V rámci služby Správa web stránok sa zákazníkom starám aj o zabezpečenie ich web stránok. Aj vďaka tejto aktívnej prevencii mnou spravované stránky doteraz infikované neboli. Chcem sa preto s vami podeliť aspoň o niektoré, mnou odporúčané tipy, vďaka ktorým budete môcť lepšie spávať a dokážete si aspoň čiastočne (100% istotu vám neposkytne žiadny nástroj) vašu WordPress stránku zabezpečiť pred jej prípadnou nákazou. Súčasne so zabezpečením stránky nezabúdajte ani na jej pravidelné zálohovanie.
1. Pravidelne aktualizujte
Spravili ste si, alebo si nechali spraviť stránku? Ako ste na tom s aktualizáciami samotného WordPress, použitej témy a všetkých nainštalovaných pluginov? Aktualizujete ich pravidelne? Či je všetko v stave v akom ste stránku spustili? CHYBA! Toto je totiž prvé a základné pravidlo bezpečnosti – nepodceňujte aktualizácie.
K najčastejším dôvodom infikovania vašej stránky totiž patria rôzne bezpečnostné diery neaktualizovaného WordPressu, tém, resp. jeho pluginov. Tieto využívajú rôzni boti (automatické skripty), ktorí skenujú stránky na internete a hľadajú na nich bezpečnostné diery, prostredníctvom ktorých vložia do stránky škodlivý kód, čím môžu vašu stránku úplne znefunkčniť, prípadne ju začnú využívať napr. na šírenie spamu.
Práve aktualizácie zabezpečia, že v prípade, ak sa v samotnom WordPresse, resp. nejakom plugine takáto diera nachádza, jeho tvorcovia ju v aktualizácii opravia a „zatvoria tak dvere“ pred možnosťou vložiť na stránku škodlivý kód. Okrem opravy známych dier, aktualizácie veľa krát prinesú na vašu stránku aj zrýchlenie, prípadne nové funkcie.
2. Na stránke zabezpečte SSL certifikát
V dnešnej dobe je už toto nevyhnutnosť. Stránka bez SSL certifikátu je nielenže vo väčšine moderných prehliadačov označovaná ako „nezabezpečená“, ale takéto stránky napr. Google posúva vo vyhľadávaní na nižšie pozície. Správne nakonfigurovaný SSL certifikát zabezpečí prehliadanie vašej stránky cez https:// protokol, vďaka čomu je komunikácia medzi serverom, kde je stránka prevádzkovaná a vašim prehliadačom šifrovaná. Pre bežné typy stránok plne postačuje bezplatný Let’s Encrypt certifikát, ktorý vám (zväčša) bezplatne dokáže na vašu stránku nainštalovať hostingová spoločnosť, kde máte stránku hostovanú. Ak používate napr. Websupport je to v ich admin paneli otázka pár klikov.
3. Používajte silné heslá
Pevne verím, že po všetkých tých únikoch hesiel, ktoré sa poslednú dobu na internete prevalili, už netreba nikomu pripomínať, že treba používať silné, neslovníkové heslá, ktoré sa nedajú len tak ľahko uhádnuť. Ideálne, aby ste pre každý jeden účet, ktorý na internete na jednotlivých stránkach máte, použili jedinečné heslo, ktoré nikde inde nepoužívate. Aby ste si nemuseli všetky heslá pamätať, je vhodné použiť nejakého Správcu hesiel, odporúčam bezplatný program KeePass.
4. Nepoužívajte účet „admin“
Účet „admin“ je zväčša preddefinovaný vo väčšine systémov, ani WordPress nie je výnimka. Keď sa teda nejaký záškodník pokúša nabúrať do vašej stránky, ako prvé sa bude pokúšať prihlásiť s užívateľským menom „admin“. Ak takýto účet na stránke existuje, má už 50% úspechu za sebou… už mu stačí uhádnuť len heslo. A ak máte dokonca pre tento účet nastavené slabé heslo je to len otázka chvíľky, kedy sa vám na stránku dokáže niekto nabúrať. A tak mu už nič nebráni v tom, aby mohla byť vaša stránka infikovaná. Ak ale používate neštandardné užívateľské mená, majú to útočníci o to komplikovanejšie, že okrem správneho hesla musia uhádnuť aj správne meno.
5. V databáze nepoužívajte prefix tabuliek „wp_“
V starších verziách WordPress bol ako predvolený prefix tabuliek v databáze nastavený na „wp_“, v novších ho už je možné pri inštalácii zmeniť. Práve preto, že väčšinou je vo WordPress databázach použitý práve tento štandardný prefix, majú prípadní útočníci jednoduchšiu prácu pri pokuse nakaziť vašu stránku napr. prostredníctvom tzv. SQL Injection metódy. Pri inštalácii preto vždy zvoľte nejaký iný, vami vymyslený, prefix.
