(aktualizováno 15. 1. 2024 pod dohledem – profíka na bezpečnost – Vládi Smitky)

Nemůžeme dostatečně zdůraznit důležitost silného zabezpečení webu. Když spěcháte ke splnění termínu, správné zabezpečení WordPressu nemusí být vaší největší prioritou, ale mělo by být. Proto jsme sestavili kontrolní seznam, který vám s tím pomůže.

Na internetu je více než 2 miliardy webů, a je pochopitelné, proč si mnoho lidí myslí, že zrovna jejich web není vystaven riziku. Jenže s čím dál tím větší automatizací útoků pomocí botů se každý web jednou stane obětí.

Sestavili jsme proto kontrolní seznam 14 kroků, které byste měli podniknout při zabezpečení svého webu, abyste se útokům ubránili.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

1. Vyberte zabezpečený webhosting.
2. Zakažte přístup do wp-adminu pomocí geolokace.
3. Používejte správce hesel.
4. Povolte dvoufaktorové ověřování a zvažte pořízení HW klíče.
5. Nastavte WAF.
6. Zvažte použití pluginů pro zálohování.
7. Zvažte použití CDN.
8. Nastavte na webu HTTPS.
9. Nastavte správné přesměrování.
10. Zabraňte spamu.
11. Nastavte uptime monitoring.
12. Zvažte statické stránky.
13. Checklist od Freelo.cz.
14. BONUS: Povolte vstup do administrace pouze z VPN.

Vyberte zabezpečený webhosting

V tomto článku můžete udělat všechny kroky, abyste svůj web zabezpečili, ale pokud používáte pochybný webhosting, je to jako mít vyztužené titanové dveře a nechat klíč pod rohožkou.

Bez ohledu na bezpečnost má sdílený hosting dostatek nevýhod. Stačí se podívat na náš článek, co je to webhosting a jak vybrat ten správný, kde téma rozebíráme více do detailu. Dozvíte se podle čeho vybírat webhosting, a na co si dát pozor.

Největší nevýhodou je nedostatek zabezpečení. Chyba zabezpečení na webu někoho jiného může mít za následek ohrožení celého fyzického serveru, a tím usnadnit útok na váš web – bez vaší chyby.

Pokud si nechcete dělat starosti s tím, co se děje na serveru vašeho webu, rozhodněte se pro virtuální server. S VPS Centrem je správa webu podobná, jako kdybyste používali webhosting. Navíc máte plný přístup, tzv. root, a můžete provádět jakékoliv instalace a změny na serveru. Na serveru je vše připraveno, od webserveru, databáze, e-mailů až po monitoring.

Prostudujte naši stránku, kde popisujeme jednotlivá zabezpečení jak na virtuálních serverech, tak na sdíleném webhostingu.

Tipy pro správný výběr webhostingu:

• Nekoukejte na cenu. Na sdíleném hostingu většinou platí, čím dražší, tím lepší.
• Vyberte poskytovatele, který za sebou nemá žádný bezpečnostní skandál.
• Technická podpora je jedním z nejdůležitějších aspektů. Podívejte se na recenze a na to, zda jsou dosažitelní.
• Ujistěte se, že je zálohování v ceně a případně, kolik peněz stojí obnova.
• Jestli nabízí DDoS ochranu na úrovni datacentra nebo HTTPS zdarma.

Zakázat přístup do wp-adminu pomocí geolokace

Málokdy se útok děje za “osobní přítomnosti” útočníka. Ať máte web o jakékoliv velikosti, nemůžete si být nikdy jistý, že vás škodlivý bot nenajde.

Škodliví roboti skenují celý internet a hledají zranitelná místa na všech možných webových stránkách z celého světa. Pokud zjistí, že existuje cesta kolem vaší přihlašovací stránky WordPressu, infikují vaše soubory, dřív než řeknete “To se mi nestane”.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Existuje několik kroků, kterými můžete zajistit, aby byla vaše přihlašovací stránka přesně před tímto druhu útoku v bezpečí.

