Článek
Základní zabezpečení instalace naopak odradí velkou část automatizovaných útoků které se spoléhají na základní nastavení a umístění souborů.
Základní zabezpečení instalace
Výběr hostingu
Pokud máte možnost a na stránce vám záleží, volte kvalitní nesdílený hosting. Hosting by měl mít rozumné limity na běh PHP aplikací a měl by mít možnost růst podle vašich potřeb. Při výběru hostingu se též informujte zda je možné pro doménu zřídit SSL certifikát. Pokud jej není potřeba a klientské části tak jej zcela jistě můžete použít při přístupu do administrace.
Kroky při instalaci
Pokud si WordPress instalujete sami a od začátku, zaměřte se hlavně na změnu jména administrativního uživatele. Pokud útočník ví, že na systému existuje uživatel admin (výchozí nastavení), stačí už uhodnout jen heslo. Heslo volte složité, neobvyklé a pestré na znaky. Další krok je změna prefix databáze. Po úspěšné instalaci by bylo vhodné upravit ID administrátora a posunout adekvátně číslování tabulky wp-users.
Kroky po instalaci
Jak máme systém nainstalován je třeba odebrat nějaké soubory, které nejsou nyní třeba, ale mohou pomoci útočnikovi. Přidejte nějaký unikátní kus textu například install-342.php
Mezi takové soubory patří například:
- wp-admin/install.php
- wp-admin/install.php
- readme.html
Další důležité kroky jsou schování konkrétní verze vašeho WordPressu, nastavení unikátních klíčů pro generování session a podobně.
Určitě je vhodné přesunout na jiné umístění soubor wp-config.php, který obsahuje cilitvé informace.
Nastavení některých vlastností PHP a APACHE
Po základních krocích zabezpečení je ještě nutné zkontrolovat správné nastavení PHP jako je zobrazování chyb, možnost zasílat include, posílání verze PHP v hlavičce. Je možné že tyto vlastnosti nebudete moci měnit je to dáno především hostingovou společností. Další část zabezpečení spočívá v ošetření přístupu do složky wp-admin pomocí souboru .htaccess a to tak že buď kontroluje IP adresu což je více bezpečné nebo zobrazí informaci na zadání hesla méně bezpečné, ale automatizované útoky to odradí – nebo alespoň výrazně zpomalí.
Instalace pluginů a schémat
Po instalaci WordPressu je další krok většiny uživatelů stahování pluginů, které rozšiřují funkcionalitu a hledání nejlépe free šablon, aby jejich web vypadal hezky. Při této aktivitě dávejte přednost ověřeným pluginům, s velkým počtem stažení. Podívejte se na stránky vývojářů a jejich aktivitu. Co se týče schémat i zde platí berte od prověřených studií. Špatně napsaná šablona je velké bezpečnostní riziko. Pozor na šablony používající TimThumb knihovnu. Ta obecně není bezpečná a celá řada automatizovaných útoků toho zneužívá.
Průběžná údržba
Po úspěšné instalaci, zabezpečení a doladění pluginů a vzhledu je stále třeba se stránce po technické úrovni věnovat. Je třeba stránku zálohovat a to včetně databáze jedině tak je možné ji během chvíle obnovit do funkčního stavu. Ideální je pokud toto zajišťuje dodavatel vašich stránek v rámci nějakého provozního balíčku. Systém je třeba neustále aktualizovat a hlídat, že vše funguje jak má. V případě problémů s aktualizací balíčku je třeba problém řešit (například nová verze může vyžadovat jiné technologie). Je vhodné nad stránkou spouštět služby, které detekují nechtěný malware, který by mohl vaše stránky zneužívat.
Potřebujete provést zabezpečení WordPress a nevíte si rady? Kontaktujte nás.
