4 pluginy pro bezpečnější WordPress

O bezpečnosti WordPressubyla na Hosting.cz řeč. Dnes si ukážeme 4 pluginy, které učiní váš web na WordPressu neprůstřelným.

Pochopitelně je dobré dodržovat hlavní zásady, které výrazně zvýší bezpečnost webu postaveného na redakčním systému WordPress.

  • Aktualizujte WordPress na nejnovější verzi, jakmile je dostupná
  • Používejte silná hesla
  • Nastavte přísná pravidla pro zápis do souborů
  • Používejte administraci pouze přes SSL protokol
  • Vypněte funkce, které nepotřebujete
  • Používejte jen ověřené pluginy
  • Nepoužívejte správcovský účet „admin“
  • Přejmenujte tabulky v MySQL databáze
  • Uzamčení .htaccess
  • Zálohovat, zálohovat a zálohovat

Bezpečnost webu můžete ještě zvýšit, pokud použijete některý z níže uvedených pluginů.

1. BulletProof Security

Plugin BulletProof Security ochrání váš web před mnoha typy útoků: XSS, RFI, CRLF, CSRF, Base64, dále před záškodnickým vložením kódu do vašich stránek (Code Injection) a také před SQL Injection. Plugin automaticky nastaví soubory .htaccess, což omezí přístup do jednotlivých adresářů na vašem serveru. Navíc jsou ochráněny všechny důležité konfigurační soubory systému WordPress, především ty, které obsahují přístupové údaje, hesla a další citlivé informace (např. wp-config.php, bb-config.php, php.ini, install.php). K dispozici je také tzv. maintenance mode (HTTP 503), který si majitel webu může aktivovat jedním kliknutím v případě, že chce na webu dělat úpravy, které vyžadují dočasné snížení bezpečnosti.

Po instalaci pluginu je vhodné v administraci – nastavení pluginu zvolit všechny dostupné bezpečnostní režimy na záložce „Security Modes“. Vždy jde pouze o jediné kliknutí. Na záložce „Security Status“ si pak můžete zkontrolovat toto nastavení:

2. Secure WordPress

Podobným pluginem, který automaticky předchází nejčastějším bezpečnostním hrozbám systému WordPress, je Secure WordPress. K jeho funkcím patří:

  • Odstraní chybové hlášky na stránce s přihlášením.
  • Přidá soubory index.html a index.php do adresáře s pluginy.
  • Ve zdrojovém kódu stránek odstraní údaj o verzi WordPressu.
  • Skryje údaje o vyžadovaných updatech systému, pluginů a vzhledů-šablon před všemi uživateli, kteří nemají administrátorské oprávnění.
  • Blokuje všechny podezřelé požadavky, které by mohly ohrozit bezpečnost WordPress instalace.

Všechny uvedené funkce si může uživatel zvolit na stránce s nastavením pluginu.

3. WordPress Exploit Scanner

Tento plugin prohledává databázi systému WordPress a všechny soubory s cílem identifikovat příznaky zneužití webu. Plugin nezabrání útoky na váš WordPress, spíše vám řekne, jestli některý ze souborů nebyl neoprávněně změněn, případně jestli na webu neexistují soubory, které mohl útočník na váš web nahrát.

Může jít o nejrůznější skripty a soubory, které obsahují odkazy na spam například. Stejně tak mohou být tyto škodlivé informace obsaženy v databázi WordPressu, kde nemusí být na první pohled identifikovatelné. Pro šíření kódu útočníka byl a stále je často využíván systém pluginů WordPressu. A právě WP Exploit Scanner vám pomůže tyto podezřelé kousky kódu najít.

4. TimThumb Vulnerability Scanner

TimThumb je malý kousek kódu (a součást WordPressu), který v minulosti způsoboval majitelům webů na WordPressu nemalé problémy. Skript má za úkol zmenšovat a ořezávat obrázky, které uživatel WordPressu nahraje na svůj web. Bohužel TimThumb byl z pohledu bezpečnosti velkou hrozbou a oblíbeným terčem útočníků.

Proto byl vytvořen TimThumb Vulnerability Scanner, který testuje, jestli je skript TimThumb na vašem webu aktuální a jestli nepředstavuje bezpečnostní riziko. V případě, že nemáte na webu aktuální verzi, tak vám plugin nabídne aktualizaci na bezpečnou verzi.

Tolik tedy kvarteto užitečných pluginů, pokud to s bezpečností svého webu na WordPressu myslíte vážně. A to byste rozhodně měli 🙂


Uveřejněno

v

od

Značky: