Nechci tady dělat z WordPressu nezabezpečený krám. Pravdou je, že s hacknutými a nakaženými weby na WordPressu se setkávám častěji, než je tomu v případě jiných redakčních systémů. Nevím, zda jsou programátoři WordPressu horší než jiní, podobné debatování by mohlo skončit nějakou hádkou. Velký problém je v tom, že WordPress je tak moc populární.
Ano, popularita bezpečnosti WordPressu rozhodně nepřidává. Ono totiž v každém větším projektu, ať jde o redakční systém nebo nějaký program, najdete dříve či později nějakou bezpečnostní trhlinku. Tvůrci na koleně uplácaných administračních systémů tvrdící, že v jejich případě nic takového nehrozí, vědomě či nevědomě lžou. Když kolikrát čtu bezpečnostní opravy v Drupalu a WordPressu, tak si říkám, jestli tvůrci proprietárních CMS vůbec vědí o čem je řeč a zda to ve svých redakčních systémech mají vyřešeno a ošetřeno.
Chcete-li mít web s WordPressem v kondici, zabezpečený a v maximální možné míře neprůstřelný, pak musíte pravidelně instalovat bezpečnostní aktualizace. V nejnovějších verzích WordPressu vám s tím může pomoci automatická aktualizace, po níž vám dojde jenom mail s oznámením, že se tak stalo. Je samozřejmě otázkou, zda ji povolit a zda váš web je vytvořen tak, aby případná nová verze WordPressu nebo nějakého pluginu celý web neshodila. Podobně to platí pro šablony vzhledu.
Ovšem pravidelná instalace aktualizací není jediný úkol, který byste měli při tvorbě webů s WordPressem z hlediska bezpečnosti řešit. Ve výchozí instalaci je několik potenciálních bezpečnostních hrozeb, které mohou útočníkovi usnadnit práci, až se rozhodne váš web zamořit škodlivým kódem.
S ochranou webu na WordPressu vám může pomoci několik pluginů. Já bych v tomto článku chtěl doporučit Sucuri Security. Službu znám už delší dobu, viděl jsem i její zástupce na přednáškách a celkově ji považuji za povedenou a spolehlivou. Navíc je v základní verzi zdarma a nabízí povedený plugin pro WordPress, který slouží jako kontrola i prevence.
Zabezpečte svůj web s pomocí Sucuri Security
Plugin Sucuri Security nabízí hned několik zajímavých bezpečnostních funkcí. Nejde jen o nějakou základní kontrolu toho, zda je web nakažen. Po instalaci si vyžádá vygenerování API klíče spojujícího váš web se Sucuri. Není to ale žádná zdržovačka, stačí kliknout na tlačítko a chvíli počkat.
Základní informace nabízí Sucuri Security v podobě nástěnky s informací, zda nebyly některé soubory z výchozí instalace WordPressu v dané verzi změněny. Pokud se tak stalo, uvidíte výstražné varování s možností zobrazit si takto změněné soubory.
Už tato základní funkce je k nezaplacení, když se probíráte soubory nakaženého webu a potřebujete rychle zjistit, kde všude se ukrývá škodlivý kód.
Vyhledávání škodlivého softwaru
Sucuri nabízí přímo na svém webu kontrolu zadaných URL a ověření, zda se na nich nevyskytuje nějaký škodlivý kód. Ten totiž nemá dopad jen na případné odcizení dat z webu nebo jejich poškození, ale i na pozice webu ve vyhledávači. Škodlivé weby se totiž nahlásí do blacklistu a majitel takového webu pak přijde o návštěvníky.
V závislosti na hloubce skenování a kontroly vám postačí buď bezplatný nebo placený tarif Sucuri. Kontrolu můžete spouštět i rovnou ze svého webu, pokud máte ve WordPressu příslušný plugin. Podobně můžete web zabezpečit zapnutím firewallu.
Zabezpečení instalace WordPressu
Na kartě Hardening najdete sadu tipů a kontrolní seznam toho, zda jste provedli maximum možného pro zabezpečení standardní instalace WordPressu. V prvé řadě se kontroluje aktuální verze proti nejnovější dostupné. Následuje kontrola firewallu, odstranění verze WordPressu, ochrana složky pro nahrávání souborů, zamezení přístupu do dalších složek, kontrola verze PHP, vypnutí editoru témat, změna výchozího prefixu pro názvy databázových tabulek a další tipy.
V případě, že už byl váš web hacknut, tak vám kromě kontroly změněných souborů pomůže i karta Post-Hack. Zabezpečíte zde cookies, vyresetujete přihlašovací hesla a případně zresetujete i pluginy.
V Drupalu občas koukám, kolikrát se různým uživatelům nepodařilo přihlášení. Jinými slovy, kolikrát se někdo zkoušel neúspěšně přihlásit pod jejich účtem. Ve WordPressu mi to chybí, ale Sucuri Security tuto informaci doplňuje. S dalšími informacemi o uživatelích (třeba jejich IP) to najdete na kartě Last Logins.
Podobně karta Site Info nabízí základní informace o konfiguraci webu i serveru.
Řadu kontrol je možné spouštět automaticky po uplynutí nějakého intervalu, stačí si jej pro jednotlivé kontroly nastavit na kartě Settings.
Plugin Sucuri Security považuji za velmi užitečný doplněk, který by neměl ve vašem WordPressu chybět. Samozřejmě ale sám o sobě web nezabezpečí. Pokud se nebudete řídit jeho instrukcemi, pak bude váš web vystaven nebezpečí temných internetových vod i nadále.
Jak řešíte zabezpečení webů s WordPressem vy?
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Marketing Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Přidat komentář