NÁVOD: Bezpečnosť WordPress webu v 10-ich krokoch (+printscreeny)

Veľa ľudí bude so mnou súhlasiť, že WordPress nepatrí medzi najbezpečnejšie systémy pre tvorbu webov. Je to však dané hlavne tým, že to je najrozšírenejší CMS systém na svete, a preto láka čoraz viac hackerov, ktorí sa ho snažia zlomiť.

Je nutné uvedomiť si, že hackeri sa snažia vždy prelomiť tie najslabšie a najmenej zabezpečené weby. Predstavte si, že hacker je zlodej, ktorý chodí od domu k domu a skúša, či sú otvorené dvere. Ak zistí, že dvere sú zamknuté, ide ďalej. To isté platí aj pre bezpečnosť Vašich webových stránok. Ak spravíte základné zabezpečenie Vášho webu, hackeri Vás (vo väčšine prípadov) obídu a nájdu si web, ktorý zabezpečený nie je.

Poďme si ukázať ako jednoducho zabezpečiť Vašu stránku postavenú na WordPresse a byť krok napred pred ostatnými.

Pred inštaláciou

1. Hosting

Ako som spomínal aj v predošlom článku, hosting je základným stavebným kameňom pre Váš web. Zvoľte si hosting, ktorý splňuje čo najvyššie bezpečnostné nároky.

Ja som si vybral webhosting Onebit.cz z nasledujúcich dôvodov:

  • má SSL certifikát. Má ho väčšina hostingov, ale verím, že natrafíte aj na hosting, ktorý certifikát nemá
  • administrácia je zašifrovaná HTTPS protokolom, čo takisto považujem za samozrejmosť
  • zaručujú 99,9% dostupnosť
  • majú na svojich serveroch dostupnú týždennú zálohu všetkých mojich projektov viac ako mesiac dozadu

Onebit.cz - podpora

  • robia pravidelnú dennú zálohu databázy, ktorá mi je kedykoľvek k dispozícií (využil som to už niekoľko krát, keď mi po úpravach webu niečo nefungovalo tak ako malo)
  • Onebit.czVYNIKAJÚCU podporu. Toto je skutočne niečo, s čím sa stretnete málokedy a pre mňa to je veľmi dôležité. Keď je akýkoľvek problém s webom vedia zareagovať neskutočne rýchlo a pohotovo.

Je na Vás aký webhosting nakoniec zvolíte, ale dbajte na to, aby Vám zaručil čo najväčšiu bezpečnosť pre Vaše projekty.

Inštalácia WordPressu

2. Nepoužívajte FTP

Začneme od začiatku. Máte zakúpenú doménu, hosting, stiahnete si WordPress (napríklad tu) a nasleduje uploadnutie všetkých WordPress súborov na Váš web. Pre tento proces ja osobne využívam FileZillu, ktorú môžem odporúčiť každému.

Aby však transfer súborov bol čo najbezpečnejší, neopužívajte protokol FTP! Prečo? Presun dát cez FTP totižto prebieha v nezašifrovanej podobe a preto je pre hackerov veľmi jednoduché sa k prihlasovaciemu menu a heslu dostať. Viac sa dozviete v tomto článku.

Filezilla - SFTP

Pre prenos súborov používajte SFTP alebo FTPS namiesto FTP

Namiesto FTP protokolu používajte FTPS, ktoré je šifrované pomocou protokolu SSL/TLS alebo SFTP, ktoré je šifrované pomocou protokolu SSH. Bohužiaľ, väčšina českých a slovenských hostingov SFTP nepodporuje, ale mali by podporovať FTPS (napr. Onebit alebo Wedos FTPS podporujú).

3. Inštalujte web zadaním domény

OK, tak máte všetky súbory nahodené na hostingu, vytvorenú databázu a teraz už iba ostáva nainštalovať web. Môžete to spraviť dvoma spôsobmi:

1. Prepíšete súbor wp-config-sample.php na wp-config.php a upravíte ho, tzn. že do neho doplníte názov a heslo databázy, uživateľa a dáte uložiť.

2. Zadáte doménu, na ktorej web chcete inštalovať a nainštalujete webstránku pomocou WordPressovej inštalácie

Ak Vám môžem poradiť, urobte to tým druhým spôsobom. Prečo? Pretože pri inštalácií WordPress automaticky vygeneruje sadu tzv. Autorizačných kľúčov (AUTH-KEY), ktoré ak súbor wp-config.php upravujete sami netreba zadávať a pravdepodobne ich tam ani nedoplníte.

