Dokážete si představit, že veškerý obsah vašeho firemního webu, který pohání WordPress, zmizí? Že se vám nepodaří dostat do administrace? Nebo se při každém otevření stránky načte reklama konkurence? Všechny tyto scénáře jsou skutečné a prožívají je lidé, kteří zcela ignorují zabezpečení WordPress webu. Ve skutečnosti nemusíte být bezpečnostní expert s hromadou času. Pro zcela základní zabezpečení vám bude stačit pár minut pro instalaci pluginu a několik praktických rad.
Hlídejte bezpečné přihlášení a heslo
Uživatelské jméno „admin“ a heslo složené z názvu webu a čísel 123. To je pozvánka pro útočníky, kterou si nemůžete dovolit. Zvolte si složité heslo, případně rovnou zabezpečte přihlášení samotné. Cestou k bezpečnému přihlašovacímu procesu je zapnutí dvoufázového ověření. Jedním z nejoblíbenějších pluginů pro jeho aktivaci je Two Factor Authentication. Váš uživatelský účet ve WordPress administraci bude chráněn další úrovní zabezpečení. Může se jednat například o zaslání SMS kódu na váš mobilní telefon.
Dalším a velmi jednoduchým krokem k bezpečnému přihlášení je změna URL, přes kterou se do administrace přihlašujete. To je opět možné prostřednictvím pluginu. Ověřeným tipem s širokými možnostmi dalšího zabezpečení je plugin iThemes Security. Kromě již zmíněného dvoufázového ověření a změny přihlašovací URL nabízí například také možnost nastavení expirace hesla a logování uživatelských aktivit.
Aktualizujte a skryjte WordPress
WordPress se neustále vyvíjí a některé aktulizace přináší kromě nových funkcí také opravy kritických bezpečnostních chyb. Těch v případě odhalení okamžitě využívají hackeři a jejich automatizované nástroje, které jsou schopné zjistit si aktuální verzi WordPressu na vašem webu. WordPress je v případě chyby oblíbeným cílem útoků a základním receptem jeho ochrany je pravidelná a pokud možno bezodkladná aktualizace.
Rozhodně nevypínejte automatickou aktualizaci a sledujte nejen aktualizace WordPressu, ale také všech nainstalovaných pluginů. I ty se mohou v případě kritické chyby stát otevřenými dveřmi pro útoky na váš web.
V mnoha případech dává smysl před zraky ostatních zcela skrýt, že WordPress používáte. Útočník tak nebude mít možnost zjistit verzi systému ani další informace o webu, které by v případě klasického zobrazení WordPressu byl schopný relativně snadno dohledat. Pro skrytí toho, že využíváte WordPress, můžete využít služeb pluginu WP Hide & Security Enhancer.
Používejte profesionální šablony
Jeden chybný soubor v šabloně a váš WordPress web je opět zranitelný. Výběr šablony nezakládejte pouze na vzhledu, ale také na tom, zda-li vám garantuje vysokou bezpečnost.
Jednou z našich hlavních priorit při tvorbě šablony Ark je právě zabezpečení. Když si vyberete šablonu zdarma bez dalšího vývoje, velmi brzy může zastarat a stát se snadným terčem. My šablonu Ark aktualizujeme a staráme se o to, aby byla plně kompatibilní jak s poslední verzí systému WordPress, tak s často používanými pluginy a bezpečnostními pluginy. Právě to z ní dělá jednu z nejlépe hodnocených šablon pro WordPress všech dob a zpětná vazba uživatelů nám pouze potvrzuje, že má smysl bezpečnost stavět na první místo.
Komerční šablony doporučujeme kupovat pouze na oficiálních tržištích a stránkách tvůrců. Pro někoho je možná lákavé získat komerční šablonu zdarma z nějakého nelegálního zdroje, nicméně u něj vám nikdo nezaručí, že šablona nebyla změněna a vy si na web společně s šablonou nenainstalujete škodlivý kód.
Pravidelně web skenujte a zálohujte
Jsou všechny soubory na vašem hostingu v pořádku? Nedošlo u některých ke změnám, které by mohly být předzvěstí hrozícího útoku? Přesně na tyto otázky vám odpoví skenování. Máte možnost velmi jednoduše a automaticky skenovat všechny soubory WordPressu včetně souborů šablon a pluginů. Populární plugin Wordfence porovnává soubory s repozitářem WordPressu, aby vás informoval, pokud byla vaše verze pluginu či šablony nestandardně modifikována. Zároveň se opět jedná o jeden z multifunkčních bezpečnostích pluginů, který nabízí více funkcí pro zvýšení bezpečnosti včetně dvoufázového ověření, ochranu před útokem hrubou silou a blokování konkrétních IP adres známých útočníků.
Zdravou verzi webu byste měli také pravidelně zálohovat pro případ, že se něco stane. Jedním z velmi oblíbených zálohovacích pluginů je BackUpWordPress.
Udělejte první krok k bezpečnosti
Nemusíte okamžitě začít instalovat všechny bezpečností pluginy a aplikovat všechna doporučení. Ve skutečnosti už jen dostatečně bezpečným heslem, pravidelnými aktualizacemi a správně zvolenou šablonu udělat pro bezpečnosti vašeho WordPressu mnohem víc než mnoho jiných majitelů webů.
Důležitost bezpečnosti roste s důležitostí samotného webu. V žádném případě však bezpečnost nepodceňujte ani u menších projektů. Během 10 minut můžete skutečně vše aktualizovat a bez problémů nastavit váš první bezpečnostní plugin.
