EN
ZPĚTChyba v pluginu ThemeGrill Demo Importer umožňuje hackerům vymazat celou databázi webu, respektive uvést ji do výchozího stavu. Díky tomu se útočník následně může přihlásit jako správce, což mu umožní získat úplnou kontrolu nad webem. Podobným způsobem váš web ohrožuje celá řada věcí, pokud zabezpečení WordPressu nevěnujete dostatečnou pozornost.
WordPress je nejpoužívanější CMS systém a jako takový přitahuje enormní množství útoků každý den. Proto je potřeba webové stránky ve WordPressu opravdu dobře zabezpečit. Co tedy můžete pro zabezpečení vašeho webu udělat?
1) Vybírejte kvalitní hosting
Podle statistik je za 41 % napadení webových stránek zodpovědný slabý hosting, což je nejčastější příčinou ze všech. Vybírejte takového poskytovatele hostingu, který poskytuje více vrstev zabezpečení. Rozhodně se nevyplácí volit poskytovatele jen podle ceny.
Zaměřte se například na to, zda poskytovatel hostingu podporuje nejnovější verze PHP a MySQL a zda provádí pravidelné kontroly malware i každodenní zálohy.
2) Zálohujte
I když budete na 100 % dodržovat všechna doporučení na zabezpečení WordPressu, neexistuje záruka, že váš web nebude napaden. Pravidelné zálohování by se pro vás mělo stát samozřejmostí bez ohledu na to, jak nízká je úroveň hrozby. Zálohování vás navíc chrání i před chybami, které můžete spáchat sami při úpravách webu.
Kvalitní hosting by měl pravidelně zálohovat za vás, nicméně neměli byste ponechávat nic náhodě a o zálohování se starat také sami. S tím vám může pomoci některý zálohovací plugin:
3) Pravidelně aktualizujte WordPress, pluginy i šablony
Stejně jako u většiny programů je i u WordPressu aktualizace jednou z nejjednodušších a zároveň nejdůležitějších věcí, které pro zabezpečení můžete udělat. Proto pravidelně aktualizujte pluginy, šablony i samotný WordPress. Automatické aktualizace můžete nastavit přidáním kódu do souboru wp-config.php:
- Automatické aktualizace WordPressu:
define( ‚WP_AUTO_UPDATE_CORE‘, true );
- Automatické aktualizace pluginů:
add_filter( ‚auto_update_plugin‘, ‚__return_true‘ );
- Automatické aktualizace šablon:
add_filter( ‚auto_update_theme‘, ‚__return_true‘ );
Zároveň mějte na paměti, že některé aktualizace mohou rozhodit nastavení vašeho webu. Proto je většinou vhodnější aktualizace provádět včas manuálně s tím, že předtím vše zálohujete.
4) Vybírejte šablony i pluginy z ověřených zdrojů
I když je volba free šablony lákavá, na váš web byste měli používat pouze premium šablony z ověřených zdrojů. Free šablony a v ještě větší míře premium šablony stažené z neoficiálních zdrojů často obsahují slabý či škodlivý kód, takže všechna další bezpečnostní opatření mohou být od samého začátku zbytečná.
Zkontrolujte také, zda k vámi zvolené šabloně či pluginu stále vycházejí aktualizace. Ta poslední by měla neměla být starší než pár měsíců. Před pořízením konkrétní šablony či pluginu si navíc můžete na serveru wpvulndb.com zkontrolovat, že u nich nejsou známy bezpečnostní hrozby.
5) Změňte přihlašovací údaje
Nepoužívejte přihlašovací jméno admin. Většina hackerů ho používá jako první možnost při útocích, protože WordPress ho vytváří jako defaultní možnost administrátora webu.
Zvolte si dlouhé a silné heslo. WordPress umožňuje kombinaci číslic, malých, velkých i speciálních znaků. Této možnosti byste měli využít, protože tím mnohonásobně zvýšíte složitost prolomení svého hesla. Jelikož si takové heslo nejspíš nebudete pamatovat a psát si hesla na papír není bezpečné ani praktické, můžete využívat aplikace pro správu hesel.
