WordPress – způsoby zabezpečení webové stránky

Systém správy obsahu WordPress (ang. CMS) je bezpochyby nejoblíbenější aplikací používanou ke spouštění webových stránek. Vzhledem ke své popularitě je stejně oblíbený u hackerů, kteří na základě tohoto systému často ovládají nezabezpečené nebo zastaralé webové stránky.

Níže uvádíme doporučené postupy, které vám doporučujeme použít ke zvýšení úrovně zabezpečení webové stránky založené na základě systému WordPress.

Osvědčené postupy zvyšující zabezpečení ve WordPress

1. Pamatujte na aktualizace WordPress a aktualizace pluginů a motivů! Toto je nejdůležitější pravidlo, pokud ho nebudete dodržovat, můžete zapomenout o všech dalších doporučeních.Společně s verzí WordPress 3.7 vývojáři aplikace implementovali mechanismus automatické aktualizace. Tato funkce provádí aktualizace systému WordPress bez vaší intervence ihned, jakmile výrobce zveřejní aktualizace pro uživatele.
   
2. Změňte výchozí prefix wp_ pro tabulky v databázi. Při instalaci WordPress můžete změnit výchozí prefix na vlastní. Po instalaci je také možné změnit již stávající prefix. Jestliže chcete provést změnu, můžete k tomu použít nástroj phpMyAdmin. Po přihlášení do databáze vyberte všechny tabulky, vyberte možnost „Změnit preifx tabulky“ a zadejte nový prefix, který chcete nastavit pro tabulky WordPress.Změna názvu prefixu tabulky vyžaduje také aktualizaci položek ve dvou tabulkách WordPress: xltw4_options a xltw4_usermeta. Doporučujeme použít následující příkazy k hledání záznamů se starým prefixem tabulky, který budeme měnit:pro tabulku prefix_options:

   SELECT * Z `xltw4_options` WHERE` option_name` LIKE '% wp_%';

   pro tabulku prefix_usermeta:

   SELECT * Z `xltw4_usermeta` WHERE` meta_key` LIKE '% wp_%';

   Jako výsledek vytvoření dotazu se zobrazí seznam řádků, ve kterém by měl být starý prefix tabulky ‚wp_‘ nahrazen novým, v našem případě ‚xltw4_‘.

   Nezapomeňte! Po změně prefixu tabulky v databázi aktualizujte prefix v souboru wp-config.php. Jinak se stránka přestane zobrazovat.

   Po nastavení jedinečného prefixu pro databázi (nejlépe náhodný řetězec) bude náš web méně citlivý na automatické útoky SQL Injection.

3. Změna ID a přihlášení hlavního správce. U identifikačního čísla je vhodné zadat velké množství číslic. Problém změny výchozího přihlášení „admin“ nemusí být zvlášť důležitý (zejména pokud se řídíme všemi našimi dalšími doporučeními), ale pro klid duše, je lepší jej nepoužívat. Jak změnit uživatelské jméno / přihlašovací jméno a heslo ve WordPressu?ID administrátora a přihlašovací ůdaje můžete změnit pomocí phpMyAdmin (připojením k databázi, ve které byl WordPress nainstalován). Poté můžete změnit uživatelská data (ID a přihlášení) v tabulce xxx_users. Jak se přihlásit do databáze MySQL pomocí phpMyAdmin?
   
   DŮLEŽITÉ! Po změně ID uživatele je také nutné provést tyto změny (nastavení NOVÉHO ID) v tabulce xxx_usersmet.
4. Omezte přístup k / wp-admin / pomocí .htaccess (přístup k administračnímu panelu WordPress pouze pro konkrétní IP adresy). Další informace o omezení přístupu na stránky naleznete zde. Chcete-li omezit přístup k jedné IP adrese , vložte do svého souboru .htaccess následující kód:

   AuthName "Example Access Control"
   AuthType Basic
   order deny,allow
   deny from all
   allow from 212.85.96.1

   DŮLEŽITÉ! Soubor .htaccess s takovým obsahem je nutné umístit do adresáře / wp-admin /. Místo „212.85.96.1“ zadejte svou stálou IP adresu. Pokud si nejste jisti, zda vám váš poskytovatel internetových služeb poskytl trvalou IP adresu, obraťte se na něj a tyto informace si ověřte.
5. Změňte přihlašovací adresu na backend WordPress. Skripty, které útočí na stránky postavené na WordPress se vždy snaží získat přístup ke stejné struktuře adres (např. / Wp-content /, / wp-admin / atd.). Dobrým řešením je změna adresy pomocí které se přihlašujete do panelu WordPress, aby bylo zkouška převzetí účtu obtížnější. Doporučujeme plugin WPS Hide Login – po instalaci nastavíte novou přihlašovací adresu, za lomítkem … toť vše!
   
   Nezapomeňte – plugin začne fungovat okamžitě po uložení změn v nastavení, a proto při dalším přihlášení do panelu WordPress zadejte novou koncovou adresu za lomítkem.
6. Povolte přihlášení pomocí e-mailové adresy Na mnoho webů se místo přihlašovacího jména přihlásíte zadáním e-mailové adresy. Proč tuto možnost ve WordPress nepoužívat? Pomocí pluginu WP Email Login povolíte nutnost poskytnutí e-mailové adresy při přihlášení do WordPress. WordPress – přihlášovací okno – Přihlaste se na web pomocí své e-mailové adresy.
7. Pokud nepoužíváte editor souborů motivů a pluginů v WordPress – vypněte ho! Pomocí administrátorského panelu WP můžete zakázat všem správcům provádět změny souborů motivů a pluginů. V této situaci budou moci provádět změny v souborech pouze lidé s přístupem k FTP serveru. K provedení postačí pouze přidat do souboru wp-config.php následující řádek:

   define ('DISALLOW_FILE_EDIT', true);

   Takto snížíte riziko vložení škodlivého kódu lidmi, kteří mají neautorizovaný přístup k administračnímu panelu WordPress na webu.

