Návod ako zvýšiť bezpečnosť vašej WordPress stránky, aby ste boli chránený pred škodlivým softvérom a hackermi. Zabezpečte si váš web.
Vedeli ste, že každý deň je hacknutých až 30 000 webstránok? Bezpečnosť webovej stránky je dôležitá pre každého jej majiteľa. WordPress je najrozšírenejší CMS systém na svete. Preto je častým terčom útokov hackerov.
Obsah
Bezpečnosť WordPress webu
Dobre zabezpečená stránka je dôležitá aj pre podnikanie. Ak hackeri ukradnú informácie a heslá a nainštalujú malware, ten sa môže dostať cez vašu stránku až k vašim zákazníkom.
Prejdime si jednotlivé kroky, ktoré by ste mali dodržiavať, aby vaša stránka bola a aj zostala bezpečná.
Výber bezpečnej šablóny
Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.
? Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.
Výber bezpečného hostingu
Pre zabezpečenie WordPress stránky je dôležitý výber kvalitného hostingu. Hosting by mal mať SSL certifikát a zaručovať 99,9% dostupnosť. Okrem toho sa presvedčte, že administrácia hostingu, ktorý ste si vybrali, je zašifrovaná HTTPS protokolom.
Používajte hosting, ktorý je vhodný pre WordPress stránky. Takýto hosting ponúka zálohu vašej stránky, automatické WordPress aktualizácie a podporuje bezpečnosť vašej stránky. Nezanedbateľnou výhodou je kvalitná technická podpora. Viac sa téme výberu hostingu venujem v mojom článku Ako si vybrať najlepší WordPress hosting.
? Tip: Pre rýchly WooCommerce web je kľúčové vybrať si správny hosting. Odporúčam vsadiť na overenú kvalitu: WebSupport, Webglobe-Yegon alebo Wedos.
Nastavte zálohovanie dát
Všetky dáta je potrebné zálohovať. Nepoužívajte na to len váš hosting. Zálohovať je potrebné ešte na jednom mieste. Môžete využiť Dropbox alebo Amazon. Nastavte si systém pre zálohovanie celej databázy, všetkých pluginov a aj použitej šablóny. Po zálohovaní overte funkčnosť zálohy. Nevynechajte tento krok.
Uistite sa, že sa záloha dá použiť. Zálohovať je nutné minimálne raz denne, alebo v pravidelných časových intervaloch. Zálohovanie sa dá nastaviť aj v špeciálnom plugine pre zálohovanie alebo v bezpečnostnom plugine.
? Tip: ja na zálohovanie používam plugin UpdraftPlus. Spísal som aj presný návod ako si cez tento plugin spraviť automatické zálohovanie
Nainštalujte si bezpečnostný plugin
Zabezpečenie WordPress stránky vyžaduje aj inštaláciu bezpečnostného pluginu. Pred bežnými typmi útokov vás ochráni obľúbený plugin Sucuri. Účinne chráni webovú stránku pred malware. Po jeho inštalácii si prejdite všetkými potrebnými nastaveniami.
? Tip: Podobnými pluginmi sú voľne dostupný Wordfence Security alebo prémiový iThemes Security. Výhodou posledného je automatická záloha stránky, ktorú plugin vytvorí v prípade, že je vaša stránka napadnutá.
Pravidelne aktualizujte stránku
Pravidelná aktualizácia šablóny aj všetkých pluginov je dôležitá súčasť zabezpečenia WordPress stránky. WordPress vývojári neustále pracujú na zlepšovaní šablón a pluginov. Ich aktualizácie môžu obsahovať odstránenie niektorých bezpečnostných chýb.
Tento krok vykonajte manuálne. V administratívnom menu prejdite do sekcie Nástenka a aktualizácie. Skontrolujte, ktoré pluginy potrebujú aktualizáciu a zaktualizujte ich.
Nepoužívajte zastarané pluginy
Pri výbere vhodných pluginov pre vašu internetovú stránku používajte iba tie, ktoré boli v poslednej dobe aktualizované. Tie, ktoré neboli aktualizované viac než dva roky iste nepoužívajte. Riskujete nie len bezpečnosť stránky ale aj kompatibilitu pluginu s vašou šablónou.
