Používáním tohoto webu souhlasíte s ukládáním cookies (více informací). Rozumím

← Zpět na všechny články blogu

16 kroků, jak zabezpečit WordPress + Checklist

  • David Janík
  • 25. 2. 2021
 16 kroků, jak zabezpečit WordPress + Checklist

Nemůžeme dostatečně zdůraznit důležitost silného zabezpečení webu. Když spěcháte ke splnění termínu, správné zabezpečení WordPressu nemusí být vaší největší prioritou, proto jsme sestavili kontrolní seznam, který s tím pomůže. 

Na internetu je více než 2 miliardy webů, a je pochopitelné, proč si mnoho lidí myslí, že je zrovna jejich web není vystaven riziku. Jenže s čím dál tím větší automatizací útoků pomocí botů se každý web jednou stane obětí.

Sestavili jsme proto kontrolní seznam 16 kroků, které byste měli podniknout při zabezpečení svého webu, abyste se útokům ubránili.

  1. Vyberte zabezpečený webhosting
  2. Schovejte stránku s přihlášením
  3. Používejte správce hesel
  4. Povolte dvoufaktorové ověřování
  5. Zabanujte chybné pokusy o přihlášení
  6. Nastavte WAF
  7. Použijte pluginy k automatickému provádění úkolů
  8. Udělejte kroky k zabránění DDoS útokům
  9. Pravidelně kontrolujte tzv. “Rogue účty”
  10. Zabezpečte soubor wp-config
  11. Nastavte na webu HTTPS
  12. Zabraňte hotlinkingu
  13. Zabraňte spamovým komentářům
  14. Pravidelně navštěvujte své stránky
  15. Zvažte statické stránky
  16. Checklist od Freelo.cz

Vyberte zabezpečený webhosting

V tomto článku můžete udělat všechny kroky, abyste svůj web zabezpečili, ale pokud používáte pochybný webhosting, je to jako mít vyztužené titanové dveře a nechat klíč pod rohožkou.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Bez ohledu na bezpečnost má sdílený hosting dostatek nevýhod. Stačí se podívat na náš článek, co je to webhosting a jak vybrat ten správný, kde téma rozebíráme více do detailu. Dozvíte se podle čeho vybírat webhosting, a na co si dát pozor.

Největší nevýhodou je nedostatek zabezpečení. Chyba zabezpečení na webu někoho jiného může mít za následek ohrožení celého fyzického serveru a tím usnadnit útok na váš web - bez vaší chyby.

Pokud si nechcete dělat starosti s tím, co se děje na serveru vašeho webu, rozhodněte se pro virtuální server. S VPS Centrem je správa webu podobná, jako kdybyste používali webhosting. Navíc máte plný přístup tzv. root, a můžete provádět jakékoliv instalace a změny serveru. Na serveru je vše připraveno, od webserveru, databáze, e-mailů až po monitoring.

Prostudujte naší stránku, kde popisujeme jednotlivá zabezpečení, jak na virtuálních serverech, tak na sdíleném webhostingu.

Tipy pro správný výběr webhostingu:

  • Nekoukejte na cenu. Na sdíleném hostingu většinou platí, čím dražší, tím lepší.
  • Vyberte poskytovatele, který za sebou nemá žádný bezpečnostní skandál
  • Technická podpora je jedním z nejdůležitějších aspektů. Podívejte se na recenze.
  • Ujistěte se, že je zálohování v ceně a příp. kolik peněz stojí obnova.
  • Jestli nabízí DDoS ochranu na úrovni datacentra nebo HTTPS zdarma

Schovejte stránku s přihlášením

Málokdy se útok děje za “osobní přítomnosti” útočníka. Ať máte web o jakékoliv velikosti, nemůžete si být nikdy jistý, že vás škodlivý bot nenajde.

Škodliví roboti skenují celý internet a hledají zranitelná místa na všech možných webových stránkách. Pokud zjistí, že existuje cesta kolem vaší přihlašovací stránky WordPressu, infikují vaše soubory, dřív než řeknete “To se mi nestane”.

Existuje několik kroků, kterými můžete zajistit, aby byla vaše přihlašovací stránka v bezpečí přesně před tímto druhu útoku.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Jen pamatujte, bez toho aiž byste zablokovali xmlrpc, tak pouhé schování nic nevyřeší. Nebojte, jak zakázat xmlrpc se ukážeme v článku také. Nejjednoduší možnost je zablokovat to na úrovni .htaccessu.. Krásné příklady má Vladimír Smitka z Lynt.cz na svém GitHubu.

