Jak zabezpečit WordPress? Toť problematika, která se neodmyslitelně dotýká úplně každého, kdo provozuje webové stránky s tímto redakčním systémem. Jde tu totiž nejenom o bezpečnost majitelů stránek, ale rovněž návštěvníků (potažmo zákazníků), kteří se na webu pohybují. Ve hře jsou třeba přístupové údaje k účtům, informace o uživatelích, anebo kontrola nad webem. Bezpečnosti se tedy vyplatí věnovat náležitou pozornost.
Nejprve se podíváme na tři hlavní důvody, proč nepodceňovat bezpečnost. Dále Vám zprostředkujeme 12 tipů jak na WordPress bezpečnost. S jejich pomocí můžete účinně zlepšit bezpečnost WordPressu hned teď. Vyhnete se tak zbytečným patáliím, souvisejícím s ledabylým zabezpečením webu.
(WordPress) bezpečnost především!
12 tipů na účinné zvýšení zabezpečení WordPressu
1) Zkontrolujte zranitelnost WordPressu
Základním krokem, který můžete učinit hned teď, je otestování zranitelnosti WordPressu. K tomu slouží online nástroj WordPress Security Scanner. Základní test je zdarma. U pokročilejší verze se musíte stát předplatitelem. Sledována je například bezpečnost aktuálně používané verze WordPressu a šablony. Pozornost je zaměřena rovněž na prostředí Vašeho poskytovatele webhostingu, včetně serveru, na kterém je web uložen. Ve výsledku získáte základní přehled o tom, zda jsou Vaše webové stránky z obecného pohledu v pořádku. V ideálním případě získají ohodnocení: „PASSED“, tj. projdou tímto testem úspěšně. Dobrou službu Vám v tomto směru prokáže také další online nástroj Sucuri SiteCheck Scanner.
2) Pravidelně WordPress aktualizujte
Bude to znít možná jako klišé, ale pravidelná aktualizace WordPressu, jeho pluginů a šablon, je alfou a omegou bezpečnosti Vašeho webu. Proto na ni pravidelně myslete a aktualizujte na nejnovější verzi hned jak to bude možné. Podstata je vskutku prostá. Každá aktualizace totiž „záplatuje“ bezpečnostní zranitelnosti a další nedostatky předchozích verzí. Lépe Vás tedy ochrání před potenciálními útoky zaměřenými na Váš web. Na přítomnost nových aktualizací Vás WordPress vždy upozorní přímo v administraci. Doporučujeme Vám taktéž používat co nejmenší množství pluginů (i nepoužívaných šablon). Pokud už pluginy používáte, instalujte si jenom ty od důvěryhodných dodavatelů a s pozitivním hodnocením. Lépe se tak ochráníte před tím, že si s pluginy zanesete na web „nezvané hosty“.
3) Silné heslo a neobvyklé uživatelské jméno = základ zabezpečení WordPressu
Čím více neobvyklé přihlašovací jméno máte, tím menší je pravděpodobnost, že ho někdo „uhodne“. Tou nejméně bezpečnou variantou je jeho výchozí podoba, tj. „Admin“. Zkuste být v tomto směru více kreativní. Tedy zvolte např. snadno zapamatovatelné, ale velmi neobvyklé jméno (třeba „SprávceKája“, „EvženLovecŽen“ apod.) Ujistěte se také, že Vaše heslo je dostatečně složité. Ideálně by mělo obsahovat kombinaci malých a velkých písmen, číslic i speciálních znaků, jako např. zavináč. Doporučujeme také pravidelnou změnu hesla, ideálně každé tři měsíce. Podobná pravidla platí samozřejmě i pro FTP účty, uživatelské účty u poskytovatele webhostingu, databáze, emailové účty ad. Dobře si také rozmyslete, komu poskytujete přístup k webovým stránkám. Pokud pracujete v týmu, měli byste mít jasno v tom, komu náleží administrátorská práva k WordPressu a komu nikoliv (tj. uživatelské role). Zkrátka: bezpečnost především!
