Zabezpečení WordPressu

Nikdo nechce aby jeho web byl napaden, přitom se to děje častěji než by vás napadlo. Zákeřní roboti prohledávají internet a automaticky dnem i nocí hledají slabá místa v zabezpečení webů. Pokud nějaké naleznou, pokusí se o hacknutí webu. Napadené stránce vznikne spousta problémů. Google web označí jako nebezpečný, stránky zmizí z výsledků vyhledávání, můžete přijít o databázi a všechna uložená data a tím je ohrožen váš pracně budovaný projekt. Bezpečnost nelze brát na lehkou váhu.

V tomto článku naleznete pár bezpečnostních tipů, kterými se řídit a které mohou snížit pravděpodobnost úspěšného napadení vašeho webu. Tento seznam rozhodně není úplný, ale měl by to být takový základ. Rozhodně byste si měli bezpečnostní problematiku WordPressu nastudovat z co nejvíce různých zdrojů.

Používejte silná hesla

Neustále se to všude opakuje, ale lidé pořád používají jednoduchá a stejná hesla napříč všemi službami. Pro všechno mějte unikátní dlouhé heslo, včetně např. české diakritiky. Do administrace se nepřihlašujte z cizích počítačů.

Hesla si ukládejte bezpečně

Je jasné, že méně často používaná hesla časem zapomenete. Uložte si je, ale někde offline na místo kde máte přístup jen vy. Do zamčeného papírového zápisníku například. Hesla k FTP serveru si rozhodně neukládejte v počítači. Nikdy by nemělo být uloženo např. v FTP klientovi. Rozhodně není dobrý nápad si hesla ukládat do nějakého souboru v cloudových službách, např. v Google dokumentech, online poznámkách a podobně. Spousty lidí si tak zadělali na pěkný malér.

Aktualizujte

Další často oprávněně opakované. Alespoň jednou týdně na vašem wordpressovém webu zkontrolujte aktualizace a nainstalujte nejnovější verze pluginů a šablon. Samozřejmostí je i aktualizace samotného WordPressu. Pokud máte standardní instalaci WordPressu a pár běžných pluginů, rozhodně není dobrý nápad automatické aktualizace vypínat.

Pozor na uživatelské role

V případě, že na webu spolupracujete s jinými lidmi, nastavte každému uživateli účet jen s těmi nejnutnějšími právy. Člověk, co jen občas napíše nějaký článek, určitě nepotřebuje administrátorské oprávnění.

Šifrovaný přenos

Svůj web provozujte výhradně na zabezpečeném protokolu HTTPS. Vaše přihlašovací údaje tak k webu putují šifrovaně. Potřebujte sice SSL certifikát, ale díky Let’s Encrypt si můžete SSL šifrování nainstalovat zdarma.

Zablokuje xmlrpc.php

Pokud to pro vás není nutné a nepoužíváte přístup do WordPressu pomocí třetích stran, zablokujte přístup k souboru xmlrpc.php.

Zablokujte přístup k základní konfiguraci

V souboru wp-config.php je uloženo všechno základní nastavení včetně hesla k vaší databázi. Zablokujte k němu přístup z venčí.

Nepovolujte PHP kde to není nutné

Do složky /wp-content/uploads/ se může dostat cokoliv. Zablokujte ve této složce spouštění PHP souborů.

Zakažte procházení adresářů

Editací souboru .htaccess zakažte procházení adresářů na serveru.

Povolte administraci jen z vaší IP

Pokud se k webu nepřihlašujete z celého světa, zakažte přihlášení do administrace z cizích IP.

Nainstalujte Wordfence

Wordfence je firewall a malware scanner, který byl vytvořen k ochraně WordPressu.

Wordfence

Máte napadený web?

Jestli na vašich stránkách něco nehraje a máte podezření na napadení webu, pročtěte si co dělat při hacknutí webu. O této problematice je dobré vědět už preventivně dopředu.