie jest jeszcze znana), ale lista zmian i nowości, jakie mogą znaleźć się w kolejnej wersji tego CMSa, już powstaje.

Wygląda na to, że tym razem twórcy chcą skupić się na rzeczach związanych z najważniejszym elementem WordPressa, czyli edycją i publikacją treści. Proponowane usprawnienia idą w dobrym kierunku i jeśli chociaż kilka z nich trafi ostatecznie do wersji 4.5, to będę bardzo zadowolony.

Czytaj dalej → komentarzy 7

Interesujesz się WordPressem?