Zpět na blog

Zabezpečte svůj WordPress! 10 tipů + výběr pluginů

Na redakčním systému WordPress běží téměř každý čtvrtý web (zdroj), což z něj činí nejpoužívanější CMS na celém světě. Tento fakt bohužel vede i k tomu, že je velice oblíbeným cílem hackerů a robotů. Ač kluci a holky vyvíjející tento systém pracují ve dne v noci na nových a nových verzích, které kromě nových fičurek mají za cíl také vyšší bezpečnost aplikace, je velice snadné bezpečnost ohrozit vlastní chybou nebo nevědomostí

Možná si říkáte „Co by po mě chtěli hackeři?“ Nemám nic zajímavého. Omyl. Máte. Vaše návštěvníky.

Cílem útoků na WordPress není ve valné většině získání nějakých citlivých dat z vašeho webu, ale vložení škodlivého kódu k šíření reklamy, spamu a virů mezi návštěvníky.

Trocha statistiky

41 % webů je napadeno kvůli slabě zabezpečenému webhostingu
29 % webů je napadeno kvůli bezpečnostní díře v šabloně
22 % webů je napadeno kvůli bezpečnostní díře v pluginech
8 % webů je napadeno kvůli slabému heslu

Obecné rady

1. Pofidérní a zastaralé pluginy

Z tabulky výše je jasně vidět, že nemalou část problémů představují pluginy. A je tomu tak. WordPress sice umožňuje velice snadno nainstalovat novou funkci ve formě pluginu, ale to s sebou nese také riziko možné bezpečnostní díry.

Před instalací pluginu si tedy zkontrolujte, kdy byl naposledy aktualizován. Pokud před více jak dvěma lety – NEINSTALUJTE. Je vhodné také nahlédnout do diskuzí a recenzí. Ověřte si, co o pluginu píšou jiní a jak reaguje podpora.

2. Aktualizujte, aktualizujte a aktualizujte!

Tohle opravdu nepodceňujte. Pokud si budete udržovat aktuální verzi WordPressu a pluginů, značně tím eliminujete možná bezpečnostní rizika.

3. Vyhněte se šablonám zdarma, nebo je pečlivě zkontrolujte

Pokud si web na WordPressu rozjíždíte sami a chcete jej postavit na šabloně, tak pozor. Je pochopitelné, že se vám ji nebude chtít kupovat za tisíce korun jen proto, že chcete občas ve volném čase napsat pár slov na blog. Pokud ale sáhnete po šabloně zdarma, tak si dejte pozor, odkud ji máte a zda neobsahuje nějaký skrytý obsah skrze Base64 – což je velice častý případ. Stejně jako u pluginů si ověřujte autora a ideálně si šablonu nechejte i zkontrolovat.

4. Zajistěte si kvalitní webhosting

Web nebudete mít bezpečný, pokud mu neposkytnete bezpečný domov. Smutným faktem je, že v České republice je webhostingová morálka dost špatná. Se svými projekty jsem si prošel desítky hostingů. Skutečně obstál jen jeden, který můžu s čistým svědomím doporučit – Webglobe (dříve ONEbit).

5. Nemějte jednoduché heslo

Tohle se týká obecně a každý to zná. Ale ne všichni toto pravidlo dodržují. Takže Repetitio est mater studiorum. Snažte se v hesle použít malá i velká písmena, čísla, diakritiku a ideálně i nějaké ty znaky. Naopak se vyhněte slovům spojeným s vašim jménem nebo názvem webu, pouze číselným nebo pouze znakovým heslům.

6. Přejmenujte účet „admin“

Pokud se někdo nebo něco bude chtít nabourat do administrace vašeho webu, tak první, co zkusí, je adresa vasweb.cz/wp-admin a začne zkoušet login „admin„.  Proto je vhodné změnit také toto uživatelské jméno (pokud ho používáte). Standardně to nejde. Jsou ale tři způsoby, jak to provést:

  1. Vytvořte si nový administrátorský účet a „admin“ odstraňte (po tom, co se přehlásíte).
  2. Změňte login „admin“ v phpMyAdminu.
  3. Použijte plugin (viz níže).

7. Vypněte možnost editace souborů v administraci

WordPress disponuje velice hezkou funkcí úpravy souborů přímo skrze administraci. V případě, že potřebujete upravit něco v šabloně nebo pluginu, tak se nemusíte ani připojovat na FTP. Prostě to upravíte ve webovém rozhraní. To je sice hezké a pohodlné, ale velice nebezpečné. Pokud se někdo přece jen dostane do administrace, tak lehce upraví některé zdrojové soubory a implementuje do nich škodlivý kód nebo nechtěnou reklamu.

Pokud tedy tuto funkci nepotřebujete, tak ji vypněte. Stačí v souboru wp-config.php přidat tento řádek:
define('DISALLOW_FILE_EDIT', true);

7. Změňte prefix databázových tabulek

Standardní prefix tabulek v databázi je „wp_“, s čímž také počítají útočníci v případě útoku typu SQL injection. Prefix je možné nastavit už během instalace. Pokud ho budete měnit na již běžícím webu, tak nejjednodušší způsob je použití pluginu (níže).

