WordPress patrí medzi najpoužívanejšie CMS systémy. Takmer 75 miliónov stránok je slušné číslo. Súčasne to však aj znamená riziko. Čím viac stránok používa rovnaký systém,  tým viac rastie aj bezpečnostné riziko. Tento rok som už niekoľkokrát riešil obnovu napadnutých webov, a preto som sa rozhodol vybrať zopár pomerne jednoduchých, avšak účinných, opatrení, ako spraviť WordPress stránku bezpečnejšou.

1. Prihlasovacie meno Admin a heslo nbs123

Nie. Toto rozhodne nie je vhodná kombinácia hesla a prihlasovacieho mena. WordPress ponúka možnosť generovania o niečo bezpečnejšieho hesla, ako je „nbs123“. Napríklad „1Io2lzB$x^LA4xTOl(QGU. Takýto typ hesla je rozhodne lepšia voľba, či už pre databázu, FTP alebo samotný web. Rovnako by ste si mali pri preberaní webu alebo tvorbe zmeniť aj prihlasovacie meno.

2. Máme bezpečné heslo? Fajn, tak to nepokazme

Pri inštalácií WP okrem mena a hesla nastavujete aj „table_prefix“. Jeho prednastavená hodnota je „wp_“. V praxi to znamená, že tabuľky v databáze vášho webu budú zapísane vždy „wp_niečo“. Tento prefix by bolo vhodné zmeniť na iné dve písmená. A nie, iniciály mena firmy (napr. Alfa Omega s.r.o. -> ao_) nie sú vhodná inšpirácia. Takto zvýšite bezpečnosť voči SQL útokom na databázu.

3. Aktualizácie, aktualizácie a zase tie aktualizácie

V úvode ste sa mohli dozvedieť, že WP používa naozaj dosť veľa ľudí. Preto sa naň upriamuje aj pozornosť kybernetických útočníkov naprieč svetom. Developeri na to odpovedajú vydávaním aktualizácií, ktoré často opravujú aj bezpečnostné diery jadra systému.

4. Kradnúť sa nevypláca

Stretol som sa s tým, že niekto chcel ušetriť na tvorbe webovej stránky až tak, že sa rozhodol stiahnuť ukradnutú tému. Morálne hľadisko je jedna vec, druhá je však to, že nikdy neviete, čo presne sťahujete. Ten, kto tému ukradol a nahral, mohol do stránky pridať rôzne backdoory, o ktorých nič netušíte, až kým nie je neskoro. Rovnako platí aj odporúčanie, aby sa nová inštalácia WP sťahovala zásadne iba z wordpress.org.

5. WordPress a jeho pluginy

V tejto oblasti sa názory niekedy líšia. Pluginy pridávajú nové funkcionality na vaše stránky. Môže sa však stať, že vytvoria nové bezpečnostné hrozby. Niektoré vám zase ale pomôžu zabezpečiť stránku. Taký Akismet pomôže chrániť aj vašich zákazníkov, tým, že bude blokovať spam. Preto, ak mi to čas a možnosti umožňujú, sa snažím rozšírenia písať sám.

6. Pripojenie na FTP, ale nie cez FTP

Ak počas správy a úpravy svojho webu potrebujete pristupovať na FTP, tak nezabudnite na SFTP šifrovanie. Určite nechcete posielať citlivé údaje bez toho, aby mali aspoň základné šifrovanie.

7. Hosting nie je len priestor pre web

Hosting má tiež vplyv na bezpečnosť vášho webu. Preto sa pri jeho výbere nerozhodujte iba na základe ceny. Vhodný hosting by mal poskytovať aspoň tieto základné služby:

  •  okamžitý support,
  •  automatickú tvorbu záloh v rozsahu aspoň 2 týždňe,
  •  nastavenie blokovania prístupov na FTP (napríklad podľa krajiny, IP adresy),
  •  možnosť upraviť htacces,
  •  šifrované spojenie SFTP.

8. Hmm, tu niekde mali byť tie dvere

Podstatná časť možných „útočníkov“ je automatizovaných. Prídu na vašu stránku a skúšajú, či je rovnaká ako zvyšných 75 miliónov WP stránok. Pritom je jednoduché premiestniť dvere do WordPressu a trochu ich zmiasť. Na to sa dá použiť plugin, prípadne môžete použiť už vytvorenú funkciu vo Visibility téme.

9. Zamknite za sebou

Upravovali ste niečo na FTP? Fajn, pri odchode však treba zavrieť okná a zamknúť za sebou. V prípade WordPressu to znamená nastaviť „File Permision“ na FTP aspoň pre kľúčové zložky a súbory, aby ste zamedzili ich neželanej úprave treťou stranou. Vhodné je nastaviť tieto povolenia špecificky pre jednotlivé časti. Taktiež je možné tento bod čiastočne vyriešiť aj s iThemes Security. Tento plugin vám odporučí jednotlivé nastavenia „File permission“. Okrem toho prostredníctvom tohto pluginu môžete:

  •  blokovať podozrivé IP adresy,
  •  zmeniť názov WP-content,
  •  sledovať zmeny systémových súborov,
  •  zablokovať prepisovanie systémových súborov,
  •  zablokovať prihlásienia po X. neúspešnom pokuse o prihlásenie na Y dní,
  •  filtrovať dlhé url adresy, ktoré môžu byť pokusom o SQL útok,
  •  zakázať upload .php súborov atď.,
  •  spraviť zálohu databázy,
  •  a mnoho ďalšieho.

10. Aj doma treba mať poriadok

Ak si nedokážete ustrážiť vlastné PC, môžete mať váš web zabezpečený, ako len chcete.. Jeden malý keylogger vo vašom PC dokáže divy. A to až také, že napadnutý WP bude ten menší problém. Preto odporúčam udržiavať svoje PC aktualizované a zabezpečené pomocou overených firewallov.

V tomto blogu som spomenul len niekoľko vybraných spôsobov, ako vieme zvýšiť bezpečnosť WordPressu, a to pomerne jednoducho. Možností je však oveľa viac. Niektorí odborníci odporúčajú aj vypnutie editovania súborov cez WP, zmenu štruktúry zložiek, dvoj-fázovú autentifikáciu, či monitorovanie zmien v súboroch. Je dôležité brať túto problematiku ako reťaz zloženú z viacerých článkov. Zabezpečenie je len také silné, ako je silný najslabší článok reťaze.