Návod jak zvýšit bezpečnost vaší WordPress stránky, abyste byli chráněni před škodlivým softwarem a hackery. Zabezpečte si váš web.
Věděli jste, že každý den je hacknuto až 30 000 webstránek? Bezpečnost webové stránky je důležitá pro každého jejího majitele. WordPress je nejrozšířenější CMS systém na světě. Proto je častým terčem útoků hackerů.
Bezpečnost WordPress webu
Dobře zabezpečená stránka je důležitá také pro podnikání. Pokud hackeři ukradnou informace a hesla a nainstalují malware, ten se může dostat přes vaši stránku až k vašim zákazníkům.
Projděme si jednotlivé kroky, které byste měli dodržovat, aby vaše stránka byla i zůstala bezpečná.
Výběr bezpečné šablony
Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.
? Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.
Výber bezpečného hostingu
Pro zabezpečení WordPress stránky je důležitý výběr kvalitního hostingu . Hosting by měl mít SSL certifikát a zaručovat 99,9% dostupnost . Kromě toho se přesvědčte, že administrace hostingu, který jste si vybrali, je zašifrována HTTPS protokolem.
Používejte hosting, který je vhodný pro WordPress stránky. Takový hosting nabízí zálohu vaší stránky, automatické WordPress aktualizace a podporuje bezpečnost vaší stránky. Nezanedbatelnou výhodou je kvalitní technická podpora. Více se tématu výběru hostingu věnuji v mém článku Jak si vybrat nejlepší WordPress hosting.
? Tip: Pro rychlý WooCommerce web je klíčové vybrat správný hosting. Doporučuji vsadit na ověřenou kvalitu: WebSupport , Webglobe-Yegon nebo Wedos .
Nastavte zálohovanie dát
Veškerá data je třeba zálohovat. Nepoužívejte k tomu jen váš hosting. Zálohovat je třeba ještě na jednom místě. Můžete využít Dropbox nebo Amazon. Nastavte si systém pro zálohování celé databáze, všech pluginů i použité šablony. Po zálohování ověřte funkčnost zálohy. Nevynechejte tento krok.
Ujistěte se, že lze zálohu použít. Zálohovat je nutno minimálně jednou denně, nebo v pravidelných časových intervalech. Zálohování lze nastavit i ve speciálním pluginu pro zálohování nebo v bezpečnostním pluginu.
? Tip: já k zálohování používám plugin UpdraftPlus . Sepsal jsem také přesný návod jak si přes tento plugin udělat automatické zálohování
Nainstalujte si bezpečnostní plugin
Zabezpečení WordPress stránky vyžaduje také instalaci bezpečnostního pluginu. Před běžnými typy útoků vás ochrání oblíbený plugin Sucuri . Účinně chrání webovou stránku před malware. Po jeho instalaci si projděte všemi potřebnými nastaveními.
? Tip: Podobnými pluginy jsou volně dostupný Wordfence Security nebo prémiový iThemes Security . Výhodou posledního je automatická záloha stránky, kterou plugin vytvoří v případě, že je vaše stránka napadena.
Pravidelně aktualizujte stránku
Pravidelná aktualizace šablony i všech pluginů je důležitá součást zabezpečení WordPress stránky. WordPress vývojáři neustále pracují na zlepšování šablon a pluginů. Jejich aktualizace mohou obsahovat odstranění některých bezpečnostních chyb .
Tento krok proveďte manuálně. V administrativním menu přejděte do sekce Nástěnka a aktualizace. Zkontrolujte, které pluginy potřebují aktualizaci a aktualizujte je.
Nepoužívejte zastaralé pluginy
Při výběru vhodných pluginů pro vaši internetovou stránku používejte pouze ty, které byly v poslední době aktualizovány. Ty, které nebyly aktualizovány více než dva roky jistě nepoužívejte. Riskujete nejen bezpečnost stránky ale také kompatibilitu pluginu s vaší šablonou.