Jen pamatujte, bez toho aniž byste zablokovali XML-RPC, tak pouhé schování nic nevyřeší. Nebojte, jak zakázat XML-RPC si ukážeme v článku také. Nejjednoduší možnost je zablokovat to na úrovni souboru .htaccess. Krásné příklady uvádí na svém GitHubu machr na bezpečnost Vladimír Smitka z Lynt.cz.

Nainstalujte a správně nastavte bezpečnostní pluginy

Využijte plugin Wordfence

Wordfence má velký počet aktivních instalací, ale není tak často aktualizovaný, jako jiné pluginy. Nicméně, nabízí i tak veškeré bezpečnostní vychytávky jako je:

• WAF,
• 2FA,
• zamaskování přihlašovací stránky,
• vypnutí XML-RPC,
• přehled pokusů o přihlášení,
• zablokování IP adres
• nebo třeba odesílá upozornění, pokud je na webu podezřelý provoz.

Při zakoupení licence získáte navíc možnost monitorovat pokusy o přihlášení na váš web z různých částí světa. Silná je ale i jeho verze zdarma, která vám bude na většinu webů stačit.

Pokud vás zajímá, jaj plugin Wordfence nastavit, aby fungoval co nejlépe, mrkněte na video od Vládi Smitky. Ten na téma bezpečnosti promluvil na pražském WordCampu (2019).

Dobrá alternativa k Wordfence je iThemes security

Dalším oblíbeným pluginem je iThemes, který má přes 1 milion stažení. Nabízí vše potřebné, co všechny ostatní pluginy. Jen prémiová verze je dražší a snaží se přesvědčit možností spravovat více bezpečnosti přímo z vašeho WP dashboardu, kde můžete rovnou zabanovat návštěvníky/roboty. Dočasně poskytnout nějakému uživateli admin/editorská práva, umí nastavit Google reCAPTCHU pro celou stránku a tím vás ochrání proti spammerům a spousty dalších bezpečnostních vychytávek.

Bezpečnostní pluginy robotům výrazně zkomplikují provádění útoků hrubou silou. Pokud nemohou najít vaši stránku k přihlášení, nemají kde testovat hesla.

Vyzkoušet můžete i plugin AIOS (All in one Security), který je také pravidelně aktualizovaný a má přes milion aktivních instalací.

Tip Vládi Smitky: Plugin MalCare

Další ze série bezpečnostních pluginů, které se hodí vyzkoušet je plugin MalCare. MalCare je považovaný za nejrychlejší plugin pro detekci a odstranění škodlivého malwaru (odstraňuje jej pouhým kliknutím). Co umí?

• Skenuje a odstraňuje malware pouhým kliknutím:
  • Díky Cloudovému skeneru hlubokého malwaru.
  • Najde všechny typy malwaru, dokonce i ty složitější.
  • Do 60 sekund malware a veškeré jeho stopy odstraní.
  • Zobrazuje i podrobnosti o napadeném souboru.
  • Nezpomaluje web WordPressu.
• Chrání web:
  • Blokuje hackerské boty už na přihlašovací stránce.
  • Identifikuje a blokuje veškerý škodlivý provoz
  • Umožňuje i blokaci do WP adminu pomocí GEO lokace.
• Snadná instalace a dostupná podpora:
  • Zabezpečení nakonfigurujete jen jednou a už se k němu nemusíte vracet.
  • Rychlá instalace.

Co zvládne bezplatná verze:

1. Cloudové skenování malwaru: Detekuje komplexní malware, což chybělo u jiných oblíbených bezpečnostních pluginů pro WordPress.
2. Má svou vlastní webovou aplikaci Smart firewall: Se kterou máte ochranu pod kontrolou v reálném čase. Blokujte hackery a roboty dříve, než poškodí váš web.
3. Nepřetržitá ochrana proti škodlivému provozu na přihlašovací stránce díky CAPTCHA: Automaticky zabraňuje útokům hrubou silou pomocí Smart Captcha-Based Login Page Protection. 

