Redakční systém WordPress je častým cílem útoků různých typů. Pro minimalizování tohoto rizika lze podniknout několik opatření. Níže je uvedeno několik základních rad.
1. Udržujte redakční systém aktuální, optimálně používejte vždy nejnovější dostupnou verzi. Tyto aktualizace totiž obsahují opravy bezpečnostních děr.
2. Udržujte aktuální i používané pluginy, widgety, šablony, atd.
3. Instalační soubory a rozšíření stahujte z oficiálních distribucí.
4. Pro administrátorský účet zvolte jiné jméno než „admin“.
5. Používejte silná hesla (alespoň 12 znaků obsahující velké, malé písmeno, číslo a symbol).
6. Na svém PC používejte kvalitní a aktuální antivirus.
7. V administraci v sekci FTP vypínejte FTP účet, pokud jej zrovna nepoužíváte.
8. Pravidelně redakční systém zálohujte. Případně je možné využít záloh v ceně webhostingu. Více informací zde.
9. Vymažte šablony, které nepoužíváte.
10. Administrační složku “wp-admin” můžete chránit tak, že povolíte přístup pouze konkrétním IP adresám, které přístup do administrace potřebují. Stačí když do souboru .htaccess, který vytvoříte na FTP ve složce /wp-admin přidáte direktivy Deny, Allow. Níže je příklad souboru .htaccess.
Deny from all
Allow from 10.10.10.10
Do řádku Allow from 10.10.10.10 vyplňte Vaší veřejnou IP adresu (10.10.10.10 smažte). Svoji IP zjistíte například na mojeip.cz. Upozorňujeme, že pokud nemáte statickou (neměnnou) IP adresu, může docházet k tomu, že se Vám bude v čase měnit. V tomto případě je nutné IP měnit i v souboru .htaccess. Pokud chcete přidat více povolených IP adres, tak stačí přidat další řádek Allow from a uvést další IP adresu.
11. Pro redakční systém WordPress existuje řada pluginů, které slouží ke zvýšení bezpečnosti. Velmi kvalitní s řadou funkcí je např. Better WP Security. Na některá nastavení tohoto pluginu se nyní podíváme.
Aby byl plugin plně funkční, je nutné povolit trvalé odkazy. Kliknete na “Nastavení” – “Trvalé odkazy” a potom vyberete jednu ze struktur a uložíte změny.
Po instalaci pluginu se Vám v menu zobrazí položka “Security”. Po kliknutí na odkaz můžete nejdříve provést zálohu databáze kliknutím na “Create Database Backup”. Základní nastavení ochrany pak může plugin provést automaticky, stačí kliknout na “Secure My Site From Basic Attacks”. Nyní je možné provádět další nastavení. Stačí se podívat na “Dashboard”, kde jsou tipy k zabezpečení. Některé jsou vysvětleny na obrázku níže.
Na obrázku výše jsou některé základní zabezpečení. Doporučujeme se podívat ještě na tyto body:
bod č. 1. You are enforcing strong passwords, but not for all users – pokud budete mít tuto možnost aktivní, bude WordPress po každém uživateli chtít silné heslo. Neprojde tak založení hesla typu “123456”.
bod č. 8. Your WordPress admin area is available 24/7. Do you really update 24 hours a day? – pokud víte, že budete WordPress administrovat vždy v určitém časovém rozhraní, můžete nastavit, aby administrace byla dostupná pouze ve Vámi zvolený čas.
bod č. 9. You are not blocking known bad hosts and agents with HackRepair´s blacklist – zde můžete aktivovat blacklist známých, potencionálně nebezpečných IP adres.
12. Dalším užitečným pluginem je Limit Login Attempts. Tento plugin umožňuje blokaci IP adres, které se několikrát pokusí přihlásit do administrace se špatným heslem. Viz. obrázek níže.
13. Častým problém jsou spamy v komentářích u příspěvků. Počet takových komenátářů sahá do tisíců a obvykle obsahují nebezpečný obsah (např. odkazy na zavirované stránky nebo phishing). Existuje několik způsobů jak tomu bránit.
- Pokud víte, že nepotřebujete mít komentáře aktivní, je možné jejich vkládání dekativovat. Můžete tak učinit v administraci v “Nastavení” – “Komentáře” a následně odškrtnout možnost “ovolit návštěvníkům webu přidávat komentáře k příspěvkům a stránkám “
- V případě, že potřebujete mít možnost vkládání komentářů ke stránkám a příspěvkům aktivní je možné použít captcha ověření nebo např. plugin Aksimet, který je obvykle předinstalován a stačí aktivovat v administraci v sekci “Pluginy”. Po aktivaci pak zadáte API klíč, který je možné získat po registraci na: http://akismet.com/wordpress/. Druhá možnost captcha ověření spočívá v tom, že je před odesláním komentáře nutné opsat nějaké znaky. Pro tento typ ochrany může sloužit např. plugin “Captcha”, který je možné nainstalovat v administraci v sekci “Pluginy” – “Instalace pluginů”.