Vláďa Smitka je čistě a bez obalu machr na bezpečnost. Umí hrát jak na straně policajtů, tak i zlodějů. Naštěstí se ale vždycky přiklání na světlou stranu síly. Prostě se v tom vyzná.
A ještě aby ne. Jednak bezpečnost miluje, dokáže o ní mluvit hodiny (což dokazuje i fakt, že půlhodinový rozhovor jsme natáhli na hodinu :-)) a zároveň má dost technických znalostí a zkušeností, kterými dokáže každého hackera hravě strčit do kapsy.
My s ním probrali vše od úplných základů zabezpečeného webu, až po bezpečné chování na internetu. Prošly se témata, které využijí jak začátečníci, tak pokročilejší uživatelé (nejen) WordPress webů.
Kdo je Vláďa Smitka
Kolem správy webů a serverů se začal pohybovat kolem roku 2001. Sám přiznal, že tehdy i on sám dělal spousty chyb, které dnes nachází, když zkoumá weby ostatních webotvůrců. Pro technické zpracování webů dokonce dělal porotce v soutěži WebTop100, kde byl garantem v oblasti bezpečnosti. A něco z toho mu zůstalo dodnes. Nekoupí si ani kartáček na zuby, aniž by nepřišel na chyby, které má firma na svém webu.
Za svojí kariéru jsem ve skutečnosti našel víc zranitelností v custom řešeních než v samotným WordPressu nebo jeho pluginech. Když vám někdo dělá web, je to určitá závislost na třetí straně. Nevíte, jaké má procesy, nevíte ani jestli to udělají dobře. Ale za open source projektem, jako je právě WordPress, stojí obrovská komunita lidí, která se o to snaží pravidelně starat.
Největší chyba začátečníka? Nepřepálit start!
Podle Vládi začátečníci často přeceňují své schopnosti. Hned chtějí dělat klientské weby, aniž by věděli, jak se o ně starat.
Mnoho lidí má tendenci skočit rovnýma nohama do vody – hned chtějí vytvářet složité weby pro klienty, instalovat desítky pluginů a používat rozšířené nástroje, jako je například Elementor.
To je však recept na katastrofu. Jako nejlepší doporučuje, začít na něčem malém, experimentovat a postupně si své znalosti budovat.
Když začnete velkolepě, můžete narazit na problémy, které nebudete umět vyřešit.
A zároveň dodává:
Míň je vždy víc. Nesnažte se nacpat do webu všechno, co se nabízí. Před každou instalací pluginu si rozmyslete, zda je opravdu nutný, a hlavně si zkontrolujte jeho kvalitu.
Jak poznat kvalitní plugin? Mrkněte na hitparádu nejlepších pluginů pro WordPress.
Svatá trojice bezpečnosti: Hosting, hesla a aktualizace
Bezpečnost webu začíná už při výběru hostingu. Zde je klíčové se zaměřit na kvalitní řešení a vybírat hosting, který zajišťuje izolaci webů, SSL certifikát by měl být samozřejmostí, radí Vláďa Smitka.
Zapomeňte na plány za pár korun, kde můžete hostovat stovky webů. Takové řešení je bezpečnostní noční můra. Když jeden web napadnou, může to zasáhnout i všechny ostatní.
Hesla nejsou pouhá formalita
Dalším zásadním pilířem jsou bezpečná hesla. Slabá hesla jsou jedním z nejčastějších důvodů úspěšných útoků. Proto používejte správce hesel, ideálně Bitwarden, Lastpass nebo Microsoft Authenticator, a generujte dlouhá a složitá hesla.
Nejhorší, co můžete udělat, je používat jedno heslo všude. Útočníci se při úniku dat okamžitě snaží hesla uplatnit i na dalších službách.
Vláďa Smitka
Jedním z častých mýtů je, že změnou adresy přihlašovací stránky WordPressu (wp-admin) zvýšíte bezpečnost webu. jde ale spíš o falešný pocit bezpečí. Důležitější je silné heslo a dvoufázové ověření.
Aktualizace jsou alfou a omegou bezpečnosti
Slovo „aktualizace“ zaznělo během rozhovoru snad stokrát – a není se čemu divit. Neaktuální web je jako otevřená brána pro útočníky. Ať už jde o jádro WordPressu, šablony nebo pluginy, všechno musí být pravidelně aktualizované. Každá aktualizace totiž s sebou nese opravy zranitelných míst.
Pokud spravujete více webů najednou, Vláďa doporučuje využívat nástroje, které vám s monitoringem a správou pomohou.
Updaty, updaty, updaty! Musíte je dělat pravidelně. Jeden web si zkontrolujete ručně, ale pokud jich máte více, použijte nástroje jako MainWP nebo ManageWP.
Kromě toho je nutné se věnovat i sledování neaktuálních nebo „opuštěných“ pluginů:
WordPress vám neřekne, že váš plugin už nikdo neaktualizuje, a to může být zásadní bezpečnostní riziko.
Zálohy, vaše pojistka proti katastrofě
Pokud na webu něco selže, mít po ruce čerstvou zálohu je k nezaplacení. Proto se ujistěte, že máte zálohování pořešené. Zálohování by měl řešit jak dodavatel hostingu, tak i vy sami. Pokud nevíte, jak na to, nástroje jako UpdraftPlus vám s tím mohou pomoci.
Vždy se ujistěte, že váš hosting zálohy opravdu dělá – a že je umí obnovit. Mít další zálohu někde v cloudu, třeba na Google Drive, je vždy rozumný nápad.
Zálohování je klíčové nejen pro obnovu webu, ale také pro analýzu toho, co se pokazilo. „Mějte jistotu, že můžete web kdykoli obnovit do poslední funkční verze,“ doplňuje Vláďa Smitka.
Bezpečnostní plugin? Wordfence je sázka na jistotu
Mít web bez bezpečnostního pluginu je vždy risk. Vláďa doporučuje především plugin Wordfence, který v sobě kombinuje firewall, malware skener a dvoufázové ověření a který je skvělou volbou právě pro začínající uživatele.
Wordfence sice může lehce zpomalit web, ale jeho ochrana je výborná.
Další možností je WP Cerber, který je lehčí a stále poskytuje solidní základ ochrany. Ale pozor: žádný bezpečnostní plugin není samospasný.
Není to jen o instalaci pluginu, ale o tom mít zdravý přístup k celkovému zabezpečení webu.
A dále varuje před pocitem falešného bezpečí: Placený plugin neznamená nutně bezpečný plugin. Většina z nich totiž neprochází dostatečnou kontrolou. Proto buďte při výběru obezřetní.
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Co dělat, když váš web napadnou?
Napadení webu může být noční můra, ale panika není na místě. První krok? Web okamžitě odstavit, aby se infekce nešířila dál. Následně je potřeba provést důkladnou forenzní analýzu – projít logy, zjistit, jak se útočník dostal dovnitř, a obnovit data ze zálohy.
Mnoho lidí si myslí, že stačí smazat škodlivé soubory, ale tím to nekončí. Pokud nebyla odstraněna příčina, web bude napaden znovu.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
Elementor – láska i prokletí WordPressu?
Na otázku, jaký page builder Vláďa doporučuje, zazněla velmi jasná odpověď:
Elementor? Nemám ho rád. Proč? Protože často vede k „pluginovému chaosu“.
Uživatelé se totiž často snaží přidat co nejvíc funkcí pomocí různých rozšíření. Výsledkem je pak pomalý, těžkopádný web s bezpečnostními riziky.
Naopak doporučuje alternativy jako Bricks, Oxygen nebo Breakdance, které generují kvalitnější kód a jsou vhodnější pro dlouhodobou správu.
Stačí dodržovat pár zásad a váš web bude v bezpečí
Na závěr jsme se našeho hosta zeptali na klíčový checklist pro každého, kdo chce v noci klidně spát a mít svůj WordPress web v bezpečí:
- Správný výběr hostingu – Nešetřete, vyberte kvalitně.
- Silná hesla – používejte správce hesel.
- Dvoufázová autentizace – Kdekoliv je možná.
- Pravidelné aktualizace – Pluginy, šablony i core WordPressu, vše musí být aktuální.
- Bezpečnostní plugin – Ideálně vybírejte mezi Wordfence nebo WP Cerber.
- Zálohování – ověřte, že ty u hostingu fungují správně a jsou kdykoliv dostupné + mějte vlastní nezávislé zálohy.
- Výběr pluginů – Méně je více. Používejte jen ty ověřené.
- Průřez uživatelských rolí – Nepřidělujte zbytečně admin práva někomu, kdo je nepotřebuje. Staré a neaktivní účty mažte. Aktivitu na webu můžete sledovat pomocí pluginů Activity Log a Simple history.
WordPress je skvělý nástroj, ale stejně jako každé digitální řešení, vyžaduje péči. Náš rozhovor Vláďa uzavřel myšlenkou:
Základem je přistupovat k webu jako k živému organismu – průběžně ho kontrolujte, aktualizujte a starejte se o něj s respektem.
Chcete se dozvědět víc?
- Sledujte blog Vládi: smitka.me.
- Kde se vzdělávat o bezpečnosti – Wordfence blog, Patchstack blog, Bleeping computers, The Admin bar
🎧 Nebo si pusťte celý záznam rozhovoru na Spotify, stojí to za to:
