Bezpečnost a ochrana - CMS WordPress
V tomto návodu si ukážeme, pár typů jak si nejlépe zabezpečit web před útoky a malwarem pomocí pluginů nebo souboru .htaccess.
1. Hosting
Nejprve než se pustíme do zabezpečení samotného webu, podnikneme několik různých kroků k zabezpečení svého webu prostřednictvím hostitele.
Správný hostitel
Správný hostitel by měl být proaktivní ne reaktivní.
Kvalitní hostitel navíc přidává další vrstvy zabezpečení a navíc výrazně zrychlí váš web.
Nainstalujte certifikát SSL
SSL certifikáty, známé jako Single Socket Layers, jsou potřeba v případě. když uživatelé zadávají soukromé údaje.
Silné heslo
Ať už se jedná o heslo k databázi, k FTP nebo vašemu admin účtu, je důležité aby heslo nebylo příliš krátké nebo jednoduché.
Doporučujeme heslo minimálně 8 znaků dlouhé, kombinaci malých, velkých písmen a číslic.
2. Nastavení WordPressu
Teď se pustíme do zabezpečení samotného webu.
Zní to jednoduše, ale tyto věci níže znamenají obrovský rozdíl mezi nezabezpečeným a zabezpečeným webem.
Skrytí administrační části
Adresář wp-admin obsahuje administrační část CMS WordPress. Je dobré mít tuto složku skrytou před útočníky.
Složku můžeme skrýt např. prostřednictvím pluginu WPS Hide Login.
Správné jméno uživatele
Pokud máte nyní administrátoský účet s uživatelským jménem admin, zvažte přejmenování. Uživatelské jméno "admin" je velmi snadné uhodnout a za každou cenu by se tomu mělo vyhnout.
Místo přihlášení pomocí uživatelského jména použijte svůj e-mail. Zatímco uživatelská jména lze snadno předvídat, e-mail je mnohem náročnější na rozeznání.
Aktualizujte WordPress
Nejjednodušší způsob, jak zabezpečit bezpečnost svého webu WordPress, je nastavení automatických aktualizací. Každá aktualizace obsahuje pokročilé funkce zabezpečení, což znamená, že váš web bude bezpečnější. Totéž platí pro šablony a pluginy.
3. Pokročilé zabezpečení WordPressu
Bezpečnostní pluginy
Protože je příliš časově náročné, ručně kontrolovat na svém webu malware a jiný škodlivý software, potřebujete způsob, jak tento proces automatizovat.
Bezpečnostní plugin to udělá za vás, takže nepotřebujete žádné další technické dovednosti. Sucuri a WordFence jsou skvělé možnosti. Na instalaci a nastavení zabezpečovacího pluginu se podíváme níže.
Skryjte číslo verze WordPressu
WordPress standardně zobrazuje číslo verze vašeho WordPressu. Může to ale také představovat obrovitý zdroj problémů; hackeři a roboti mohou skenovat web na blogy pomocí čísla té verze WordPressu, o které je známo, že je zranitelná, takže jste pak jejich snadným cílem. Abyste skryli číslo verze WordPressu, stačí, když do svého souboru functions.php přidáte tento kód:
add_filter( 'the_generator', '__return_null');
Zakažte procházení složek
Aby útočníci nemohli vidět, jaké soubory se na vašem hostingu nachází, můžete veřejné zobrazování obsahu složek zakázat. Tento krok doporučuje většina bezpečnostních odborníků.
Pro aktivaci stačí přidat jediný řádek do souboru .htaccess:
Options -Indexes
Vypněte chybové hlášení WordPressu
Pokud plugin nebo šablona nepracuje správně, WordPress zobrazí chybouvou hlášku, ta může poomoc s následnou opravou, protože zobrazí základní informace o chybě, včetně kompletně célé cesty k souboru, kterou můžou útočníci využít proti vám.
Ochránit se proti tomu můžete tím že v souboru wp-config.php přídáte následující kód:
error_reporting(0);@ini_set('display_errors', 0);
Zapněte dvoufázové ověření
Dvoufázové ověření (two-factor authentication) se rychle stává jedním z nejspolehlivějších způsobů, jak chránit online účty, a nejspolehlivější weby trvají na tom, aby je měli jejich uživatelé zapnuté. Přestože WordPress nemá v sobě dvoufázové ověření zabudované, na svém webu můžete dvoufázové ověření zapnout tak, že nainstalujete následující plugin: Google Authenticator
Instalace pluginu
Instalace různých pluginů je v celku jednoduchá a přináší toho hodně užitečného. Existují dva způsoby, jak konkrétní doplňkovou funkci, neboli plugin, na svém WordPressu zprovoznit:
1. Přímo z administrace
Instalaci najdete v administračním panelu > Pluginy(v menu na levé straně) > Instalace pluginů.
Zde si vyhledáme plugin, který chceme využívat na svém webu nebo si nějaký necháte doporučit.
Když máme vyhledaný, příslušný plugin tak ho stačí jen nainstalovat.
Po instalaci dostanete volbu plugin rovnou aktivovat.
2. Pomocí FTP klienta
U tohoto způsobu si najdeme plugin na webu WordPress.org nebo jej stáhněte z webu jeho autora. Soubory pluginu budou z největší pravděpodobností zabaleny v archivu (.zip). Rozbalte jej a vzniklý adresář nahrajte přes FTP do adresáře wp-content → plugins na vašem serveru.
V administraci pluginů (panel Pluginy v administraci) pak příslušnou doplňkovou funkci aktivujte.