V současnosti jsou běžným jevem útoky na weby, běžící na redakčním systému WordPress , a to i přes výborně zabezpečené jádro systému. V následujícím příspěvku vám nabízíme několik jednoduchých tipů, které dokážou hackerům výrazně zkomplikovat jejich nekalé úmysly.
Změňte uživatelské jméno „admin“
Jedná se o výchozí jméno při instalaci WordPress , které by nikdy nemělo zůstat ve své původní podobě. Hackeři tuto chybu využívají poměrně často a nejlepší obranou je vytvoření nového administrátorského účtu a odstranění výchozího.
Použijte silné heslo
Telefonní číslo, datum narození či dokonce své jméno: heslo v podobě jednoduché fráze poskytuje útočníkovi příležitost ovládnout vaše stránky během několika minut. Ideální variantou je použití výrazu, který není dostupný ve slovníku (standardní pomůcka při tzv. útoku hrubou silou) a kombinace písmen s číslicemi, například 1d34ln3-h3sl0 .
Upravte soubor .htaccess
Změny v .htaccess vyžadují alespoň minimální znalosti problematiky, v opačném případě hrozí nefunkčnost webu nebo jeho součástí, před jeho úpravou je proto vhodné provést zálohu původního souboru. Níže uvedený příklad ukazuje, jak lze jednoduchým, ale účinným způsobem zablokovat přístup do administračního panelu WordPress pro všechny s výjimkou definovaných IP adres. Takto upravený .htaccess vložíte do adresáře wp-admin .
AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx
Aktualizujte systém
Jedno kliknutí, kterým eliminujete potenciální riziko napadení vašich stránek přes skryté chyby systému. Vývojáři jádra systému průběžně odstraňují jeho chyby a obzvláště v případě bezpečnostních aktualizací byste neměli ani na okamžik zaváhat.
Nahrávejte pouze „čisté“ soubory
Ujistěte se, že soubory, které se chystáte nahrát na server neobsahují virus . Poskytovatel hostingu by vám za takový kousek rozhodně nepoděkoval a určitě netoužíte ani po „odměně“ ze strany Google v podobě červené stránky s upozorněním na nebezpečný obsah, je to tak?
Nainstalujte bezpečnostní modul
Velmi slušný servis ve své kategorii nabízí modul Better WP Security spojující mnoho bezpečnostních prvků a technik do jednoho balíku, BulletProof Security vám pomůže s ochranou proti útokům typu XSS, RFI, CRLF, CSRF, Base64, Code Injection a SQL Injection. Integrovaný firewall, skener virů a škodlivých URL či sledování dat v reálném čase nabízí jako komplexní řešení modul Wordfence Security .
Nepoužívejte zastaralé moduly
Použijete-li některý z modulů uložených v oficiálním depozitáři WordPress , najdete při každém delší dobu neaktualizovaném výrazné upozornění na tuto skutečnost (viz obrázek níže). Je jen na vás, jestli chcete riskovat případnou nekompatibilitu či bezpečnostní problém.
Pravidelně zálohujte
Pokud nechcete nic ponechat náhodě, tento krok byste určitě neměli ignorovat. Čím vzácnější je obsah vašeho webu, tím častěji byste měli zálohovat jeho obsah, obecné doporučení však zní „jednou denně“. Zaměřte se hlavně na MySQL databázi a použité téma, právě tyto dvě položky bývají nejčastějším terčem útoku (konkrétně soubor index.php a databázové tabulky wp-user a wp-usermeta ).
Pochopitelně, zmíněných 8 bodů není souhrnem všech dostupných možností pro zabezpečení WordPress . Možná znáte další způsoby, jak se bránit před napadením stránek a budeme rádi, když nám je v krátkosti popíšete prostřednictvím komentářů.