Za co si musíte připlatit:

1. Prohlížení infikovaných nebo přímo hacknutých souborů: Zjistěte, která šablony, pluginy, soubory či složky napadli hackeři.
2. Okamžité odstranění malwaru: Pomocí MalCare’s 1-Click Cleaner vyčistí napadené stránky okamžitě, za méně než 60 sekund.
3. Doporučená bezpečnostní konfigurace WordPressu: Snadno nakonfiguruje doporučené nejlepší bezpečnostní postupy na pouhý 1 klik přímo z ovládacího panelu. Nejsou potřeba žádné technické znalosti.
4. Blokování na základě geolokace: Omezení přístupu uživatelům na základě jejich geografické polohy. Snadno zablokuje všechny návštěvníky z určitých „nebezpečných“ zemí.
5. Sledování dostupnosti webu: MalCare neustále monitoruje web. Zajistí, že vám neunikne žádný výpadek.
6. Okamžitě dostupná podpora prostřednictvím e-mailu nebo chatu.

Mrkněte na oficiální stránky WordPressu, kde máte funkce pluginu podrobně popsané.

Plugin Sucuri

Plugin Sucuri je další ze super bezpečnostních pluginů. Funguje v podstatě dvojím způsobem. Buď jako placená služba, podobně jako Cloudflare nebo jako samostatný bezpečnostní plugin. Se Sucuri je veškerý provoz webu nasměrovaný přímo na ně, má cloudproxy firewall, který kontroluje veškerý provoz před odesláním na hostingový server. Tak odfiltruje veškeré škodlivé požadavky nebo malware útoky ještě dřív, než se vůbec uskuteční.

Pro WordPress nabízí plugin zdarma, který si můžete nainstalovat a který chrání webové stránky před malwarem a hackery. Vytváří několik ochranných vrstev, které chrání web před bezpečnostními hrozbami.

Jak plugin Sucuri nastavit popsal Tomáš Cirkl na svém fóru WP Lama.

Používejte správce hesel

Pokud jde o hesla, existují dvě hlavní pravidla:

• Zkontrolujte, zda jsou hesla dostatečně dlouhá a obsahují různé znaky.
• Nepoužívejte stejné heslo pro více než jeden účet najednou.

Jenže to určitě znáte. Lenost a pohodlí vždy vyhraje nad logikou a bezpečností. Proto existují správci hesel, kteří nám ta 2 nejdůležitější pravidla vyřeší za nás.

1Password, Bitwarden nebo Microsoft Authenticator (ke stažení pro Android a pro Apple) jsou jedny z nejlepších správců hesel na trhu. Pomohou vám vytvářet a ukládat složitá hesla pro všechny vaše účty i aplikace. Čistě pro přihlašování na web pomohou i samozřejmě implementovaní správci hesel přímo v prohlížeči Chrome nebo Firefox.

Jediné, co si musíte zapamatovat, je silné a bezpečné heslo ke správci hesel – o zbytek bude postaráno.

Pokročilejší uživatelé by mohli zvážit i hashování hesel pomocí metody bcrypt.

Povolte dvoufaktorové ověřování (volitelné)

Můžete mít super dlouhé a složité heslo, ale pokud to je jediná obrana mezi vašimi daty a útočníkem, tak to nemusí stačit. Stačí jeden povedený phishing útok či sociální inženýrství, a heslo je odcizené.

Dvoufaktorové ověřování zahrnuje propojení vašeho telefonu nebo jiného zařízení s vaším WordPressem, takže bez zadání jedinečného kódu, který se mění každých 10 vteřin se není možné přihlásit.

Můžeme k tomu využít bezpečnostní plugin Wordfence využívající 2FA aplikace, které umožňují:

• Jako jedny z nejbezpečnějších forem vzdáleného ověřování systému, jsou k dispozici prostřednictvím jakékoli aplikace nebo služby autentizace založené na TOTP.
• Využívat přihlašovací stránku CAPTCHA bránící botům v přihlašování.
• Zakázat nebo přidat 2FA do XML-RPC.

Jednoduše jej nastavíte pro každý ze svých uživatelských účtů a pokaždé, když se někdo dostane přes obrazovku s uživatelským jménem a heslem, bude požádán, aby otevřel aplikaci a zadal bezpečnostní kód.