Auth keys pri inštalácií WordPressu

WordPress Vám pri inštalácií vygeneruje tzv. Auth keys, čo zvýši bezpečnosť

Tieto kľúče Vám pridajú ďalšiu vrstvu bezpečnosti, hlavne pre heslá, ktoré budete používať na webe. Dajú sa doplniť alebo zmeniť aj po inštalácií, ale priznajte sa, kto z Vás to spravil? Ja nie 🙂

4. Zmeňte “table prefix”

Hneď  v druhom kroku WordPress inštalácie zadávate názov databázy, meno užívateľa databázy a heslo. V tomto kroku sa Vás tak isto WordPress opýta aký prefix chcete použiť pre tabuľky v databáze. Predvoľený prefix je wp_, ktorý keď neupravíte, tak ostane nezmenený. Tým iba uľahčíte prácu hackerom.

Zmena prefixu v databáze

Zmeňte “table prefix” z wp_ na iný

5. Používateľské meno – hlavne nie “admin”

Po zadaní názvu databázy a hesla Vás WordPress vyzve, aby ste si vytvorili nového používateľa.

Áno, určite si teraz hovoríte, že by Vás ani vo sne nenapadlo zadávať používateľa s názvom “admin”, pretože všade naokolo sa dočítate ako to znižuje bezpečnosť Vášho webu. A musím Vám povedať, že ste na omyle.

Aj programátori s dlhoročnými skúsenosťami stále používaju “admin” ako hlavného používateľa WordPressu (viem to z vlastnej skúsenosti) a tým iba otvárajú dvere “počítačovým zločincom”.

Inštalácia WordPressu

Nepoužívajte používateľské meno “admin” pri inštalácií

Zvoľte si také používateľské meno, ktoré hackeri neuhádnu. Kľudne použite aj veľké písmená a podtržníky, fantázií sa medze nekladú.

TIP: Ak už máte nainštalovaný WordPress a hlavným používateľom je “admin”, nezúfajte. Stačí vytvoriť nového používateľa, dať mu práva administrátora a pôvodného “admina” vymazať.

6. Zvoľte si silné heslo

Pre používateľa nepoužívajte rovnaké heslo ako máte všade a ani neskúšajte zadávať heslá ako napr. “ziadneheslo”, “12345” alebo “misomiso”.

Zvoľte si nezapamätateľné heslo, ktoré sa bude skladať z veľkých a malých písmen, číslic a rôznych znakov. Predídete tak predovšetkým tzv. “bruce force attacku”, kedy sa hackeri snažia zistiť Vaše prihlasovacie údaje softwareom, ktorý skúša tisícky rôznych kombinácií. Nesnažte sa im to uľahčiť!

Používajte silné heslo

Ja si heslo vygenerujem pomocou aplikácie 1Password, ktorá mi ho pomôže aj obratom uložiť. Do aplikácie mám jedno tzv. “master heslo” a to je jediné heslo, ktoré si musím zapamätať. Tiež môžete využiť rôzne služby na generovanie silných hesiel ako napr. StrongPasswordGenerator.

Po inštalácií

7. Presuťe “wp-config.php” do adresára vyššie

Po nainštalovaní WordPressu máte v zložke vytvorený nový súbor s názvom “wp-config.php”, kde máte uložený názov databáze, užívateľa databáze, heslo a autorizačné kľúče. Ak by sa k tomuto súboru dostali hackeri, majú prístup do Vašej databáze, s ktorou môžu robiť čo sa im zachce.

Odporúčam presunúť súbor “wp-config.php” do adresára vyššie (pozor, platí iba ak máte na hostingu jednu doménu) a funkcionalitu WordPressu to nijak nenaruší. Pridáte tým iba ďaľšiu vrstvu bezpečnosti pre Váš web.

8. Update všetkých pluginov, tém a verzie WordPressu

Snažte sa stále aktualizovať nainštalované pluginy, témy a mať najnovšiu verziu WordPressu. Týmto zabránite, aby sa hackeri na Váš web dostali bezpečnostnou dierou napríklad v plugine, ktorá už môže byť po najnovšej aktualizácií odstránená. Pre zistenie, či máte všetko aktuálne, prejdite na “Nástenka – Aktualizácie” a tam to pekne všetko uvidíte.

Aktualizujte pravidelne WordPress

TIP: Okrem toho, že by ste mali pluginy neustále aktualizovať, odstraňujte tie staré. To by tiež môhlo znížiť bezpečnosť Vášho webu.

9. Bezpečnostný plugin iThemes Security

Ako jediný bezpečnostný plugin, ktorý Vám stačí používať, je plugin s názvom iThemes Security. Na trhu je podobných pluginov veľké množstvo, ale mne sa osvedčil práve tento. Nastavenie trvá pár minút a dokáže Vás zachrániť pred veľkou pohromou. Ako Vám plugin pomôže?

