Bezpečnost na WordPressu je téma obrovského významu pro každého majitele webových stránek. Pokud jste i vy majitelem nebo správcem webu, měl/a byste následujícím řádkům věnovat zvýšenou pozornost. Naučíme vás ty nejjednodušší praktiky, jak váš web před nevítanými hosty ochránit.
V dnešním dílu WordPress seriálu se podíváme na úplně základní kroky, které můžete k zabezpečení vašeho webu podniknout. Pomůže nám s tím odborník na bezpečnost na WordPressu – Vláďa Smitka, takže se nemusíte o účinnost těchto vychytávek bát. 😉
Předem upozorňujeme, že jde pouze o nezbytné minimum, které stačí úplným začátečníkům. Pokročilým uživatelům doporučujeme přečíst obsáhlejší článek na téma: 14 kroků, jak zabezpečit WordPress.
Základní kroky pro zabezpečení WordPressu
V následujících řádcích si ukážeme takzvaný „hrubý základ“ pro dostatečné zabezpečení webu poté, co si jej instalujete. Předpokládejme, že jste už ve fázi, kdy se nacházíte v administraci webu a máte aktivní SSL certifikát (HTTPS). Jak na jeho aktivaci si můžete připomenout v našem druhém dílu.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
1. Nastavte si opravdu silné heslo pro administrátorský účet
Nejčastějším způsobem, jakým hackeři napadají weby, bývá prolomení hesla. To můžete útočníkovi ztížit pouhým použitím opravdu silných a jedinečných hesel, unikátních pro každý účet na webu. Hesla by měla být dostatečně dlouhá a obsahovat kombinace různých znaků.
Heslo, které získáte během instalace, můžete kdykoliv změnit přímo v administraci webu v detailu Uživatelského účtu.
Fajn tip od Vládi: Pokud máte na webu více uživatelů, tak jim nastavte takové role, které opravdu potřebují. Rozhodně ne každý musí být admin. Pokud nějaká role svými možnostmi nedostačuje, lze její práva upravit například pomocí pluginu User Role Editor. Přidejte role nové a nebo si přizpůsobte jejich schopnosti podle vlastních potřeb. Uživatelům můžete přiřadit i více rolí současně.
Silné heslo se však nevztahuje jen na administrátorské rozhraní WordPressu, ale také na ostatní účty:
- na FTP, FTPS a u virtuálních serverů (VPS) na SFTP
- do databáze webu,
- k hostingu WordPressu,
- … i do všech e-mailových schránek, které používají stejné doménové jméno jako je na vašem webu.
S vygenerováním opravdu neprůstřelných hesel vám pomohou i různí správci hesel jako je například 1Password, Bitwarden nebo Microsoft Authenticator, který má v sobě nově i password manager.
Výhodou správců hesel je to, že si stačí zapamatovat jen jedno silné a bezpečné heslo ke správci hesel – o zbytek bude postaráno.
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Mimochodem, na blogu o tom, jak spravovat a hlídat svá hesla, píšeme super článek.
2. Nezapomeňte na pravidelné aktualizace WordPressu, jeho pluginů a šablon
WordPress je open source systém (otevřený software), který je pravidelně udržovaný a aktualizovaný. A právě aktualizace jsou pro bezpečnost a stabilitu vašeho WordPress webu zásadní. Web jednoduše řečeno udržují “v kondici”. Často totiž obsahují různé záplaty pro bezchybný chod webu.
Fajn tip od nás: Mimochodem, v rámci našeho WordPress hostingu hlídáme aktualizace týkající se WordPressu za vás. 😉
Je tedy dobré se vždy ujistit, že “střeva” vašeho WordPressu, nainstalované pluginy a šablony jsou v aktuální verzi.
Výhodou je, že WordPress vás na dostupné aktualizace vždy upozorní. Ty nové najdete vždy v levém panelu pod Nástěnkou (Dashboard) v Aktualizace:
Úplným začátečníkům však doporučujeme ponechat automatické aktualizace vždy vypnuté. Například u aktualizace builderů je lepší, když o updatu víte předem. Bez zálohy by totiž některé větší aktualizace mohly způsobit na webu paseku.
Vláďa Smitka, profík přes bezpečnost webů na WordPressu, zároveň doporučuje:
„Je důležité mít alespoň nějakou kontrolu a vědět, že když je jakýkoliv update dostupný, měli bychom vlézt do administrace a nějak to pořešit. Pro kontrolu doporučuju plugin WP Updates Notifier. Momentálně je sice delší dobu bez updatů, což by ale u tak jednoduchého pluginu neměl být problém. Další variantou je využití systému pro hromadnou správu, což ocení ti, kdo mají webů více.”
Jak řešíme zálohování u nás ve Váš Hosting?
Asi nemusíme nutnost zálohování složitě vysvětlovat. Je to jednoduché. Když se cokoliv na vašem webu pokazí, je dobré mít kam sáhnout a data zase obnovit. Na virtuálních serverech (VPS) řeší zálohy sám uživatel, jednoduše řečeno, nás se týká jen to, co se pokazí na fyzickém serveru, ale aby byly data krytá, to už si řeší uživatel po své ose.
Pokud však nevíte, jak na to a nebo se tím zabývat nechcete, můžete zálohu nechat na nás.
U nás máte možnost zálohovat denně nebo týdně (do fyzicky oddělené serverovny, která je v Německu). U zálohy si může každý uživatel přesně specifikovat, jaké složky či domény si přeje zálohovat. To znamená, že se nezálohuje úplně celé VPS a nemusíte tak počítat s prostorem navíc nutným pro systém nebo jiná data.
Pokud se chcete dozvědět víc, například, jaké možnosti nabízíme, mrkněte na náš článek Jak je to se zálohami.