Díky tomu je téměř nemožné, aby se hackeři dostali na váš web bez přístupu k vašemu uživatelskému jménu, heslu a zároveň k vašemu mobilnímu zařízení.

Další bezpečnostní tipy:

• Vytvořte jedinečná hesla pro každý WP účet. To pomůže s identifikací „viníka“ pokud bude vaše heslo prolomeno.
• Nastavte záložní e-mailovou adresu pro případ, že ztratíte mobilní zařízení.
• Pokud zapomenete svou maskovanou přihlašovací URL adresu, můžete ji najít v databázi.

Zvažte využití HW klíče (U2F)

Jak napovídá název, nejde ani tak o program, ale přímo o hmatatelného pomocníka, se kterým zjednodušíte a zároveň posílíte dvoufázové ověření. Zpravidla jde o speciální USB nebo NFC zařízení (bezdrátovou technologii umožňující rychlou a zabezpečenou výměnu dat ve vzdálenosti do 4 cm) s bezpečnostním čipem.

Bezpečnostní klíče fungují podobně jako čipové karty. Například podobně jako ty, co otvírají dveře hotelového pokoje, kanceláře, laboratoře nebo jim podobné. Karta s čipem v tu chvíli funguje v podstatě jako klíč.

Podstatou hardwarového klíče je, že pro přihlášení k účtům, datům a k jiným citlivým souborům, je nutné použít vedle přihlašovacího hesla zároveň onen hardwarový klíč.

Nastavte WAF (Web Application Firewall)

Firewall webové aplikace (WAF) je speciální typ brány firewall, který nastavuje definovaná pravidla za účelem ochrany webové aplikace před útoky.

Všechny příchozí požadavky a odpovědi webového serveru jsou kontrolovány tímto firewallem. Monitoruje, filtruje a blokuje nežádoucí provoz a chrání váš web před hackery a jiným škodlivým provozem.

WAF je jednoduše prostředníkem mezi webovou aplikací a klientem.

Obvykle se WAF používá proti útokům, pro které tradiční řešení neposkytují ochranu, jako je skriptování napříč weby a SQL injection, ale lze jej také použít k ochraně před nelegálním přístupem k prostředkům – například únosem tzv. sessions.

Plugin Wordfence má v sobě tento firewall implementovaný, plugin je sám o sobě spolehlivý a jeho použití je zdarma. Nastavení firewall se provádí již v základní konfiguraci pluginu.

Zvažte použití pluginů pro zálohování

Rychlý fakt: počítače nezapomínají.

Ať už jde o zálohování vašeho webu nebo aktualizaci vašich pluginů, nic není tak spolehlivé jako automatizovaný proces. Náš WordPress hosting automaticky aktualizuje váš WordPress vždy na nejnovější verzi.

Automatické zálohy pomocí pluginu

Samozřejmě plán A je vyhnout se hacknutí vašeho webu. Ovšem vždy je dobré počítat s tím nejhorším, a tady přichází na řadu plán B. Zálohy. Bez nich by bylo všechno složitější, či dokonce neřešitelné. Také se může stát, že aktualizace nebo nechtěný zásah poškodí vaši webovou prezentaci.

Pluginů na zálohy je velká spousta, tak si stači otestovat a vybrat ten pravý. Některé jsou zdarma, jiné zase mají měsíční nebo jednorázový poplatek.

• UpdraftPlus – Zálohuje přes 2 miliony stránek a jedno z nejoblíbenějších řešení má placenou, ale i verzi zdarma, která toho umí dost.
• BackupBuddy – Nejoblíbenější prémiový plugin. Jeho cena je momentálně akčních 80 USD za jednu licenci. Co umí? Jednoduše nastavuje automatické zálohy, které můžete ukládat na Dropbox, FTP nebo i na e-mail.
• BackWPup – Další řešení, které má placený i free plán a zálohuje více jak 600 tisíc webů na WordPressu.

Pluginů na zálohování je opravdu dost, tak jich stačí pár otestovat a kde vám bude vyhovovat cena/výkon, tak ten využívat na všech vašich stránkách.

Zvažte použití CDN

Nejjednodušší ochranou je „schovat“ svůj web za CDN, jako je například Cloudflare. Ten nabízí ochranu proti DDoS útokům i ve svém free tarifu. Na našem WordPress hostingu máme DDoS ochranu řešenou na úrovni celého datacentra.

Jak jsme zmiňovali o kus výš. Další možností je využití služby Sucuri. Sucuri má cloudproxy firewall, který kontroluje veškerý provoz před odesláním na hostingový server. Tak odfiltruje veškeré škodlivé požadavky nebo malware útoky ještě dřív, než se vůbec uskuteční.

Díky Sucuri CDN jsou navíc webové stránky rychlejší a výkonnější.

Nastavte na webu HTTPS

SSL certifikát ověří správnost údajů uvedené v souboru a ujistí vás, že jste tam, kam jste se chtěli dostat. To pomáhá předcházet spoofingu domény a dalším podobným útokům.

Připojení, které zahrnuje certifikát SSL, je důvěryhodnější, bezpečnější a dává zákazníkovi mnohem lepší dojem.

V dnešní době už není těžké certifikát získat. Dokonce to je většinou na jeden klik a ještě zdarma, díky certifikační autoritě Let’s Encrypt.

Zjistěte u svého poskytovatele webhostingu, jestli takový certifikát nabízí. U nás je už vygenerujeme automaticky pro každý webhosting. Jediné co stačí udělat, je přesměrovat HTTP na HTTPS. Pomůže naše nápověda, jak nastavit HTTPS krok za krokem.

Pokud vás problematika SSL zajímá, doporučujeme přečíst i podrobného průvodce od Vládi Smitky.

Nastavte správné přesměrování

Pokud někdo vytváří odkazy na vaše obrázky, používá obrázek na vašem serveru, což znamená, že jeho návštěvníci získávají výhody obrázku, ale váš server vyřídí požadavek uživatele, který ani není na vašem webu.

Nejen, že je to považováno za neetické, ale to může server velmi zatěžovat, což způsobí problémy vašemu webu a může to vést k dalším nákladům.

Existuje několik způsobů, jak zabezpečit vaše obrázky, jedním z nejjednodušších je přidání fragmentu kódu do souboru .htaccess.

Tento kód zajistí, že vaše obrázky budou moci zobrazit pouze určité webové stránky. Můžete určit jednotlivé weby.

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?youtube.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ - [F]

Zabraňte spamu

Spamové komentáře na webu nejen, že jsou frustrující, mohou také představovat určité bezpečnostní riziko. Mnoho spamových komentářů obsahuje škodlivé odkazy v naději, že přimějí vaše návštěvníky k zadání svých osobních údajů.

Pokud vás zasáhne spamová vlna, máte dvě možnosti:

1. úplně vypnout komentáře,
2. nebo nainstalovat plugin proti spamu.

Pokud zvolíte druhou možnost, může být plugin Akismet právě tím, co potřebujete. Akismet bychom doporučovali nainstalovat i když žádná spamová kampaň na váš web zrovna neběží. Dřív nebo později to potká každý web. Proti spamu jsou dobré i další pluginy:

• WP Armour,
• Email encoder,
• Zmiňovaný Akismet, který může být zdarma lze si zvolit cenu, kterou chcete tento plugin podpořit. Může to být tedy buď za 0 USD, ale i víc.

Ještě lepší je, že reCaptcha je zabudovaná v pluginu Defender a bude chránit nativní funkce WordPressu, jako je vaše přihlašovací stránka a komentáře blogu.

Nastavte uptime monitoring (kontroluje dostupnost webu)

Když často pracujete na WordPressu a jste zvyklí listovat mezi několika obrazovkami, je jisté, že některé věci vám proklouznou. Například, pokud se web špatně přesměrovává nebo, když se na něm jednoduše něco pokazí. Proto je fajn nechat hlídání dostupnosti webu na některé z aplikací či pluginů. Existuje spousta dostupných free nástrojů, které řeší monitoring za vás, my doporučujeme:

• Hetrix tools,
• Freshping,
• Uptime robot.

To neplatí jenom pro uživatele ve WordPressu, ale také pro účty na FTP nebo SSH.

