Záznam webináře: Jak na bezpečnost ve WordPressu?

Rubriky: Web

Popularita administračního systému WordPress z něj dělá oblíbený terč útoků. Ve většině případů jde o automatické útoky, které hledají právě weby na WordPressu. Pomocí standardizovaných způsobů se snaží prolomit jejich zabezpečení a následně z webu například rozesílat spam. Chcete se naučit, jak tomu zabránit? Čtete dál.

 Dozvíte se,
→ jak se bránit těmto útokům,
→ jak být informován o nekalé činnosti na webu,
→ jak si web zkontrolovat, jestli již škodlivý kód neobsahuje.

Výsledkem bude web, které díky několika krokům bude imunní vůči naprosté většině těchto automatizovaných útoků.

Jak na bezpečnost na WordPressu?

Aby byl WordPress bezpečný a v zásadě Vám ho nikdo neprolomil, stačí dodržovat pár základních věcí.

  • Udržujte WordPress i veškeré komponenty aktuální
  • Využijte některé z dostupných pluginů a nástrojů, které znemožňují robotům se do WordPressu dostat
  • Nastavte silné heslo

Změňte si heslo

První co byste měli udělat je si toto heslo změnit. Mnoha lidem toto připadá jako samozřejmost, ale sami byste se divili, že to málo kdo udělá. Hesla nakonec mají obvykle znění typu „heslo, password“ a podobné věci, které jsou prolomitelné během chvíle. Naštěstí v novém WordPressu je funkce, která automaticky vygeneruje poměrně bezpečné heslo. A navíc malá rada k tomu, i když máte vygenerované heslo s dolary, zavináči a dalšími znaky, určitě je dobré k tomu přidat nějaké znaky s českou diakritikou. Tím se ještě daleko víc zvětší bezpečnost hesla. Často roboti, kteří tyto weby napadají ani netuší, že znaky jako třeba Č a Ř existují.

Změna hesla je první krok k tomu, abyste měli bezpečnější WordPress.

Mějte vždy aktuální WordPress

Další věc, kterou je dobré udělat je vše si pořádně zaktualizovat. Největší slabinou WordPressu může být právě to, že není aktuální. Pokud máte dobrý hosting a nemáte to vypnuté, tak se Vám nejdůležitější změny budou aktualizovat samy. I v takovém případě je ale třeba aktualizovat všechny pluginy, template. Aktualizace pluginů je velmi snadná, zaškrtnete všechny pluginy, dáte aktualizovat a počkáte. Další věcí je, že je dobré mít puginů ve WordPressu nainstalovaných co nejméně. Respektive nemít tam nějaké navíc, které nepoužíváte. Snižujete tím riziko, že některý z pluginů ve Vašem WordPressu bude obsahovat nějakou chybu.

Šikovné pluginy, které pomáhají chránit WordPress

WP Limit Login Attempts – šikovně omezuje a upravuje přihlašovací formulář, vyžaduje po uživateli zadání určitého kódu, kterým se dostane pak na samotné přihlášení

Sucuri Security – komplexí nástroj, který umožňuje monitorovat to, jestli se Vám aktuálně do WordPressu někdo nesnaží dostat a jiné a tyto informace odesílá na e-mail

Anti-Malware and Brute-Force – pomůže v momentě, kdy už je WordPress napaden, prohledá web, zkontroluje všechny soubory a identifikuje škodlivé kódy

Jak si ještě můžetezabezpečit přihlášení do WordPressu?

Přihlášení do WordPressu probíhá přes WP login, ať už se přihlašujete Vy nebo roboti. Můžeme ho ale poměrně jednoduše zabezpečit. Nejde to však nastavit na každé serverové instalaci, to lze nastavit. Ne všechny servery podporují soubory htaccess. Jak přesně popisovat můžete vidět ve videu.

Více o nastavení jednotlivých pluginů najdete ve videu.

 

Na závěr ještě shrnu základní body, které je třeba dodržovat, aby byl Váš web na WordPressu v bezpečí. Udržujte WordPress a všechny komponenty aktuální, změňte si heslo a využijte dostupné nástroje a pluginy na to, abyste cestu do Vaší administrace robotům maximálně znesnadnili.

 

Seznam použitých pluginů

Anti-Malware and Brute-Force
Sucuri Security
WP Limit Login Attempts

Generátor htpasswd: http://www.htaccesstools.com/htpasswd-generator/

Rozšíření souboru .htaccess (umístit na konec souboru)
<FilesMatch „wp-login.php“>
AuthName „Member Only“
AuthType Basic
AuthUserFile /path/to/your/.htpasswd
require valid-user
</FilesMatch>

Vyplňte prosím toto pole.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *