(aktualizováno 15. 2. 2023)
Nemůžeme dostatečně zdůraznit důležitost silného zabezpečení webu. Když spěcháte ke splnění termínu, správné zabezpečení WordPressu nemusí být vaší největší prioritou, ale mělo by být. Proto jsme sestavili kontrolní seznam, který vám s tím pomůže.
Na internetu je více než 2 miliardy webů, a je pochopitelné, proč si mnoho lidí myslí, že zrovna jejich web není vystaven riziku. Jenže s čím dál tím větší automatizací útoků pomocí botů se každý web jednou stane obětí.
Sestavili jsme proto kontrolní seznam 14 kroků, které byste měli podniknout při zabezpečení svého webu, abyste se útokům ubránili.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
V tomto článku můžete udělat všechny kroky, abyste svůj web zabezpečili, ale pokud používáte pochybný webhosting, je to jako mít vyztužené titanové dveře a nechat klíč pod rohožkou.
Bez ohledu na bezpečnost má sdílený hosting dostatek nevýhod. Stačí se podívat na náš článek, co je to webhosting a jak vybrat ten správný, kde téma rozebíráme více do detailu. Dozvíte se podle čeho vybírat webhosting, a na co si dát pozor.
Největší nevýhodou je nedostatek zabezpečení. Chyba zabezpečení na webu někoho jiného může mít za následek ohrožení celého fyzického serveru, a tím usnadnit útok na váš web - bez vaší chyby.
Pokud si nechcete dělat starosti s tím, co se děje na serveru vašeho webu, rozhodněte se pro virtuální server. S VPS Centrem je správa webu podobná, jako kdybyste používali webhosting. Navíc máte plný přístup, tzv. root, a můžete provádět jakékoliv instalace a změny na serveru. Na serveru je vše připraveno, od webserveru, databáze, e-mailů až po monitoring.
Prostudujte naši stránku, kde popisujeme jednotlivá zabezpečení jak na virtuálních serverech, tak na sdíleném webhostingu.
Tipy pro správný výběr webhostingu:
Málokdy se útok děje za “osobní přítomnosti” útočníka. Ať máte web o jakékoliv velikosti, nemůžete si být nikdy jistý, že vás škodlivý bot nenajde.
Škodliví roboti skenují celý internet a hledají zranitelná místa na všech možných webových stránkách z celého světa. Pokud zjistí, že existuje cesta kolem vaší přihlašovací stránky WordPressu, infikují vaše soubory, dřív než řeknete “To se mi nestane”.
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Existuje několik kroků, kterými můžete zajistit, aby byla vaše přihlašovací stránka přesně před tímto druhu útoku v bezpečí.
Jen pamatujte, bez toho aniž byste zablokovali XML-RPC, tak pouhé schování nic nevyřeší. Nebojte, jak zakázat XML-RPC si ukážeme v článku také. Nejjednoduší možnost je zablokovat to na úrovni souboru .htaccess. Krásné příklady uvádí na svém GitHubu machr na bezpečnost Vladimír Smitka z Lynt.cz.
Má velký počet instalací, ale není tak často aktualizován, jako jiné pluginy. Nicméně, nabízí i tak veškeré bezpečnostní vychytávky, jako je WAF, 2FA, zamaskování přihlašovací stránky, vypnutí XML-RPC, přehled pokusů o přihlášení, zablokování IP adres nebo třeba dostávejte upozornění, pokud je na webu podezřelý provoz. Při zakoupení licence získáte navíc možnost monitorovat pokusy o přihlášení na váš web z různých částí světa. Silná je ale i jeho verze zdarma, která vám bude na většinu webů stačit.
Pokud vás zajímá, jaj plugin Wordfence nastavit, aby fungoval co nejlépe, mrkněte na video od Vládi Smitky. Ten na téma bezpečnosti promluvil na pražském WordCampu (2019).
