Dozvíte se,
→ jak se bránit těmto útokům,
→ jak být informován o nekalé činnosti na webu,
→ jak si web zkontrolovat, jestli již škodlivý kód neobsahuje.
Výsledkem bude web, které díky několika krokům bude imunní vůči naprosté většině těchto automatizovaných útoků.
Aby byl WordPress bezpečný a v zásadě Vám ho nikdo neprolomil, stačí dodržovat pár základních věcí.
První co byste měli udělat je si toto heslo změnit. Mnoha lidem toto připadá jako samozřejmost, ale sami byste se divili, že to málo kdo udělá. Hesla nakonec mají obvykle znění typu „heslo, password“ a podobné věci, které jsou prolomitelné během chvíle. Naštěstí v novém WordPressu je funkce, která automaticky vygeneruje poměrně bezpečné heslo. A navíc malá rada k tomu, i když máte vygenerované heslo s dolary, zavináči a dalšími znaky, určitě je dobré k tomu přidat nějaké znaky s českou diakritikou. Tím se ještě daleko víc zvětší bezpečnost hesla. Často roboti, kteří tyto weby napadají ani netuší, že znaky jako třeba Č a Ř existují.
Změna hesla je první krok k tomu, abyste měli bezpečnější WordPress.
Další věc, kterou je dobré udělat je vše si pořádně zaktualizovat. Největší slabinou WordPressu může být právě to, že není aktuální. Pokud máte dobrý hosting a nemáte to vypnuté, tak se Vám nejdůležitější změny budou aktualizovat samy. I v takovém případě je ale třeba aktualizovat všechny pluginy, template. Aktualizace pluginů je velmi snadná, zaškrtnete všechny pluginy, dáte aktualizovat a počkáte. Další věcí je, že je dobré mít puginů ve WordPressu nainstalovaných co nejméně. Respektive nemít tam nějaké navíc, které nepoužíváte. Snižujete tím riziko, že některý z pluginů ve Vašem WordPressu bude obsahovat nějakou chybu.
WP Limit Login Attempts – šikovně omezuje a upravuje přihlašovací formulář, vyžaduje po uživateli zadání určitého kódu, kterým se dostane pak na samotné přihlášení
Sucuri Security – komplexí nástroj, který umožňuje monitorovat to, jestli se Vám aktuálně do WordPressu někdo nesnaží dostat a jiné a tyto informace odesílá na e-mail
Anti-Malware and Brute-Force – pomůže v momentě, kdy už je WordPress napaden, prohledá web, zkontroluje všechny soubory a identifikuje škodlivé kódy
Přihlášení do WordPressu probíhá přes WP login, ať už se přihlašujete Vy nebo roboti. Můžeme ho ale poměrně jednoduše zabezpečit. Nejde to však nastavit na každé serverové instalaci, to lze nastavit. Ne všechny servery podporují soubory htaccess. Jak přesně popisovat můžete vidět ve videu.
Více o nastavení jednotlivých pluginů najdete ve videu.
Na závěr ještě shrnu základní body, které je třeba dodržovat, aby byl Váš web na WordPressu v bezpečí. Udržujte WordPress a všechny komponenty aktuální, změňte si heslo a využijte dostupné nástroje a pluginy na to, abyste cestu do Vaší administrace robotům maximálně znesnadnili.
Anti-Malware and Brute-Force
Sucuri Security
WP Limit Login Attempts
Generátor htpasswd: http://www.htaccesstools.com/htpasswd-generator/
Rozšíření souboru .htaccess (umístit na konec souboru)
<FilesMatch “wp-login.php”>
AuthName “Member Only”
AuthType Basic
AuthUserFile /path/to/your/.htpasswd
require valid-user
</FilesMatch>