8 tipov ako zabezpečiť vašu WordPress stránku

8 tipov ako zabezpečiť WordPress

V rámci služby Správa web stránok sa zákazníkom starám aj o zabezpečenie ich web stránok. Aj vďaka tejto aktívnej prevencii mnou spravované stránky doteraz infikované neboli. Chcem sa preto s vami podeliť aspoň o niektoré, mnou odporúčané tipy, vďaka ktorým budete môcť lepšie spávať a dokážete si aspoň čiastočne (100% istotu vám neposkytne žiadny nástroj) vašu WordPress stránku zabezpečiť pred jej prípadnou nákazou. Súčasne so zabezpečením stránky nezabúdajte ani na jej pravidelné zálohovanie.

 

1. Pravidelne aktualizujte

Spravili ste si, alebo si nechali spraviť stránku? Ako ste na tom s aktualizáciami samotného WordPress, použitej témy a všetkých nainštalovaných pluginov? Aktualizujete ich pravidelne? Či je všetko v stave v akom ste stránku spustili? CHYBA! Toto je totiž prvé a základné pravidlo bezpečnosti – nepodceňujte aktualizácie.

K najčastejším dôvodom infikovania vašej stránky totiž patria rôzne bezpečnostné diery neaktualizovaného WordPressu, tém, resp. jeho pluginov. Tieto využívajú rôzni boti (automatické skripty), ktorí skenujú stránky na internete a hľadajú na nich bezpečnostné diery, prostredníctvom ktorých vložia do stránky škodlivý kód, čím môžu vašu stránku úplne znefunkčniť, prípadne ju začnú využívať napr. na šírenie spamu.

Práve aktualizácie zabezpečia, že v prípade, ak sa v samotnom WordPresse, resp. nejakom plugine takáto diera nachádza, jeho tvorcovia ju v aktualizácii opravia a “zatvoria tak dvere” pred možnosťou vložiť na stránku škodlivý kód. Okrem opravy známych dier, aktualizácie veľa krát prinesú na vašu stránku aj zrýchlenie, prípadne nové funkcie.

 

2. Na stránke zabezpečte SSL certifikát

V dnešnej dobe je už toto nevyhnutnosť. Stránka bez SSL certifikátu je nielenže vo väčšine moderných prehliadačov označovaná ako “nezabezpečená”, ale takéto stránky napr. Google posúva vo vyhľadávaní na nižšie pozície. Správne nakonfigurovaný SSL certifikát zabezpečí prehliadanie vašej stránky cez https:// protokol, vďaka čomu je komunikácia medzi serverom, kde je stránka prevádzkovaná a vašim prehliadačom šifrovaná. Pre bežné typy stránok plne postačuje bezplatný Let’s Encrypt certifikát, ktorý vám (zväčša) bezplatne dokáže na vašu stránku nainštalovať hostingová spoločnosť, kde máte stránku hostovanú. Ak používate napr. Websupport je to v ich admin paneli otázka pár klikov.

 

3. Používajte silné heslá

Pevne verím, že po všetkých tých únikoch hesiel, ktoré sa poslednú dobu na internete prevalili, už netreba nikomu pripomínať, že treba používať silné, neslovníkové heslá, ktoré sa nedajú len tak ľahko uhádnuť. Ideálne, aby ste pre každý jeden účet, ktorý na internete na jednotlivých stránkach máte, použili jedinečné heslo, ktoré nikde inde nepoužívate. Aby ste si nemuseli všetky heslá pamätať, je vhodné použiť nejakého Správcu hesiel, odporúčam bezplatný program KeePass.

 

4. Nepoužívajte účet “admin”

Účet “admin” je zväčša preddefinovaný vo väčšine systémov, ani WordPress nie je výnimka. Keď sa teda nejaký záškodník pokúša nabúrať do vašej stránky, ako prvé sa bude pokúšať prihlásiť s užívateľským menom “admin”. Ak takýto účet na stránke existuje, má už 50% úspechu za sebou… už mu stačí uhádnuť len heslo. A ak máte dokonca pre tento účet nastavené slabé heslo je to len otázka chvíľky, kedy sa vám na stránku dokáže niekto nabúrať. A tak mu už nič nebráni v tom, aby mohla byť vaša stránka infikovaná. Ak ale používate neštandardné užívateľské mená, majú to útočníci o to komplikovanejšie, že okrem správneho hesla musia uhádnuť aj správne meno.

 

5. V databáze nepoužívajte prefix tabuliek “wp_”

V starších verziách WordPress bol ako predvolený prefix tabuliek v databáze nastavený na “wp_”, v novších ho už je možné pri inštalácii zmeniť. Práve preto, že väčšinou je vo WordPress databázach použitý práve tento štandardný prefix, majú prípadní útočníci jednoduchšiu prácu pri pokuse nakaziť vašu stránku napr. prostredníctvom tzv. SQL Injection metódy. Pri inštalácii preto vždy zvoľte nejaký iný, vami vymyslený, prefix.

 

6. Zakážte editáciu tém/pluginov

WordPress štandardne priamo cez administrátorské rozhranie umožňuje editovať zdrojové kódy nainštalovaných tém/pluginov, čo môže predstavovať bezpečnostné riziko. Je preto vhodné túto funkcionalitu zakázať. Urobíte tak editovaním konfiguračného súboru wp-config.php, do ktorého pridáte riadok:

  1. define('DISALLOW_FILE_EDIT', true);

 

7. Zakážte spúšťanie PHP súborov

Ak by sa nejakému útočníkovi podarilo nahrať infikovaný PHP skript do adresára, kde sa štandardne ukladajú Multimédia (/wp-content/uploads) môže ho bez problémov spustiť cez prehliadač a napáchať škody. Je preto vhodné spúštanie PHP súborov v tomto adresári zakázať. Spravíte to tak, že do adresára /wp-content/uploads nahráte súbor s názvom .htaccess (vrátane bodky na začiatku), do ktorého napíšete:

  1. deny from all

 

8. Nainštalujte bezpečnostný plugin (firewall)

Aj keď ste na stránke aplikovali všetky možné tipy pre jej zabezpečenie, aj tak môže stále dôjsť k nákaze. Je preto viac než žiadúce, aby ste na stránke mali nainštalovaný nejaký bezpečnostný plugin, ktorý bude fungovať ako firewall a bude automaticky blokovať všetku podozrivú aktivitu, ktorá sa na stránke deje. Medzi najznámejšie pluginy tohto typu patria:

Osobne odporúčam WordFence, ktorý používam aj na týchto stránkach.

 

Záver

Aj keď si možno vravíte, že vaša stránka je dosť nevýznamná na to, aby sa niekto trápil jej infikovaním, nie je to pravda. Dovolím, si tvrdiť, že v 99% prípadov k nákaze stránke nedochádza vďaka nejakému hackerovi ťukajúcemu do klávesnice, ale vďaka rôznym automatickým skriptom (botom), ktoré prechádzajú stránky na internete jednu za druhou a hľadajú v nich bezpečnostné diery. A práve z tohto dôvodu bezpečnosť stránky nehodno podceňovať. Zverte ju do správy odborníkovi skôr, ako jedného dňa pri otvorení vašej stránky v prehliadači zistíte, že stránka je nefunkčná, alebo sa miesto nej automaticky otvára napr. nejaká porno stránka.




3 názory na “8 tipov ako zabezpečiť vašu WordPress stránku”

  1. Ja ešte zvyknem používať 2 faktorové overovanie cez Google Auth a občas tiež plugin, ktorý skryje v zdrojáku verziu WP, pluginov a tém. Inak súhlasím. A hlavne vďaka Wordfence vidím koľko botov sa skúša prihlásiť ako admin. Tiež často skúšajú rovnaké meno ako je názov webu.

Pridajte komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Scroll to Top