Používajte silné heslá
Dôležitým bodom zabezpečenia WordPress webu je používanie silných hesiel. Takéto heslá by ste mali používať pre svoj vlastný prístup na stránku ako aj pre prístup iných užívateľov. Najčastejším útokom hackerov je totiž práve krádež hesla. Na vás je, aby ste im tento krok sťažili. Silné heslá používajte aj pre hosting, e-mailovú adresu a FTP účty.
Nepoužívajte všade rovnaké heslá, heslá by nemali obsahovať vaše meno, jednoduchý sled čísiel a podobne. Zvoľte kombináciu veľkých a malých písmen, číslic a znakov. Najlepšie je také heslo, ktoré sa nedá zapamätať.
Na to, aby ste si ich zapamätali vy sami, používajte password manager. Password manager vám pomôže vytvoriť silné heslá a všetky ich uloží. Prístup k týmto heslám zabezpečíte jediným heslom.
Pre zvýšenie bezpečnosti WordPress webu je tiež dôležité, aby ste dávali prístup do jeho administrácie inej osobe iba, ak je to nevyhnutné. Dôležité je tiež, aby každý, kto takýto prístup dostane rozumel tomu, aké má pri tvorbe a udržiavaní stránky kompetencie.
SFTP šifrovanie
Pre bezpečnosť WordPress webu je dôležité, aby ste pri úprave stránky posielali údaje na FTP šifrovane. Používajte SFTP šifrovanie.
Zabezpečte si SSL certifikát
SSL (Secure Socket Layer) certifikát zaistí vašu bezpečnú, šifrovanú komunikáciu so servermi. Táto komunikácia sa týka aj vášho hesla. Bez SSL certifikátu sa posiela vaše heslo po webe nezašifrované.
Odstráňte prebytočný obsah na servri
Obsah, ktorý je umiestnený v priestore webu (FTP) predstavuje riziko. Rizikom môžu byť napríklad zálohy celej stánky v adresári wp-content/backup, v ktorom sú uložené nastavenia stránky a obsah databáz. Prebytočné a rizikové súbory je nutné z priestoru webu zmazať.
Zmeňte prefix
Počas inštalácie WordPress šablóny sa vás WordPress opýta, aký prefix chcete použiť. WordPress používa predvolený prefix. Ak vyberiete predvolený prefix wp_ tak uľahčíte prácu hackerom. Odporúčam ho preto upraviť na čokoľvek iné.
Zmena prefixu po inštalácii (len pre pokročilých)
Pred tým, než zmenu vykonáte, zálohujte celú databázu stránky. Potom otvorte súbor wp-config.php. Nájdete ho v adresári WordPress root.
Predvolené nastavenie $table_prefix = 'wp_'; zmeňte napríklad na: $table_prefix = 'newprefix_';
Ak ste túto úpravu vykonali počas inštalácie WordPressu, nemusíte už robiť nič. Ak ste už mali WordPress nainštalovaný, potrebujete aktualizovať aj databázu. Môžete to urobiť pomocou bezpečnostného pluginu iThemes Security, ktorý to urobí za vás alebo cez PHPMyAdmin:
RENAME table `wp_links` TO `newprefix_links`;
Tento príkaz je tiež potrebné spustiť pre každú databázovú tabuľku aj tabuľku pluginov. Ak používate cPanel WordPress hosting, nájdite phpMyAdmin a zmeňte pomenovanie každej tabuľky. Tento proces môže byť trochu zdĺhavý. Môžete si ho uľahčiť použitím týchto príkazov:
RENAME table `wp_commentmeta` TO `newprefix_commentmeta`; RENAME table `wp_comments` TO `newprefix_comments`; RENAME table `wp_links` TO `newprefix_links`; RENAME table `wp_options` TO `newprefix_options`; RENAME table `wp_postmeta` TO `newprefix_postmeta`; RENAME table `wp_posts` TO `newprefix_posts`; RENAME table `wp_terms` TO `newprefix_terms`; RENAME table `wp_termmeta` TO `newprefix_termmeta`; RENAME table `wp_term_relationships` TO `newprefix_term_relationships`; RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`; RENAME table `wp_usermeta` TO `newprefix_usermeta`; RENAME table `wp_users` TO `newprefix_users`;
Môžete pridať ďalšie riadky pre ďalšie pluginy, ktoré majú vo vašej databáze svoje tabuľky.
