OUR BLOG

18 Zář 2017

10 pravidel pro bezpečný WordPress

Provozujeme-li web na WordPressu, je třeba jako u kterékoliv jiné internetové aplikace dbát
jistých bezpečnostních pravidel, abychom web ubránili před útoky hackerů a škodlivého
malwaru. Podle magazínu Forbes je denně napadeno až 30 tisíc webových stránek. Tím spíše
bychom bezpečnost webu neměli podceňovat, chceme-li mít web funkční a v pořádku.
Pojďme se tedy podívat na několik postupů, které je nutné u WordPressu zajistit.

1. Změna výchozího názvu uživatele „admin“

Hlavní chybou, kterou zejména noví uživatelé WordPressu dělají je, že používají
výchozí název uživatele „admin“. Problém je v tom, že většina škodlivých crawlerů,
které automaticky prolézají webové stránky a snaží se do nich dostat, zkoušejí
prolomit uživatelské jméno a heslo a právě uživatelské jméno „admin“ je jejich
nejčastější volbou.
Naštěstí v novějších verzích WordPressu již při instalaci výchozí název uživatele
„admin“ nenajdeme a pole je prázdné, takže uživatele zadávají různorodější názvy
uživatelů. Název uživatele je dobré složit jak z malých a velkých písmen, tak i z čísel a
symbolů.
Skvělý pomocník na tvorbu dobře zapamatovatelných uživatelských jmen je převod
písmen do číselné podoby, takže např. z jména Jaroslav bychom dostali J4r0sl4v.
Číslice 4 zastupují písmena A a 0 zastupuje písmeno O. K tomu doplníme ještě symbol
libovolný symbol a máme dostatečně bezpečný název uživatele.

2. Dostatečně silné heslo do administrace WordPressu

U volby hesla můžeme aplikovat stejný způsob převodu písmen na čísla jako
v případě tvorby uživatelských jmen nebo můžeme využít některý z online generátorů
hesel, jako je např. passwordsgenerator.net.
V generátoru si pouze zvolíme délku hesla a typy znaků, jaké chceme v heslu použít a
funkce sama vygeneruje heslo v požadovaném formátu. Takto generovaná hesla jsou
velmi silná, jen jen se těžko pamatují.

3. Změna výchozího prefixu tabulek v MySQL databázi

Během instalace WordPressu se jako první zobrazí tabulka pro zadání názvu
databáze, názvu uživatele k databázi, hesla, názvu serveru a prefixu tabulek v MySQL
databázi. Pole prefixu je předvyplněno v podobě „wp_“ asi z toho důvodu, aby i méně
zkušenější uživatelé věděli, že prefix musí být ve formátu „nazevprefixu_“. Ovšem i
zkušenější uživatelé WordPressu toto pole nachází ve výchozím nastavení, tedy
v podobě „wp_“, a to je další velmi častou chybou v bezpečnosti WordPressu.
Škodliví crawleři se totiž nepokoušejí dostat jen do administrace webu, ale také do
samotné MySQL databáze, kde mohou napáchat ještě větší škody. V databázi se
ukládá veškerý obsah, který na webu máte a navíc jsou zde uloženy přístupové údaje
všech uživatelů WordPressu a případně také údaje o zákaznících, odběratelů

newsletterů a další citlivé informace. Databáze by proto měla být dostatečně
zabezpečena, aby nedošlo k jejímu zneužití. Název prexifu databáze stačí změnit na
libovolný název a je dobré používat také číslice. Příklad takového prefixu může být
„scar199_“.

4. Nastavení práv souborů

Po nainstalování WordPressu byste měli zkontrolovat přes FTP manažera práva u
svých složek a souborů. To slouží k zamezení úprav důležitých souborů z nežádoucích
stran.
Pomocí nastavení oprávnění můžete zvolit kdo bude mít jaký přístup k daných
složkám a souborům na FTP. Pokud si nevíte rady, můžete využít skvělého průvodce
nastavením oprávnění u souborů a složek.

