XML RPC jak jej vypnout a zlepšit zabezpečení WordPress

Každý, kdo provozuje webové stránky postavené na systému WordPress, by měl řešit jeho zabezpečení. Můžete několik let tvořit projekt a pak vám jej napadne hacker a je po webu. Nechci vás strašit, ale na jednom webu jsem toto nedávno řešil a snad vyřešil, tak zde je seznam doporučení, co by měl udělat každý webmaster, aby měl klidné spaní.

Plugin Limit Login Attempts Reloaded pro zabezpečení WordPress

Výborný bezpečnostní plugin, který i ve free verzi toho umí dost. Stáhnete jej na webu WordPress a nainstalujete.

Limit Login Attempts Reloaded plugin

Na vašem webu v menu vlevo dole se vytvoří odkaz. Ten po rozkliknutí bude ukazovat Neúspěšné pokusy přihlášení. Pokud tam máte 0, gratuluji. U mě se jednalo třeba o 400 záznamů za den, což opravdu dost zpomalovalo web.

Limit Login Attempts Reloaded plugin 2

V záložce Záznamy se můžete podívat na Log blokování a uvidíte, „kudy“ se na vaše stránky roboti snaží dostat. Nejčastěji to je přes slabé heslo – to vám doporučuji měnit, protože když ho vytvoříte jednou při založení webu a pak jej necháte stejné třeba 5 let, šance, že jej někdo „uhádne“, je poměrně velká. Důležitá je hlavně síla hesla.

Můžete si zablokovat jak ip adresy útočníka, tak i uživatelské jméno, přes které se snaží na web dostat.

Limit Login Attempts Reloaded plugin 4

V Nastavení aplikace si lze zadat hodnoty, po kolika neúspěšných přihlášeních uživatele zablokovat, vyloučit na x minut, blokovat po hodinách atd.

Limit Login Attempts Reloaded plugin 3

XML RPC

Dále se můžete podívat, že velký problém je soubor xml-rpc.php, který slouží pro nahrávání příspěvků z jiných vzdálených aplikací. Určitě je lepší se vždy na WP přihlásit a příspěvky psát tam, takže soubor xmlrpc doporučuji vypnout.

Můžete si stáhnout plugin (doplněk), který to udělá za vás, ale čím méně pluginů na webu je, tím lépe, takže doporučuji upravit pouze soubor wp-config.php, který najdete na ftp serveru, kde máte stránky nahrané a v tomto souboru doplníte na konec tento řádek.

add_filter(‚xmlrpc_enabled‘, ‚__return_false‘);

Určitě bych se podíval na to, zda nemáte na webu více uživatelských účtů, třeba i několik let starých, které nikdo už nepoužívá a třeba je z každého jen jeden příspěvek. U větších webů to tak někdy bývá, pokud pro vás psalo více autorů a ruku na srdce, když si měníte heslo pro účet, může se stát, že u těch dalších to neuděláte a problém je na světě. Takže doporučuji tyto účty převést buď pod ten váš nebo si udělat jeden společný, třeba „autoři“ a kromě vašeho admin účtu budete mít jen jeden navíc a to už se dá spravovat podstatně efektivněji.

Jak zabezpečit WordPress – další možnosti

Určitě bych vám doporučil pravidelné zálohování. Toto sice mnohé hostingy dělají za vás, takže si pak při případném problému stačí připojit zálohu z konkrétního dne a v případě potřeby se vrátit do stavu, kdy web fungoval. Umí to třeba Český hosting nebo Ebola.

Záloha databáze a souborů

Záloha SQL databáze je snadný proces, uložíte si ji do svého pc či notebooku a budete mít přehled. Určitě si také zálohujte i soubory ze serveru (FTP), ať je vaše záloha kompletní.

Přihlašovací údaje najdete v e-mailu, který vám přišel při registraci domény / hostingu.

Najdete je i v souboru wp-config.php.

Jméno

/** MySQL database username */
define(‚DB_USER‘, ‚*****‘);

Heslo

/** MySQL database password */
define(‚DB_PASSWORD‘, ‚*****‘);

PHP My Admin

Následně v phpMyAdmin klikněte na Export.

PHP My Admin 2

A nakonec na tlačítko Proveď.

PHP My Admin 3

Dle velikosti databáze bude export v řádu sekund či desítek, než se stáhne. Výsledný soubor bude ve formátu NAZEV_DATABAZE.SQL.

Vypnutí editoru v administraci

Ve výchozím nastavení WP lze editovat snadno soubory, které na webu máte, to je ale další z bezpečnostních rizik, proto pokud chcete zase o něco zlepšit wordpress zabezpeční, přidejte do souboru wp-config.php, který si stáhnete z ftp, tento řádek.

define( ‚DISALLOW_FILE_EDIT‘, true );

Upravený soubor nahrajte zpět na eftýpko a od této hvíle bude nutné každou změnu nahrát z vašeho počítače, kam si příslušné stoubory přes ftp stáhnete. Sice to je trošku delší varianta, ale zase bezpečnější.

Přihlášení do administrace přes svoji IP adresu

Velmi bezpečné je přihlašování do administrace, pokud máte statickou IP adresu.

TIP: Jak zjistit IP adresu počítače

Tu si zadáte  do souboru .htaccess na ftp sem.

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^PRVNI_IP_ADRESA$
RewriteRule ^(.*)$ – [R=403,L]

Od této chvíle už se do administrace nedostane nikdo jiný než vy.

Jak vypnout verzi WordPress v HTML kódu

I odebrání informace o verzi WP v kódu stránky pomůže zlepšit bezpečnost, tak jdeme na to. Protože možnost editovat soubory v administraci je dobré mít vypnuté, z ftp si stáhněte soubor functions.php a na jeho konec přidejte tuto řádku.

remove_action(‚wp_head‘, ‚wp_generator‘);

Nyní už verze WordPress už v html kódu vidět nebude.

Jak vypnout verzi WordPress v HTML kódu

Odkazy:

O autorovi Miloš Lácha 1151 Článků
Počítače mě bavily odjakživa, takže 13 let práce administrátora v bance pro mě byl splněný sen. Prošel jsem mnoha školeními na Windows i Office a možná i to byl impuls založit tento web, kde už více než 10 let najdete pravidelně každý týden nové návody převážně pro operační systém od Microsoftu.

Buďte první kdo přidá komentář

Napište komentář

Vaše e-mailová adresa nebude zveřejněna.


*