Obsah článku
WordPress je skvělý systém pro jakýkoliv web. Ale jako u každého webu je potřeba se o něj dobře starat a mít ho zabezpečený.
Možná si říkáte, že zabezpečovat svůj web vlastně nemusíte, nejste banka a vaše firmička žádné zlé hochy nezajímá. Máte pravdu, že na drtivé většině webů se nic zajímavého ukrást nedá a u většiny z nich si nikdo nevšimne ani toho, když hacker změní obsah titulní stránky.
Jenže je tu ještě jedno hledisko – nezabezpečený web se může stát zdrojem nákazy pro vaše návštěvníky a to vám na reputaci moc nepřidá. Nejprve bude web šířit malware bez povšimnutí a až si toho všimne Google, začne vašim návštěvníkům zobrazovat hlášení, že jdou na nebezpečný web a že jim to nedoporučuje. To asi nechcete, že?
Nemusíte být expert na bezpečnost, tím nejsem koneckonců ani já, ale následujícími třemi kroky zvednete zabezpečení svého WordPressu řádově. A zvládne to i laik.
Poznámka na okraj: používám dva bezpečnostní pluginy, které se možná trochu dublují, ale zároveň každý řeší i trochu jiné věci. Už několikrát jsem se snažil vybrat jen jeden, ale nikdy jsem se nedobral k jasnému výsledku, tak mám dva a cítím se bezpečněji 🙂
UPDATE 13.7.2020: postupem času jsem se dopracoval k používání Wordfence a nejen proto, že iThemes údajně v minulosti blokoval robota Seznamu.
Plugin Wordfence
Ihned po instalaci vám Wordfence nabídne kontrolu webu a následně i pomůže s opravou nalezených bezpečnostních problémů. Dále už web scanuje pravidelně a upozorní vás vždy, když se mu zdá, že se děje něco nekalého.
Dále plugin obsahuje firewall, který aktivně blokuje přístupy vypadající podezřele – s velkou pravděpodobností jde o útoky. Při jeho zapnutí vás občas může překvapit v administraci webu hlášení, že nějakou akci nelze provést a zda ji chcete opravdu udělat. Když ji ale povolíte, bude povolena už navždy.
Wordfence také aktivně blokuje IP adresy, které se nechovají tak, jak by se slušelo. Například pokud se čínská IP adresa snaží 50x za minutu přihlásit do administrace webu, není to úplně košer a Wordfence ji zablokuje. Adresy na blacklist můžete přidávat i ručně.
Užitečné je i to, že vás upozorňuje na nutnost aktualizace pluginů. Neaktualizované pluginy jsou zdrojem potenciálních problémů.
Hezká hračka je live přehled o tom, kdo se vám po webu pohybuje a zda je to robot, člověk nebo zlý hoch.
Na pluginu je nejlepší asi to, že i bez hlubokých znalostí o internetové bezpečnosti si s ním rozumně zabezpečíte WordPress už jen jeho aktivací a následováním několika základních instrukcí. Pokud problematice rozumíte více, můžete se ponořit do detailních nastavení.
Plugin iThemes security
Část věcí dělá iThemes duplicitně s Wordfence – také blokuje nechtěné uživatele, chrání vás před útoky hrubou silou a podobně. I v něm je scan webu, který vás upozorní na slabá místa vašeho nastavení a nabídne řešení.
Navíc má pro mě dvě užitečné věci:
- položka Hide Backend umí zařídit, že přihlašování do administrace webu je na libovolném URL a ne na wp-admin, které má každý WordPress. Pokusů prolomit přihlášení budete mít na webu desítky až stovky denně. Pokud ale útočník nenajde přihlašovací stránku, má smůlu. Geniálně jednoduché, vřele doporučuji. Umíte to ale i samostatný plugin, např. WPS Hide Login
- umí zálohovat. Umí to sice spousta pluginů, ale čím méně pluginů instalujete, tím je to lepší, takže když už máte iThemes security, není třeba instalovat zálohovací plugin. Pokud nezálohujete, rychle to napravte.
Dvoufaktorové přihlašování (ověřování)
Dvoufaktorové přihlašování znáte asi hlavně z banky. Princip je geniálně jednoduchý – nestačí znát jméno a heslo, potřebujete ještě další údaj, který vám ale web doručí jinak než do prohlížeče. Nejčastěji do mobilního telefonu. Pokud vám úročník ukradne nebo odhadne přihlašovací údaje, není příliš pravděpodobné, že vám k tomu sebere i mobil. A bez něj jsou mu přihlašovací údaje k ničemu. Čistě teoreticky bych tady mohl zveřejnit jméno a heslo k tomuto blogu a bude vám to k ničemu.
Momentálně hledám náhradu za plugin Clef, který bohužel končí. Podle počtu instalací vypadá zatím docela dobře plugin od miniOrange. Nevypadá sice tak futuristicky, má na můj vkus dost složité nastavení, ale podstatné je, že dělá co má. Clef končí 6. června, tak uvidíme, co se do té doby ještě objeví. Určitě o finální volbě napíšu článek (zapište si můj newsletter a neuteče vám).
UPDATE 13. 7. 2020: Zhruba od roku 2019 obsahuje vestavěnou podporu pro dvoufaktorové přihlašování výše zmíněný Wordfence.
Mimochodem, pokud používáte Gmail, Dropbox a další online služby, zapněte si dvoufaktorové ověřování i u nich. Najdete to v jejich nastavení.
Pokud chcete k zabezpečení WordPressu cokoliv doplnit, jsou vám k dispozici komentáře pod článkem.