Používejte silná hesla
Důležitým bodem zabezpečení WordPress webu je používání silných hesel . Taková hesla byste měli používat pro svůj vlastní přístup na stránku i pro přístup jiných uživatelů. Nejčastějším útokem hackerů je totiž právě krádež hesla. Na vás je, abyste jim tento krok ztížili. Silná hesla používejte také pro hosting, e-mailovou adresu a FTP účty.
Nepoužívejte všude stejná hesla, hesla by neměla obsahovat vaše jméno, jednoduchý sled čísel a podobně. Zvolte kombinaci velkých a malých písmen, číslic a znaků. Nejlepší je takové heslo, které nelze zapamatovat.
K tomu, abyste si je zapamatovali vy sami, používejte password manager . Password manager vám pomůže vytvořit silná hesla a všechna je uloží. Přístup k těmto heslům zabezpečíte jediným heslem.
Pro zvýšení bezpečnosti WordPress webu je také důležité, abyste dávali přístup do jeho administrace jiné osobě pouze, je-li to nezbytné. Důležité je také, aby každý, kdo takový přístup dostane rozuměl tomu, jaké má při tvorbě a udržování stránky kompetence.
SFTP šifrování
Pro bezpečnost WordPress webu je důležité, abyste při úpravě stránky posílali údaje na FTP šifrovaně. Používejte SFTP šifrování.
Zajistěte si SSL certifikát
SSL (Secure Socket Layer) certifikát zajistí vaši bezpečnou, šifrovanou komunikaci se servery. Tato komunikace se týká také vašeho hesla. Bez SSL certifikátu se posílá vaše heslo po webu nezašifrované.
Odstraňte přebytečný obsah na serveru
Obsah, který je umístěn v prostoru webu (FTP) představuje riziko. Rizikem mohou být například zálohy celé stánky v adresáři wp-content/backup, ve kterém jsou uložena nastavení stránky a obsah databází. Přebytečné a rizikové soubory je nutno z prostoru webu smazat.
Změňte prefix
Během instalace WordPress šablony se vás WordPress zeptá, jaký prefix chcete použít. WordPress používá výchozí prefix. Pokud vyberete výchozí prefix wp_ tak usnadníte práci hackerům. Doporučuji ho proto upravit na cokoli jiného.
Změna prefixu po instalaci (pouze pro pokročilé)
Před tím, než změnu provedete, zálohujte celou databázi stránky. Potom otevřete soubor wp-config.php. Naleznete jej v adresáři WordPress root.
Výchozí nastavení $table_prefix = 'wp_'; změňte například na: $table_prefix = 'newprefix_';
Pokud jste tuto úpravu provedli během instalace WordPress , nemusíte už dělat nic. Pokud jste již měli WordPress nainstalován, potřebujete aktualizovat i databázi. Můžete to udělat pomocí bezpečnostního pluginu iThemes Security, který to udělá za vás nebo přes PHPMyAdmin:
RENAME table `wp_links` TO `newprefix_links`;
Tento příkaz je také třeba spustit pro každou databázovou tabulku i tabulku pluginů. Pokud používáte cPanel WordPress hosting, najděte phpMyAdmin a změňte pojmenování každé tabulky. Tento proces může být poněkud zdlouhavý. Můžete si jej usnadnit použitím těchto příkazů:
RENAME table `wp_commentmeta` TO `newprefix_commentmeta`; RENAME table `wp_comments` TO `newprefix_comments`; RENAME table `wp_links` TO `newprefix_links`; RENAME table `wp_options` TO `newprefix_options`; RENAME table `wp_postmeta` TO `newprefix_postmeta`; RENAME table `wp_posts` TO `newprefix_posts`; RENAME table `wp_terms` TO `newprefix_terms`; RENAME table `wp_termmeta` TO `newprefix_termmeta`; RENAME table `wp_term_relationships` TO `newprefix_term_relationships`; RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`; RENAME table `wp_usermeta` TO `newprefix_usermeta`; RENAME table `wp_users` TO `newprefix_users`;
Můžete přidat další řádky pro další pluginy, které mají ve vaší databázi své tabulky.
