WordPress a bezpečnosť. Téma, ktorou sa väčšina ľudí začne zaoberať témou bezpečný WordPress, až keď sa ich bytostne týka. Pravdou však je, že viacerí moji klienti sa stretli s tým, že im nejaký dobrák hackol stránku. Prečo? Je viacero dôvodov, prečo sa niekto snaží hacknúť vašu stránku. Hacknutá stránka sa dá použiť na útok voči ďalším stránkam, napríklad na známe DDoS útoky (preťaženie stránky toľkými požiadavkami, že „spadne“). DDoS je obľúbený pri útokoch na finančné či vládne stránky. Hacknutá stránka je tiež vhodná na to, aby si z nej nič netušiace obete stiahli malware. Hackeri nechcú použiť svoju stránku a server, lebo je vystopovateľná. Tak použijú vašu. Tiež nepodceňujte rôzne hry pubertiakov na váš úkor. Dokonca sa organizujú rôzne súťaže, kto hackne viac stránok. Slušný hacker vám napríklad v MySQL tabuľkách pridá novú s názvom bol som tu, aby ste mali nad čím rozmýšľať. Hajzel vám rovno zruší stránku. Ak máte na stránke citlivé dáta, máte smolu. Hacker si rád stiahne údaje vašej kreditnej karty a problém je na svete.

Ako taký útok prebieha?

WordPress je najroźšírenejší CMS na svete. Úspešný hacking je často otázka štatistiky. Nepodarí sa napadnúť vašu stránku, ideme ďalej. Ak má hacker proces zautomatizovaný napríklad vhodným skriptom, prejde si za jednotku času mnoho stránok. Niektoré budú obsahovať známe chyby a budú sa dať hacknúť. To, že je WordPress slabo zabezpečený proti hacknutiu, je mýtus. Jadro WordPressu je veľmi bezpečné. Bohužiaľ je WordPress modulárny systém, ktorý si „customizujete“, teda prispôsobujete podľa svojej chuti a potrieb prostredníctvom tém a pluginov. Každý môže napísať tému či plugin, čo znamená, že hoci je jadro bezpečné, témy a pluginy nemusia byť. Moji klienti boli napadnutí v drvivej väčšine práve cez pluginy. Keď si sťahujete free tému či plugin, niečim je vyvážené, že je zadarmo. Často to robia nejakí chalani vo voľnom čase, ktorí nemajú potrebné skúsenosti či energiu urobiť to poriadne. A tak si s free pluginom nainštalujete do svojej stránky aj bezpečnostnú dieru.

Ako sa chrániť?

Je veľa tipov a trikov, čo robiť. Na rovinu si treba však povedať, že nie je systém, a tobôž nie WordPress, ktorý by bol na 100 % odolný voči útokom. Všetko závisí od úrovne vašej paranoje a od toho, ako je pre vás stránka cenná. Ak vám na nej beží e-shop s obratom v tisícoch EUR za týždeň, nemôžete si dovoliť výpadok. Ak tam však máte iba bežný blog pre seba a kamarátov, ktorý vás neživí, nemusíte byť až tak prehnane starostliví. Je však zopár tipov, ktoré nič nestoja, ale stojí za to ich dodržiavať. Je to akási základná ochrana pred útokmi, minimum, ktoré by mal robiť každý.

  • Zmeňte si login z admin na niečo iné. Admin je defaultne nastavený. Ak to tak necháte, polovicu práce má hacker za sebou.
  • Silné heslo. Kedysi som sa bavil tým, že na azet.sk som prelamoval heslá vo fotoalbumoch. Nič sofistikované, žiadny bruteforce. Iba jednoduché tipovanie možných hesiel. By ste neverili, koľko ľudí malo ako heslo svoje meno, číselnú kombináciu 11234, 147 či 159 (kto má numerickú klávesnicu, pochopí prečo), slová ako love, sexi, sexy, ferrari, laska a pod. Do hesla si nedávajte svoje meno, dátum narodenia, meno frajerky. Pýtate si tak o prúser.
  • Limitujte počet pokusov o login. Prečo? Ak nemáte tento počet limitovaný, hacker urobí bruteforce útok, teda použije hrubú silu. Generátor bude skúšať kombinácie čísel a písmen. Keďže je to automatické, hacker to večer spustí a keď je dobré pripojenie, silný počítač a slabé heslo, za chvíľu je zabezpečenie prelomené. Existuje pritom mnoho pluginov, ako sa tomuto brániť, prípadne si to v php napíšete sami. Obľúbený je napríklad Login LockDown.
  • Dobrý provider. Kašlite na pofidérnych providerov, ktorí vám za pár EUR sľúbia hosting. Bezpečnosť je u nich väčšinou až na poslednom mieste.
  • Robte si back-up. Toto je strašne dôležité. Stránku si pravidelne zálohujte. Posledne mi na Facebooku borci namietali, že o čom točím, veď dobrý hosting automaticky zálohuje. Priatelia, nie je to pravda. Napríklad Webglobe, ktorých si veľmi vážim za super služby a veľmi profesionálny helpdesk, to nemá automaticky, ale si to musíte zaškrtnúť v predvoľbách. Kto o tom nevie, má smolu. Navyše zálohy sú na tom istom mieste ako inštalácia stránky, takže sa k nim dostanete cez ftp rovnako ako do stránky. Ak vám niekto hackne ftp, máte smolu. Možno ešte zrkadlia túto zálohu niekde inde, netuším. Ale má zmysel napríklad použiť Updraftplus (zálohovací plugin), ktorým si stránku zazálohujete ešte napríklad na Google Drive. Aj tak väčšina ľudí Google Drive nevyužíva, takže nájdu preň zmysluplný účel.

  • Buďte up-to-date. Priatelia, keď sa aktualizuje WordPress, má to svoj dôvod. Niekto prišiel na jeho chyby a aktualizácia ich napraví. Tým, že je WordPress verejný, pri každej aktualizácii je popísané, čo sa napráva. Pre hackera teda návod, na čo sa treba zamerať, ak ste neaktualizovali. To isté platí pre pluginy. Tiež poctivo mažte pluginy, ktoré nepoužívate. Aj neaktívny či aktívny ale nevyužívaný plugin môže byť parádna diera, ktorou k vám vlezie hacker. Že to nemá skade vedieť, čo na stránke máte? Chyba. Pozrite si napríklad builtwith.com. Takisto tému si jednoducho zistíte na wpthemedetector.com. Komu to nestačí, nech trocha pogoogli, online toolov je fakt veľa.
  • Limitujte prístup. Čím viac ľudí vám lezie do admina stránky, tým horšie. Poskytujte prístup iba hodnoverným ľuďom a na nevyhnutný čas. Akonáhle takýto čas uplynie, prístup človeku zmažte.
  • Nepoužívajte predvolené nastavenia. Ako v prípade loginu, tak aj prefix tabuliek je predvolený na wp_. Zmeňte to. Skomplikujete tak hackerovi život. Pamätajte, že pokiaľ má nad vašou stránkou stráviť veľa času, presunie sa inde. Veď WordPressáckych stránok je najviac na svete.
  • Keď to už myslíte s bezpečným WordPressom fakt vážne, má zmysel zainvestovať do bezpečnostného pluginu. Väčšina z nich má niektoré features zadarmo. Najobľúbenejšie sú Wordfence Security, Sucuri Security, All In One WP Security & Firewall, Bulletproof Security, WP Antivirus Site Protection a tak ďalej. Kým si však nejaký nainštalujete, pozrite si recenzie.
  • Nastavte si práva súborov. Niektoré dôležité súbory musia mať obmedzenia na úpravy z nežiaducich strán. Veľmi dobrý návod má samotný WordPress. 

Záver alebo je to všetko pre bezpečný WordPress?

Mohli by sme pokračovať donekonečna, a aj tak by sme neobsiahli všetko. WordPress je komplikovaný systém, ktorému sa venuje mnoho ľudí. Rovnako mnoho ľudí špekuluje, ako ho prelomiť, napadnúť, využiť pre seba. Ak vám tieto rady nestačia, samotný WordPress má super článok o tom, ako zvýšiť jeho bezpečnosť. Keď sa vám podarí dodržiavať aspoň tie pravídlá pre bezpečný WordPress, o ktorých píšem v tomto článku, bezpečnosť vašej WordPressovej stránky sa výrazne zvýši a hackerovi pravdepodobne nebude stáť za tú námahu, aby ju hackol. Pokiaľ ju však hackne a poškodí, budete mať zálohu (ak ste poriadne čítali bod 5). Držím vám palce 🙂

Bezpečný WordPress: pravidlá, ktoré vám pomôžu ochrániť stránku

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.