Ako si zabezpečiť WordPress?

CMS systém WordPress{:target="blank"} je medzi tvorcami webov veľmi obľúbený. Podľa štatistík{:target="blank"} poháňa WordPress už takmer 20 miliónov webstránok, pričom má medzi CMS systémami s viac ako 50-percentným podielom dominantné miesto.

Svoju “popularitu” si však táto platforma vyslúžila aj vďaka nedostatočnému zabezpečeniu, ktoré pre mnohých používateľov znamenalo poškodenie alebo krádež dát z ich webstránok. Aby ste sa aj vy nestali obeťou kybernetických zločincov a zbytočných bezpečnostných zraniteľností, rozhodli sme sa, že pre vás pripravíme jednoduchý návod ako si v roku 2018 zabezpečiť svoju WordPress stránku.

Základom je zálohovanie a pravidelné aktualizácie

Prvým krokom po tom, ako si nainštalujete WordPress, je nastavenie jeho zálohovania. V prípade poškodenia alebo odcudzenia dát tak budete mať k dispozícii ich zálohu. Existuje niekoľko riešení, ako si zálohovať dáta z WordPressu, no najjednoduchším spôsobom je použitie pluginu UpdraftPlus{:target="blank"}. Ten dokáže vytvárať automatické lokálne zálohy, ale aj zálohy v cloude. Vaše dáta tak budú chránené aj v prípade poškodenia diskového úložiska, na ktorom sa nachádza váš web.

Bezpečnosť vášho webu ovplyvňuje aj pravidelnosť jeho aktualizácií. WordPress dokáže automaticky nainštalovať minoritné aktualizácie, ktoré opravujú menšie chyby a nedostatky. Pluginy, témy od vývojárov tretích strán a majoritné aktualizácie WordPress jadra ale musíte vykonať manuálne.

Dostupnosť týchto aktualizácií by ste mali pravidelne kontrolovať a váš web udržiavať vždy v najnovšej verzii. Ako príklad uvedieme aktualizáciu na WordPress 4.9.7, ktorá opravuje kritickú zraniteľnosť predošlej verzie WordPressu. Tá umožňovala zmazať na diaľku súbory z vášho servera.

Pluginy, ktoré vám pomôžu so zabezpečením

Jedným z najjednoduchších spôsobov ako si zabezpečiť WordPress stránku, je používanie “bezpečnostných” pluginov. K dispozícii je hneď niekoľko riešení. Toto sú pluginy, nad ktorých použitím by ste mali rozmýšľať:

WordFence Security{:target="blank"}

Najpopulárnejšie riešenie pre zabezpečenie WordPress webstránok. WordFence má v sebe priamo integrovaný základný WAF (Web Application Firewall) a ponúka aj skenovanie webu v reálnom čase. Automaticky blokuje pokusy o napadnutie webu, uhádnutie hesla hrubou silou, či infikovanie škodlivými súbormi. Ide o komplexné riešenie, ktoré je vhodným doplnkom každého webu.

Sucuri Security{:target="blank"}

S viac ako 400 000 inštaláciami patrí Sucuri Security medzi populárne pluginy na zvýšenie bezpečnosti WordPressu. Ide o komplexné riešenie, ktoré ponúka skenovanie vášho webu na zraniteľnosti a škodlivé súbory v reálnom čase. Výhodou sú aj automatizované upozornenia na objavené zraniteľnosti či možnosť zapnutia webového firewall-u v prémiovej verzii. Plugin tiež ponúka návod ako vrátiť stránku do pôvodného stavu po tom, ako sa stala terčom kybernetického útoku.

iThemes Security{:target="blank"}

Tento plugin ponúka viac ako 30 nástrojov na sledovanie a vylepšenie bezpečnosti vášho WordPress webu. Ponúka 2-faktorovú autentifikáciu, ochranu obsahu heslom, skenovanie webu, ale aj záznam logov, aby ste vedeli, čo sa kedy stalo. iThemes Security sa pýši aj pravidelnými aktualizáciami, ktoré prinášajú opravy známych chýb, čím ide príkladom aj pre svojich konkurentov.

Zdroj: Pixabay{:target="blank"}

Really Simple SSL{:target="blank"}

SSL certifikát je v roku 2018 základom zabezpečenia každej webstránky. Na web by ste si ho mali nainštalovať ihneď po vytvorení. Na sfunkčnenie https verzie vášho webu vám dobre poslúži plugin Really Simple SSL, ktorý spraví väčšinu práce za vás.

Limit Login Attempts{:target="blank"}

WordPress nezvláda ani tak základnú vec, akou je limitovanie počtu neúspešných prihlásení do administračného prostredia. Presne to ale zabezpečuje plugin Limit Login Attempts, ktorý váš web ochráni pred brute-force útokmi a priveľmi húževnatívnymi záškodníkmi.

Restricted Site Access{:target="blank"}

Tento plugin ponúka možnosť obmedziť prístup používateľov k vybraným častiam WordPress webu. Podporuje tiež vytváranie whitelist IP adries, ktoré zaručia, že sa do vášho webu prihlásite len vy alebo vaši spolupracovníci.

Alternatívnym riešením je manuálne pridanie IP adries s povoleným prístupom na web. Špecifikovať ich môžete v súbore .htaccess pomocou kódu:

<Files wp-login.php>

order deny,allow

Deny from all

allow from 192.168.5.1

</Files>

Tipy a triky pre lepšiu bezpečnosť

Okrem inštalovania riešení tretích strán môžete bezpečnosť svojej WordPress stránky vylepšiť aj menšími zmenami priamo v nastaveniach CMS systému. Hoci ide o banálne zmeny, môžu mať na bezpečnosť veľký vplyv.

Zmeňte si prihlasovaciu URL, meno a heslo

Pri inštalácii WordPressu je možné nastaviť prihlasovacie meno administrátora. Odporúčame vám vyhnúť sa klasickému menu “admin”. Použite radšej vlastný textový reťazec, prípadne e-mailovú adresu{:target="blank"}. Rozhodne by ste pri prihlasovaní mali používať aj 2-faktorové overenie.{:target="blank"}

Zdroj: Pixabay{:target="blank"}

Základným krokom pre zvýšenie vašej bezpečnosti je aj používanie silného hesla. Nebojte sa používať náhodne generované heslo{:target="blank"} dostatočnej dĺžky. Ak si ho neviete zapamätať, môžete použiť správcu hesiel{:target="blank"}.

Vhodnou je aj zmena prihlasovacej URL adresy{:target="blank"} z mysite.com/wp-admin na vami špecifikovanú adresu. Napríklad mysite.com/logmein alebo čokoľvek iné.

Automatické aktualizácie pluginov a tém

Aby ste nikdy nezabudli na aktualizovanie všetkých vašich pluginov a tém, pridajte do súboru wp-config.php nasledovné dva riadky kódu:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Zabráňte registrovaným používateľom editovať kód pluginov a tém

Pokiaľ majú na vašu webstránku prístup viacerí spolupracovníci a vy sa bojíte, že by ich účet mohol niekto hacknúť a zneužiť, zabráňte im v editovaní kódu pluginov a tém. Urobíte tak pripísaním jedného riadku do wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Ukryte dôležité súbory pomocou .htaccess

WordPress obsahuje niekoľko dokumentov, ktoré sú pre jeho bezpečnosť kľúčové. Je to napríklad už spomínaný wp-config.php. Aby ste ho ochránili, môžete zamedziť používateľom, aby ho videli. Stačí, aby ste do .htaccess pridali nasledovný úryvok kódu:

<files wp-config.php>
order allow,deny
deny from all
</files>

Vhodným je aj ukrytie jednotlivých adresárov vášho webu, ktoré tak nebude možné prechádzať. Použite príkaz:

Options All -Indexes

Ochrana pred DDoS útokmi

Pokiaľ nahneváte konkurenciu alebo natrafíte na neprajníka, môžete sa poľahky stať obeťou DDoS útoku. WordPress ako platforma neponúka natívnu ochranu pred týmto typom útoku. Musíte si tak poradiť sami. Na ochranu pred DDoS útokmi vám (nielen v prípade WordPress stránky) odporúčame službu Cloudflare{:target="blank"}.

Tá funguje ako akési sito, cez ktoré tečú všetky spojenia vedúce na váš web. Služba dokáže odchytiť škodlivé pakety a odvrátiť DDoS útok. V ich ponuke však nájdete aj možnosť zrýchlenia vašej webstránky jej načítaním zo serverov Cloudflare, ktoré ponúkajú rýchlejšiu odozvu ako väčšina bežných hostingov.

V prípade, že na WordPress stránke prevádzkujete špecifické aplikácie alebo funkcie, ktoré ste naprogramovali sami, je vhodné ich aj špecificky otestovať. Odporúčame vám hĺbkový bezpečnostný audit a penetračný test, ktorý odhalí zraniteľnosti vášho webu.