Využíjte plugin Defender

Defender přidává na váš web to nejlepší z bezpečnostního pluginu pro WordPress. Zastavíte útoky hrubou silou, SQL injection, skriptování XSS napříč weby, antivirových kontrol, blokování IP adres, firewall, protokol aktivit a zabezpečení přihlášení pomocí dvoufaktorového ověřování. Určitě prověřte, co všechno je ve free verzi. Pro verze jinak stojí 5 USD/měsíčně.

<iframe width="560" height="315" src="https://www.youtube.com/embed/w9pfRCuT36Q" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>

To na jeden plugin ujde. :-) 

Alternativa k Defendru je Wordfence

Má velký počet instalací, ale už není tak často aktualizován, jako např. Defender. Nabízí veškeré bezpečnostní vychytávky, jako je WAF, 2FA, zamaskování přihlašovací stránky, vypnutí XML-RPC, přehled pokusů o přihlášení, zablokování IP adres nebo třeba dostávejte upozornění, pokud je na webu podezřelý provoz. Při zakoupení licence získáte navíc možnost zablokovat traffic z dané země, upozorní jestli vaše stránka rozesílá spam nebo v reálném čase blokuje malware, který se na vaší stránku pokouší dostat z databáze Threat Defense Feed (free verze ma zpoždění 30 dní)

Druhá alternativa k Defenderu je iThemes

Dalším oblíbeným pluginem je iThemes, který má přes 1 milion stažení. Nabízí vše potřebné co všechny ostatní pluginy. Jen prémiová verze je dražší a snaží se přesvědčit možností spravovat více bezpečnosti přímo z vašeho WP dashboardu, kde můžete rovnou zabanovat návštěvníky/roboty. Dočasně poskytnout nějakému uživateli admin/editorská práva, umí nastavit Google reCAPTCHU pro celou stránku a tím vás ochrání proti spammerům a spousty dalších bezpečnostních vychytávek.

Bezpečnostní pluginy robotům výrazně zkomplikují provádění útoků hrubou silou. Pokud nemohou najít vaší stránku k přihlášení, nemají kde testovat hesla.

Jak schovat přihlašovací stránku pomocí Defenderu

Aktivace v Defenderu je super snadná. Stačí si vybrat novou URL pro přihlášení.

Stranka s přihlášením v pluginu Defender

Rovněž můžete veškerý traffic, který se pokouší dostat na defaultní přihlašovací stránku přesměrovat, kam budete chtít.

Možnost přesměrování veškerého provozu na vámi danou URL

Používejte správce hesel

Pokud jde o hesla, existují dvě hlavní pravidla:

  • Zkontrolujte, zda jsou hesla dostatečně dlouhá a obsahují různé znaky.
  • Nepoužívejte stejné heslo pro více než jeden účet.

Jenže to určitě znáte. Lenost a pohodlí vždy vyhraje nad logikou a bezpečností. Proto existují správci hesel, které nám ta 2 nejdůležitější pravidla vyřeší za nás.

LastPass a 1Password jsou dva z nejlepších správců hesel na trhu a pomohou vám vytvářet a ukládat složitá hesla pro všechny vaše účty a aplikace. Čistě pro přihlašování na web pomohou i samozřejmě implementování správci hesel přímo v prohlížeči Chrome nebo Firefox.

Jediné, co si musíte zapamatovat, je silné a bezpečné heslo k správci hesel - o zbytek bude postaráno.

Povolte dvoufaktorové ověřování

Můžete mít super dlouhé a složité heslo, ale pokud to je jediná obrana mezi vašimi daty a útočníkem, tak to nemusí stačit. Stačí jeden povedený phishing útok či sociální inženýrství, a heslo je odcizené.

Dvoufaktorové ověřování zahrnuje propojení vašeho telefonu nebo jiného zařízení s vaším WordPressem, takže bez zadání jedinečného kódu, který se mění každých 10 vteřin se není možné přihlásit.

Můžeme k tomu využít zase bezpečnostní plugin Defender, který využívá aplikace:

  • Google Authenticator - ten používáme i v našem VPS Centru
  • Microsoft Authenticator
  • Authy

Jednoduše jej nastavíte pro každý ze svých uživatelských účtů a pokaždé, když se někdo dostane přes obrazovku s uživatelským jménem a heslem, bude požádán, aby otevřel aplikaci a zadal bezpečnostní kód.

 ukázka,=

Díky tomu je téměř nemožné, aby se hackeři dostali na váš web bez přístupu k vašemu uživatelskému jménu, heslu a zároveň k vašemu mobilnímu zařízení.

Další bezpečnostní tipy:

  • Vytvořte jedinečná hesla pro každý WP účet. To pomůže s identifikací "viníka" pokud bude vaše heslo prolomeno.
  • Nastavte záložní e-mailovou adresu pro případ, že ztratíte mobilní zařízení.
  • Pokud zapomenete svou maskovanou řpihlašovací URL adresu můžete jít najít v databázi.

Zabanujte chybné pokusy o přihlášení

Defender má několik dalších šikovných nástrojů, pokud jde o vytlačení vetřelců z vašeho webu. Můžete nastavit ochranu přihlášení, abyste zajistili, že se útočník/bot nebudou moci hrubou silou dostat do vašeho účtu spamováním kombinací hesel.

Vyberte maximální počet pokusů o přihlášení, které chcete v určitém časovém rámci povolit, a zobrazte vlastní zprávu nešťastlivci, kterému se povede zabanovat.

Bezpečnostní tipy:

  • Přidejte svou vlastní IP do whitelistu, aby vás blokování nezasáhlo
  • Pokud si všimente vysokého počtu pokusu o přihlášení z konkrétní země, můžete v Defenderu úplně zakázat IP adresy z dané země.
  • Nedávejte uživatelům běžná jména, jako je "Admin" nebo "Administrator". Boti je často používají, když se snaží prolomit vaše přihlašovací údaje, takže pokud používáte běžný název účt, jsou už na půli cesty!

Nastavte WAF (Web Application Firewall)

Firewall webové aplikace (WAF) je speciální typ brány firewall, který nastavuje definovaná pravidla za účelem ochrany webové aplikace před útoky.

Všechny příchozí požadavky a odpovědi webového serveru jsou kontrolovány tímto firewallem. Monitoruje, filtruje a blokuje nežádoucí provoz a chrání váš web před hackery a jiným škodlivým provozem.

WAF je jednoduše prostředníkem mezi webovou aplikací a klientem.

Obvykle se WAF používá proti útokům, pro které tradiční řešení neposkytují ochranu, jako je skriptování napříč weby a SQL injection, ale lze jej také použít k ochraně před nelegálním přístupem k prostředkům - například únosem tzv. sessions.

Plugin defender má v sobě tento firewall implementovaný, ale doporučujeme mrknout i na další řešení, který je spolehlivější, má více funkcí a je zdarma. Tím je Cloudflare. Jedná se o takovou velkou zeď, která kontroluje veškeré příchozí požadavky na server a vy si nastavíte, jak se má s nimi zacházet. Je to velice jednoduché. 

Navíc nepomůže pouze s větší bezpečností, ale i s rychlostí vašeho webu. Zatím Cloudflare operuje ve 152 datacentrech s propustností 15 Tbps a obsluhují požadavky pro 7 milionů webů. Ani se nepokoušejte spočítat, kolik to je požadavků za vteřinu. :-)

Za den to je 60 miliard požadavků na jejich DNS infrastrukturu. Zítra to už bude zase určitě o něco víc.

Použijte pluginy k automatickému provádění úkolů

Rychlý fakt: počítače nezapomínají.

Ať už jde o zálohování vašeho webu nebo aktualizaci vašich pluginů, nic není tak spolehlivé jako automatizovaný proces. Náš WordPress hosting automaticky aktualizuje váš WordPress vždy na nejnovější verzi.

Automatické zálohy pomocí pluginu

Samozřejmě plán A je vyhnout se hacknutí vašeho webu. Ovšem vždy je dobré počítat s tím nejhorším, a tady přichází na řadu plán B. Zálohy. Bez nich by bylo všechno složitější, či dokonce neřešitelný. Taky se může stát, že aktualizace nebo nechtěný zásah poškodí vaší webovou prezentaci.

Pluginu na zálohy je velká spousta, tak si stači otestovat a vybrat ten pravý. Některé jsou zdarma, jiné zase mají měsíční nebo jednorázový poplatek.

  1. UpdraftPlus - Zálohuje přes 2 miliony stránek a jedno z nejoblibenějších řešení má placenou, ale i verzi zdarma, která toho umí dost.
  2. BackupBuddy - Nejoblibenější prémiový plugin. Cena 80 USD za jednu licenci. Jednoduše nastavíte automatické zálohy, které můžete ukládat na Dropbox, FTP nebo i na e-mail.
  3. BackWPup - Další řešení, které má placený i free plán a zálohuje více, jak 600 tisíc stránek na WordPressu.

Pluginů na zálohování je opravdu dost, tak jich stačí pár otestovat a kde vám bude vyhovovat cena/výkon, tak ten využívat na všech vašich stránkách.

Udělejte kroky k zabránění DDoS útokům

K útoku DDoS (Distributed Denial of Service) dochází, když je web zaplaven provozem, aby došlo k narušení jeho služby mnoha požadavky. Někdy stačí i ale chyba v aplikaci a i jeden počítač, dokáže web zahltit.

Velký DDoS útok se provádí prostřednictvím sítě počítačů. Útočník používá tato zařízení k vytvoření „botnetu“, který může dát pokyn k útoku na konkrétní cíl.

Účelem těchto útoků je často přimět majitele stránek k výkupnému. V minulosti se vyskytly případy DDoS útoků s vysokou publicitou, kde cílem byly banky, státní úřady i korporace.

Naštěstí existuje několik kroků, které můžete podniknout:

Nejjednodušší ochrana je dát svůj web za CDN, jako je třeba Cloudflare. Ten nabízí DDoS ochranu i ve svém free tarifu. Na našem WordPress hostingu máme DDoS ochranu na úrovni datacentra.

Pravidelně kontrolujte WordPress účty

Když často pracujete na WordPressu a jste zvyklí listovat mezi několika obrazovkami, je jisté, že některé věci proklouznou. Proto je nutné si jednou za čas udělat čas na ruční kontrolu, zda na váš web nemá přístup někdo cizí.

To neplatí jenom pro uživatele ve WordPressu, ale také pro účty na FTP nebo SSH.

Zabezpečte soubor wp-config

Wp-config obsahuje klíče k celému WordPress webu. Už se nejedná o důležitou opravu. Většina hostingových providerů už má bezpečnost souborů pořešenou na úrovni webserveru. Jistota je ale jistota, případně pokud nevěříte své hostingové společnosti. V tom příápadě se doporučujeme vrátit k bodu č. 1. :-)

Podívejte se na rady přímo od WordPress.org týkající se zabezpečení wp-configu a rozhodněte se, jaká cesta je pro vás ta pravá.

Pokud jej nechcete úplně přesunout, můžete k němu zablokovat přístup přidáním následujícího kódu do souboru .htaccess.

“<files wp-config.php>

order allow, deny

deny from all

</files>”

Nastavte na webu HTTPS

SSL certifikát ověří správnost údajů uvedené v souboru a ujistí vás, že jste tam, kam jste se chtěli dostat. To pomáhá předcházet spoofingu domény a dalším podobným útokům.

Připojení, které zahrnuje certifikát SSL, je důvěryhodnější, bezpečnější a dává zákazníkovi mnohem lepší dojem.

V dnešní době už není těžké certifikát získat. Dokonce to je většinou na jeden klik a ještě zdarma, díky certifikační autoritě Let's Encrypt.

Zjistěte u svého poskytovatele webhostingu, jestli takový certifikát nabízí. U nás je už vygenerujeme automaticky pro každý webhosting. Jediné co stačí udělat, je přesměrovat HTTP na HTTPS. Pomůže naše nápověda, jak zavést HTTPS krok za krokem.

Zabraňte hotlinkingu

Pokud někdo vytváří odkazy na vaše obrázky, používá obrázek na vašem serveru, což znamená, že jeho návštěvníci získávají výhody obrázku, ale váš server vyřídí požadavek uživatele, který ani není na vašem webu.

Nejen, že je to považováno za neetické, ale to může server velmi zatěžovat, což způsobí problémy vašemu webu a může to vést k dalším nákladům.

Existuje několik způsobů, jak zabezpečit vaše obrázky, jedním z nejjednodušších je přidání fragmentu kódu do souboru .htaccess.

Tento kód zajistí, že vaše obrázky budou moci zobrazit pouze určité webové stránky. Můžete určit jednotlivé weby.

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?youtube.com [NC]

RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

Zabraňte spamovým komentářům

Spamové komentáře na vašem blogu nejsou jen frustrující - mohou také představovat bezpečnostní riziko. Mnoho spamových komentářů obsahuje škodlivé odkazy v naději, že přimějí vaše návštěvníky k zadání jejich osobních údajů.

Pokud vás zasáhne spamová vlna, máte dvě možnosti: úplně vypnout komentáře nebo nainstalovat plugin proti spamu. Pokud zvolíte druhou možnost, může být Akismet právě tím, co potřebujete. Akismet bychom doporučovali nainstalovat i když žádná spamová kampaň na váš web zrovna neběží. Dřív nebo později to potká každý web.

Akismet může být zdarma. Zvolíte si cenu, kterou chcete tento plugin podpořit. Může to být tedy za 0 USD a víc.

Ještě lepší je, že reCaptcha je zabudovaná v pluginu Defender a bude chránit nativní funkce WordPressu, jako je vaše přihlašovací stránka a komentáře blogu.

Pravidelně navštěvujte své stránky

Někdy to nejjednodušší řešení dokáže zázraky.

Pokud byl váš web napaden a do vašeho obsahu bylo něco vloženo, rychlý pohled na váš web by vám to měl hned říct.

Návštěva vašeho webu a jeho zobrazení z pohledu zákazníka je dobré nejen z hlediska zabezpečení, ale také z hlediska přístupnosti a estetických úhlů.

Takže si dejte kávu, posaďte se a procházejte svůj web, jako byste byli pravidelným návštěvníkem. Nezapomeňte zobrazit svůj web, když jste přihlášeni, odhlášeni a také v anonymním režimu, na mobilním zařízení či tabletu.

Samozřejmě nejjednoduší metoda je tento proces z automatizovat, např. nějakým scannerem, který váš web oscanuje a najde nesrovnalosti, které vám případně pošle na e-mail. To už je ale většinou placená funkgce bezpečnostních pluginů.

Zvažte statické stránky

Pokud provozujete web, který vyžaduje malou interakci s uživatelem, jako je třeba jenom kontaktní formulář a je zamýšlen spíše ke sdílení informací, než s jejich interakci, tak si ušetříte spousty starostí pokud budete mít jednoduchý statický web.

Chcete-li to provést, musíte vytvořit kopie svých souborů a seskupit je do přehledného souboru ZIP, který lze uložit na vašem serveru. To znamená, že vaši aktuální instalaci WordPressu lze bezpečně skrýt mimo dosah robotů a útočníků.

Pro mnoho webů to není správná trasa, ale pokud si ji chcete prohlédnout, vyzkoušejte služby jako Strattic nebo Simply Static. Díky kterým web převede na statický web na jeden klik.

Vladimir Smitka doporučuje ještě WP2Static, který vyvíjí Leon Stafford a na Patreonu ho můžete ve vývoji podpořit.

Je to nejbezpečnější způsob, jak se bránit škodlivým útokům. Simply static nebude dělat žádné změny vašeho WordPressu a akci můžete kdykoliv vrátit.

Jistota je jistota

Víme, že implementace tolika různých kroků může vypadat jako zdlouhavá práce, ale naštěstí, jakmile většinu z nich odškrtnete ze svého seznamu, postarají se už sami o sebe.

Pluginy běží tiše na pozadí a dělají za vás nudnou práci, takže jakmile nastavíte veškeré zabezpečení pro svůj nový web, nemělo by to vyžadovat příliš mnoho manuálního zadávání.

Udělejte si čas na implementaci správných bezpečnostních postupů pro svůj web a doufejme, že už nikdy nebudete muset čelit frustraci útoků na vašem webu a přejeme si, abyste přijali preventivní opatření co nejdříve.

Checklist od Freelo.cz

Každý krok si můžete zaškrtnout v nové šabloně od Freela. Stačí mít otevřený tento článek, Google a Freelo a za pár dní nenámáhavé práce máte hotovo. :-)

(zdroj: https://premium.wpmudev.org/blog/checklist-for-securing-wordpress-site/)

Zůstaň s námi v kontaktu. Jednou za měsíc posíláme souhrn novinek. Nemusíš se bát, spam neposíláme a můžeš se kdykoliv odhlásit.

Souhlasím se shromažďováním, zpracováním a uchováním osobních údajů ve smyslu ustanovení § 5 odst. 2 zákona č. 101/2000 Sb. o ochraně osobních údajů.

Budeme zpracovávat následující osobní údaje za účelem odesílání newsletterů:

  • e-mailovou adresu

Údaje budeme zpracovávat po dobu 5 let od posledního otevřeného newsletteru.

Svůj souhlas můžete vzít kdykoliv zpět, právo na výmaz, opravu a další svá práva můžete uplatnit na adrese info@vas-hosting.cz.

Více informací o ochraně osobních údajů.

Opište nebo zkopírujte prosím následující znaky do formulářového pole: a8h3Hbk5Ib

Hledáte něco?

Volejte +420 725 662 058 nebo pište

© 2021 Váš Hosting s.r.o.