N

Zabezpečení WordPressu

WordPress přesvědčil miliony uživatelů po celém světě, že je nejlepším redakčním systémem, bohužel také ukázal, že je snadno zranitelný. Útoky na weby na WordPressu stále vzrůstají, proto si ukážeme, jak se jim bránit.

Existuje celá řada rad, jak se bránit proti hackerům, od pravidelných aktualizací až po nastavení silného hesla, jenže ne vždy toto stačí. Pro zabezpečení WordPressu vznikl plugin, který je ze všech bezpečnostních pluginů nejpopulárnější a uživateli pomůže web ochránit takovým způsobem, aby dokázal vzdorovat nejčastější hrozbám. Plugin se jmenuje iThemes Security, nyní si ho představíme a ukážeme si, jak ho nastavit.

Krok 1: Jděte do sekce Pluginy-Instalace pluginů a do vyhledávacího okénka vepište „iThemes Security“. Hledání potvrďte a nalezený plugin nainstalujte.

1

Krok 2: Plugin aktivujeme.

2

Krok 3: Po aktivaci nám přibude jako položka v kontextovém menu po levé straně. Plugin je potřeba nastavit. V horní části se nám zobrazilo modré okno, klikneme v něm na možnost „Secure Your Site Now“.

3

Krok 4: Následně nám vyskočí okno s rychlou nabídkou, kde je možné okamžitě provést zálohu databáze nebo udělat bezpečnostní nastavení jedním kliknutím. Jelikož si chceme plugin nastavit podle sebe, okno zavřeme.

4

Krok 5: Plugin umí blokovat nezvané návštěvníky a mohlo by se omylem stát, že se při podezřelých akcích omylem zablokujeme sami. Abychom tomu zabránili, je možné kliknout na nově zobrazené tlačítko „Temporarily Whitelist My IP“, který zařadí naši IP adresu na seznam povolených adres pro přístup do administrace webu. Jak si můžeme všimnout, plugin lze spravovat prostřednictvím menu tvořeného 6 kartami s nastavením, postupně si je projdeme.

5

Krok 6: Když hned v první kartě (Dashboard) sjedeme kurzorem níže, plugin nám sám vypíše hrozby a doporučení pro web. Nejvyšší důležitost představují červené hrozby v sekci „High Priority“. Všechny lze okamžitě nastavit, aby již hrozbami nebyly a to přes tlačítko „Fix it“. Je to celá řada nastavení, od změny přihlašovací stránky až po skenování proti malwaru aj.

6

Krok 7: Podíváme se do další karty a to na „Settings“. Zde se nachází nejdůležitější nastavení pro ochranu webu.

7

Krok 8: Jako první se nastavuje „Global settings“. Zde je možné si zapnout povolení zápisů do souborů wp-config.php a .htaccess, aby se nemuselo dělat manuálně. Dále se zde nastavuje notifikační email, email, na který budou chodit zálohy webu, počet pokusů neúspěšných přihlášení pro zablokování, dobu zablokování a také whitelist. Do whitelistu si lze rovnou zadat všechny IP adresy, ze kterých bude web spravován. Další možnosti si zvolíme jen pokud je budeme považovat za podstatné.

8

 

9

Krok 9: Nesmíme zapomenout uložit změny, abychom vše nemuseli nastavovat znovu. Rovnou si všimneme dalšího nastavení a to „404 Detection“. Zde se nastavuje detekce uživatelů, kteří nezvykle často vyhledávají slabiny webu, tedy stránky 404, aby jich mohli využít k nekalým účelům.

10

Krok 10: Následuje „Away Mode“, velmi šikovné nastavení, prostřednictvím kterého lze přihlášení na web na nastavenou dobu znepřístupnit. Vhodné je to v momentě, kdy nebudeme dlouho nic publikovat.

11

Krok 11: „Banned Users“ slouží k nastavení banování. Lze povolit blokování nebezpečných uživatelů a robotů, které vede server HackRepair.com, ale lze si také zvolit uživatele k zabanování.

12

Krok 12: Následuje „Brute Force Protection“, jedná se o nastavení proti stejnojmennému typu útoků, které mají za cíl prolomení hesla. Toto nastavení je vhodné aktivovat, stačí ho zaškrtnout a uložit nastavení.

13

Krok 13: Následuje „Database Backup“, jedná se o podrobné nastavení zálohování databáze. Pravidelné zálohování je třeba nezanedbávat, zde si můžeme nastavit četnost zálohování i další nastavení.

14

Krok 14: „File Change Detection“ představuje především nastavení detekce změn v souborech.

15

Krok 15: „Hide Login Area“ umožní změnit přihlašovací stránku WordPressu tak, abychom se na ní dostali jen my. Zde jde především o změnu přihlašovací adresy, aby nekončila např. „/wp-admin“, ale tak,  jak budeme chtít. Rovnou si lze nastavit i další nastavení, „Malware Scanning“, pro skenování malwarů.

16

Krok 16: Jsou tam i další nastavení, ale my se podíváme do další karty a sice na „Advanced“. Zde je možné změnit uživatele, název adresáře a prefix databáze.

17

Krok 17: Jdeme do další karty, „Backups“. Zde je možné udělat jediným kliknutím zálohu databáze.

18

Krok 18: Už se blížíme ke konci, představíme si poslední nastavení. Přejdeme do karty „Logs“. Zde je možné sledovat veškeré bezpečnostní události, ke kterým došlo. Výpis událostí je možné kdykoliv vyčistit.

19a

19b

iThemes Security se nestal nejpoužívanějším bezpečnostním pluginem pro WordPress pro nic za nic. Útoků na weby neustále přibývá, ať už se jedná o spamovací boty nebo o skutečné hackery, vždy je vhodné být zajištěný pravidelnou zálohou databáze a preventivními kroky, které znemožní přístupu nežádoucích osob. Nastavení pluginu není těžké a je rozhodně vhodné mu věnovat svůj čas a vyhnout se tak nepříjemným komplikacím.