Pre dokončenie procesu je potrebné vyhľadať akékoľvek ďalšie súbory, ktoré používajú prefix wp_. Tento proces vám uľahčí tento príkaz:
SELECT * FROM `newprefix_options` WHERE `option_name` LIKE '%wp_%'
Vyhľadané názvy zmeňte.
Povoľte aplikáciu Firewall (WAF)
Pre lepšie zabezpečenie WordPress stránky používajte Firewall (WAF), ktorá blokuje malware ešte pred tým, než dorazia k vašej stránke. Na tento účel odporúčam používať Sucuri. Ten garantuje ochranu pred malware.
Nepoužívajte používateľské meno „admin“
Pre bezpečnosť WordPress webu je potrebné zmeniť základné používateľské meno. Vytvorte nový administrátorský účet a odstráňte predvolený. Urobte tak hneď pri inštalácii WordPress šablóny.
Zvoľte také užívateľské meno, ktoré sa nedá uhádnuť. Ak už máte nainštalovaný WordPress a používate meno „admin“, dá sa to zmeniť. Vytvorte nového používateľa a pôvodného vymažte. Riešením je aj použitie pluginu na zmenu užívateľského mena.
Vypnite editáciu šablón a pluginov
WordPress obsahuje zabudovanú funkciu editácie kódu, ktorá umožňuje v administratívnom menu upravovať šablónu a pluginy. Aby sa táto možnosť nedostala do nesprávnych rúk, je vhodné ju vypnúť. Urobíte tak pridaním nasledujúceho kódu do wp-config.php file:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Znefunkčnite PHP file (pokročilé)
V niektorých WordPress adresároch je potrebné znefunkčniť súbor PHP. Ako napríklad vo /wp-content/uploads/. Urobíte to v textovom editore. Môžete použiť Poznámkový blok. Vložte do neho tento kód:
<Files *.php> deny from all </Files>
V nasledujúcom kroku ho uložte ako .htaccess a nahrajte do súborov /wp-content/uploads/.
Toto zabezpečí aj Hardening feature v plugine Sucuri.
Úprava súboru .htaccess (pokročilé)
Zabezpečenie WordPress webu zvýši aj úprava súboru .htaccess. Ak nemáte aspoň minimálne znalosti programovania, tento krok vynechajte. Pred úpravou si uložte zálohu vašej stránky. Nasledujúcim postupom umožníte prístup do administračného panelu iba definovaným IP adresám. Pre ostatných bude prístup zablokovaný.
AuthType Basic order deny,allow deny from all # vasa domaca IP adresa allow from xxx.xxx.xxx.xxx # vasa IP adresa v praci allow from xxx.xxx.xxx.xxx
Upravený .htaccess vložte do adresára wp-admin.
Prekontrolujte súbory, ktoré nahrávate na stránku
Na webovú stránku nahrávajte iba súbory, ktoré neobsahujú vírusy. Pravidelne si kontrolujte počítač antivírovým programom.
Zabezpečte prihlasovanie do administratívneho menu
WordPress umožňuje neobmedzený počet pokusom o prihlásenia do administratívneho menu. Pre zabezpečenie prihlasovania môžete nastaviť maximálne dovolené množstvo chýb. Napríklad tri chybné prihlásenia.
Okrem toho môžete nastaviť aj časový úsek na chybné prihlásenia — tri prihlásenia za tri minúty. Ak sa niekto prihlási nesprávne aj štvrtý krát, zablokujete jeho IP adresu na niekoľko minút. Urobte tak nainštalovaním pluginu Login LockDown. Po jeho aktivácii prejdite do Nastavenia»Login LockDown.
Používajte dvojfázové overenie
Jedným zo spoľahlivých spôsobov zabezpečenia WordPress stránky je aj dvojfázové overenie. Umožní vám to chrániť prístup na stránku pomocou hesla a pomocou telefónu.
