Kremsa Digital

5+1 tipov ako zabezpečiť vašu WordPress stránku

07.06.2018

WordPress je v súčasnosti najznámejší a najrozšírenejší CMS systém pre tvorbu webových stránok (content mamagement system – po našom systém pre správu obsahu). Môže sa pýšiť nielen maximálnou užívateľskou prístupnosťou, ale aj živou a nadšenou vývojárskou komunitou. V praxi to znamená, že si vďaka nemu môže vlastnú webstránku, blog či eshop vyklikať naozaj každý, dokonca aj bez akejkoľvek znalosti programovania. Keďže ide o open-source systém, dá sa v ňom nastaviť a prispôsobiť doslova všetko.

V apríli 2018 dosiahol WordPress významnú hranicu – celosvetovo už na ňom beží viac než 30 % webov. Medzi inými aj stránky spoločností ako Mercedes, BBC Amercia, Walt Disney Company, ale aj webová prezentácia Bieleho domu. Okrem nespočtu vývojárov má však WordPress aj minimálne rovnakú základňu hackerov a útočníkov, ktorí sa rôzne weby snažia prelomiť a nabúrať sa do nich. Pomáha im v tom záplava naprogramovaných robotov striehnucich na systémové chyby a diery, ktoré by mohli zneužiť a získať tak prístup k citlivým údajom. V tomto blogu sa pozrieme na niekoľko jednoduchých krokov, ktorými im túto snahu poriadne sťažíte. Hoci je pravda, že WordPress má niektoré bezpečnostné opatrenia implementované úž v základe, ak váš web fičí na tejto platforme a doteraz ste sa zabezpečovaniu veľmi nevenovali, určite čítajte ďalej.

Pravidelne aktualizujte

WordPress je otvoreným systémom, ktorý neustále dopĺňajú nové témy a rozšírenia (tzv. pluginy). Každá takáto extra “fičúrka” navyše môže predstavovať potenciálne slabé miesto, ktoré viac pomôže útočníkom, ako vám. Dobrou správou je, že vývojárska komunita aktívne vyhľadáva chyby a vylepšuje nielen samotný WordPress, ale aj aj takéto jeho rozšírenia (pokiaľ, samozrejme, používate overené a podporované témy a pluginy). Každou aktualizáciou tak máte istotu, že na vašom webe máte najmodernejšie (a najbezpečnejšie!) dostupné nástroje.

NAŠA RADA: Keďže čas od času a najmä pri väčších aktualizáciach sa môže stať, že nové verzie nebudú úplne doladené, dobrým postupom je pred každým updatom počkať zopár dní. Ak má nová verzia chyby, určite na ne niektorý horlivý programátor upozorní a v ďalšom vydaní už budú odstránené. Nezabudnite pred každou aktualizáciou (či už pluginov alebo WordPressu) svoj web starostlivo zálohovať!

Nepoužívajte bežné prihlasovacie mená

Tiež sa do svojho webu prihlasujete ako “admin” alebo “administrator”? Žiadna novinka, robí to tak drvivá väčšina používateľov. A tiež ide o mená, ktoré budú crackovacie roboty používať ako prvé a budú sa snažiť do nich “trafiť”. Nie je to však iba o tom – prihlasovacie meno “admin”, ktoré vzniká pri inštalácii WordPressu ako defaultné, so sebou nesie označenie “ID1” a aj niekoľko citlivých informácii, ktoré šikovný útočník dokáže zneužiť. Pritom v administrátorskom rozhraní je zmena používateľského mena otázkou niekoľkých kliknutí. Popustite uzdu fantázii a zvoľte si radšej niečo naozaj netradičné.

NAŠA RADA: Prístup k editácii používateľov nájdete (okrem iného) v používateľskom rozhraní WordPressu v pravom hornom rohu.

