Jak si zabezpečit WordPress?

CMS systém WordPress je velmi oblíbený. Svou "popularitu" si však tato platforma vysloužila i díky nedostatečnému zabezpečení. Jak zabezpečit WordPress? Přečtěte si tento návod!

CMS systém WordPress{:target="blank"} je mezi tvůrci webů velmi oblíbený. Podle statistik{:target="blank"} pohání WordPress už téměř 20 milionů web stránek, přičemž má mezi CMS systémy s více než 50-procentním podílem dominantní místo.

Svou "popularitu" si však tato platforma vysloužila i díky nedostatečnému zabezpečení, které pro mnohé uživatele znamenalo poškození nebo krádež dat z jejich web stránek. Abyste se i vy nestali obětí kybernetických zločinců a zbytečných bezpečnostních zranitelností, rozhodli jsme se, že pro vás připravíme jednoduchý návod, jak si v roce 2018 zabezpečit svou WordPress stránku.

Základem je zálohování a pravidelné aktualizace

Prvním krokem poté, co si nainstalujete WordPress, je nastavení jeho zálohování. V případě poškození nebo odcizení dat tak budete mít k dispozici jejich zálohu. Existuje několik řešení, jak si zálohovat data z WordPressu, ale nejjednodušším způsobem je použití pluginu UpdraftPlus{:target="blank"}. Ten dokáže vytvářet automatické lokální zálohy, ale i zálohy v cloudu. Vaše data tak budou chráněna i v případě poškození diskového úložiště, na kterém se nachází váš web.

Bezpečnost vašeho webu ovlivňuje i pravidelnost jeho aktualizací. WordPress dokáže automaticky nainstalovat minoritní aktualizace, které opravují menší chyby a nedostatky. Pluginy, témata od vývojářů třetích stran a majoritní aktualizace WordPress jádra ale musíte provést manuálně.

Dostupnost těchto aktualizací byste měli pravidelně kontrolovat a váš web udržovat vždy v nejnovější verzi. Jako příklad uvedeme aktualizaci na WordPress 4.9.7, která opravuje kritickou zranitelnost předešlé verze WordPressu. Ta umožňovala smazat na dálku soubory z vašeho serveru.

Pluginy, které vám pomohou se zabezpečením

Jedním z nejjednodušších způsobů, jak si zajistit WordPress stránku, je používání "bezpečnostních" pluginů. K dispozici je hned několik řešení. Toto jsou pluginy, nad jejichž použitím byste měli přemýšlet:

WordFence Security{:target="blank"}

Nejpopulárnější řešení pro zabezpečení WordPress stránek. WordFence má v sobě přímo integrovaný základní WAF (Web Application Firewall) a nabízí i skenování webu v reálném čase. Automaticky blokuje pokusy o napadení webu, uhodnutí hesla hrubou silou, či infikování škodlivými soubory. Jde o komplexní řešení, které je vhodným doplňkem každého webu.

Sucuri Security{:target="blank"}

S více než 400 000 instalacemi patří Sucuri Security mezi populární pluginy pro zvýšení bezpečnosti WordPressu. Jde o komplexní řešení, které nabízí skenování vašeho webu na zranitelnosti a škodlivé soubory v reálném čase. Výhodou jsou i automatizované upozornění na objevené zranitelnosti či možnost zapnutí webového firewall-u v prémiové verzi. Plugin také nabízí návod, jak vrátit stránku do původního stavu poté, co se stala terčem kybernetického útoku.

iThemes Security{:target="blank"}

Tento plugin nabízí více než 30 nástrojů pro sledování a vylepšení bezpečnosti vašeho WordPress webu. Nabízí 2-faktorovou autentifikaci, ochranu obsahu heslem, skenování webu, ale i záznam logů, abyste věděli, co se kdy stalo. iThemes Security se pyšní i pravidelnými aktualizacemi, které přináší opravy známých chyb, čímž jde příkladem i pro své konkurenty.

Zdroj: Pixabay{:target="blank"}

Really Simple SSL{:target="blank"}

SSL certifikát je v roce 2018 základem zabezpečení každé stránky. Na web byste si ho měli nainstalovat ihned po vytvoření. Na zprovoznění https verze vašeho webu vám dobře poslouží plugin Really Simple SSL, který udělá většinu práce za vás.