6. Zakážte editáciu tém/pluginov
WordPress štandardne priamo cez administrátorské rozhranie umožňuje editovať zdrojové kódy nainštalovaných tém/pluginov, čo môže predstavovať bezpečnostné riziko. Je preto vhodné túto funkcionalitu zakázať. Urobíte tak editovaním konfiguračného súboru wp-config.php, do ktorého pridáte riadok:
define('DISALLOW_FILE_EDIT', true);
7. Zakážte spúšťanie PHP súborov
Ak by sa nejakému útočníkovi podarilo nahrať infikovaný PHP skript do adresára, kde sa štandardne ukladajú Multimédia (/wp-content/uploads) môže ho bez problémov spustiť cez prehliadač a napáchať škody. Je preto vhodné spúštanie PHP súborov v tomto adresári zakázať. Spravíte to tak, že do adresára /wp-content/uploads nahráte súbor s názvom .htaccess (vrátane bodky na začiatku), do ktorého napíšete:
deny from all
8. Nainštalujte bezpečnostný plugin (firewall)
Aj keď ste na stránke aplikovali všetky možné tipy pre jej zabezpečenie, aj tak môže stále dôjsť k nákaze. Je preto viac než žiadúce, aby ste na stránke mali nainštalovaný nejaký bezpečnostný plugin, ktorý bude fungovať ako firewall a bude automaticky blokovať všetku podozrivú aktivitu, ktorá sa na stránke deje. Medzi najznámejšie pluginy tohto typu patria:
Osobne odporúčam WordFence, ktorý používam aj na týchto stránkach.
9. Používajte témy/pluginy len z oficiálnych zdrojov
Isto ste sa už stretli so stránkami, ktoré ponúkajú prístup k rôznym prémiovým témam/pluginom len za zlomok ceny ich skutočnej hodnoty. Poviete si, že super, aspoň ušetríte peniaze. Avšak pozor! Takéto „pofidérne“ stránky predávajú buď cracknuté verzie, alebo rozpredávajú svoje multilicencie. Inštaláciou takéhoto pluginu si môžete ľahko infikovať svoj web. Často totiž okrem originálnej funkcionality obsahujú aj rôzny škodlivý kód, ktorý tam bol doplnený za účelom ovládnutia vášho webu napr. na rozposielanie spamu atď. Taktiež pri takejto téme/plugine kúpeného z neoficiálneho zdroja, nebudete mať s najväčšou pravdepodobnosťou ani prístup k automatickým aktualizáciam a k podpore. Neodporúčam preto kupovať témy/pluginy mimo oficiálnych zdrojov. Za tých niekoľko úšetrených eur to skutočne nestojí.
10. Zmeňte URL adresu pre prihlasovanie sa do administrácie
Na túto tému som napísal samostatný článok.
Záver
Aj keď si možno vravíte, že vaša stránka je dosť nevýznamná na to, aby sa niekto trápil jej infikovaním, nie je to pravda. Dovolím, si tvrdiť, že v 99% prípadov k nákaze stránke nedochádza vďaka nejakému hackerovi ťukajúcemu do klávesnice, ale vďaka rôznym automatickým skriptom (botom), ktoré prechádzajú stránky na internete jednu za druhou a hľadajú v nich bezpečnostné diery. A práve z tohto dôvodu bezpečnosť stránky nehodno podceňovať. Zverte ju do správy odborníkovi skôr, ako jedného dňa pri otvorení vašej stránky v prehliadači zistíte, že stránka je nefunkčná, alebo sa miesto nej automaticky otvára napr. nejaká porno stránka.
Poznáte nejaké ďalšie užitočné tipy ako zabezpečiť WordPress? Napíšte ich do komentára.
TIP: Zvýšte bezpečnosť webu. Použite dvojfaktorové overenie.
Ja ešte zvyknem používať 2 faktorové overovanie cez Google Auth a občas tiež plugin, ktorý skryje v zdrojáku verziu WP, pluginov a tém. Inak súhlasím. A hlavne vďaka Wordfence vidím koľko botov sa skúša prihlásiť ako admin. Tiež často skúšajú rovnaké meno ako je názov webu.
Súhlasím. Až keď som začal používať WordFence som zistil, koľko stoviek pokusov o prihlásenie prichádza na stránku.
Minule na jeden blog mi odrazilo za hodinu 1600 útokov z Ruska. 😀 Až ma pot zalieval, keď chodili maily. 😀
Ano, jsem na tom stejně. Proto blokuji kompletně přístupy ze zemí jako je Indie, Pakistán atd. Nicméně tyto „útoky“ přichází i z Velké Británie, Francie atd, ale aspoň ne v takovém množství.
Chybí mi zde ještě jedna podstatná záležitost, a to v diskuzích často zmiňované pluginy a šablony z temné strany, to jest hacknuté, resetované či jak to chceme nazývat (záměrně nezmiňuji anglický termín, abych nenaváděl k vyhledávání). Takže pro doplnění: určitě používat pluginy a šablony z oficiálních zdrojů, žádné pochybné internetové zdroje.
Zrovna před týdnem jsem řešil infikovaný web přesměrovávaný na reklamní server. Nějaký koumák zákazníkovi nainstaloval plugin z pochybného zdroje a ten vytvořil skrytého admin uživatele, který zajišťoval nejen přístup na web, ale i samotné přesměrování. Léčba: smazání některých řádků tabulky v databázi, odstranění účtu, smazání infikovaných souborů a zabezpečení celého webu.
Zábava za 5000 Kč. A to chtěl zákazník ušetřit za plugin v hodnotě 900 Kč
Ďakujem za tip. Doplnil som ho do bodu 9.
Ten, kto sa webmi živý – je asi psia povinnosť používať kúpené pluginy / témy.