fbpx Stiskněte "Enter" pro přeskočení obsahu

Zabezpečení redakčního systému WordPress

2

Vzhledem k rozšířenosti a oblíbenosti redakčního systému WordPress, se často potýkáme s problémy, které jsou způsobeny nedostatečným zabezpečením tohoto systému. Podle statistik, které uvádí w3techs.com, každý třetí web funguje na redakčním systému WordPress, což s sebou nese i množství útoků na tyto weby.

Ve většině případů se jedná o nedostatečné zabezpečení použitím nekvalitních pluginů, šablon a v neposlední řadě i chybou hostingu, na kterém jsou stránky uloženy. Jen malé procento je způsobenou slabými hesly.

 

Vždy aktualizovaný WordPress

Hlavním bezpečnostním pravidlem je mít aktualizovaný WordPress. V poslední době jsme se setkali s mnoha uživateli, kteří odkládali aktualizaci WordPressu na verzi 5.0. a vyšší . Důvodem bylo to, že od verze 5.0. je ve WordPressu nový editor Gutenberg a řadě uživatelům se nelíbí a proto tuto aktualizaci neprovedla.

S tím jsme Vám pomohli v jednom z našich předchozích článků s názvem „Jak se zbavit Gutenberga“ Pokud jste odkládali aktualizaci právě z tohoto důvodu, tak se podívejte na náš návod.

 

Pluginy

V případě, že chcete mít WordPress stránky hezky rozvržené a zabezpečené, tak jste se určitě setkali s nějakými pluginy. Podle statistik je 50% útoků směřováno právě na nekvalitní či zastaralé pluginy. Při instalaci a používání pluginů byste se měli řídit těmito základními pravidly:

 

Udržujte aktualizované pluginy

Spolehlivým způsobem, jak zabránit útokům směřovaným na pluginy, je zajistit, aby byly aktualizované. Aktualizace pluginů je důležitá nejen pro nové funkce, ale především i kvůli opravě známých chyb z předchozích verzí.

Aktualizovat pluginy můžete přímo přes administraci WordPressu. V menu Pluginy -> Přehled pluginů

Tímto jednoduchým způsobem můžete udržovat pluginy aktualizované a eliminujete tím útoky na zastaralé pluginy.

 

Vyhněte se neaktuálním pluginům

Při výběru pluginu je potřeba dbát i na to, zda je plugin vyvíjen a zda je kompatibilní s Vámi používanou verzí systému WordPress.

Zda je plugin vyvíjen naleznete přímo v administraci při vyhledání pluginu: Pluginy -> Instalace pluginů

Obecně nedoporučujeme používat pluginy, jejichž poslední aktualizace byla před více než 12ti měsíci. Dále pak není vhodné, abyste instalovali pluginy, které nejsou kompatibilní s verzí Vašeho WordPressu.

 

Použití pluginu Plugin Security Scanner

Pokud jste se rozhodli, že budete používat zastaralé a neaktuální pluginy, z nějakého důvodu, tak je pro Vás vhodné použití pluginu Plugin Security Scanner. Tento plugin po instalaci a aktivaci dokáže automaticky rozpoznat bezpečnostní díry Vámi používaných pluginů a oznámit Vám to může například emailem.

Nastavení notifikace emailem naleznete v menu Nastavení -> Plugin Security Scanner

Plugin zatím není v češtině, ale stačí zakliknout „Send an e-mail notification when vulnerable plugins are found?

Pokud plugin nalezne nějaký problém, tak Vám přijde email typu:

V tomto případě byla objevena v šabloně Newspaper Theme verze 9.2.2 možnost napadení přes XSS

 

Šablony

U šablon platí v podstatě stejná, nebo podobná pravidla, jako u pluginů. Šablony je potřeba mít aktualizované a vždy se vyvarovat použití šablon z neznámých zdrojů.

 

Aktualizované šablony

Tak jako pluginy, tak i šablony je potřeba mít vždy aktualizované. Aktualizaci šablon opět můžete snadno provést skrze administraci. V menu: Vzhled -> Šablony, nebo Nástěnka -> Aktualizace a oddíl šablony:

Nulled šablony

Termínem „Nulled šablony“ se obecně mohou označovat cracknuté/hacknuté šablony. Šablony, které ve svém zdrojovém kódu mohou mít ukryté scripty, které útočníkovi mohou dopomoci k získání kontroly nad Vaším WordPressem. Nutně se nemusí jednat pouze o šablony, které jsou ke stažení na pirátských stránkách, ale mohou být součástí i šablon zdarma.

Obecně platí, že ušetřením pár korun za nákup šablony, kterou si můžete stáhnout na pirátském serveru, se ve finále může naopak prodražit. Proto doporučujeme tyto šablony zásadně nestahovat!