4) Limitujte počet přihlašovacích pokusů
Může se stát, že se kdosi pokusí o to, aby se dostal do Vašeho WordPress účtu uhodnutím hesla. O tom, jak tomu předejít, jsme se bavili v předchozím bodě (č. 3). Bezpečnost webu se však dá podpořit ještě více. Limitem počtu přihlašovacích pokusů. K tomu slouží různé pluginy, například: Limit Login Attempts Reloaded. Jednou z jeho hlavních schopností je omezení počtu opakovaných pokusů o přihlášení pro každou IP adresu. Rovněž Vás dovede o nezvyklém chování na webu informovat e-mailem. K tomuto pluginu také najdete různé alternativy, mj. Login LockDown. Každý může vybírat dle svého a podpořit bezpečnost svojí i návštěvníků webovek.
5) Nepodceňujte roli kvalitního poskytovatele webhostingu, stejně jako nutnost protokolu HTTPS
Kvalitní poskytovatel webhostingu je zásadním prvkem v budování bezpečných webových stránek bez škodlivého softwaru a narušitelů. Velmi tedy záleží na tom, jakého si vyberete. Kvalitní poskytovatelé, jako například Wedos či Blueboard, anebo Český hosting, přijímají důležitá opatření k ochraně jejich serverů před běžnými riziky online světa. U sdílených hostingů (tzv. multihostingů) však můžete narazit na související rizika. Vzhledem k tomu, že prostor na serveru je sdílen s ostatními uživateli, může při nákaze jednoho webu snadněji dojít k ohrožení webů „sousedících“. Ideální variantou se tedy zdá být používání spravovaných hostingů specializovaných na redakční systém WordPress. Ty obvykle nabízejí pravidelnou aktualizaci WordPressu, jeho zálohování, včetně pokročilejší konfigurace zabezpečení apod. Kvalitní poskytovatelé hostingových služeb nabízejí rovněž SSL certifikáty čili fungování stránek pod protokolem HTTPS. Ten pravděpodobně znáte z Vašeho webového prohlížeče. Pokud je webová stránka chráněna tímto protokolem, objeví se obvykle zelený zámeček v adresním řádku. V zásadě je díky němu chráněno spojení mezi serverem a návštěvníky stránek. Minimalizuje se tím riziko odposlouchávání, podvržení falešného obsahu apod.
50% SLEVA NA WEBHOSTING NOLIMIT – při objednávání použijte kód: WN232OVSAN ????
6) Pravidelně zálohujte WordPress
Zálohování, resp. obnova ze zálohy je „první pomocí“ při jakémkoli napadení, či dokonce poškození stránek. Máte tak jistotu, že v případě potíží své stránky budete moci rychle obnovit. Existuje celá řada bezplatných i placených řešení zálohování WordPressu. Osobně Vám můžeme doporučit plugin All-in-One WP Migration, který je určen i pro uživatele bez hlubších technických znalostí. Výhodou je např. to, že umožňuje ukládat zálohy na vzdálená úložiště, jako např. Dropbox, FTP, Box apod. To je důležité právě s ohledem na jistotu, že se k zálohovanému obsahu v případě napadení webu či serveru opravdu dostanete. Zkušenější uživatelé mohou zkusit i plugin Duplicator, který v zálohování WordPressu rovněž patří mezi hojně používané a osvědčené.
7) Nainstalujte si do WordPressu kvalitní bezpečnostní plugin
Oblast, která hraje v zabezpečení WordPressu klíčovou roli je právě volba vhodného bezpečnostního pluginu. Ten Vám pomůže v monitorování, ale i ochraně webových stránek. Sníží se tím pravděpodobnost, že WordPress bude napaden, anebo dokonce přijdete o svůj drahocenný a dlouhodobě tvořený obsah. Pluginů existuje celá řada a je na Vás, který zvolíte. Představíme Vám alespoň dva z těch úplně nejlepších. Prvním je All In One WP Security and Firewall. Komplexní, snadno použitelný a dlouhodobě prověřený bezpečnostní plugin. Pomůže Vám trvale snižovat riziko útoků, a to díky implementaci nejnovějších metod bezpečnosti právě pro WordPress. Dalším pluginem je Sucuri Security. Společnost Sucuri je celosvětovou autoritou v oblasti bezpečnosti webových stránek. Jinak tomu není ani u systému WordPress. Plugin je zdarma pro všechny uživatele. Pro ty je pak cenným pomocníkem v efektivní ochraně webových stránek prostřednictvím nejnovějších trendů v bezpečnosti.
