logo

Select Sidearea

Populate the sidearea with useful widgets. It’s simple to add images, categories, latest post, social media icon links, tag clouds, and more.
hello@youremail.com
+1234567890

13 tipov pre lepšiu bezpečnosť WordPress stránok

Tým, že WordPress patrí mezi najrozširenejšie CMS systémy je častým terčom útokov. V dnešnom článku Vám prinášame 13 tipov pre väčšiu bezpečnosť Vašho WordPressu.

1. Vybrať si dobrý hosting a dôverovať mu

Váš web nebude bezpečný ak bude bežať na hostingu, ktorý nespĺňa základne bezpečnostné kritéria – aktualizované jadrá systému (linux, windows server …), SFTP pripojenie na server, Let’s Encrypt certifikát , kvalitná podpora zo strany hostingu a pod. V rámci hostingových spoločností sú skvelou voľbou – Websuppot, Webglobe – Yegon …

2. Aktualizovať WordPress, pluginy a témy

Medzi úplnu samozrejmosť v rámci bezpečnosti patrí aktulizácia jadry systému, pluginov a samozrejme témy. Skôr ako budete aktualizovať systém, moduly, alebo tému nezabudnite na zálohu. Zálohujte si databázu, adresár témy, prípadne adresáry pluginov. V rámci jadra treba inštalovať aj menšie (čiastkové) aktulizácie, pretože práve tie riešia bezpečnostné diery. Odporúčame nepoužívať pluginy, ktoré neboli viac ako rok aktulizované.

V rámci väčšiny kvalitných hostingov si viete zapnúť automatickú aktualizáciu jadra systému. Vo väčšine prípadov si ju môžete zapnúť, vtedy je dobré mať zapnutú aj automatickú zálohu databázy a ftp.

3. Prihlasovacie údaje, admin práva

Úplne základným pravidlom v rámci WordPress je nepoužívať užívateľské meno admin. Použite hocijaké iné meno. Ak použijete meno admin aj keď v kombinácií so silným heslo, stále Vám hrozí jeho prelomenie.

Druhou dôležitou vecou je nedávať admin práva hocikomu. Na toto si dávajte veľký pozor. Ak nemusíte nedávajte admina nikomu.

Naučte svojich užívateľov požívať zložité a dlhé heslá pre ich bezpečnosť.

4. (re)Captcha alebo dvojfaktorová autentifikácia

S prihlasovcími údajmi priamo súvisí aj prihlasovacia stránka, ktorú si môžete ochrániť aj pomocou racpacha, alebo dvojzložkovej autentifikácie cez mail, alebo cez mobilnú aplikáciu. Recapchu je vhodné použiť aj pri kontaktých formulároch a komentárov.

5. Zmena prihlasovacej adresy

Ďalším spôsobom ako zabrániť prípadnému útoku je zmena prihlasovacej url adresy. K tomu a rovnako aj k ochrane proti brute-forece útokom Vám pomôže jeden z bezpečnosných pluginov o ktorých sme písali v tomto článku: Top 3 bezpečnostné pluginy pre WordPress na rok 2018.

6. Vypnutie editora pluginov a tém

Editor pluginov a tém je super vec pre programátorov, nakoľko vedie niektoré zmeny urobiť priamo z prostredia administrácie WordPressu. Odporúčame však tieto editory vypnúť, nakoľko ak sa Vám do administrácie dostane hacker dokáže tieto súbory rovnako upraviť aj on. Editor viete vypnúť pomocou bezpečnostných modulov alebo priamo pridanám riadka do wp-config.php:

define( ‘DISALLOW_FILE_EDIT’, true );

7. Ochrana pomocou súboru .htaccess

Účinnou ochranou pred útočnáki je obmedzenie prístupu do administrácie WordPpressu na konkrétne IP adresy, ktoré pridáte do súboru .htaccess do zložky /wp-admin/ s nasledujúcim kódom:

order deny,allow
allow from 123.123.123.123
deny from all

a do súboru .htaccess v hlavnom adresári pridaním:

<FilesMatch wp-login.php>
Order Allow,Deny
Allow from 123.123.123.123
</FilesMatch>

V oboch prípadoch nahradíte 123.123.123.123 vašou IP adresou.

8. Vypnutie správ o chybách

Ak sa v kóde pluginu alebo šablóne vyskytne chyba, chybová hláška môže zobraziť úplnú serverovú cestu k danému súboru. Táto informácia je veľmi citlivá a pre hackerov dôležitá. Preto je lepšie tieto reporty zakázať, pridaním nasledujúcich riadkov do súboru wp-config.php.

@ini_set(‘display_errors’,’Off’);
@ini_set(‘error_reporting’,0);

9. Skrytie čísla verzie WordPressu

WordPress štandardne zobrazuje číslo verzie v meta značke:

<meta name=”generator” content=”WordPress 4.7.2″ />

Pre hackerov je toto číslo dôležitý údaj, na základe ktorého vedia určiť zraniteľnosť Vašeho webu. Zobrazovanie verzie viete docieliť úpravou function.php vo Vašej téme. Schovanie verzie Wodpress však odporúčame riešiť cez bezpečnostný modul, aby sa verzia schovala všade kde je to potrebné.

10. Použivájte child theme

Dôležité je používať child tému aby sa Vám zmeny vo funcion.php, style.css a pod. nezmenili po aktulizácií témy. Rovnako viete použitám child témy predísť aj niektorým problémom pri update témy.

11. Skontrolovať nastavenie práv k súborom a zložkám

Správne nastavenie práv adresárov a súborov chráni WordPress proti bezpečnostným exploitom. Pre hackera je pri správne nastavených právach náročné manipulovať so súbormi na serveri tak, aby prevzal vládu nad webom.

Správne oprávnenia by mali byť nasledovné:

  • Všetky adresáre práva na 755 alebo 750
  • Všetky súbory na 644 alebo 640
  • Súbor wp-config.php na 600

12. Zmena prefixu databázy

Dôležité pre bezpečnosť je zmeniť prefix databázy zo základného wp_ na iný. Určite pre zmenou prefixu zálohujte svoju databázu. Prefix môžete zmeniť ručne v databáze a vo wp-config, alebo na to môžete použiť niektorý z bezpečnostných modulov.

13. SSL certifikát – https://

Zabezpečené SSL pripojenie sa snažíme používať na každom webe, na ktorom pracujeme. Ak používate klasické HTTP pripojenie, vaše meno a heslo sa posiela po internete nezašifrované. V základe Vám stačí používať Let’s Encrypt certifikát, ktorý predstavuje bezplatnú alternatívu k plateným SSL certifitkátom. Kvalitné hostingy majú tento certifikát v ponuke. Pre inštaláciu SSL v rámci WordPress používame tento jednoduchý modul: Really Simple SSL

Na záver by som pripomenul, že žiadne zabezpečenie nebude na 100% bezpečné. Vždy tu bude určitá možnosť útoku. Pre vyššiu bezpečnosť a komfort Vám odporúčame používať bezpečnostné pluginy ako iThemes Security alebo Wordfence o ktorých sme písali v článku: Top 3 bezpečnostné pluginy pre WordPress na rok 2018.

V prípade, že si neviete rady, alebo nemáte čas na takéto nastavenie neváhajte nás kontaktovať.