Pro dokončení procesu je třeba vyhledat jakékoli další soubory, které používají prefix wp_. Tento proces vám usnadní tento příkaz:
SELECT * FROM `newprefix_options` WHERE `option_name` LIKE ' %wp_% '
Vyhledané názvy změňte.
Povolte aplikaci Firewall (WAF)
Pro lepší zabezpečení WordPress stránky používejte Firewall (WAF), která blokuje malware ještě před tím, než dorazí k vaší stránce. K tomuto účelu doporučuji používat Sucuri . Ten garantuje ochranu před malwarem.
Nepoužívejte uživatelské jméno „admin“
Pro bezpečnost WordPress webu je třeba změnit základní uživatelské jméno. Vytvořte nový administrátorský účet a odstraňte výchozí. Udělejte tak hned při instalaci WordPress šablony.
Zvolte takové uživatelské jméno, které nelze uhodnout. Pokud již máte nainstalovaný WordPress a používáte jméno „admin“, lze to změnit. Vytvořte nového uživatele a původního vymažte. Řešením je také použití pluginu ke změně uživatelského jména.
Vypněte editaci šablon a pluginů
WordPress obsahuje zabudovanou funkci editace kódu, která umožňuje v administrativním menu upravovat šablonu a pluginy . Aby se tato možnost nedostala do nesprávných rukou, je vhodné ji vypnout. Učiníte tak přidáním následujícího kódu do wp-config.php file:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Znefunkčněte PHP file (pokročilé)
V některých WordPress adresářích je třeba znefunkčnit soubor PHP. Jako například ve /wp-content/uploads/ . Uděláte to v textovém editoru. Můžete použít Poznámkový blok. Vložte do něj tento kód:
deny from all
V následujícím kroku jej uložte jako .htaccess a nahrajte do souborů /wp-content/uploads/ .
Toto zajistí i Hardening feature v pluginu Sucuri .
Úprava souboru .htaccess (pokročilé)
Zabezpečení WordPress webu zvýší i úprava souboru .htaccess . Pokud nemáte alespoň minimální znalosti programování, tento krok vynechejte. Před úpravou si uložte zálohu vaší stránky. Následujícím postupem umožníte přístup do administračního panelu pouze definovaným IP adresám. Pro ostatní bude přístup zablokován.
AuthType Basic order deny,allow deny from all # vasa domaca IP adresa allow from xxx.xxx.xxx.xxx # vasa IP adresa v práci allow from xxx.xxx.xxx.xxx
Upravený .htaccess vložte do adresáře wp-admin.
Překontrolujte soubory, které nahráváte na stránku
Na webovou stránku nahrávejte pouze soubory, které neobsahují viry. Pravidelně si kontrolujte počítač antivirovým programem.
Zabezpečte přihlašování do administrativního menu
WordPress umožňuje neomezený počet pokusů o přihlášení do administrativního menu. Pro zabezpečení přihlašování můžete nastavit maximální dovolené množství chyb. Například tři chybná přihlášení.
Kromě toho můžete nastavit časový úsek pro chybná přihlášení – tři přihlášení za tři minuty. Pokud se někdo přihlásí nesprávně i počtvrté, zablokujete jeho IP adresu na několik minut. Udělejte tak nainstalováním pluginu Login LockDown . Po jeho aktivaci přejděte do Nastavení»Login LockDown.
Používejte dvoufázové ověření
Jedním ze spolehlivých způsobů zabezpečení WordPress stránky je také dvoufázové ověření. Umožní vám to chránit přístup na stránku pomocí hesla a pomocí telefonu.