Používajte silné heslo

Áno, tento tip by sa určite vzťahuje k všetkým onlinovým platformám. Ak ste administrátorom wordpressového webu, dbať by ste určite mali aj na silu vášho prihlasovacieho hesla. Žiadne jednoduché či predvídateľné reťazce! S heslami ako “123456” alebo “qwerty” si koledujete o poriadny problém, pretože ani pre priemerného hackera nebude problém takéto zabezpečenie prelomiť. Pamätáte sa na aféru okolo “nbusr123”? Takže šup-šup, kreativite sa medze nekladú! Nebojte sa použiť čísla a rôzne špeciálne znaky (výkričníky, otázniky, #, @…) Zmenu hesla nájdete v tom istom okienku, kde sa nachádza aj zmena používateľského mena. Vhodnou “best practice” je, samozrejme, v rozumných intervaloch heslá pravidelne obmieňať.

NAŠA RADA: Hoďte si do Googlu heslo “most used passwords” a inšpirujte sa, čo rozhodne NEpoužiť.

Nastavte si SSL certifikát

SSL certifikát vďaka šifrovaniu a autentifikácii zabezpečí komunikáciu medzi vašim (alebo návštevníkovým) počítačom a webstránkou, resp. serverom, na ktorom je uložená. Prechod z http:// na https:// protokol môže váš WordPress web potrápiť, keďže nie všetky pluginy a nastavenia s ním musia byť kompatibilné. Určite je vhodné pred prechodom na https:// web zálohovať. Implementácia SSL zabezpečenia vyžaduje trochu toho surfovania po stránkach s WordPress návodmi; primárne nájdete niekoľko platených riešení, rovnako dobre vám však poslúžia aj free certifikáty, napríklad Let’s Encrypt.

NAŠA RADA: Ak si s SSL certifikátom neviete poradiť, kontaktujte nás, naši developeri sa o vedomosti radi podelia. 🙂

Zmeňte si adresu prihlasovacej stránky

Ak to chcete prípadným hádačom hesiel poriadne skomplikovať, štandardná adresa www.domena.sk/wp-admin nie je práve to, čo vám bude vyhovovať. Pokiaľ zmeníte reťazec za lomkou, bude prakticky nemožné sa na túto adresu dostať zvonku. Zmenu môžete urobiť editovaním súboru htaccess na vašom FTP serveri, alebo ju za vás môže urobiť nejaký šikovný bezpečnostný plugin. Čo nás privádza k ďalšiemu tipu…

NAŠA RADA: Ak si prihlasovaciu adresu zmeníte, určite si ju poznamenajte minimálne niekde do diára. Ľudská pamäť je na tom podobne ako WordPress – môže mať diery. 🙂

Nainštalujte si bezpečnostný plugin

Väčšinu z uvedených úprav za vás poľahky zvládne niektorý z pluginov zameraných na bezpečnosť webu, mnohé zvládnu ale oveľa, oveľa viac. V ponuke ich nájdete desiatky, šikovné rozšírenia spravia z vášho WordPressu nedobytnú pevnosť. Získate možnosť premenovať prefixy súborov na vašom FTP, zaviesť dvojzložkovú autentifikáciu (overovanie prihlásenia cez email alebo SMS), prihlasovať sa cez CAPTCHU (overenie proti robotom), nastaviť automatické odhlasovanie, prispôsobiť si nastavenia firewallu… Možností je neúrekom, niektoré vychytávky však predpokladajú zakúpenie premium verzie. Vo väčšine prípadov a mnohým bežným užívateľom však budú stačiť bezplatné verzie, v základných nastaveniach nájdete možností viac ako dosť.

NAŠA RADA: Ak si neviete vybrať, vyskúšajte viacero pluginov, oboznámte sa s ich funkciami a vo finále si vyberte taký, ktorý bude najviac vyhovovať vašim požiadavkám. Vyvarujte sa však situácii, kedy ich budete mať na svojom WordPresse spustených viacero súčasne, mohlo by vám to poškodiť web, keďže viacero pluginov sa bude snažiť editovať rovnaký kód.

 








Kremsa Digital s.r.o.
Námestie hraničiarov 37
851 03 Bratislava
Slovakia