Zvažte statické stránky

Pokud provozujete web, který vyžaduje malou interakci s uživatelem, jako je třeba jenom kontaktní formulář a je zamýšlen spíše ke sdílení informací, než s jejich interakci, tak si ušetříte spousty starostí pokud budete mít jednoduchý statický web.

Chcete-li to provést, musíte vytvořit kopie svých souborů a seskupit je do přehledného souboru ZIP, který lze uložit na vašem serveru. To znamená, že vaši aktuální instalaci WordPressu lze bezpečně skrýt mimo dosah robotů a útočníků.

Pro mnoho webů to není správná trasa, ale pokud si ji chcete prohlédnout, vyzkoušejte služby jako Strattic nebo Simply Static. Díky kterým web převede na statický web na jeden klik.

Vladimír Smitka doporučuje ještě WP2Static, který vyvíjí Leon Stafford a na Patreonu ho můžete ve vývoji podpořit.

Je to nejbezpečnější způsob, jak se bránit škodlivým útokům. Simply static nebude dělat žádné změny vašeho WordPressu a akci můžete kdykoliv vrátit.

Hlídejte si aktualizace

WordPress je open source systém (otevřený software), který je pravidelně udržovaný a aktualizovaný. A právě aktualizace jsou pro bezpečnost a stabilitu vašeho WordPress webu zásadní. Web jednoduše řečeno udržují “v kondici”. Často totiž obsahují různé záplaty pro bezchybný chod webu.

Je tedy dobré se vždy ujistit, že “střeva” vašeho WordPressu, nainstalované pluginy a šablony jsou v aktuální verzi.

Výhodou je, že WordPress vás na dostupné aktualizace vždy upozorní. Ty nové najdete vždy v levém panelu pod Nástěnkou (Dashboard) v Aktualizace:

O bezpečnosti na WordPressu si můžete přečíst víc přímo v našem článku.

Jistota je jistota

Víme, že implementace tolika různých kroků může vypadat jako zdlouhavá práce, ale naštěstí, jakmile většinu z nich odškrtnete ze svého seznamu, postarají se už sami o sebe.

Pluginy běží tiše na pozadí a dělají za vás nudnou práci, takže jakmile nastavíte veškeré zabezpečení pro svůj nový web, nemělo by to vyžadovat příliš mnoho manuálního zadávání.

Udělejte si čas na implementaci správných bezpečnostních postupů pro svůj web a doufejme, že už nikdy nebudete muset čelit frustraci útoků na vašem webu a přejeme si, abyste přijali preventivní opatření co nejdříve.

Checklist od Freelo.cz

Každý krok si můžete zaškrtnout v nové šabloně od Freela. Stačí mít otevřený tento článek, Google a Freelo a za pár dní nenamáhavé práce máte hotovo. 🙂

Povolte přístup do administrace pouze z vaší VPN

Co k tomu potřebujete? Stačí mít statickou IP adresu a přístup k .htaccess. Statické IP adresy můžete dosáhnout instalací OpenVPN. Nejedná se o náročnou aplikaci, takže si jí klidně můžete nainstalovat na menší VPS k vašim webům. Jakmile máte statickou IP adresu, tak nám stačí do .htaccessu v hlavní složce /www přidat tyto řádky:

#Jak první je potřeba mít nahoře řádky s vynucením SSL
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]

Už nám zbývá pouze poslední krok. Zabezpečily jsme přihlašovací stránku pro WordPress, ale musíme se ujistit, že ani do administrátorského prostředí se bez whitelistované IP adresy nikdo pohybovat nebude. Musíme tedy ještě do /wp-admin/.htaccess a přidat tam:

Order Deny,Allow
Deny from all

# Povolit IP adresu vaší VPN
allow from 1.2.3.4
 
#Povolit statickou IP adresu v kanceláři
allow from 1.2.3.5

#Přesměruje neúspěšné loginy, kam budete chtít.
ErrorDocument 403 https://giphy.com/search/trolled

A je hotovo! Máte WordPress zase o něco bezpečnější!

(zdroj: https://premium.wpmudev.org/blog/checklist-for-securing-wordpress-site/)