8. Omezte počet pokusů o přihlášení a používejte dvoufázovou verifikaci

Pokud někdo splete několikrát heslo, zablokujte ho. Ne napořád, ale třeba na hodinu. Tím budete chráněni proti útoku hrubou silou (brute force attack). Tuto funkci umí většina bezpečnostních pluginů – viz níže.

Co se týče dvoufázové verifikace, doporučuji plugin Google Authenticator nebo placenou verzi iThemes Security. Detailní instalaci a nastavení proberu v některém z dalších článků.

9. Povolte administraci jen pro konkrétní IP adresy

Tento krok vede ke značné nepohodlnosti. Nepřihlásíte se totiž z jiného místa, než které si povolíte. Zato je to jeden z nejúčinnějších způsobů, jak zabezpečit administrační rozhraní. Má smysl samozřejmě jen v případě, pokud se vám nemění IP adresa a nepotřebujete se přihlašovat z různých míst nebo z mobilu.

Administraci na konkrétní IP zabezpečíte přidáním .htaccess do složky wp-admin. Do něj vložte následující obsah (IP adresu nahraďte svojí).

Order Deny,Allow
Deny from all
Allow from 202.090.21.1

10. Používejte SSL pro přihlášení a administraci

Pokud máte možnost využít zabezpečený přenos SSL – tedy HTTPS, tak neváhejte. Například u ONEbitu je použití SSL certifikátu samozřejmost a nemusíte mít ani svůj vlastní.

Pro vynucení HTTPS pro přihlášení a administraci přidejte do wp-config.php tyto dva řádky:
define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);

Jak převést celý WordPress na HTTPS naleznete v článku zde.

Zabezpečení WordPressu pomocí pluginů

Existuje spousta dalších metod jak zvýšit bezpečnost vašeho WordPressu. S většinou vám pomůžou bezpečnostní pluginy. Zde uvádím 4 tipy na ty nejpopulárnější. Jelikož se funkce většinou překrývají, tak doporučuji používat jen jeden.

iThemes Security

ithemes_security

iThemes Security je obecně považován za nejlepší a nejrobustnější bezpečnostní plugin. Obsahuje přehledné a příjemné rozhraní, se kterým si poradí i méně zdatní webmasteři. Plugin eliminuje mnoho bezpečnostních rizik WordPressu a navíc přináší spoustu dalších sofistikovaných zabezpečení. Pokročilejší funkce, jako dvoufázová verifikace, malware scanner nebo logování uživatelů jsou ale dostupné až v placené verzi. Ta vyjde na $ 80 pro nekomerční užití a na $ 100 pro business.

All In One WP Security & Firewall

All In One WP Security & Firewall

Další z těch nejlepších bezpečnostních pluginů. Oproti iThemes Security má trochu složitější správu, ale výhoda je ta, že je kompletně zdarma. Navíc obsahuje hezký měřič bezpečnosti, který vám vizuálně ukáže, jak máte nebo nemáte web zabezpečený.

Sucuri Security

Sucuri Security

Sucuri inc. jsou jedni z největších expertů na webovou bezpečnost. Plugin kromě základního zabezpečení monitoruje také veškerou aktivitu vašich uživatelů, rozpozná abnormální změny ve zdrojových souborech a rozpozná malware.

Wordfence Security

Wordfence Security

Další z populárních bezpečnostních pluginů, který je zdarma. Wordfence kromě bezpečnosti obsahuje také pár funkcí na zvýšení výkonu vašeho webu. Pro optimalizaci rychlosti bych doporučil ale spíše jiný plugin. O tom ale v některém z dalších článků. Wordfence umí také porovnat vaše soubory s oficiálním serverem – čímž je schopný okamžitě zjistit napadení malwarem.

Nevíte si rady se zabezpečením WordPressu?

Nevadí, rád vám pomůžu. Váš web zabezpečím, optimalizuju a klidně se o něj budu i pravidelně starat.

Chci pomoci s mým webem [icon type=“fa fa-chevron-right“]

Užili jste si článek? Pokud ano, budu rád za sdílení.

Autor: Tomáš Ševčík

Tvorbou webů na WordPressu a vývojem webových aplikací se zabývám už přes 13 let. Zajímám se o veškeré webové trendy, samotný Wordpress a technologie a občas o tom něco napíšu. Více o mně 

A co vaše názory?

  1. Patrik 6. listopadu 2015

    Díky za článek!!! Spoustu užitečných věcí! :)

  2. Natálie Nedvědová 24. října 2017

    Užitečné rady, jak zabezpečit wordpress web jsem našla i tady: http://freshface.cz/zabezpeceni-wordpress-webu-behem-10-minut/

Napište svůj názor