Zabezpečení WordPressu

Vzhledem k popularitě opensourcového CMS WordPress ze strany uživatelů a tím pádem i hackerů je zcela nezbytné mít svou instalaci alespoň přiměřeně zabezpečenou a vždy v nejaktuálnější verzi.

Druhé zmíněné je velice důležité, neboť po vydání opravné verze, která řeší libovolný bezpečnostní problém, je opravdu velice snadné zjistit kde byl problém a jak jej zneužít na nezaktualizovaných instalacích.

Základní zabezpečení instalace naopak odradí velkou část automatizovaných útoků které se spoléhají na základní nastavení a umístění souborů.

Základní zabezpečení instalace

Výběr hostingu

Pokud máte možnost a na stránce vám záleží, volte kvalitní nesdílený hosting. Hosting by měl mít rozumné limity na běh PHP aplikací a měl by mít možnost růst podle vašich potřeb. Při výběru hostingu se též informujte zda je možné pro doménu zřídit SSL certifikát. Pokud jej není potřeba a klientské části tak jej zcela jistě můžete použít při přístupu do administrace.

Kroky při instalaci

Pokud si WordPress instalujete sami a od začátku, zaměřte se hlavně na změnu jména administrativního uživatele. Pokud útočník ví, že na systému existuje uživatel admin (výchozí nastavení), stačí už uhodnout jen heslo. Heslo volte složité, neobvyklé a pestré na znaky. Další krok je změna prefix databáze. Po úspěšné instalaci by bylo vhodné upravit ID administrátora a posunout adekvátně číslování tabulky wp-users.

Kroky po instalaci

Jak máme systém nainstalován je třeba odebrat nějaké soubory, které nejsou nyní třeba, ale mohou pomoci útočnikovi. Přidejte nějaký unikátní kus textu například install-342.php

Mezi takové soubory patří například:

  • wp-admin/install.php
  • wp-admin/install.php
  • readme.html

Další důležité kroky jsou schování konkrétní verze vašeho WordPressu, nastavení unikátních klíčů pro generování session a podobně.
Určitě je vhodné přesunout na jiné umístění soubor wp-config.php, který obsahuje cilitvé informace.

Nastavení některých vlastností PHP a APACHE

Po základních krocích zabezpečení je ještě nutné zkontrolovat správné nastavení PHP jako je zobrazování chyb, možnost zasílat include, posílání verze PHP v hlavičce. Je možné že tyto vlastnosti nebudete moci měnit je to dáno především hostingovou společností. Další část zabezpečení spočívá v ošetření přístupu do složky wp-admin pomocí souboru .htaccess a to tak že buď kontroluje IP adresu což je více bezpečné nebo zobrazí informaci na zadání hesla méně bezpečné, ale automatizované útoky to odradí – nebo alespoň výrazně zpomalí.

Instalace pluginů a schémat

Po instalaci WordPressu je další krok většiny uživatelů stahování pluginů, které rozšiřují funkcionalitu a hledání nejlépe free šablon, aby jejich web vypadal hezky. Při této aktivitě dávejte přednost ověřeným pluginům, s velkým počtem stažení. Podívejte se na stránky vývojářů a jejich aktivitu. Co se týče schémat i zde platí berte od prověřených studií. Špatně napsaná šablona je velké bezpečnostní riziko. Pozor na šablony používající TimThumb knihovnu. Ta obecně není bezpečná a celá řada automatizovaných útoků toho zneužívá.

Průběžná údržba

Po úspěšné instalaci, zabezpečení a doladění pluginů a vzhledu je stále třeba se stránce po technické úrovni věnovat. Je třeba stránku zálohovat a to včetně databáze jedině tak je možné ji během chvíle obnovit do funkčního stavu. Ideální je pokud toto zajišťuje dodavatel vašich stránek v rámci nějakého provozního balíčku. Systém je třeba neustále aktualizovat a hlídat, že vše funguje jak má. V případě problémů s aktualizací balíčku je třeba problém řešit (například nová verze může vyžadovat jiné technologie). Je vhodné nad stránkou spouštět služby, které detekují nechtěný malware, který by mohl vaše stránky zneužívat.

Potřebujete provést zabezpečení WordPress a nevíte si rady? Kontaktujte nás.

O autorovi

Jakub Frieb

Jakub Frieb

Specializuji se na PHP, OpenSource platformy a webové aplikace nad ZendFramework a implementace platebních bran.

Podobné články

5.9.2013

12 trendů tvorby webových stránek v roce 2013

 Vzhledem k tomu, že je půlka roku za námi, je na čase podívat na trendy pro webové stránky na rok 2013. Jsou tady ú…
číst více
3.1.2015

Světové trendy ve webdesignu v roce 2014

Víte jaké byly v roce 2014 trendy ve webdesignu? Kdo je vlastně schopný říci jaké jsou trendy?
číst více
20.7.2016

Facebook Instant Articles (FBIA)

  O AMP webech jste se u nás již mohli dočíst, ale slyšeli jste o Facebook Instant Articles (FBIA)? Další z…
číst více