8. Vypněte funkci registrace uživatelů. Pokud nemáte v úmyslu povolit registraci účtů na vašem webu, doporučujeme vám zcela vypnout možnost registrace v nastavení WordPress (Nastavení -> Obecná nastavení -> Členství).
9. Nastavte dvoufázové ověřování (2FA). Dvoufázové ověření (2FA) je přidáním druhého kroku v procesu přihlášení WordPress. Kromě něčeho, co si pamatujete (heslo), bude systém také vyžadovat něco, co máte vždy u sebe (smartphone). Díky tomu, i když někdo bude znát vaše heslo, nebude se moci k WordPress přihlásit bez přístupu k Vašemu smartphonu.Ke spuštění dvoufázového ověření ve WordPress, je nutné nainstalovat příslušný plugin (např. Two Factor Authentication) a nainstalovat aplikaci Google Authenticator do Android nebo iOS smartphonu. Po přihlášení do WordPress a instalaci pluginu Two Factor Authentication se budete moci spojit s aplikací Google Authenticator, která ve smartphonu vygeneruje kódy potřebné pro přihlášení.
10. Další bezpečnostní pluginy. Na webu najdete další pluginy WordPress, které zvyšují zabezpečení WordPress. Shields, Sucuri, WordFence a iThemes Security jsou bezpochyby nejoblíbenější.Každý z výše uvedených pluginů vám umožní snadno zabezpečit instalaci WordPressu a nabídne funkce mezi které patří: změna prefixu tabulek v databázi, změna hlavního ID uživatele, blokování útoků BruteForce, blokování útoků XSS, skrytí verzí WordPress, sledování změn souborů na serveru a upozornění administrátora při zjištění změn, automatické zálohování webu (nejčastěji v placených verzích)
    
    Který plugin nainstalovat? Názory na účinnost výše uvedených pluginů mezi uživateli WordPress jsou poděleny. Najdeme stejný počet hlasů PRO a PROTI instalaci těchto pluginů. Rozhodnutí o tom, který vyberete však necháváme na Vás.
11. Provádějte pravidelné zálohy (backup dat). Data na všech serverech IONOS jsou cyklicky archivována (každou noc). Archivace zálohovaných dat se provádí bodovým způsobem v konkrétních časech během noci. Z tohoto důvodu se vyplatí mít možnost zálohování kdykoli (např. ihned po provedení důležitých změn na webu).K tomu můžete použít populární plugin: Duplicator, což je pokročilý a snadno použitelný nástroj pro zálohování. Díky tomu budete moci v krizové situaci obnovit svůj WordPress, pokud web přestane fungovat.
12. Odstraňování nepotřebných pluginů a motivů. Odstraňte software, který nepoužíváte, protože takový nevyužitý plugin nebo motiv bez aktualizace může sloužit jako cíl pro budoucí útoky.Doporučujeme instalovat pluginy a šablony pouze ze spolehlivých zdrojů! Oficiální repozitář je spolehlivým místem ke stažení pluginů a motivů pro WordPress. Rozšíření, která se tam dostanou, projdou před sdílením procesem ověření, který mimo jiné zahrnuje kontrolu na přítomnost škodlivého kódu. Každý den úložiště používá tisíce uživatelů, kteří rychle zachytí a nahlásí jakékoli problémy.
13. Povolte podporu protokolu HTTPS: // (SSL certifikát). SSL certifikáty jsou již vyžadovány pro většinu webových stránek. Zvyšování úrovně zabezpečení dat uložených na webu, dat odesílaných zákazníky (kontaktní formuláře, nákupní košíky v internetových obchodech) a konečně – větší spolehlivost webu pro návštěvníky i vyhledávače (např. Google).Objednejte si certifikát SSL ještě dnes. Postarejte se o bezpečnost svého webu, e-mailu a uživatelských dat. Zaregistrujte SSL v IONOS a ovládejte všechny služby z jednoho Zákaznického Panelu. Klikněte a přejděte do nabídky a objednejte si SSL certifikát.Dokonce i autoři WordPressu oficiálně komunikují nutnost instalace SSL certifikátů na webové stránky založené na WordPress (viz: V roce 2017 WordPress pouze s SSL certifikátem).
    Pokud je SSL certifikát na vašem serveru již nainstalován, povolte jej ve WordPress. Tato operace směřuje k zadání správné adresy (https: // namísto http: //) v nastavení aplikace (Nastavení -> Obecné)
    Dodatečně je vhodné do souboru .htaccess v kořenovém adresáři WordPress přidat záznam viz. níže:

    RewriteEngine on
    RewriteCond %{HTTPS} !=on [NC]
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

14. 14. Používejte dlouhá zabezpečená přístupová hesla (včetně administračního panelu WordPress a FTP serveru) a používejte aktuální antivirový software,např. Kaspersky.Pokud používáte snadno napadnutelná hesla, žádné zabezpečení nebude účinné!
    Shrnutí – nezapomeňte kontrolovat svůj web! Většina škodlivých skriptů zaměřených na webové stránky založené na WordPressu nemá za cíl zničit tento web. Obvykle ke stránkám připojují kódy, které odesílají spam poštu nebo přesměrovávají návštěvníky na jiné URL adresy (mohou tak načíst škodlivé stránky do skrytého rámce iframe). Uživatelé webových stránek si nemusí být vůbec vědomi toho, že na jejich webové stránky byly naneseny škodlivé skripty.