Skryjte přihlašovací stránku
Zabezpečení WordPress webu zvýší i ukrytí přihlašovací stránky. WordPress používá pro přihlášení do administrace adresu www.název-domény.cz/wp-admin nebo www.název-domény.cz/wp-login.php. Můžete ji přejmenovat pomocí pluginu WPS Hide Login .
Pozor na komentářový SPAM
V komentářovém SPAMu se často nacházejí odkazy na stránky, na kterých se nachází malware. Pokud nechcete zakázat všechny komentáře, potřebujete je kontrolovat. Nejznámějším nástrojem pro kontrolu komentářů je plugin Akismet , který vyhodnocuje komentáře a filtruje je. Akismet je nainstalován v každé WordPress šabloně. V menu šablony vyhledejte Akismet a zaškrtněte políčko „aktivovat“.
Pozor: plugin akismet je bezplatný pouze pro nekomerční webové stránky.
Nepřihlašujte se na nezabezpečené wifi síti
Pro bezpečnost WordPress stránky je důležité i to, abyste k přihlašování nepoužívali nezabezpečenou síť. Hacker, který se nachází ve stejné síti, může zjistit vaše přihlašovací údaje nebo cookie pro trvalé přihlášení.
Přesunutí wp-config.php
Pro zvýšení zabezpečení WordPress webu doporučuji přesunout soubor wp-config.php do adresáře výše. Tento krok proveďte, pouze pokud to nenaruší funkčnost vaší stránky a máte-li na hostingu pouze jednu doménu. V tomto souboru máte uložená data jako název databáze, heslo a podobně. Přesunutím jej ukryjete před hackery.
Nastavení práv
Dalším krokem pro zvýšení bezpečnosti WordPress stránky je nastavení práv přístupu ke složkám a souborům. Pro stránku byste měli používat toto nastavení práv:
Všechny adresáře — 755 nebo 750
Všechny soubory — 644 nebo 640
wp-config.php — 600
Vypněte zasílání PHP zpráv o chybách
Také chybová zpráva může zobrazit cestu vaším souborem. Můžete jej ale zakázat. Do souboru wp-config.php přidejte:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);Vypněte XML-RPC Pingback
Funkce XML-RPC Pingback umožňuje připojení stránky na trackbacky a pingbacky. Představuje však i možnost pro hackery. Zabezpečení XML-RPC Pingback poskytuje například plugin iThemes Security .
Odstranění čísla verze WordPress u
Ve zdrojovém kódu WordPress u je umístěn meta tag s používanou verzí WordPress u. Tuto informaci mohou zneužít hackeři. Můžete ji jednoduše ukrýt použitím pluginu Meta Generator and Version Info Remover nebo přidáním kódu do souboru functions.php , který naleznete ve vaší šabloně:
remove_action('wp_head', 'wp_generator');Nastavte automatické odhlášení nečinných uživatelů
Někteří uživatelé odcházejí od obrazovky na delší dobu, ačkoli jsou stále přihlášeni. Pro zvýšení zabezpečení vašeho WordPress webu můžete nastavit jejich automatické odhlášení. Možná jste si všimli, že podobná nastavení používají i banky. Je to proto, že během nepřítomnosti přihlášeného uživatele mohou hackeři provést změny na jejich heslech nebo účtech.
Automatické odhlášení neaktivních uživatelů můžete provést přes plugin Inactive Logout .
Shrnutí tipů pro bezpečnost WordPress
Za nejdůležitější považuji výběr kvalitního hostingu . Hosting by měl mít SSL certifikát . Doporučuji vsadit na ověřenou kvalitu: WebSupport , Webglobe-Yegon nebo Wedos .
Dále nezapomeňte používat silná hesla a nainstalovat/nastavit si některý z ověřených bezpečnostních pluginů – Sucuri , Wordfence Security nebo iThemes Security .
Was this article helpful for you? Support me by sharing, please. 👍
