O WordPressu již byla na Hosting.cz řeč několikrát. Prvně jsme vám radili, jak jednoduše, rychle a za dobrou cenu pořídit webové stránky. Pak jsme vám nabídli 7 kroků, jak vyladit web běžící na systému WordPress. No a dnes si do třetice řekneme, jak o všechno úsilí nepřijít vinou záškodnického útočníka. Ano, takových útočníků a útoků je dnes na webu hodně.
Co tedy dělat, aby se naše práce, náš web postavený na WordPressu, nestal předmětem útoku hackera?
1. Aktualizujte WordPress na nejnovější verzi, jakmile je dostupná
Vývojáři a uživatelé WordPressu často nacházejí bezpečnostní chyby v systému. Může jít o drobnosti nebo i závažnější problémy. Nové verze systému WordPress se často vydávají proto, aby se „záplatovaly“ bezpečnostní rizika a chyby. Je tedy dobré sledovat vývoj a jakmile je vydána nová verze, tak aktualizovat!
2. Používejte silná hesla
Velká část útoků využívá toho, že hesla administrátora či ostatních uživatelů WordPressu jsou lehce uhádnutelná. Nepoužívejte jako heslo své křestní jméno, ani příjmení, ani jejich kombinaci. Ideální heslo by měla být nesmyslná směsice znaků, tedy písmen malých i velkých a čísel, s délkou 8 a více znaků.
3. Nastavte přísná pravidla pro zápis do souborů
Všechny soubory by měly být vlastněny vaším uživatelským účtem a pouze tento účet by měl mít právo zápisu do všech souborů. To platí i o tzv. root adresáři WordPressu, nikdo jiný by neměl mít právo zápisu k těmto souborům. Výjimkou je pouze .htaccess soubor, který by měl být editovatelný WordPressem. Nastavení dalších složek vypadá následovně:
- Složky /wp-admin/ a /wp-includes/ by měly být zapisovatelné pouze daným uživatelským účtem.
- Adresář /wp-content/ je určen k zápisu kýmkoliv, protože obsahuje soubory, které do systému nahrávají uživatelé – správci a editoři.
- Podadresář /wp-content/themes/ by měl být zapisovatelný pouze v rámci skupiny, aby bylo možné editovat vzhledy přímo z WordPressu.
- Další podadresář /wp-content/plugins/ by měl být zapisovatelný pouze uživatelem.
- Na sdíleném hostingu, což bude nejčastější případ, je pak dobré zabezpečit soubor wp-config.php nastavením 750, takže se nikdo nedostane k vašim přístupovým údajům k databázi. Navíc tento konfigurační soubor můžete přesunout o úroveň výše v adresářové struktuře.
4. Používejte administraci pouze přes SSL protokol
Od verze 2.6 lze využívat zabezpečený protokol SSL k přístupu do správy WordPressu.
5. Vypněte funkce, které nepotřebujete
Typickým příkladem je vypnutí registrace uživatelů, kterou nepotřebujete v mnoha případech. Pokud jste jedinou osobou, která se o web či blog stará, není třeba povolovat registraci dalším uživatelům.
6. Pozor na pluginy
Používejte pouze pluginy, které skutečně potřebujete. Všechny pluginy udržujte v nejnovější dostupné verzi. Prověřte pluginy, které vyžadují právo zápisu.
7. Nepoužívejte správcovský účet „admin“
Uživatel „admin“ je přednastaven WordPressem jako hlavní správce systému, od verze 3.0 si však můžete toto uživatelské jméno nastavit sami podle vlastního přání. V předchozích verzích systému je možné toto uživatelské jméno změnit, resp. smazat uživatele „admin“ poté, co založíte nového uživatele s právem administrátora.
8. Přejmenujte tabulky v MySQL databáze
WordPress používá u jména databáze předponu „wp_“. Je dobré změnit tuto předponu na vlastní kombinaci znaků, čímž předejdete určitému procentu útoků na vaši databázi.
9. Uzamčení .htaccess
S využitím souboru .htaccess můžete kompletně „uzamknout“ adresář /wp-admin/ a povolit přístup do administrace pouze vybraným uživatelům z daných IP adres. Soubor .htaccess vypadá následovně:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx
Stačí namísto xxx.xxx.xxx.xxx vložit vaši IP adresu, případně přidat další řádky s „allow from“. Pochopitelně tento trik je dobrý pouze v případě, že váš WordPress má jednoho nebo několik málo správců a editorů, kteří na web či blog přispívají.
10. Zálohovat, zálohovat a zálohovat
Ať se děje, co se děje, je dobré zálohovat. Pravidelně zálohovat je třeba data z FTP serveru stejně jako databázi.
Máte nějaké další tipy? Napište je prosím do komentářů.
Komentáře
4 komentáře: „Desatero pro bezpečnější WordPress“
Konkrétně pluginy pro zabezpečení najdete i zde http://wordpress.ovx.cz/tagy/zabezpeceni/
[…] jméno při instalaci. Tato možnost je velice dobrým počinem, který výrazně zvýší bezpečnost instalací systému WordPress. Pamatujte prosím na to a nezadávejte při instalaci uživatele „admin“, zvolte si prostě […]
[…] Desatero pro bezpečnější WordPress […]
Užitečné rady, jak zabezpečit wordpress web jsem našla i tady: http://freshface.cz/zabezpeceni-wordpress-webu-behem-10-minut/