Skryte prihlasovaciu stránku
Zabezpečenie WordPress webu zvýši aj ukrytie prihlasovacej stránky. WordPress používa pre prihlásenie do administrácie adresu www.názov-domény.sk/wp-admin alebo www.názov-domény.sk/wp-login.php. Môžete ju premenovať pomocou pluginu WPS Hide Login.
Pozor na komentárový SPAM
V komentárovom SPAMe sa často nachádzajú odkazy na stránky, na ktorých sa nachádza malware. Ak nechcete zakázať všetky komentáre, potrebujete ich kontrolovať. Najznámejším nástrojom na kontrolu komentárov je plugin Akismet, ktorý vyhodnocuje komentáre a filtruje ich. Akismet je nainštalovaný v každej WordPress šablóne. V menu šablóny vyhľadajte Akismet a zaškrtnite políčko „aktivovať“.
Pozor: plugin akismet je bezplatný len pre nekomerčné webstránky.
Neprihlasujte sa na nezabezpečenej wifi sieti
Pre bezpečnosť WordPress stránky je dôležité aj to, aby ste na prihlasovanie nepoužívali nezabezpečenú sieť. Hacker, ktorý sa nachádza v tej istej sieti, môže zistiť vaše prihlasovacie údaje alebo cookie na trvalé prihlásenie.
Presunutie wp-config.php
Pre zvýšenie zabezpečenia WordPress webu odporúčam presunúť súbor wp-config.php do adresára vyššie. Tento krok vykonajte, iba ak to nenaruší funkčnosť vašej stránky a ak máte na hostingu iba jednu doménu. V tomto súbore máte uložené údaje ako názov databázy, heslo a podobne. Presunutím ho ukryjete pred hackermi.
Nastavenie práv
Ďalším krokom pre zvýšenie bezpečnosti WordPress stránky je nastavenie práv prístupu k zložkám a súborom. Pre stránku by ste mali používať toto nastavenie práv:
Všetky adresáre — 755 alebo 750
Všetky súbory — 644 alebo 640
wp-config.php — 600
Vypnite zasielanie PHP správ o chybách
Aj chybové hlásenie môže zobraziť cestu vašim súborom. Môžete ho ale zakázať. Do súboru wp-config.php pridajte:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);Vypnite XML-RPC Pingback
Funkcia XML-RPC Pingback umožňuje pripojenie stránky na trackbacky a pingbacky. Predstavuje však aj možnosť pre hackerov. Zabezpečenie XML-RPC Pingback poskytuje napríklad plugin iThemes Security.
Odstránenie čísla verzie WordPressu
V zdrojovom kóde WordPressu je umiestnený meta tag s používanou verziou WordPressu. Túto informáciu môžu zneužiť hackeri. Môžete ju jednoducho ukryť použitím pluginu Meta Generator and Version Info Remover alebo pridaním kódu do súboru functions.php, ktorý nájdete vo vašej šablóne:
remove_action('wp_head', 'wp_generator');Nastavte automatické odhlásenie nečinných užívateľov
Niektorí užívatelia odchádzajú od obrazovky na dlhšiu dobu, hoci sú stále prihlásení. Pre zvýšenie zabezpečenia vášho WordPress webu môžete nastaviť ich automatické odhlásenie. Možno ste si všimli, že podobné nastavenia používajú aj banky. Je to preto, že počas neprítomnosti prihláseného užívateľa môžu hackeri vykonať zmeny na ich heslách alebo účtoch.
Automatické odhlásenie neaktívnych používateľov môžete spraviť cez plugin Inactive Logout.
Zhrnutie tipov pre bezpečnosť WordPress
Za najdôležitejšie považujem výber kvalitného hostingu. Hosting by mal mať SSL certifikát. Odporúčam vsadiť na overenú kvalitu: WebSupport, Webglobe-Yegon alebo Wedos.
Ďalej nezabudnite používať silné heslá a nainštalovať / nastaviť si niektorý z overených bezpečnostných pluginov – Sucuri, Wordfence Security alebo iThemes Security.
Ahoj. Používaš všetky tieto nastavenia na weboch, ktoré tvoríš/spravuješ? Mohol by si dať k niektorým nastaveniam aj väčší detailnejší návod pre ľudí, čo to (web) robia prvý krát.. napr. vôbec netuším ako sa dostať k adresáru WordPress root 🙂 pracujem cez wordpress webadmin, a tieto súborové veci by som aj chcela upraviť podľa návodov čo som našla na tvojej stránke, ale kde nájsť tie súbory.. ???