Dalším oblíbeným pluginem je iThemes, který má přes 1 milion stažení. Nabízí vše potřebné, co všechny ostatní pluginy. Jen prémiová verze je dražší a snaží se přesvědčit možností spravovat více bezpečnosti přímo z vašeho WP dashboardu, kde můžete rovnou zabanovat návštěvníky/roboty. Dočasně poskytnout nějakému uživateli admin/editorská práva, umí nastavit Google reCAPTCHU pro celou stránku a tím vás ochrání proti spammerům a spousty dalších bezpečnostních vychytávek.
Bezpečnostní pluginy robotům výrazně zkomplikují provádění útoků hrubou silou. Pokud nemohou najít vaši stránku k přihlášení, nemají kde testovat hesla.
Vyzkoušet můžete i plugin AIOS (All in one Security), který je také pravidelně aktualizovaný a má přes milion aktivních instalací.
Pokud jde o hesla, existují dvě hlavní pravidla:
Jenže to určitě znáte. Lenost a pohodlí vždy vyhraje nad logikou a bezpečností. Proto existují správci hesel, kteří nám ta 2 nejdůležitější pravidla vyřeší za nás.
LastPass a 1Password jsou dva z nejlepších správců hesel na trhu. Pomohou vám vytvářet a ukládat složitá hesla pro všechny vaše účty i aplikace. Čistě pro přihlašování na web pomohou i samozřejmě implementovaní správci hesel přímo v prohlížeči Chrome nebo Firefox.
Jediné, co si musíte zapamatovat, je silné a bezpečné heslo ke správci hesel - o zbytek bude postaráno.
Můžete mít super dlouhé a složité heslo, ale pokud to je jediná obrana mezi vašimi daty a útočníkem, tak to nemusí stačit. Stačí jeden povedený phishing útok či sociální inženýrství, a heslo je odcizené.
Dvoufaktorové ověřování zahrnuje propojení vašeho telefonu nebo jiného zařízení s vaším WordPressem, takže bez zadání jedinečného kódu, který se mění každých 10 vteřin se není možné přihlásit.
Můžeme k tomu využít bezpečnostní plugin Wordfence využívající 2FA aplikace, které umožňují:
Jednoduše jej nastavíte pro každý ze svých uživatelských účtů a pokaždé, když se někdo dostane přes obrazovku s uživatelským jménem a heslem, bude požádán, aby otevřel aplikaci a zadal bezpečnostní kód.
Díky tomu je téměř nemožné, aby se hackeři dostali na váš web bez přístupu k vašemu uživatelskému jménu, heslu a zároveň k vašemu mobilnímu zařízení.
Další bezpečnostní tipy:
Firewall webové aplikace (WAF) je speciální typ brány firewall, který nastavuje definovaná pravidla za účelem ochrany webové aplikace před útoky.
Všechny příchozí požadavky a odpovědi webového serveru jsou kontrolovány tímto firewallem. Monitoruje, filtruje a blokuje nežádoucí provoz a chrání váš web před hackery a jiným škodlivým provozem.
WAF je jednoduše prostředníkem mezi webovou aplikací a klientem.
Obvykle se WAF používá proti útokům, pro které tradiční řešení neposkytují ochranu, jako je skriptování napříč weby a SQL injection, ale lze jej také použít k ochraně před nelegálním přístupem k prostředkům - například únosem tzv. sessions.
Plugin Wordfence má v sobě tento firewall implementovaný, plugin je sám o sobě spolehlivý a jeho použití je zdarma. Nastavení firewall se provádí již v základní konfiguraci pluginu.
Rychlý fakt: počítače nezapomínají.
Ať už jde o zálohování vašeho webu nebo aktualizaci vašich pluginů, nic není tak spolehlivé jako automatizovaný proces. Náš WordPress hosting automaticky aktualizuje váš WordPress vždy na nejnovější verzi.
Samozřejmě plán A je vyhnout se hacknutí vašeho webu. Ovšem vždy je dobré počítat s tím nejhorším, a tady přichází na řadu plán B. Zálohy. Bez nich by bylo všechno složitější, či dokonce neřešitelné. Také se může stát, že aktualizace nebo nechtěný zásah poškodí vaši webovou prezentaci.
Pluginů na zálohy je velká spousta, tak si stači otestovat a vybrat ten pravý. Některé jsou zdarma, jiné zase mají měsíční nebo jednorázový poplatek.
Pluginů na zálohování je opravdu dost, tak jich stačí pár otestovat a kde vám bude vyhovovat cena/výkon, tak ten využívat na všech vašich stránkách.
Nejjednodušší ochrana je dát svůj web za CDN, jako je například Cloudflare. Ten nabízí DDoS ochranu i ve svém free tarifu. Na našem WordPress hostingu máme DDoS ochranu řešenou na úrovni datacentra.
SSL certifikát ověří správnost údajů uvedené v souboru a ujistí vás, že jste tam, kam jste se chtěli dostat. To pomáhá předcházet spoofingu domény a dalším podobným útokům.
Připojení, které zahrnuje certifikát SSL, je důvěryhodnější, bezpečnější a dává zákazníkovi mnohem lepší dojem.
V dnešní době už není těžké certifikát získat. Dokonce to je většinou na jeden klik a ještě zdarma, díky certifikační autoritě Let's Encrypt.
Zjistěte u svého poskytovatele webhostingu, jestli takový certifikát nabízí. U nás je už vygenerujeme automaticky pro každý webhosting. Jediné co stačí udělat, je přesměrovat HTTP na HTTPS. Pomůže naše nápověda, jak nastavit HTTPS krok za krokem.
Pokud vás problematika SSL zajímá, doporučujeme přečíst i podrobného průvodce od Vládi Smitky.
Pokud někdo vytváří odkazy na vaše obrázky, používá obrázek na vašem serveru, což znamená, že jeho návštěvníci získávají výhody obrázku, ale váš server vyřídí požadavek uživatele, který ani není na vašem webu.
Nejen, že je to považováno za neetické, ale to může server velmi zatěžovat, což způsobí problémy vašemu webu a může to vést k dalším nákladům.
Existuje několik způsobů, jak zabezpečit vaše obrázky, jedním z nejjednodušších je přidání fragmentu kódu do souboru .htaccess.
Tento kód zajistí, že vaše obrázky budou moci zobrazit pouze určité webové stránky. Můžete určit jednotlivé weby.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?youtube.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]
Spamové komentáře na vašem blogu nejsou jen frustrující - mohou také představovat bezpečnostní riziko. Mnoho spamových komentářů obsahuje škodlivé odkazy v naději, že přimějí vaše návštěvníky k zadání svých osobních údajů.
Pokud vás zasáhne spamová vlna, máte dvě možnosti: úplně vypnout komentáře nebo nainstalovat plugin proti spamu. Pokud zvolíte druhou možnost, může být Akismet právě tím, co potřebujete. Akismet bychom doporučovali nainstalovat i když žádná spamová kampaň na váš web zrovna neběží. Dřív nebo později to potká každý web. Proti spamu jsou dobré i další pluginy:
Ještě lepší je, že reCaptcha je zabudovaná v pluginu Defender a bude chránit nativní funkce WordPressu, jako je vaše přihlašovací stránka a komentáře blogu.
Když často pracujete na WordPressu a jste zvyklí listovat mezi několika obrazovkami, je jisté, že některé věci vám proklouznou. Například, pokud se web špatně přesměrovává nebo, když se na něm jednoduše něco pokazí. Proto je fajn nechat hlídání dostupnosti webu na některé z aplikací či pluginů. Existuje spousta dostupných free nástrojů, které řeší monitoring za vás, my doporučujeme:
To neplatí jenom pro uživatele ve WordPressu, ale také pro účty na FTP nebo SSH.