5. Implementace bezpečnostních pluginů

Existuje mnoho plugin, placených i neplacených, které na pár kliknutí sami nastaví
skvělé bezpečnostní funkce. Bezpečnostní pluginy nám v tomto případě usnadňují
mnoho práce s manuálním zásahem do zdrojových souborů a databáze. Jejich výběr
by však měl být pečlivý, protože neověřené pluginy mohou web velmi nepříjemně
poškodit.
Je dobré si také rozmyslet, co pluginů budeme potřebovat a tomu bychom měli
přizpůsobit jejich složení. Ne všechny pluginy totiž je možné na webu použít
současně, neboť se nemusí navzájem snést. Některé pluginy dělají jen jednu věc a
jiné naopak v sobě obsahují větší množství bezpečnostních funkcí. Vždy bychom při
výběru pluginů měli hledět zejména na jejich kompatibilitu s používanou verzi
Wordpressu, hodnocení uživatelů a počet aktivních instalací, které daný plugin má.
Zde je přehled nejoblíbenějších bezpečnostních pluginů:

Pomocí pluginů bychom měli zajistit několik funkcí:

  • firewall, který web ubrání před útoky crawlerů a hackerů,
  • Změna výchozího názvu přihlašovací stránky /wp-login, která se stává
    nejčastějším terčem,
  • automatické blokování IP adres, které se opakované pokoušejí prolomit
    uživatelské jméno a heslo.

6. Pravidelné aktualizace

Wordpres je vyvíjen globální komunitou vývojářů, a proto jeho nové aktualizace
vycházejí velmi často. Vždy bychom měli zajistit, aby byl WordPress aktualizovaný.
Ovšem pozor na kompatibilitu používaných pluginů, které nemusí být s nejnovější
verzí WordPressu zatím ještě kompatibilní. V takovém případě je dobré s aktualizací
Wordpressu počkat až budou všechny vaše používané pluginy kompatibilní s novou
verzí WordPressu a teprve poté WordPress aktualizovat. Totéž platí u aktualizace
pluginů.

7. Používání ověřených pluginů a šablon

WordPress má výhodu v tom, že pro něj existuje velké pluginů a šablon. Pro zajištění
maximální bezpečnosti WordPressu bychom však měli využívat výhradně ověřené
doplňky. Nemusíme nutně využívat pouze placené pluginy a šablony, které bývají
často zaručeně kvalitní i díky stálé podpoře vývojářů. I spousta neplacených doplňku
bývá vysoce kvalitní, je ale nutné pečlivě ověřit jejich hodnocení mezi ostatními
uživateli.
Dobrým zdrojem neplacených pluginů a šablon je přímo oficální web WordPressu
wordpress.org, kde lze nalézt bohaté informace týkající se WordPressu.
Pro přehled dostupných bezplatných pluginů slouží sekce „Plugins“.
A bezplatné šablony najdeme v sekci „Themes“.

8. Automatické zálohování

Každému se může stát, že na web něco špatně upraví nebo omylem smaže. Pro
takové případy by měl být web dostatečně zálohován, aby bylo možné zálohy použít
k obnovení zničených nebo ztracených dat.
Vůbec nejlepší jsou automatické zálohy, které se provádějí ve stejný den a hodinu.
Zálohovat bychom měli jak data na FTP, čili zdrojové soubory Worpdressu, tak celou
MySQL databázi. Skvělým pomocníkem pro automatické zálohování je např.
UpdraftPlus Backup and Restoration
UpgraftPlus umí automatické i manuální zálohování databáze i zdrojových souborů
na širokou skálu uložišť: FTP, Dropbox, Google Drive, Rackspace, Amazone Drive a
další. Navíc dokáže také jednoduchou obnovu dat ze zvolené zálohy.

Aleš

aleskyr_admin

Digitální nadšenec, začínající rádoby spisovatel, pacifista, spíše vinař, fanoušek vědy, rekreační sportovec, ateista, příležitostný pankáč a bývalý hráč World of Warcraft.

Napsat odpověď nebo komentář