Ahoj, WordPress root adresár je na serveri webhostingu. Dostaneš sa doňho cez FTP. Ide o pokročilejšie veci, takže toto by som asi v tvojom prípade neriešil :). Podstatné je mať kvalitný hosting, aktuálny WordPress, šablóny a pluginy…a hlavne nainštalovaný niektorý z bezpečnostných pluginov. To je dostatočné na zabezpečenie webstránky.
Dnes som sa trošku nudil :), tak som podobný článok spísal aj ja, aj keď len s 8 tipmi, nie je teda ani zďaleka taký rozsiahly ako tento.
Dobrý den,
zřejmě došlo k napadení wordpress stránek, potřeboval bych poradit co s tím.
Po zadání domény mi vyskočí toto okno:
Dotazoval jsem provozovatele hostingu (Savana) co s tím mám udělat, řekli mi že zřejmě došlo k napadení Mailwarem anebo nějakými javaskripty. Web běžel bezproblémů tři roky, nedělal jsem žádné úpravy, byl tam nainstalován Wordfence plugin.
Poradíte mi nějaký rozumný postup? Samozřejmě do adresáře se dostanu přes FTP, stejně jako do databáze..
Děkuji
Dobrý deň,
Konkrétny postup by bol na dlhý článok, pretože odvirovať web je umenie samo o sebe. Ak sa vám to nedarí, vyskúšajte službu https://www.wordfence.com/wordfence-site-cleanings/. Mne v minulosti pomohli s jedným webom, kde sa opakovane vracal malware.
Akú VPN používať?:
Prepacte je to mimo WP, ale rad sa opytam i na takuto otazku:
Pouzivate VPN? Ja pouzivam ExpressVPN co stoji asi 100$, teraz mi konci a neviem ci ostat pri tomto zabezpeceni, alebo odporucate nieco ine, lebo som nasiel ine…
Dakujem krasne
Dobrý deň,
V súčasnosti nepoužívam žiadnu, takže neviem poradiť. Dajte vedieť, ako ste sa rozhodli.
Dobry den pouzival som ExpressVPN, myslel som zmenit na NordVPN s ktorym nemam skusenosti… Ale aj tak mi anutomaticky nabehla platka hoci do 30 dni je mozne zrusit, ale odpisal som im a dostal este 3 mesiace naviac (zdarma cize spolu 15 mes.) tak asi ostanem pri ExpressVPN, s ktorym som bol spokojny (bolo iba malo vypadkov severov na SK tiez zopar dni), ale zatial najlepsie skusenosti a odporucania od pouzivatelov VPN. Meni IP adresu, sifruje a hlavne bezpecnost, ci ak niekto je v zahranici (ako ja v UK) moze s aprepojit na SK ci CZ a tak sledovat napr. proram TV, kotry je nedostupny v inych krajinach. Dakujem
Dobry den,
na stranke mam aktivovany plugin iThemes Security. Nedavno mi vyskocila tato sprava:
„New! Take your site security to the next level by activating iThemes Brute Force Network Protection.“ a za nou zoznam toho, co sa bude konkretne kontrolovat. Umoznila som to a od vtedy mi chodia kazdy den maily, reporty ako napr. „A file (or files) on your site have been changed. Please review the report below to verify changes are not the result of a compromise.“ Ked skontrolujem konkretnu stranu, alebo clanok, tak ale ziadnu zmenu nevidim. Chodi mi to, aj ked sama som na stranke nic nerobila. Nerozumiem tomu, rozmyslam, ci to nevypnem a nedam tam nieco ine. Dakujem
Dobrý deň,
je mi ľúto, no takúto vec s iThemes Security som ešte neriešil. Ja používam WordFence.
Veru obrať se na Tomáše Nykla na WPLama.cz. On plugin iThemes S. doporučuje a sám aktivně používá.
Info: Ak potrebujete zdieľať aj obrázok, môžete tak spraviť nahraním obrázka na stránku prnt.sc a vložením linku do komentára.