WordPress ako open source platforma patrí medzi najrozšírenejšie systémy na správu webových stránok. Za týmto systémom stojí obrovská komunita ľudí a programátorov, ktorí neustále vytvárajú nové rozšírenia a vylepšenia. Tieto vylepšenia však nemusia stále spĺňať všetky bezpečnostné opatrenia, dokonca môžu zámerne otvárať cestu k vašim citlivým informáciám na webe. V tomto článku sa pozrieme na bezpečnosť WordPress stránok.
Prinášame 10 užitočných rád, ako prispieť k vyššej miere bezpečnosti vašej stránky:
Základné odporúčania:
1. Hosting
Často krát zanedbávaná základná vec pri tvorbe webu je práve hosting. Správne zvolený hosting nielenže pomôže chrániť webové sídlo, ale navyše môže pri prípadnom útoku vďaka zálohám webu pomôcť obnoviť web do pôvodného stavu. Váš hosting by mal určite podporovať možnosť pridať SSL certifikát, ktorý pomáha šifrovať napríklad spojenie medzi serverom a prehliadačom. Ďalším dôležitým faktorom môže byť aj užívateľská podpora, pretože, keď zrazu stránka nefunguje a vy ste skúsili už všetko čo je vo vašich silách, rada odborníka je cenená nad zlato.
2. SFTP namiesto FTP
Pomocou FTP sa k súborom stránky pripájate v nezašifrovanej forme, preto je dobré využiť šifrované pripojenie SFTP (šifrované pomocou SSH) prípadne FTPS (šifrované pomocou SSL/TSL). Nie všetky hostingy však ponúkajú možnosť SFTP, ale mala by byť dostupná aspoň možnosť FTPS.
3. Unikátny prefix tabuliek v databáze
WordPress používa predvolene prefix wp_ pre všetky tabuľky v databáze pripojené k webu. Tento základný prefix však poznajú všetci, ktorí sa snažia spraviť vám na webe škodu. Pri inštalácii si však môžete zvoliť vlastný prefix tabuľky podľa seba a lepšie sa proti nim brániť napr.: mw_.
4. Unikátne užívateľské meno administrátora
Základné užívateľské meno administrátora, ktoré za vás vyplní WordPress je admin. To je však aj prvá voľba nebezpečných automatizovaných robotov, ktoré majú za úlohu zistiť vaše prihlasovacie údaje. Odporúčame preto toto užívateľské meno zmeniť. Fantázii sa medze nekladú môžete použiť aj kombináciu malých a veľkých písmen, čísla prípadne znaky… Pozor však na voľbu užívateľského mena totožného s menom domény, je to totiž hneď ďalšia voľba útočníkov.
5. Silné heslo
Hoci je silné heslo samozrejmá voľba, veľmi často sa v praxi stretávame práve s heslami ako: 1234, heslo123 a podobne. Pri hesle platí čím ťažšie zapamätateľné tým lepšie. Znovu tu platí, že môžete využiť pestrú škálu písmen, čísel a znakov prípadne využiť napríklad generátor silných hesiel. Silné heslo by mohlo vypadať napríklad takto: mW*5+B6!t^8T. Ak sa bojíte, že si ho nezapamätáte, nie je to dôvod použiť slabé heslo. Heslo si môžete poznačiť , prípadne zvoliť heslo ktoré sa dá ľahšie zapamätať napr.: m0dernÉweb5tr@nky. Ak by ste heslo zabudli, môžete stále využiť možnosť obnovenia, takže sa použitia silného hesla netreba báť.
Pokročilé odporúčania:
6. Obmedzené práva
Častou chybou sa býva aj nesprávne nastavenie práv k súborom. Hlavne pre jednoduchšie a rýchlejšie nastavenie programátori jednoducho nastavia na všetky súbory a zložky práva 777 čo znamená, že každý užívateľ má práva read, write a execute. Odporúčané nastavenia sú však 775 pre zložky a 644 pre súbory.
7. Unikátny prihlasovací link
Vráťme sa k predvoleným nastaveniam WordPressu. Každý predsa vie, že do administračného prostredia stránky sa prihlási cez link /wp-admin. Ale okrem nás to vedia aj potenciálni útočníci na stránku, vhodnými nástrojmi vieme tento prihlasovací odkaz zmeniť na nami požadovaný napr.: moderewebstranky.sk/administracia.
8. Obmedzenie pokusov o prihlásenie
Automatizovaný softvér dokáže uskutočniť aj stovku prihlásení za jednu minútu stále s inými prihlasovacími údajmi a takto sa snaží zistiť naše prihlasovacie údaje. Tomuto však môžeme zamedziť nastavením maximálneho počtu pokusov o prihlásenie v priebehu nami zvoleného časového obdobia. Napríklad nastavíme, že užívateľ (alebo robot) má v priebehu minúty len 3 pokusy na prihlásenie. Ak všetky tieto pokusy o prihlásenie budú neúspešné zablokujeme IP, z ktorej tieto pokusy prichádzali na určitý čas.
9. Si človek?
Už niekoľko krát sme spomínali, že na stránky sa snažia dostať aj programy, roboti, skripty, vírusy generovaním a následným skúšaním prihlasovacích údajov. Ďalším spôsobom ako tomu zamedziť je využiť captcha ochranu. Odpísaním kódu z obrázku, vypočítaním príkladu alebo inou metódou prípadne ich kombináciou dokáže užívateľ, že je človek a nie robot.
10. Ešte raz záloha
Vrátime sa k zálohovaniu, ktoré sme načrtli už v prvom bode. Ak sa nebudeme riadiť základnými bezpečnostnými odporúčaniami je tento bod o to dôležitejší. Keď sa už po útoku na web nevieme pohnúť ďalej a celý web sa nám rúca, vtedy je jedinou možnosťou nahrať súbory a databázu zo zálohy. Nepodceňujme preto možnosti automatických záloh, ktoré ponúkajú niektoré hostingové spoločnosti manuálne zálohy, ktoré si vieme spraviť aj sami.
Odporúčané rozšírenia
Pokročilé odporúčania je možné nastaviť rozšírením All In One WP Security & Firewall, okrem toho obsahuje ešte množstvo ďalších možností ako zvýšiť bezpečnosť wordpress stránok a taktiež ponúka možnosť ochrany Firewallom.