Zabezpečení WordPressu

wordpress-zabezpeceniVzhledem k popularitě opensourcového CMS WordPress ze strany uživatelů a tím pádem i hackerů je zcela nezbytné mít svou instalaci alespoň přiměřeně zabezpečenou a vždy v nejaktuálnější verzi.

Druhé zmíněné je velice důležité, neboť po vydání opravné verze, která řeší libovolný bezpečnostní problém, je opravdu velice snadné zjistit kde byl problém a jak jej zneužít na nezaktualizovaných instalacích.

Základní zabezpečení instalace naopak odradí velkou část automatizovaných útoků které se spoléhají na základní nastavení a umístění souborů.

Základní zabezpečení instalace

Výběr hostingu

Pokud máte možnost a na stránce vám záleží, volte kvalitní nesdílený hosting. Hosting by měl mít rozumné limity na běh PHP aplikací a měl by mít možnost růst podle vašich potřeb. Při výběru hostingu se též informujte zda je možné pro doménu zřídit SSL certifikát. Pokud jej není potřeba a klientské části tak jej zcela jistě můžete použít při přístupu do administrace.

Kroky při instalaci

Pokud si WordPress instalujete sami a od začátku, zaměřte se hlavně na změnu jména administrativního uživatele. Pokud útočník ví, že na systému existuje uživatel admin (výchozí nastavení), stačí už uhodnout jen heslo. Heslo volte složité, neobvyklé a pestré na znaky. Další krok je změna prefix databáze. Po úspěšné instalaci by bylo vhodné upravit ID administrátora a posunout adekvátně číslování tabulky wp-users.

Kroky po instalaci

Jak máme systém nainstalován je trřeba odebrat nějaké soubory, které nejsou nyní třeba ale mohou pomoci útočnikovi. Přidejte nějaký unikátní kus textu například install-342.php

Mezi takové soubory patří například:

  • wp-admin/install.php
  • wp-admin/upgrade.php
  • readme.html

Další důležité kroky jsou schování konkrétní verze vašeho WordPressu, nastavení unikátních klíčů pro generování session a pod ..  užitečný nástroj je například zde .

Určitě je vhodné přesunout na jiné umístění soubor wp-config.php, který obsahuje cilitvé informace. Schovat

Nastavení některých vlastností PHP a APACHE

Po základních krocích zabezpečení je ještě nutné zkontrolovat správné nastavení PHP jako je zobrazování chyb, možnost zasílat include, posílání verze PHP v hlavičce. Je možné že tyto vlastnosti nebudete moci měnit je to dáno především hostingovou společností. Další část zabezpečení spočívá v ošetření přístupu do složky wp-admin pomocí souboru .htaccess a to tak že buď kontroluje IP adresu což je více bezpečné nebo zobrazí informaci na zadání hesla méně bezpečné, ale automatizované útoky to odradí – nebo alespoň výrazně zpomalí.

Instalace pluginů a schémat

Po instalaci WordPressu je další krok většiny uživatelů stahování pluginů, které rozšiřují funkcionalitu a hledání nejlépe free šablon, aby jejich web vypadal hezky. Při této aktivitě dávejte přednost ověřeným pluginům, s velkým počtem stažení. Podívejte se na stránky vývojářů a jejich aktivitu. Co se týče schémat i zde platí berte od prověřených studií. Špatně napsaná šablona je velké bezpečnostní riziko. Pozor na šablony používající TimThumb knihovnu. Ta obecně není bezpečná a celá řada automatizovaných útoků toho zneužívá.

Průběžná údržba

Po úspěšné instalaci, zabezpečení a doladění pluginů a vzhledu je stále třeba se stránce po technické úrovni věnovat. Je třeba stránku zálohovat a to včetně databáze jedině tak je možné ji během chvíle obnovit do funkčního stavu. Ideální je pokud toto zajišťuje dodavatel vašich stránek v rámci nějakého provozního balíčku.  Systém je třeba neustále aktualizovat a hlídat, že vše funguje jak má. V případě problémů s aktualizací balíčku je třeba problém řešit (například nová verze může vyžadovat jiné technologie). Je vhodné nad stránkou spouštět služby, které detekují nechtěný malware, který by mohl vaše stránky zneužívat.

Potřebujete provést zabezpečení WordPress a nevíte si rady? Kontaktujte nás.

Pomohl vám tento článek? Sdílejte jej dále.
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

3 komentáře u „Zabezpečení WordPressu

  1. Vašek

    Bezpečnost svého blogu neradno podceňovat. Zejména útoky s pokusem prolomit heslo uživatele „admin“. Už mám taky jiné jméno a instalován plugin Wordfence.

  2. Marcel Krupička

    Bezpečnost WordPress mě zatím moc nepřesvědčila. Za rok provozu stránek jsem řešil několik problémů, komentářový spam apod. Asi to chce si s instalací trochu pohrát. Vyzkouším díky.

Komentáře nejsou povoleny.