Populárny systém správy obsahu WordPress sa stal veľmi rozšíreným. V tomto článku by sme vám radi poskytli niekoľko tipov na zabezpečenie inštalácie WordPress.
Vzhľadom na vysokú rozšírenosť WordPressu je bohužiaľ aj obľúbeným cieľom hackerov a bohužiaľ dochádza aj k automatickým útokom na inštalácie WordPress, ktoré znova a znova kontrolujú, či neobsahujú známe bezpečnostné chyby.
Preto je veľmi dôležité, aby ste svoj WordPress vždy aktualizovali. Pri profesionálnom používaní má preto zmysel poveriť agentúru aktualizáciou systému WordPress a vybrať si webhosting, ktorý používa aj firewall na čo najlepšiu ochranu systému pred známymi útokmi.
Tu sme uviedli najdôležitejšie body, ako chrániť vašu inštaláciu WordPress.
[tie_list type="checklist"]- Vždy aktualizujte WordPress
WordPress nie je len softvér pre blogy, ale môže byť vybavený aj širokou škálou funkcií prostredníctvom tzv. plug-inov, t. j. rozšírení. Mnohí používatelia používajú špeciálne pluginy a dizajny (témy) pre jednotlivé webové stránky. Hlavným problémom útokov je nedostatočná aktualizácia inštalácií.
Tip: Ak je to možné, vyberte si webového hostiteľa pre inštaláciu WordPress s administračným rozhraním, ktoré vám pomôže aktualizovať WordPress a pluginy. Naším odporúčaním je používanie Plesk ako softvér na správu.
Aktivujte automatickú aktualizáciu WordPress.
Softvér je potom vždy aktuálny. To je možné aj v prípade mnohých produktov Plusins.
Odporúča sa pravidelne sa prihlasovať do administračného rozhrania WordPress a kontrolovať aktuálny stav softvéru. WordPress priamo zobrazuje, či sú k dispozícii aktualizácie.
Problematickejšie sú témy, t. j. hotové návrhy, ktoré zvyčajne obsahujú platené plusy. Tieto témy sa zvyčajne neinštalujú automaticky, ale je potrebné ich aktualizovať ručne. Ak to chcete urobiť, musíte si stiahnuť aktuálnu verziu témy od výrobcu a skopírovať ju do adresára themes. Po aktualizácii je zvyčajne potrebné vykonať len niekoľko nastavení v administrácii témy.
[tie_list type="checklist"]- Používajte šifrované pripojenia.
Prihlasovacie údaje WordPress sú veľmi žiadané a v nezabezpečenej sieti ich možno ľahko špehovať, napr. keď sa prihlásite do otvorenej siete Wi-Fi v reštaurácii alebo hoteli.
Preto by ste mali vždy používať certifikát pre domovskú stránku. Najlepšie je vybrať si webového hostiteľa, ktorý vám môže certifikát nastaviť. Profesionálna ochrana vašej inštalácie stojí len niekoľko eur ročne.
Vždy sa uistite, že máte šifrovaný prístup k inštalácii WordPress cez https://, ako aj zabezpečený e-mailový prístup a v prípade potreby aj bezpečné prihlásenie cez FTP. Po použití nešifrovaného pripojenia odporúčame okamžite zmeniť všetky heslá.
[tie_list type="checklist"]- Uložte súbor wp-login.php
Existuje aj spôsob, ako premenovať adresár wp-admin, ale to môže viesť k problémom s funkčnosťou WordPress. Jednoduchým spôsobom ochrany proti väčšine útokov hrubou silou, pri ktorých sa heslá jednoducho uhádnu, je zahrnutie kódu do súboru .htaccess. To sa dá dobre kombinovať s ochranou heslom.
[tie_list type="checklist"]- Zabezpečte adresár administrácie heslom.
Okrem toho by ste mali tento adresár chrániť heslom. Váš poskytovateľ ponúka možnosť nastavenia ochrany adresárov pre určité adresáre. Adresár administrácie chráňte zložitým používateľským menom a heslom, ktoré má aspoň 12 znakov a obsahuje špeciálne znaky. Nikdy si nevyberajte heslá, ktoré majú iba 8 znakov. Tie sa v súčasnosti všeobecne považujú za nezabezpečené a zvyčajne sa dajú rýchlo prelomiť, pretože už boli vopred vypočítané v závislosti od typu šifrovania.
Po ochrane heslom otvorte súbor .htaccess a vložte do neho nasledujúci kód:
ErrorDocument 401 "Uzamknuté
ErrorDocument 403 "Uzamknuté
# Povolenie prístupu pluginov k admin-ajax.php napriek ochrane heslom
Objednávka povoliť,zamietnuť
Povoľte zo všetkých
Uspokojte všetky
</Files>
Tým sa zabezpečí, že pluginy WordPress môžu stále volať súbory.
[tie_list type="checklist"]- Používanie široko dostupných pluginov a tém v čo najväčšej miere
Zásuvné moduly sú zvyčajne zodpovedné za bezpečnostné chyby vo vašom WordPress. Zásuvné moduly a témy sú malé softvérové balíky, ktoré poskytujú poskytovatelia tretích strán. V zásade je to dobrá myšlienka, ale v súčasnosti existuje mnoho pochybných poskytovateľov a tiež poskytovateľov, ktorí jednoducho nemajú žiadne znalosti, a tak vytvárajú softvér, ktorý obsahuje bezpečnostné diery. Laik pred tým nie je prakticky nijako chránený. Preto odporúčame používať len tie doplnky, ktoré už boli často inštalované a majú dobré hodnotenie.
Nepoužívajte bezplatné témy, ktoré si môžete stiahnuť z akejkoľvek webovej stránky. Kúpte si tému, napr. z Themeforest alebo Templatemonster, od tzv. elitného poskytovateľa, t. j. profesionálnych programátorských tímov, ktoré dosiahli vysoký obrat.
Pozornosť venujte aj dátumu poslednej inštalácie. Poskytovatelia, ktorí neaktualizujú svoje pluginy a témy alebo už ukončili vývoj, sa neodporúčajú.
[tie_list type="checklist"]- Odstránenie nepoužívaných tém a doplnkov
Keď je vaša webová lokalita pripravená a chcete ju spustiť, vždy odporúčame úplne odstrániť nepoužívané doplnky a témy. To platí aj pre vlastné témy WordPress, ktoré nemožno tak ľahko odstrániť. Potenciálni útočníci radi skrývajú svoje súbory v týchto štandardných adresároch, preto je vhodné nepoužívané súbory úplne odstrániť. Môžete to urobiť prostredníctvom administračného rozhrania alebo cez FTP. Jednoducho odstráňte adresáre z adresára Themes, ktoré nepoužívate.
[tie_list type="checklist"]Používanie aplikačného firewallu
[/tie_list]Ak je to možné, mali by ste používať aplikačný firewall. Ide o softvér, ktorý kontroluje každé pripojenie a ponúka mnoho možností, ako zabrániť potenciálnym útokom.
U mnohých poskytovateľov sú k dispozícii bezplatné možnosti, napríklad fail2ban (odporúčané), mod_security Na blokovanie známych útokov alebo pochybných známych IP adries použite WAF. V prípade zdieľaného hostingu, t. j. malých hostingových účtov, to zvyčajne nie je možné, pretože existuje príliš veľa špeciálnych funkcií, ktoré nie je možné nastaviť globálne. Na profesionálne použitie odporúčame v každom prípade používať spravovaný V-server, t. j. samostatné prostredie len pre vaše webové stránky.
U niektorých prémiových poskytovateľov môžete pre svoje webové stránky použiť aj externý firewall. Tu sú k dispozícii systémy od spoločností Barracuda, Sonicwall alebo Imperva. Tie filtrujú prevádzku pred tým, ako sa dostane na webový server, a tým blokujú väčšinu útokov. Takéto riešenie je však pomerne drahé, stojí 50 až 250 eur mesačne a je vhodné len na profesionálne použitie.
Záver: Vytvorenie webovej stránky je s WordPressom veľmi jednoduché. V porovnaní s inými systémami správy obsahu sú užitočné aj automatické aktualizácie, ktoré ponúkajú mnohí webhostitelia. Ak budete vždy dbať na aktualizáciu rozšírení (aspoň raz týždenne), nič sa vám nemôže stať.
To, čo nič nestojí, je tiež zbytočné. To sa bohužiaľ týka mnohých doplnkov a tém. Upozorňujeme, že mnohí podvodníci infikujú témy škodlivým kódom a potom ich bezplatne šíria ako svoje vlastné témy. Akonáhle si niečo také nainštalujete, vaša webová lokalita sa bude rýchlo používať na odosielanie Spam alebo útoky na iných.