6) Nastavte dvoufázové ověřování
Současným trendem zabezpečení přihlašování je dvoufázové ověřování, díky kterému je po případném úniku hesla potřeba ověřit přihlášení například pomocí aplikace Google Authenticator, která je vázaná na vaše vlastní zařízení. Díky tomu se také dozvíte o každém neúspěšném pokusu o neoprávněné přihlášení.
7) Nastavte omezený počet pokusů o přihlášení
Strategií řady útočníků je útok hrubou silou. Jinými slovy testování všech možných kombinací hesla. Proti této strategii se samozřejmě bráníte silným heslem, nicméně pro lepší zabezpečení je vhodné nastavit i omezený počet pokusů o přihlášení.
Stačí nainstalovat plugin, který vám umožní nastavit limit neúspěšných pokusů o přihlášení, po jehož překročení bude na jistou dobu zablokována IP adresa, ze které došlo k pokusům o přihlášení. Dejte si však pozor, abyste tímto způsobem nezablokovali vlastní přístup k administraci.
V některých pluginech můžete také využít blokování IP adres pro přihlašování. Pokud se tedy do administrace vašeho webu přihlašuje minimum uživatelů, jejichž IP adresy se nemění, můžete povolit přihlašování pouze z konkrétních IP adres. Při větším počtu uživatelů můžete například povolit pouze přihlašování z území ČR. Nebo naopak blokovat přístup ze zemí, z nichž registrujete větší množství útoků. Při blokování IP adres však postupujte obezřetně. Obzvlášť, jste-li jediný administrátor webu.
8) Změňte URL přihlašovací stránky
Ve výchozím nastavení WordPress instalace je adresa pro přihlášení ve tvaru vasedomena.cz/wp-admin. Tato URL je vyhledávaným cílem pro útoky i pro registraci falešných účtů na webu, pokud máte registraci povolenou. V tomto směru je určitou prevencí změna URL adresy např. na vasedomena.cz/prihlaseni.
9) Deaktivujte editor šablon a pluginů
Součástí WordPressu je editor šablon a pluginů, díky kterému můžete přímo v prostředí WordPressu upravovat svůj web. Tato užitečná funkce zároveň umožňuje zneužití, pokud útočník pronikne do administrace webu. Bezpečnější možností je vypnout editor a editovat šablony a pluginy pouze s přístupem na FTP. Deaktivovat editor šablony a pluginů můžete jednoduše přidáním následujícího kódu do souboru wp-config.php:
define( ‚DISALLOW_FILE_EDIT‘, true );
10) Změňte prefix tabulek v databázi
Pokud již WordPress nainstalovaný máte, možná si z jeho instalace pamatujete, že ve výchozím nastavení je nastaven tzv. prefix databáze ve tvaru wp_. Podobně jako u přihlašovacího jména admin a přihlašovací URL vasedomena.cz/wp-admin je defaultní prefix oblíbeným a zranitelnějším terčem útoků.
Změnu prefixu do lépe šifrovaného tvaru typu t8bz2hj48tr266_ můžete provést například díky pluginu iThemes Security. Před touto změnou si ale databázi určitě nejprve zálohujte.
11) Vypněte zasílání zpráv o PHP chybách
Pokud váš web nepracuje správně, WordPress ve výchozím nastavení zasílá zprávy o chybách v PHP. Díky tomu lze snáz dohledat, kde chyba nastala, jelikož zpráva o PHP chybě zahrnuje také cestu k souboru na serveru. Bohužel hackeři často tuto informaci zneužívají. Proto je lepší zasílání zpráv o PHP chybách deaktivovat, čehož docílíte přidáním následujícího kódu do souboru wp-config.php:
@ini_set(‚display_errors‘,’Off‘);
@ini_set(‚error_reporting‘,0);
Některé kroky zabezpečení WordPressu jsou úkolem pro zkušeného programátora a obzvlášť u dlouhodobě fungujícího webu byste měli web vždy zálohovat a postupovat obezřetně. Nejen méně zkušeným uživatelům může se zabezpečením pomoci některý z bezpečnostních pluginů jako jsou iThemes Security, Sucuri Security či Wordfence Security.
Pokud si nevíte rady, web je pro vás klíčový a nemáte kapacitu o něj pečovat, rádi vám s tím pomůžeme.