Jak lze řešit zálohování ve WordPressu
Pluginů na zálohování je v repozitáři WordPressu spousta, stačí je pouze otestovat a vybrat si ten pravý. Některé jsou zdarma, jiné jsou za měsíční nebo jednorázový poplatek. Vždy však dbejte na to, aby měly dostatek aktivních instalací a zároveň byly pravidelně aktualizované.
My doporučujeme:
- UpdraftPlus – Jeden z nejoblíbenějších pluginů, který má placenou i verzi zdarma, která toho umí dost. Zálohuje přes 2 miliony stránek.
- BackupBuddy – Nejoblíbenější prémiový plugin. Cena 99 USD za jednu licenci. V něm si jednoduše nastavíte automatické zálohy, které můžete ukládat na Dropbox, FTP nebo i na e-mail.
- BackWPup – Další řešení, které má placený i free plán a zálohuje více jak 600 tisíc stránek na WordPressu.
Podrobněji se o možnostech zálohování na WordPressu rozepisujeme v našem dalším bezpečnostním článku pro pokročilejší uživatele.
3. Omezte počet pokusů o přihlášení
Omezení pokusů o přihlášení je další z řady základních způsobů, jakým web ochránit. Jde o to, že právě několikanásobný pokus o přihlášení často značí stejný způsob, jakým útočník zkouší různé verze hesel, kterými se snaží na web dostat.
Existuje mnoho bezpečnostních pluginů, které tuto funkci nabízejí v základu. Jedním z nich je například plugin WordFence. Ten umí spoustu dalších nezbytných vychytávek týkající se přihlašování:
- Dvoufaktorovou autentizaci.
- Přehled pokusů o přihlášení.
- Zablokování konkrétních IP adres, ze kterých se někdo přihlašuje.
- Nebo například zasílá upozornění, pokud je na webu podezřelý provoz.
- Dělá tzv. antimalware scan a umí rozpoznat pozměněné soubory – což jednodušší pluginy nedělají.
- Pokrývá i ochranu proti běžným útokům.
- Pro pokročilejší: Důležitá funkce je také zablokování přístupu k souboru xmlrpc.php, Což bývá další cestou, jakou útočník může zkoušet hádat hesla a ovládat váš web.
- Ovšem to nejzásadnější na něm je to, že funguje jako tzv. Web Application Firewall a brání pokusům o zneužívání bezpečnostních “děr”. Což je tím nejlepším důkazem, že za jeho vývojem stojí opravdu zkušený tým.
Vláďa Smitka, mimo velké bezpečnostní pluginy jako je právě WordFence, doporučuje i použití BBQ Firewall.
Fajn tip od nás: Další možností je nastavit si funkční administraci (nebo login do ní) jen a pouze v případě, že jste přihlášení vzdáleně z VPN. To znamená, že v momentě, kdy se odhlásíte, vaše stránka jakoby “spadne”, nezobrazí se, a tím pádem na ní nikdo nemůže nic dělat. Podobně to řeší i kapitáni z podpalubí Freela.
Umí toho ale mnohem víc. Jeho jednoduchým nastavením vás provede právě Vláďa Smitka, v následujícím videu:
Další alternativy k WordFence:
Nebo placená služba Sucuri, která filtruje provoz ještě než se dostane k webu.
4. Zvažte využití dvoufaktorové autentizace (2FA)
Aktivací dvoufaktorové autentizace, laicky řečeno, vložíte další bezpečnostní krok (vrstvu) v procesu přihlašování na web. V praxi to vypadá tak, že vás další zařízení (nejčastěji váš mobilní telefon) vyzve, abyste zadali kód, kterým potvrdíte, že jde skutečně o vás, kdo se na web přihlašuje.
2FA můžete využít i v našich nástrojích → VPS Centru a Zákaznickém Centru.
5. Zabraňte SPAMu
Mnoho spamových komentářů obsahuje škodlivé odkazy v naději, že přimějí vaše návštěvníky k zadání svých osobních údajů. Což je jen menší část. Většina z nich je SEO spam, který se snaží získat z komentářů zpětné odkazy pro posílení například některé škodlivé kampaně. A světe div se, pořád se najdou tací, co se nechají nachytat. Existují dva kroky, které byste měli realizovat:
1. Zařaďte mezi první instalované pluginy i ty, díky kterým se vám SPAM vyhne obloukem. Vybírat můžete například z:
- WP Armour – automatická ochrana proti spamu pro kontaktní formuláře.
- Email Encoder – plugin, který nebrání přímo spamu v komentářích, ale snaží se na webu zakódovat e-maily a telefony, aby je nenašli harvestovací boti a nedali je do spamových databází.
- Akismet – automaticky kontroluje všechny komentáře a odfiltruje ty, které vypadají jako spam. Je jeden ze základních pluginů, které jsou instalované v administraci webu automaticky po instalaci WordPressu.
2. Vypněte si komentáře, které jsou v defaultu WordPressu povolené. (Nastavení > Nastavení komentářů > Základní nastavení)
3. A pro jistotu zakažte i avatary. Služba Gravatar ve WordPressu může totiž prozradit skutečný e-mail uživatelů webu i komentujících.
Vše podrobně vysvětlujeme v dalším dílu seriálu o základním nastavení po instalaci.
Tak a to je pro dnešek všechno. Pokud jste došli až sem, můžete se za profíky přes bezpečnost považovat i vy. Jste totiž dostatečně připravení na jakoukoliv hrozbu, která by váš web mohla potkat. Nechceme ale nic přivolávat. Nicméně, jsme si víc než jistí, že pokud budete náš bezpečnostní návod následovat, nemáte se čeho bát.
Pokud vás téma našeho WordPress seriálu baví, mrkněte i na naše další články: