Každý, kdo provozuje webové stránky postavené na systému WordPress, by měl řešit jeho zabezpečení. Můžete několik let tvořit projekt a pak vám jej napadne hacker a je po webu. Nechci vás strašit, ale na jednom webu jsem toto nedávno řešil a snad vyřešil, tak zde je seznam doporučení, co by měl udělat každý webmaster, aby měl klidné spaní.
Plugin Limit Login Attempts Reloaded pro zabezpečení WordPress
Výborný bezpečnostní plugin, který i ve free verzi toho umí dost. Stáhnete jej na webu WordPress a nainstalujete.
Na vašem webu v menu vlevo dole se vytvoří odkaz. Ten po rozkliknutí bude ukazovat Neúspěšné pokusy přihlášení. Pokud tam máte 0, gratuluji. U mě se jednalo třeba o 400 záznamů za den, což opravdu dost zpomalovalo web.
V záložce Záznamy se můžete podívat na Log blokování a uvidíte, „kudy“ se na vaše stránky roboti snaží dostat. Nejčastěji to je přes slabé heslo – to vám doporučuji měnit, protože když ho vytvoříte jednou při založení webu a pak jej necháte stejné třeba 5 let, šance, že jej někdo „uhádne“, je poměrně velká. Důležitá je hlavně síla hesla.
Můžete si zablokovat jak ip adresy útočníka, tak i uživatelské jméno, přes které se snaží na web dostat.
V Nastavení aplikace si lze zadat hodnoty, po kolika neúspěšných přihlášeních uživatele zablokovat, vyloučit na x minut, blokovat po hodinách atd.
XML RPC
Dále se můžete podívat, že velký problém je soubor xml-rpc.php, který slouží pro nahrávání příspěvků z jiných vzdálených aplikací. Určitě je lepší se vždy na WP přihlásit a příspěvky psát tam, takže soubor xmlrpc doporučuji vypnout.
Můžete si stáhnout plugin (doplněk), který to udělá za vás, ale čím méně pluginů na webu je, tím lépe, takže doporučuji upravit pouze soubor wp-config.php, který najdete na ftp serveru, kde máte stránky nahrané a v tomto souboru doplníte na konec tento řádek.
add_filter(‚xmlrpc_enabled‘, ‚__return_false‘);
Určitě bych se podíval na to, zda nemáte na webu více uživatelských účtů, třeba i několik let starých, které nikdo už nepoužívá a třeba je z každého jen jeden příspěvek. U větších webů to tak někdy bývá, pokud pro vás psalo více autorů a ruku na srdce, když si měníte heslo pro účet, může se stát, že u těch dalších to neuděláte a problém je na světě. Takže doporučuji tyto účty převést buď pod ten váš nebo si udělat jeden společný, třeba „autoři“ a kromě vašeho admin účtu budete mít jen jeden navíc a to už se dá spravovat podstatně efektivněji.
Jak zabezpečit WordPress – další možnosti
Určitě bych vám doporučil pravidelné zálohování. Toto sice mnohé hostingy dělají za vás, takže si pak při případném problému stačí připojit zálohu z konkrétního dne a v případě potřeby se vrátit do stavu, kdy web fungoval. Umí to třeba Český hosting nebo Ebola.
Záloha databáze a souborů
Záloha SQL databáze je snadný proces, uložíte si ji do svého pc či notebooku a budete mít přehled. Určitě si také zálohujte i soubory ze serveru (FTP), ať je vaše záloha kompletní.
Přihlašovací údaje najdete v e-mailu, který vám přišel při registraci domény / hostingu.
Najdete je i v souboru wp-config.php.
Jméno
/** MySQL database username */
define(‚DB_USER‘, ‚*****‘);
Heslo
/** MySQL database password */
define(‚DB_PASSWORD‘, ‚*****‘);
Následně v phpMyAdmin klikněte na Export.
A nakonec na tlačítko Proveď.
Dle velikosti databáze bude export v řádu sekund či desítek, než se stáhne. Výsledný soubor bude ve formátu NAZEV_DATABAZE.SQL.
Vypnutí editoru v administraci
Ve výchozím nastavení WP lze editovat snadno soubory, které na webu máte, to je ale další z bezpečnostních rizik, proto pokud chcete zase o něco zlepšit wordpress zabezpeční, přidejte do souboru wp-config.php, který si stáhnete z ftp, tento řádek.
define( ‚DISALLOW_FILE_EDIT‘, true );
Upravený soubor nahrajte zpět na eftýpko a od této hvíle bude nutné každou změnu nahrát z vašeho počítače, kam si příslušné stoubory přes ftp stáhnete. Sice to je trošku delší varianta, ale zase bezpečnější.
Přihlášení do administrace přes svoji IP adresu
Velmi bezpečné je přihlašování do administrace, pokud máte statickou IP adresu.
TIP: Jak zjistit IP adresu počítače
Tu si zadáte do souboru .htaccess na ftp sem.
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^PRVNI_IP_ADRESA$
RewriteRule ^(.*)$ – [R=403,L]
Od této chvíle už se do administrace nedostane nikdo jiný než vy.
Jak vypnout verzi WordPress v HTML kódu
I odebrání informace o verzi WP v kódu stránky pomůže zlepšit bezpečnost, tak jdeme na to. Protože možnost editovat soubory v administraci je dobré mít vypnuté, z ftp si stáhněte soubor functions.php a na jeho konec přidejte tuto řádku.
remove_action(‚wp_head‘, ‚wp_generator‘);
Nyní už verze WordPress už v html kódu vidět nebude.
Buďte první kdo přidá komentář