  • odstráni meta tag verzie Vášho WordPressu. Každá verzia má určité nedostatky, ktoré hackeri poznajú. Preto by ste im nemali dať najavo, ktorú verziu WordPressu používate
  • zmení URL pre prihlásenie z pôvodného vasweb.cz/wp-login.php na Vami zvolené
  • predíde tzv. “brute force” útokom
  • neustále skenuje web kvôli možným malwareom
  • upozorní Vás ak sa na webe udejú nejaké zmeny
  • automaticky zálohuje celý Váš web

A desiatky ďaľších, ktoré tu nebudem vypisovať. Plugin určite odporúčam!

iThemes Security

Dashboard iThemes Security

10. Zálohujte, zálohujte….a ešte raz…ZÁLOHUJTE!

Aj keď používate ten najbezpečnejší hosting, dodržujete všetky pravidlá a máte nainštalované tie najkvalitnejšie pluginy, stále nemáte vyhraté. Vždy sa na Váš web môže niekto dostať a vy to nijak neovplyvníte. Preto treba mať Váš web neustále pravidelné zálohovaný. Ja mám 3 rôzne zálohy a aj tak sa občas o svoje weby bojím 🙂

Zálohovať môžete:

  • ručne cez FTP a mysql – zaberá to dosť času, ale raz za čas prečo nie
  • automaticky pluginmi, napr. iThemes Security (mám nastavené pravidelné zálohovanie v 15-denných intervaloch)
  • pomocou hostingu, ktorý Vám Vaše súbory pravidelne zálohuje (napr. OneBit)
iThemes Security - back up

zálohovať môžete aj pomocou pluginov, napr. iThemes Security

BONUSOVÝ DODATOK!

Pre odborný posudok článku o bezpečnosti webu som oslovil pána Vladislava Musílka, ktorý prevádzkuje obsiahly portál o WordPresse – www.musilda.cz. Jeho e-mailovú odpoveď (mierne upravenú) prikladám nižšie a týmto mu ďakujem za čas, ktorý venoval kontrole článku:

Článek jsem si přečetl, dle mne shrnuje vše co je potřeba pro zabezpečení udělat.
Z mého pohledu bych tam doplnil především:

S pozdravem,Vladislav Musílek

Záver

Nepodceňujte bezpečnosť svojích webových projektov, hlavne ak sú poháňané tak rozšíreným CMS-kom akým je WordPress. Hacknutie webu nie je žiadna sranda a môže Vás pripraviť o slušné peniaze, ktoré Vám web generuje. Predíďte tomu.

Poznáte ešte nejaký spôsob ako je možné web zabezpečiť? Podeľte sa o to v komentároch!

NÁVOD: Bezpečnosť WordPress webu v 10-ich krokoch (+printscreeny)
5 (100%) 6 hlas[ov]
Zaujal Ťa tento článok?
V tom prípade sa prihlás k viac ako 700 odberateľom, ktorým pomáham s podnikaním na internete. Píšem praktické návody, ktoré je možné obratom aplikovať do praxe.
The following two tabs change content below.
Prevádzkujem e-shopy a budujem webové projekty, ktoré následne monetizujem pomocou affiliate marketingu. Online podnikanie mi dáva neuveriteľnú voľnosť, za posledný rok som viac ako 5 mesiacov strávil mimo kancelárie a precestoval som polovicu Európy.

Comments

  1. Dobrý je také plugin Wordfence security https://wordpress.org/plugins/wordfence/. Dělá i věci, které iTehemes Security nedělá. Obvykle je mám na webech oba a cítím se bezpečně 🙂

  2. Diky za tip akurat dnes som inštaloval jeden WP web a zabezpečil som si ho jak lusk 😛

  3. Díky Peter za super článek. Co ale dělat, když chci přejmenovat svůj admin účet nebo prefix databáze. Jde to jednoduše? Díky moc!

  4. Waw! Ďakujem ti moc za tento článok. Nikdy som nad bezpečnosťou WP takto nepremýšľal, hneď ráno sa púšťam do práce! 🙂

  5. Peter díky za super článok, určite z neho veľa informácií použijem. Mám ešte jednu otázku – máš dáke skúsenosti s heslovaním admin rozhrania WP ? Môj hosting mi umožňuje zaheslovať adresáre a používam to na wp-admin adresár. Doteraz mi to všetko fungovalo, až kým som nezačal na produktoch používať ajax a neviem ako ďalej. Díky. Vlado

Trackbacks

  1. […] sme si zálohu webu a uložili ju na bezpečné […]

  2. […] aj o bezpečnosti Vašej WordPress stránky som už jeden článok napísal, takže sa nebudem opakovať Plugin iThemes Security komplexne ochráni Váš web voči útokom a […]

Pridaj komentár