11 tipů, jak zabezpečit WordPress + tipy na pluginy

Téměř každý čtvrtý web, jede na systému WordPress (zdroj). Tím pádem se jedná o nejpoužívanější CMS (Content Management System = Systém pro správu obsahu) na světě. To bohužel vede k tomu, že je oblíbeným cílem hackerů a stále častěji také robotů.

Vy si možná říkáte, že nemáte pro hackery nic zajímavého, ale to je omyl. Cílem většiny útoků, není získání citlivých dat z webu, ale vložení škodlivého kódu k šíření reklam, spamů a virů mezi Vaše návštěvníky.

Podívejte se na trochu statistiky:
-> cca 41% webů je napadeno kvůli slabě zabezpečenému webhostingu
-> cca 29% webů je napadeno kvůli bezpečnostní díře v šabloně
-> cca 22% webů je napadeno kvůli bezpečnostní díře v pluginech
-> cca 8% webů je napadeno kvůli slabému heslu

Jak se proti tomu bránit?

1. Aktualizace je základ!
Udržujte verze WordPressu, pluginů i šablony, vždy co nejaktuálnější. Tím značně eliminujete případná bezpečností rizika.

2. Kvalitní heslo je základ
Ne všichni tohle pravidlo dodržují. Obzlášť v dnešní době, kdy máme heslo ke všemu (a kdo si je má všechny pamatovat že). Kombinujte malá i velká písmena, čísla i znaky. Čím složitější, tím lepší… Určitě se vyhněte slovům, spojeným s vaším jménem nebo názvem webu. Určitě také nepoužívejte jen číselné/znakové heslo.

3. Nezapoměňte přejmenovat účet “admin”
Pokud se bude chtít kdokoliv nabourat do Vašeho webu, to první, co zkusí, je zadat login “admin”. Je až směšné, kolik uživatelů používá login “admin” a heslo “admin”!! Nepodceňujte toto jednoduché pravidlo a login “admin” vůbec nepoužívejte. Já to dělám automaticky při prvním přihlášení. Vytvořím si nový účet s administrátorským oprávněním a původní “admin” po přehlášení smažu.

Potřebujete web a nevíte, jak na to? Řešení najdete tady: WEBOVKY NA MÍRU. 🙂

4. Nepoužívejte zastaralé pluginy
Ze statistiky výše je vidět, že relativně velká část webů, je napadeno prostřednictvím “děravého” pluginu. WordPress sice umožňuje rozšiřovat funkce prostřednictvím pluginů, ale to sebou nese také bezpečností riziko. Věnujte proto, větší pozornost výběru pluginů. Kontrolujte si poslední aktualizaci, zda je kompatibilní s Vaší verzí WordPressu, případně se podívejte do diskuzí a recenzí.

5. Šablony zdarma spíše nebrat
Naprosto chápu, že pokud si web děláte sami a chcete si občas ve volném čase napsat pár slov na blog, nebudete chtít kupovat šablony za velké peníze. Pokud sáhnete po šabloně zdarma, dejte si alespoň pozor, od jakého vývojáře je a zda neobsahuje nějaký skrytý obsah.

6. Omezte počet pokusů o přihlášení
Pokud někdo splete několikrát po sobě své heslo, zablokujte ho třeba na hodinu. Tím předejdete útokům hrubou silou (brute force attack). Tuto funkci umí většina bezpečnostních pluginů – viz níže. Případně používejte i doufaktorovou autorizaci (třeba plugin
Google Authenticator)

7. Webhosting
Bezpečný web, musí mít bezpečný základ a to je webhosting. Takže výběr toho správného a vhodného nepodceňujte. V ČR může být problém, slušný webhosting najít, ale nenechte se odradit…

8. Prefix databázových tabulek
Standardní prefix tabulek v databázi je „wp_„… To ví každý, kdo alespoň jednou WordPress instaloval. Vědí to také útočníci… Proč jim tedy nechávat tuto možnost? Prefix můžete změnit už během instalace. Pokud ho budete měnit na již běžícím webu, tak nejjednodušší způsob je použití pluginu.

9. Vypněte editování souborů v administraci
WordPress má skvělou funkci úpravy souborů přímo skrze administraci. Pokud tedy potřebujete upravit něco v šabloně nebo pluginu, zvládnete to i bez připojení na FTP. Zkrátka to upravíte ve webovém rozhraní. Skvělé, krásné, jednoduché, ale také nebezpečné. Pokud tuto funkci nevyužíváte, tak ji vypněte. Stačí v souboru wp-config.php přidat tento řádek:

define(‚DISALLOW_FILE_EDIT‘, true);

10. Pro přihlášení/administraci používejte SSL
Pokud máte možnost využít zabezpečený přenos SSL – tedy HTTPS, tak toho určitě využijte. Pro vynucení HTTPS pro přihlášení a administraci přidejte do wp-config.php tyto dva řádky:

define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);

11. Administrace jen z konkrétní IP adresy
Jeden z nejúčinnějších způsobů, jak zabezpečit administrační rozhraní. Nepřihlásíte se totiž z jiného místa, než které si povolíte. Avšak logicky, za cenu určitého nepohodlí… Pokud se Vám nemění IP adresa, nebo se nepotřebujete přihlašovat z různých míst či z mobilu. Administraci na konkrétní IP zabezpečíte přidáním .htaccess do složky wp-admin. Do něj vložte následující obsah (samozřejmě s Vaší IP adresou).

Order Deny,Allow
Deny from all
Allow from 202.090.21.1

3 tipy na pluginy pro zabezpečení WordPressu

iThemes Security
Tento plugin má přehledné a příjemné rozhraní, se kterým si poradí i méně zdatní uživatelé. Dokáže odstranit mnoho bezpečnostních rizik WordPressu a navíc přináší spoustu dalších sofistikovaných zabezpečení. Obsahuje také funkce jako, dvoufázová autorizace nebo třeba malware scanner. Ty jsou ale dostupné až v placené verzi.

All In One WP Security & Firewall
Tento plugin oproti iThemes Security má o něco složitější správu, ale výhodou je, že je zdarma. Přehledný měřič, Vám vizuálně ukáže, jak máte nebo nemáte web zabezpečený.

Sucuri Security
Tento plugin, kromě základního zabezpečení, monitoruje také veškerou aktivitu uživatelů. Dokáže rozpoznat abnormální změny ve zdrojových souborech i malware.

Čtěte další články o WordPressu.


Čtěte také to nejnovější na blogu:

Pište kdykoliv na email hlavacek@vahl.cz... Rád si přečtu, co si o tom myslíte. 🙂

Líbil se Vám článek? SDÍLEJTE nebo si ho uložte na později: