TIP#1235: Jak bezpečně používat WordPress a proč se weby na WordPressu tolik kradou?

Tento tip vlastně platí pro každou online službu, kterou používáte. Tedy alespoň pravidla napsaná na počátku, WordPress je totiž blogovací systém a používáte ho s pomocí účtu co má přihlašovací údaje – tedy kombinaci e-mailu a hesla. Pokud se kdokoli k této kombinace dostane, může se do vašeho WordPressu (webu, blogu) přihlásit a pak už škodit. Ale protože je to celé trochu komplikovanější, tak těch věcí k ochraně je víc.

Proč vlastně se ty weby kradou?

První co je ale dobré prozradit je … proč se weby na WordPressu tolik kradou. Zloděj získá přístup na web či blog a může na něj poté umístit vlastní obsah. Nejčastěji dojde k doplnění spamovacích zpětných odkazů, které v omezené míře budou někam přivádět návštěvníky, ale ve většině případů slouží jako zpětné odkazy pro SEO.

V jiných případech mohou útočníci na stránky umístit nějaké útočné skripty, které budou napadat vaše návštěvníky. V těch méně častých případech prostě na web dají informaci o tom, že „HACKLI JSME TENTO WEB“ a použijí to k vlastní reklamě a „pocitu“, že něco dokázali.

Horší bývá varianta, kdy se jim buď získáním přístupu do WordPressu nebo přímo získáním přístupu do Linuxu (operačního systému) podaří dostat ještě hlouběji. Tam už možnosti zneužití je řada – váš hosting promění v stroj hackující další počítače, rozesílající spam, těžící kryptoměny, nelegálně šířící hudbu/filmy, atd.

TIP: Určitě si přečtěte i TIP#1181: Jak se bezpečně chovat v prohlížeči při brouzdání po Internetu?

Jak si chránit WordPress jako takový

Především, u běžných instalací WordPressu prostě dbejte na klasická pravidla bezpečného chování s přihlašovacími údaji – váš e-mail bývá snadno zjistitelný, takže silné unikátní heslo. Takové co nikdo neuhádne, takové co není v databázích nejpoužívanějších hesel.

Pokud to váš WordPress umožňuje, zapněte si dvoufaktorové ověření (WordPress.com to například umí). Tedy nutnost přidat k přihlašovacím údajům ještě ověřovací kód generovaný aplikací nebo přijatý přes SMS (ta méně vhodná varianta).  Jde pořídit třeba přes Google Authenticator plugin nebo obecnější Two-Factor

Pokud máte WordPress instalaci plně pod kontrolou, tak můžete chránit přihlašování pomocí uživatelských certifikátů (https a vyžadování specifických certifikátů). To už je ale poněkud složitější. Menší obdobou je, že povolíte přihlášení pouze z konkrétních IP adres.

Máte-li pod kontrolou i Linux na kterém váš WordPress běží, tak další možnost je používat VPN – pouze přes VPN se pak bude možné přihlásit k správě WordPressu.

Dobré je pořídit si nějaký plugin (rozšíření), které po určitém počtu neúspěšných pokusů o přihlášení znemožní (na určitou dobu) další přihlašování (viz třeba níže zmíněné WP fail2ban).

TIP: Pár vhodných bezpečnostních rozšíření pro WordPress – Sucuri Security Plugin, iThemes Security (původní Better WP Security), Wordfence Security, WP fail2ban, All In One WP Security & Firewall, SecuPress, BulletProof Security, VaultPress

Aktualizace WordPressu i rozšíření a šablony

Výše popsané vám nepomůže, pokud necháte instalaci WordPressu neaktualizovanou (a tím třeba i děravou). Ani když si pořídíte nějaká děravá rozšíření či šablony – ty je také nutné pravidelně aktualizovat. V obou případech je nutné pečlivě sledovat, jestli se neobjevila nějaká závažná bezpečnostní chyba

Nastavení WordPressu i Linuxu pod ním

Je řada dalších věcí nad rámec tohoto základního tipu – týkající se nastavení přístupových práv, správného obsahu .htacces souborů, smazání některých PHP skriptů po instalaci. Pokud máte „jenom WordPress“, tak tohle se vás vlastně vůbec týkat nebude. Pokud máte ale jak WordPress, tak Linux na kterém vám běží, tak i toto bude vaše starost. Na tohle všechno by se ale hodil samostatný tip (dlouhý samostatný tip). Takže možná někdy později.

Jak si chránit stroj na kterém WordPress máte

Pokud si WordPress provozujete sami (na vlastním stroji, na virtuálním serveru, atd), tak to znamená že máte Linux a do něj určitě přístup minimálně přes SSH. Což znamená, že musíte chránit přístup přímo do tohoto Linuxu.

Opět je zde řada možností – silné heslo (samozřejmě), pouze z konkrétních IP adres, certifikáty, VPN, blokování po určitém počtu nepovedených pokusů.

Mělo by platit i to, že na stroji nemáte žádné zbytečné věci jako je třeba přístup přes FTP.

Nezapomeňte, že k WordPressu bude patřit i SQL Server, který je také nutné správně nastavit, zodpovědně řešit přihlašovací údaje (omezení přístupu zvenčí) a také zde jsou důležité aktualizace.

TIP: Zdejší  Jak na WordPress pro blogování i vytvoření webu obsahuje souhrn všech zdejších tipů, které se přímo (i nepřímo) týkají WordPressu

Reklamy