8) Nezapomínejte na antivirovou ochranu Vašeho počítače
Abyste si byli opravdu jistí, že děláte pro bezpečnost WordPressu maximum, potřebujete kromě kvalitního bezpečnostního pluginu (viz předchozí bod 7) také kvalitní antivirový progam, který nepřetržitě chrání Váš počítač. Pokud se Vám totiž do PC dostanou škodlivé programy, můžete skrze ně útočníkům velmi snadno poskytnout přístupové údaje (nejen) k Vašemu WordPressu. Stejně tak jsou v ohrožení další cenná data, která by měla patřit pouze Vám. Antivirových programů je na trhu celá řada, počínaje ESETem, konče Avastem. Je zcela na Vašich preferencích, který si zvolíte. Obecně však platí pravidlo: Lepší mít aspoň nějaký antirový program, než-li vůbec žádný.
9) Změňte výchozí předponu WordPressu v databázi
Pokročilejší uživatelé vědí, že před instalací WordPressu je možné zvolit konkrétní předponu, kterou budou mít jednotlivé databázové tabulky vztahující se k WordPressu. Výchozí tvar této předpony je „wp_„. Pokud ji takto zanecháte, usnadníte tím práci potenciálním hackerům, kteří ji snadno odhadnou. Proto ji vřele doporučujeme změnit hned na začátku, tj. v průběhu instalačního procesu WordPressu. Zároveň upozorňujeme na to, že je vhodné, aby tento krok dělali výhradně ti, kteří se považují za zkušenější uživatele.
10) Zakažte indexování a prohlížení adresářů
Prohlížení adresářů mohou využívat potenciální škůdci třeba k tomu, aby si prohlédli, zda jsou na Vašich webových stránkách k dispozici soubory se známými zranitelnostmi. Skrze ty pak mohou snadněji převzít kontrolu nad webem. Nejsou to ale jenom hackeři, koho obsah adresářů může zajímat. Je to rovněž konkurence nebo různí zvědavci z online světa. Díky volnému přístupu k adresářům si snadno mohou kopírovat obrázky, zjistit strukturu adresářů, jejich obsah, anebo třeba „vylovit“ spoustu zajímavých informací. U řady poskytovatelů webhostingu je přístup k adresářům zakázán již ve výchozím stavu. Pokud jste však zkušenějšími uživateli, kteří tento problém řeší, můžete podniknout tyto kroky:
- Připojte se k Vašemu webu skrze FTP.
- V kořenovém adresáři najděte soubor .htaccess.
- Ten stáhněte do počítače a na jeho konec vložte řádek s frází: „Options -Indexes„
- Nezapomeňte změny uložit a soubor nahrát zpátky do adresáře přes FTP.
11) Nechávejte automaticky odhlásit všechny nečinné uživatele
Přihlášení uživatelé mohou být potenciálním terčem nekalých záměrů. Hackeři totiž někdy záměrně útočí na přihlášené účty, které jsou nečinné. Pokud se jim to podaří, nebývá už problémem změnit heslo nebo učinit různé změny v rámci redakčního systému, ať už viditelné či neviditelné. Dalším faktem je, že spousta uživatelů nechává účty přihlášené a od počítače na různě dlouhou dobu odcházejí. To je menším rizikem v domácím prostředí. Ovšem na veřejnosti je to riziko velmi vysoké. Jiste si vybavíte např. funkci internetového bankovnictví, kdy je uživatel po delší době nečinnosti automaticky odhlášen. Důvod je jednoduchý: BEZPEČNOST. WordPress tuto možnost nabízí také, a to ve formě k tomu určených pluginů. Jedním z nich je snadno použitelný plugin Inactive Logout, ve kterém si tuto funkcionalitu jednoduše nakonfigurujete (konfigurace pluginu je k dispozici v položce „Nastavení“, v levém menu sloupci administrace WordPressu). Existuje samozřejmě celá řada dalších pluginů, které tuto funkci dobře zastanou a můžete je vyzkoušet.
12) Přidejte na přihlašovací obrazovku WordPressu bezpečnostní otázky
Pokud přidáte na přihlašovací obrazovku Vaší WordPress administrace bezpečnostní otázky, „zpečetíte“ tím všechny výše zmíněné bezpečnostní kroky. Opět k tomuto účelu existují příslušné pluginy. Jedním z takových je např. WP Security Question. Po instalaci pluginu pak můžete konkrétní bezpečnostní otázky zadávat skrze položku „Nastavení“, nacházející se levém menu sloupci administrace WordPressu. Právě v ní je konfigurace pluginu umístěna.