Zabezpečení vašeho webu byste neměli podceňovat. Denně se objevují tisíce útoků na webové stránky. Pokud se útočníkovi podaří získat přístupy nejen na váš web, ale i k webhostingu a databázi, je veliký problém.
Zpočátku si nemusíte ani všimnout, že vaše webová prezentace byla napadnutá. Útočník může v tichosti měnit a přidávat svůj „škodlivý kód“. Po zjištění, že se někdo naboural na váš web, je velmi těžké a někdy i nemožné tento web vrátit do původního stavu. Koneckonců se to může hlavně pěkně prodražit.
Níže najdete návod, jak byste měli postupovat, pokud chcete co nejvíce útočníkovi znesnadnit, aby se naboural do vašeho WordPressu. Tento postup můžete aplikovat i na jiné redakční systémy jako např. Joomla, Drupal či Prestashop. U těchto CMS systémů se mohou jednotlivé postupy lišit, nebo nemusí správně fungovat.
Dobrý login a silné heslo
Základem všeho je si vybrat správný login a silné heslo. Nedoporučuji používat pro login např. admin, administrator, login atd.. Hlavně nic jednoduchého, co může útočník snadno uhodnout nebo znát. Co se týče hesla, nejlépe ponechat co vygeneruje WordPress. Určitě by mělo být dlouhé nejméně 8 znaků, malé a velké písmena, číslo a znak.
Nepoužívat velké množství pluginů
Problémem je, když je celý web na WordPressu postavený na velkém množství pluginů (20, 30 atd.). Mnoho uživatelů neumí nebo neví, že se dá spousta věcí vytvořit pomocí jednoduchého kódu nebo nahradit několik pluginů jedním. Bohužel tento postup využívá i spousta webmasterů, kteří spravují weby.
Čím méně pluginů, tím lépe. Nedá se jim ovšem úplně vyhnout, takže tam nějaké pluginy vždy nainstalované budou.
Pravidelná aktualizace WordPressu a jeho součástí
Neméně důležitou záležitostí je pravidelná aktualizace WordPressu, použité šablony a nainstalovaných pluginů. Vývojáři opravují bezpečnostní hrozby a chyby v kódu. Pokud pravidelně nebudete aktualizovat, dáváte útočníkovi velkou příležitost k napadení vašeho webu.
Převést web z HTTP na HTTPS
Zapněte pro web HTTPS (Hypertext Transfer Protocol Secure). Nejenže útočníkovi znemožníte, aby odposlouchával komunikaci, ale zrychlíte i webovou prezentaci. Většina poskytovatelů webhostingu nabízí zdarma Let’s Encrypt certifikát.
Použití bezpečnostního pluginu
Určitě doporučuji nainstalovat nějaký security plugin. Je jich spousta, nabízejí různé nastavení a hlídání webové stránky. Jako příklad můžu uvést Solid Security a Wordfence Security. Existuje jich samozřejmě mnohem víc a každý může mít oblíbený jiný.
Změna přihlašovací URL
Další bodem je změna přihlašovací url: „https://vasedomena.cz/wp-admin“ na vámi zvolenou, protože „wp-admin“ je defaultní url, a tedy všem známá. S tímto problémem umí pomoci některé security pluginy.
Nastavení .htaccess a zakázání xmlrpc.php
Do „.htaccess“ doporučuji vložit kód na zabezpečení přístupu do administrace jen z dané IP adresy např.:
Order deny,allow
Deny from all
Allow from vaše ip adresaDalší dobrý způsob je zakázání „xmlrpc.php„. Proto vložíme do „.htaccess“ tento kus kódu:
Block WordPress xmlrpc.php requests
order deny,allow
Deny from allZáloha WordPressu
Nesmíme zapomenout na zálohu celého WordPressu včetně databáze. Jakmile je web hotový a nastavený, je důležité hned udělat zálohu. Pokud se na webu moc neaktualizují informace, vystačíme si s prvotní zálohou. Doporučuji ji udělat po každé aktualizaci obsahu, vzhledu.
V případě, že se vám i přesto někdo nabourá na web, máte pořád zálohu a stačí původní obsah vymazat a nahrát všechny informace ze zálohy.
Samozřejmě musíte zjistit, jak se k vám útočník naboural a chybu opravit. Po nahrání zálohy je nutné vše z aktualizovat a změnit heslo do WordPressu, webhostingu a databáze.
S opravou problému vašeho WordPressu vám rádi pomůžeme.
