Jak jednoduše zlepšit zabezpečení WordPressu

Optimální zabezpečení, pokud jste správcem stránek vytvořených redakčním systémem WordPress, by mělo být vaší prioritou. Nikdy ho nepodceňujte a vždy se mu věnujte přednostně. V článku si představíme, které druhy zabezpečení se vyplatí mít. 

Nejdůležitější je zálohovat

Zálohování obsahu webu je činnost, na kterou nechcete zapomenout. Nejlepší je zálohovat v pravidelných intervalech. Pokud na to ale nemáte čas, zálohujte vždy před větším zásahem do obsahu webu, šablony nebo před instalací plug-inů. Nikdy nevíte, co se pokazí. Ve vteřině tak můžete ztratit vše a začínat tak od začátku.

Udržujte WordPress aktuální

WordPress je projekt, který má otevřený zdrojový kód. Proto je snazší najít jeho slabá místa a využít je. Jenom pravidelná aktualizace zajistí, že využíváte bezpečnou verzi tohoto redakčního systému. Proto aktualizujte vždy v momentě, co se objeví stabilní verze.

Složka /wp-admin musí zůstat v bezpečí

Složka wp-admin je důležitá a výjimečná tím, že obsahuje soubory, které se týkají správy webu. Proto by mělo být její zabezpečení prioritní. Jeden ze způsobů, jak to udělat, je povolit přístup k ní jen určitým IP adresám. Naštěstí není počet povolených IP adres omezen – proto když pracujete z domova i kanceláře, můžete tam nastavit obě zařízení. 

Blokaci můžeme provést pomocí pluginů nebo jednoduchou úpravou soubotu .htaccess
——
Order Allow,
Deny Deny from all
Allow from XX.XX.XXX.XXX
—–
kde xx.xx.xxx.xxx nahradíme povolenou IP adresou

Zaměřte se na počet neplatných pokusů o přihlášení

Jednou z běžných taktik, jak se útočníci snaží dostat k citlivým údajům na vašem webu, je pomocí útoku hrubou silou (Brute Force Attacks). V praxi to vypadá tak, že se útočníci jednoduše hádají vaše přihlašovací údaje (heslo a jméno). To samozřejmě znamená, že se mnohokrát netrefí a objeví se tak velké množství pokusů o přihlášení. Tomuto lze velmi jednoduše předejít, pokud omezíte maximální možný počet neplatných přihlášení.

Nejlehčí je to nastavit pomocí některého z plug-inů (Limit Login Attempts Reloaded nebo Jetpack).

Vyhněte se výchozímu jménu administrátora

Výchozím uživatelem je vždy Admin. Využití tohoto jména se však nedoporučuje. Pokud ho přesto použijete, ulehčíte útočníkům práci, protože už nebudou muset hádat uživatelské jméno. Vytvořte si raději unikátní přihlašovací údaje, které nebude lehké uhodnout. Každý při pokusu o neoprávněné přihlášení vyzkouší slova jako admin, administrator apod. 

Nezobrazujte verzi WordPress

Nezveřejňujte na vašich stránkách, jakou verzi WordPressu využíváte. Každá verze má totiž nějakou svoji slabinu, kterou je možné využít. Při zobrazení vaší aktuální verze ulehčíte útočníkovi práci. 

Skrytí provedete drobnou úpravou souboru header.php, který naleznete ve vaší šabloně (v ideálním případě vytvořenou jako child theme)
V tomto souboru stačí smazat řádek
—-
<meta name=“generator“ content=“WordPress <?php bloginfo(‚version‘); ?>“ />
—-

Změňte výchozí adresu pro přihlášení

Výchozí URL pro přihlášení do administrace WordPressu je výchozím tvaru https://adresawebu.cz/wp-admin/ a /wp-login.php.

Proto je dobré změnit tuto adresu a zamezit robotům prolomit heslo právě přes výchozí přihlašovací stránku.

Změnit přihlašovací stránku můžete buď pomocí pluginu, například Change wp-admin login, nebo WPS Hide Login, nebo
přidáním několika pravidel do souboru .htaccess, wp-config.php a functions.php

Přístupová práva pro soubory a složky na ftp

Doporučujeme mít nastavenou hodnotu 640 pro soubory a složky. Rozhodně by neměly mít nastavenou  hodnotu 777 (povoleno číst, zapisovat a spouštět)

Zabezpečení souboru wp-config

Soubor wp-config.php obsahuje základní přístupové údaje, které může útočník zneužít. Doporučujeme tento soubor zabezpečit a skrýt pro přístup z internetu.

Do již zmíněného souboru .htaccess přidáme další dva řádky
—-
<files wp-config.php>

Order deny,

allow deny from all

</files>
—-

Věřte bezpečnostním plug-inům

K zajištění bezpečnosti vašeho webu se nebojte využít bezpečnostních plug-inů.

Mezi ty kvalitní a časem prověřené patří Wordfence, iThemes Security

Dvoufázové ověřování

Dvoufázové ověřování si nastavte všude, kde to bude možné. A obzvlášť to platí u WordPressu. Tento druh ověření uživatele výrazně zvýší zabezpečení vaší stránky. Například budete hned upozorněni, pokud dojde k neúspěšnému přihlášení nebo pokud dojde k prozrazení hesla k administraci. 

K nastavení dvoufázového ověření se hodí využít některý z plug-inů –  Two Factor Authentication, Wordfence Login Security nebo WP 2FA.

Hlídejte administrátorská oprávnění uživatelů

Přidělujte plná administrátorská práva pouze nezbytnému množství pracovníků. Správu webu lze provádět i pomocí rolí s menším orpváněním. Také doporučujeme pravidelně kontrolovat uživatelé s administrátorkým oprávněním a rušit účty, které nejou již používané.

Požadavky na straně hostingu

Požádejte uzamčení přístupu na FTP pro IP adresy mimo seznam vámi povolených, případně jakoukoliv CMS ochranu, pokud nějakou váš hosting nabízí

Provozujete webové stránky na wordpressu a nechcete ztrácet svůj čas s hlídáním bezpečnosti webu i jeho doplňků? Nabízíme vám zabezpečení v souladu s doporučenými kroky v tomto článku

Objednat službu