Limit Login Attempts{:target="blank"}

WordPress nezvládá ani tak základní věc, jakou je limitování počtu neúspěšných přihlášení do administračního prostředí. Přesně to ale zabezpečuje plugin Limit Login Attempts, který váš web ochrání před brute-force útoky a příliš houževnatými záškodníky.

Restricted Site Access{:target="blank"}

Tento plugin nabízí možnost omezit přístup uživatelů k vybraným částem WordPress webu. Podporuje také vytváření whitelist IP adres, které zaručí, že se do vašeho webu přihlásíte jen vy nebo vaši spolupracovníci.

Alternativním řešením je manuální přidání IP adres s povoleným přístupem na web. Specifikovat je můžete v souboru. htaccess pomocí kódu:

<Files wp-login.php>

order deny,allow

Deny from all

allow from 192.168.5.1

</Files>

Tipy a triky pro lepší bezpečnost

Kromě instalování řešení třetích stran můžete bezpečnost své WordPress stránky vylepšit i menšími změnami přímo v nastaveních CMS systému. Přestože jde o banální změny mohou mít na bezpečnost velký vliv.

Změňte si přihlašovací URL, jméno a heslo

Při instalaci WordPressu lze nastavit přihlašovací jméno administrátora. Doporučujeme vám vyhnout se klasickému menu "admin". Použijte raději vlastní textový řetězec, případně e-mailovou adresu{:target="blank"}. Rozhodně byste při přihlašování měli používat i 2-faktorové ověření.{:target="blank"}

Zdroj: Pixabay{:target="blank"}

Základním krokem pro zvýšení vaší bezpečnosti je i používání silného hesla. Nebojte se používat náhodně generované heslo{: target="blank"} dostatečné délky. Pokud si ho nedokážete zapamatovat, můžete použít správce hesel{:target="blank"}.

Vhodná je i změna přihlašovací URL adresy{:target="blank"} z mysite.com/wp-admin na vámi specifikovanou adresu. Například mysite.com/logmein nebo cokoli jiného.

Automatické aktualizace pluginů a témat

Abyste nikdy nezapomněli na aktualizaci všech vašich pluginů a témat, přidejte do souboru wp-config.php následující dva řádky kódu:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Zabraňte registrovaným uživatelům editovat kód pluginů a témat

Pokud má na vaši web stránku přístup více spolupracovníků a vy se bojíte, že by jejich účet mohl někdo hacknout a zneužít, zabraňte jim v editování kódu pluginů a témat. Uděláte tak připsáním jednoho řádku do wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Ukryjte důležité soubory pomocí .htaccess

WordPress obsahuje několik dokumentů, které jsou pro jeho bezpečnost klíčové. Je to například již zmíněný wp-config.php. Abyste ho ochránili, můžete zamezit uživatelům, aby ho viděli. Stačí, abyste do. htaccess přidali následující úryvek kódu:

<files wp-config.php>

order allow, deny

deny from all

</ Files>

Vhodné je také ukrytí jednotlivých adresářů vašeho webu, které tak nebude možné prohlížet. Použijte příkaz:

Options All -Indexes

Ochrana před DDoS útoky

Pokud rozhněváte konkurenci nebo natrefíte na nepřejícího, můžete se snadno stát obětí DDoS útoku. WordPress jako platforma nenabízí nativní ochranu před tímto typem útoku. Musíte si tak poradit sami. Na ochranu před DDoS útoky vám (nejen v případě WordPress stránky) doporučujeme službu Cloudflare{:target="blank"}.

Ta funguje jako jakési síto, přes které tečou všechna spojení vedoucí na váš web. Služba dokáže odchytit škodlivé pakety a odvrátit DDoS útok. V jejich nabídce však najdete i možnost zrychlení vaší web stránky jejím načtením ze serverů CloudFlare, které nabízejí rychlejší odezvu než většina běžných hostingů.

V případě, že na WordPress stránce provozujete specifické aplikace nebo funkce, které jste naprogramovali sami, je vhodné je i specificky otestovat. Doporučujeme vám hloubkový bezpečnostní audit a penetrační test, který odhalí zranitelnosti vašeho webu.