Pojem „Nulled“ se nepoužívá pouze u šablon, ale i u pluginů a dalších scriptů.

 

Kontrola nainstalovaných šablon

Pokud už používáte nějakou neaktuální šablonu, free šablonu a nebo dokonce nulled, tak je vhodné tuto šablonu zkontrolovat a kontrolovat i v budoucnu. Pomocí pluginu Theme Authenticity Checker můžete tyto šablony zkontrolovat.

Po nainstalovaní a aktivaci si šablony můžete zkontrolovat. V menu Šablony -> TAC

Bezpečnostní pluginy

K výše uvedeným postupům doporučujeme i instalaci následujících bezpečnostních pluginů.

 

Wordfence Security – Firewall & Malware Scan

Nejpopulárnější bezpečnostní plugin pro WordPress. V současné době má více než 3mil. aktivních instalací.

Wordfence obsahuje firewall, mallware skener a funkce na zvýšení výkonu WordPresu. Wordfence dokáže porovnávat nainstalované soubory se soubory z repozitáře WordPressu a tím dokáže snadněji a rychleji odhalit mallware. Dokáže kontrolovat, zda jsou na Vašem webu známé chyby zabezpečení a upozorní Vás na jakékoli problémy. Upozorní Vás také na potenciální problémy zabezpečení, pokud byl plugin dlouho neaktualizován, nebo byl jeho vývoj ukončen.

Wordfence můžete nainstalovat přímo z administrace Pluginy -> Instalace pluginů a nebo si jej můžete stáhnout z oficiálních stránek WordPressu.

 

iThemes Security

Druhý nejpoužívanější bezpečnostní plugin. V současné době je nainstalován na více než 900tis webech.

iThemes Security po instalaci a aktivaci je potřeba ještě aktivovat s API klíčem, který Vám bude automaticky a zdarma odeslán na email po jeho nastavení.

Nastavení naleznete v menu Security -> Settings , kde stačí odkliknout Security Check

Toto nastavení Vám umožní aktivovat tyto funkce:

  • Banování uživatelů
  • Zálohy databáze
  • Lokální ochranu proti útoku hrubou silou
  • Síťovou ochranu proti útoku hrubou silou
  • Silná hesla
  • Základní úpravy WordPress

Po potvrzení je ještě potřeba potvrdit email a nechat si zaslat API klíč, který Vám následně příjde do emailu a více již nastavovat nemusíte.

iThemes Security můžete nainstalovat přímo z administrace Pluginy -> Instalace pluginů a nebo si jej můžete stáhnout z oficiálních stránek WordPressu.

 

All In One WP Security & Firewall

Třetí nejpoužívanější bezpečnostní plugin. V současné době je nainstalován na více než 700tis webech.

Základní bezpečnostní a firewallová pravidla jsou rozdělena na „základní“, „přechodné“ a „pokročilé“. Tímto způsobem můžete pravidla brány firewall postupně aplikovat, aniž byste porušili funkčnost webu. Bezpečnostní plugin All In One WordPress nezpomaluje vaše stránky a je 100% zdarma.

Výčet základních funkcí, které All In One WordPress nabízí:

  • Zjistí, zda existuje uživatelský účet, který má výchozí uživatelské jméno „admin“ a snadno nabídne změnu uživatelského jména na hodnotu dle vašeho výběru.
  • Zastavení vylistování uživatelů.
  • „Password strength tool“ umožní vygenerování velmi silných hesel a následné použití.
  • Ochrana před „Brute Force Login Attack“ pomocí funkce Login Lockdown. Uživatelé s určitou IP adresou nebo rozsahem, budou na základě nastavení zablokováni v systému na předem stanovenou dobu. U této funkce si můžete nastavit i notifikace a získat informaci, pokud se nějaká IP adresa zablokuje kvůli příliš mnoho pokusech o přihlášení.
  • Sledování / zobrazení neúspěšných pokusů o přihlášení, které zobrazují IP adresu uživatele, ID uživatele / uživatelské jméno a datum / čas neúspěšného pokusu o přihlášení.
  • Možnost automaticky uzamknout rozsahy IP adres, které se pokoušejí přihlásit s neplatným uživatelským jménem.
  • a mnoho dalších viz. popis na oficiálních stránkách.

All In One WP Security & Firewall můžete nainstalovat přímo z administrace Pluginy -> Instalace pluginů a nebo si jej můžete stáhnout z oficiálních stránek WordPressu.

Tento článek je jen výčet možných základních zabezpečovacích principů, jak WordPress ochránit. Další články na téma bezpečnosti WordPressu budou následovat. Odbornější články můžete naleznout na webu Wladass.net na stránce Zabezpečení WordPress.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *