V tomto článku o zabezpečení WordPressu se podíváme na základní postupy, jak ochránit svůj web před nežádoucími útoky hackerů.
Bezpečnost je velmi opomíjená záležitost mezi všemi obyčejnými uživateli redakčních systémů. Nikdo to neřeší, dokud se sám nespálí a musím přiznat, že už i mě se to párkrát stalo.
Nejen, že se už do administrace webu nemusíte přihlásit (když budete mít štěstí, problém opravíte), ale pokud vše pravidelně nezálohujete, přijdete nadobro i o všechna data ve vaší webové prezentaci. A to určitě nechcete.
Vhodné přihlašovací jméno a heslo
Základní věc, kterou mnoho lidí stále podceňuje. Při instalaci WordPressu si volíte přihlašovací jméno, automaticky se vám políčko vyplní slovem admin. A proč byste ho tedy měli měnit, když vlastně jste admin?
Důvod je jednoduchý – úplně všichni, kdo někdy přišli s WordPressem do kontaktu, ví, že defaultní přihlašovací jméno bývá admin. Pak už stačí jen uhádnout heslo.
Ano. Podceňované jednoslovné heslo.
Vaše přihlašovací heslo by nejlépe mělo být složeno z kombinace číslic a písmen (velké/malé).
Útok na přihlašovací formulář probíhá pomocí skriptu, který zkouší náhodné znaky a snaží se tak prolomit vaše přihlašovací údaje.
Tento způsob útoku se nazývá BruteForce a dá se proti němu bránit několika způsoby:
Limit pokusů o přihlášení
Plugin Loginizer umožní omezit počet pokusů o přihlášení z dané IP adresy. Při zadání 3 špatných pokusů budete mít další šanci po 15 minutách a interval se potom prodlužuje. Navíc můžete v blacklistu blokovat určité IP adresy, ze kterých hackeři provádí útok na váš web.
Skrytá přihlašovací stránka
Pro přihlášení do administrace používá WP stránku www.nazev-domeny.cz/wp-admin nebo www.nazev-domeny.cz/wp-login.php. Přemístění přihlašovací stránky tak velmi pomůže před brute force útoky. Existuje několik pluginů, které toto řešení poskytuji:
- Rename wp-login.php – umožňuje přejmenovat a změnit soubory jádra WP či přidat pravidla pro přepis. Adresář a stránky wp-login.php a wp-admin se stanou nedostupnými.
- Lockdown WP admin – Tento plugin bude skrývat stránku /wp-admin/, když uživatel nebude přihlášen. Umožňuje také změnu URL.
Pravidelné aktualizace WordPressu, pluginů a šablon
První věc, co byste měli udělat, když se přihlásíte do administrace svého webu, je okamžitá aktualizace všech položek, které to vyžadují. Ať už se jedná o samotný WP nebo některý z pluginů či vámi používané šablony.
Doporučuji vždy jednou týdně, i když nepřidáváte žádný obsah na web, přihlásit se do administrace a zkontrolovat dostupnost všech aktualizací.
Odstraňte číslo verze WordPressu
Ve výchozím nastavení WordPress umísťuje do zdrojového kódu meta tag s používanou verzí WP. Bohužel tato informace je užitečná pro hackery a to zejména v případě, když používáte zastaralou verzi WordPressu. Pro skrytí verze lze umístit tento kód do souboru functions.phppoužívané šablony:
remove_action('wp_head', 'wp_generator');
Alternativou je použití pluginu Remove Version.
Nastavení správných práv k souborům a složkám
Je důležité, abyste správně nakonfigurovali oprávnění k souborům. Nastavení adresáře s oprávněním 777 by mohlo umožnit nahrát soubor či úpravu existujícího souboru.
Pro své WordPress stránky byste měli používat následující práva:
- Všechny adresáře práva na 755 nebo 750
- Všechny soubory 644 nebo 640
- wp-config.php na 600
Ochrana před spamem
Máte-li na svém webu povolené komentáře nebo používáte kontaktní formuláře, určitě jste se již setkali s příchozím spamem. Proti těmto nežádoucím úkazům se lze jednoduše bránit instalací vhodného pluginu.
Zálohování
Asi jedna z nejnudnějších činností, kterou si lze představit. Zálohování vašeho webu byste měli dělat podle vašeho tempa přidávání obsahu. Pokud bude web napaden tak, že již ho není možné zprovoznit, je dobré mít připravenou zálohu pro případnou obnovu. Čím více práce na webu děláte, tím důležitější by pro vás zálohování mělo být.