V súčasnosti sú bežným javom útoky na weby, bežiace na redakčnom systéme WordPress, a to aj napriek výborne zabezpečenému jadru systému. V nasledujúcom príspevku vám ponúkame niekoľko jednoduchých tipov, ktoré dokážu hackerom výrazne skomplikovať ich nekalé úmysly.
Zmeňte používateľské meno „admin“
Ide o predvolené meno pri inštalácii WordPress, ktoré by nikdy nemalo ostať vo svojej pôvodnej podobe. Hackeri túto chybu využívajú pomerne často a najlepšou obranou je vytvorenie nového administrátorského účtu a odstránenie predvoleného.
Použite silné heslo
Telefónne číslo, dátum narodenia či dokonca svoje meno: heslo v podobe jednoduchej frázy poskytuje útočníkovi príležitosť ovládnuť vaše stránky v priebehu niekoľkých minút. Ideálnou variantou je použitie výrazu, ktorý nie je dostupný v slovníku (štandardná pomôcka pri tzv. útoku hrubou silou) a kombinácia písmen s číslicami, napríklad 1d34ln3-h3sl0.
Upravte súbor .htaccess
Zmeny v .htaccess vyžadujú aspoň minimálne znalosti problematiky, v opačnom prípade hrozí nefunkčnosť webu alebo jeho súčastí, pred jeho úpravou je preto vhodné urobiť zálohu pôvodného súboru. Nižšie uvedený príklad ukazuje, ako je možné jednoduchým no účinným spôsobom zablokovať prístup do administračného panelu WordPress pre všetkých s výnimkou definovaných IP adries. Takto upravený .htaccess vložíte do adresára wp-admin.
AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx
Aktualizujte systém
Jedno kliknutie, ktorým eliminujete potenciálne riziko napadnutia vašich stránok cez skryté chyby systému. Vývojári jadra systému priebežne odstraňujú jeho chyby a obzvlášť v prípade bezpečnostných aktualizácií by ste nemali ani na okamih zaváhať.
Nahrávajte iba „čisté“ súbory
Uistite sa, že súbory, ktoré sa chystáte nahrať na server neobsahujú vírus. Poskytovateľ hostingu by vám za takýto kúsok rozhodne nepoďakoval a určite netúžite ani po „odmene“ zo strany Google v podobe červenej stránky s upozornením na nebezpečný obsah, je to tak?
Nainštalujte bezpečnostný modul
Veľmi slušný servis vo svojej kategórii ponúka modul Better WP Security spájajúci mnoho bezpečnostných prvkov a techník do jedného balíka, BulletProof Security vám pomôže s ochranou proti útokom typu XSS, RFI, CRLF, CSRF, Base64, Code Injection a SQL Injection. Integrovaný firewall, skener vírusov a škodlivých URL či sledovanie dát v reálnom čase ponúka ako komplexné riešenie modul Wordfence Security.
Nepoužívajte zastarané moduly
Ak použijete niektorý z modulov uložených v oficiálnom depozitári WordPress, nájdete pri každom dlhšiu dobu neaktualizovanom výrazné upozornenie na túto skutočnosť (viď obrázok nižšie). Je len na vás, či chcete riskovať prípadnú nekompatibilitu či bezpečnostný problém.
Pravidelne zálohujte
Ak nechcete nič ponechať na náhodu, tento krok by ste určite nemali ignorovať. Čím vzácnejší je obsah vášho webu, tým častejšie by ste mali zálohovať jeho obsah, všeobecné odporúčanie však znie ‚jedenkrát za deň‘. Zamerajte sa sa hlavne na MySQL databázu a použitú tému, práve tieto dve položky bývajú najčastejším terčom útoku (konkrétne súbor index.php a databázové tabuľky wp-user a wp-usermeta).
Pochopiteľne, spomenutých 8 bodov nie je súhrnom všetkých dostupných možností pre zabezpečenie WordPress. Možno poznáte ďalšie spôsoby ako sa brániť pred napadnutím stránok a budeme radi, keď nám ich v krátkosti popíšete prostredníctvom komentárov.
[…] informácií ako zabezpečiť Vaše stránky nájdete aj na slovenskom blogu WP.SK : https://wp.sk/navody/zabezpecte-svoj-wordpress/ a takisto veľa ďalších po otvorení google.sk a zadaní do hľadania zabezpečenie […]
ale mňa by skôr zaujímalo ako konkretne zálohovať databazu lebo som zaiatočníčka a nechcem zbytočne inštalovať niečo a aby mi to dokonca nezničilo moje data tak sa toho bojím trochu