Pokud provozujete web, který vyžaduje malou interakci s uživatelem, jako je třeba jenom kontaktní formulář a je zamýšlen spíše ke sdílení informací, než s jejich interakci, tak si ušetříte spousty starostí pokud budete mít jednoduchý statický web.
Chcete-li to provést, musíte vytvořit kopie svých souborů a seskupit je do přehledného souboru ZIP, který lze uložit na vašem serveru. To znamená, že vaši aktuální instalaci WordPressu lze bezpečně skrýt mimo dosah robotů a útočníků.
Pro mnoho webů to není správná trasa, ale pokud si ji chcete prohlédnout, vyzkoušejte služby jako Strattic nebo Simply Static. Díky kterým web převede na statický web na jeden klik.
Vladimir Smitka doporučuje ještě WP2Static, který vyvíjí Leon Stafford a na Patreonu ho můžete ve vývoji podpořit.
Je to nejbezpečnější způsob, jak se bránit škodlivým útokům. Simply static nebude dělat žádné změny vašeho WordPressu a akci můžete kdykoliv vrátit.
Víme, že implementace tolika různých kroků může vypadat jako zdlouhavá práce, ale naštěstí, jakmile většinu z nich odškrtnete ze svého seznamu, postarají se už sami o sebe.
Pluginy běží tiše na pozadí a dělají za vás nudnou práci, takže jakmile nastavíte veškeré zabezpečení pro svůj nový web, nemělo by to vyžadovat příliš mnoho manuálního zadávání.
Udělejte si čas na implementaci správných bezpečnostních postupů pro svůj web a doufejme, že už nikdy nebudete muset čelit frustraci útoků na vašem webu a přejeme si, abyste přijali preventivní opatření co nejdříve.
Každý krok si můžete zaškrtnout v nové šabloně od Freela. Stačí mít otevřený tento článek, Google a Freelo a za pár dní nenámáhavé práce máte hotovo. :-)
Co k tomu potřebujete? Stačí mít statickou IP adresu a přístup k .htaccess. Statické IP adresy můžete dosáhnout instalací OpenVPN. Nejedná se o náročnou aplikaci, takže si jí klidně můžete nainstalovat na menší VPS k vašim webům. Jakmile máte statickou IP adresu, tak nám stačí do .htaccessu v hlavní složce /www přidat tyto řádky:
#Jak první je potřeba mít nahoře řádky s vynucením SSL
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]
#Teď přidáme sekci, kde zakážeme přístup k souboru wp-login.php všem kromě našich IP adres
<Files wp-login.php>
order deny,allow
Deny from all
# Povolit IP adresu vaší VPN
allow from 1.2.3.4
#Povolit statickou IP adresu v kanceláři
allow from 1.2.3.5
#Přesměruje neúspěšné loginy, kam budete chtít.
ErrorDocument 403 https://giphy.com/search/trolled
</Files>
#A až po whitelistu IP adres mějte základní kód pro WordPress
# BEGIN WordPress
Už nám zbývá pouze poslední krok. Zabezpečily jsme přihlašovací stránku pro WordPress, ale musíme se ujistit, že ani do administrátorského prostředí se bez whitelistované IP adresy nikdo pohybovat nebude. Musíme tedy ještě do /wp-admin/.htaccess a přidat tam:
Order Deny,Allow Deny from all # Povolit IP adresu vaší VPN allow from 1.2.3.4 #Povolit statickou IP adresu v kanceláři allow from 1.2.3.5 #Přesměruje neúspěšné loginy, kam budete chtít. ErrorDocument 403 https://giphy.com/search/trolled
A je hotovo! Máte WordPress zase o něco bezpečnější!
(zdroj: https://premium.wpmudev.org/blog/checklist-for-securing-wordpress-site/)
Volejte +420 776 200 137 nebo pište info@vas-hosting.cz