WordPress jako systém správy obsahu (CMS) pro tvorbu webových stránek, je velmi oblíbený, o tom není pochyb. Podle statistik na něm běží 33 % webů. To není úplně málo a proto je jasné, že je WordPress (WP) častým cílem útočníků, kteří se snaží na váš web dostat a poté tam škodit. V tomto článku se podíváme na deset kroků, které lze udělat proto, abyste měli web na WP bezpečnější.
Obsah
Udržujte aktuální jádro WordPressu
Stejně jako pro ostatní software, tak i pro WP platí, že nejbezpečnější je vždy ta nejnovější verze. Je proto důležité udržovat systém stále aktualizovaný na poslední verzi. Jakmile je totiž objevena nějaká zranitelnost, tým WP společně s komunitou, která je kolem něj obrovská, vydají záplatu této chyby v nejkratším možném čase.
Aktualizujte pluginy a šablony
Také pluginy a šablony, které jsou důležitými stavebními prvky webu, musí udržovat krok s časem. Pokud je plugin nebo šablona kvalitní, autor se jim stále věnuje. Je proto pravděpodobné, že nejaktuálnější verze bude ta nejbezpečnější. U pluginů a šablon si tím ale bohužel nemůžeme být jistí.
Pokud pro plugin nebo šablonu již několik let nebyla vydána žádná aktualizace, je nejspíš něco špatně a je na místě se zamyslet nad výměnou pluginu nebo šablony za nějakou novější variantu. Někdy se stává, že aktualizovaný plugin není kompatibilní s některou jinou komponentou webu a dojde k chybě. Svěřte proto aktualizaci raději specialistovi.
Aktivujte SSL certifikát
SSL certifikát zaručí, že komunikace mezi návštěvníky a vaší stránkou bude bezpečná a chráněná před záškodníkem. Pokud nepoužijete SSL certifikát (https://) v URL webu, může se stát, že útočník, který je připojený například na stejnou wi-fi jako vy, odposlechne komunikaci mezi serverem a vaším PC. A díky tomu se například může dostat k heslu do administrace stránky.
V případě, že je použitá pouze HTTP komunikace, odesílá se totiž heslo nechráněné, a lze ho tak snadno odcizit.
Používejte silná hesla do administrace
Další evergreen v tématu webové bezpečnosti. Pokud chcete, aby vaše data, ať už ta osobní, nebo ta, co máte na webu, byla v bezpečí, heslo 123456789 nebo silneheslo1 nebude úplně ta nejlepší varianta. Je potřeba mít silná hesla, která útočníci jen tak neodhalí. Takové heslo by mělo mít minimálně 8 znaků, velká i malá písmena, číslovku a speciální znak.
Stačit ale může i velmi dlouhé heslo psané běžným textem. Například: “heslokterejedlouheaprotobezpecne” může být také dobrým příkladem silného hesla.
Aktivujte některý z bezpečnostních pluginů
Díky tomu, jak je WP oblíbený, existuje pro něj i velké množství pluginů, které zlepšují jeho bezpečnost. Tyto pluginy například zablokují uživatele, pokud se pokusí několikrát přihlásit se špatným jménem či heslem. Dokáží také zablokovat IP adresu, pokud se z ní někdo několikrát pokusí přihlásit s neexistujícím uživatelským jménem.
Díky tomu jste dobře chránění proti takzvaným brute-force útokům, kdy se útočníci snaží prolomit uživatelské přístupy do administrace a pak všelijak škodit. Další skvělou funkcí, kterou tyto pluginy většinou mají, je automatický scan jádra WP, pluginů i šablony. Pokud je nalezena nějaká zranitelnost nebo v horším případě malware, odešlou vám upozornění e-mailem, a problém pak můžete řešit.
My pro naše weby používáme plugin Wordfence, ale lze vybrat i jeden z následujících:
- Defender
- iThemes Security
- Sucuri
- All In One WP Security and Firewall
- Jetpack
Nepoužívejte “admin” uživatele
Pokud používáte na svém webu uživatelské jméno “admin”, měli byste tento účet smazat. Jelikož je toto uživatelské jméno snadno odhadnutelné, útočníci jej využívají právě k brute-force útokům. Při použití bezpečnostního pluginu by to sice nebyl zase až takový problém, nicméně hackeři jej využívají k takzvaným scam útokům, kdy se nějakou fintou snaží z uživatele uživatelské přístupy vylákat.
Přečtěte si také proč je důležité mít rychlý web.
Skryjte přihlašování do adminu pod jinou URL
Ve výchozím nastavení se do administrace WP dostanete přes URL /wp-config nebo /wp-login.php, toto útočníci moc dobře vědí a proto cílí útoky právě na tyto URL. Pokud tedy URL pro přihlášení do administrace schováte pod jinou URL, uděláte to útočníkům zase o něco málo těžší, a pomůžete si tak od spousty problémů. Pro tento účel existuje skvělý plugin WPS Hide Login.
Nepoužívejte výchozí wp_ prefix pro databázi
Když instalujete nový WP, součástí instalace je i nastavení takzvaného databázového prefixu. Výchozí nastavení je wp_. Doporučejeme tento prefix změnit například na nazevwebu860_ nebo jakýkoliv jiný. Pokud změníte tento prefix z výchozího stavu, útočník už nemůže tak snadno odhadnout název tabulek, které WP pro své fungování potřebuje. Chráníte tak váš web před útoky vedené přes databázi.
Trackujte uživatelskou aktivitu administrátorů
Tato metoda vás přímo neochrání před útoky, ale pomůže vám v případě, že váš web někdo napadne. Díky trackingu aktivity administrátorů máte možnost vysledovat, přes který účet byl útok veden a případně jaké změny byly přes tohoto uživatele provedeny. Pro tracking uživatelské aktivity se nám osvědčil plugin Simple History.
Víte, jak vznikají webové stránky?
BONUS: Pravidelně zálohujte
Nastavte si pravidelnou automatickou zálohu webu. Nabízejí je i poskytovatelé hostingu. Samotné zálohování váš web sice před útoky neochrání, ale s pravidelnými zálohami je mnohem jednodušší se škodlivého kódu zbavit. Když máte uloženou zálohu webu starou dva dny, můžete se jednoduše vrátit k verzi, kdy byl ještě v pořádku, a poté ho lépe zabezpečit. Vyčistit web od malwaru bývá totiž běh na dlouhou trať a znamená většinou spoustu práce. Pravidelná záloha vám tak ušetří čas a starosti z nefunkčního webu.
