PageRank.cz – magazín o internetu SEO, SEM, grafika, UX, použitelnost, kódování, affiliate, domény, copywriting, marketing, PPC…
WordPress je jeden z nejrozšířenějších redakčních systémů a co víc, je k dispozici zdarma. Nicméně právě v tom tkví ten malý háček, jelikož se jedná o open source projekt, je i velice často terčem hackerských útoků. Jak však můžete svůj web zabezpečit tak, abyste těmto útokům předešli? Následujících pár tipů pomůže všem uživatelům wordpress webů svoje stránky správně zabezpečit.
Neignorujte aktualizace
WordPress automaticky zobrazuje všechny nové aktualizace na úvodní stránce po přihlášení do systému. Obsahuje důležité záplaty, které mohou zabránit dalšímu útoku. Stejně tak na tom jsou i pluginy a šablony. Jejich tvůrci se zpravidla snaží bezpečnostní problémy, které se při praktickém používání objeví, opravovat.
Odstraňte staré a nepoužívané pluginy a šablony
I neaktivní šablony a pluginy na vašich stránkách mohou znamenat nebezpečí. Právě protože jsou dlouhou dobu neaktivní, jsou zároveň i neaktuální. Nestahují se k nim aktualizace a mohou obsahovat leckteré bezpečnostní díry.
Chraňte soubor .htaccess
Jedná se o soubor, který umožňuje mít kontrolu nad přístupovými právy. Můžete tedy ovlivnit, kdo má přístup k určitým souborům nebo typům souborů. Jedná se o skrytý soubor, který je umístěn v root adresáři a je nutné mít zobrazené skryté soubory, na to abyste jej viděli a mohli upravovat.
Než však začnete soubor upravovat, doporučujeme původní soubor zazálohovat. Následně do něj doplňte následující kód:
# protect .htaccess file
<Files ~ „^.*\.([Hh][Tt][Aa])“>
order allow,deny
deny from all
satisfy all
</Files>
Toto zajistí, že nikdo z venčí nemůže editovat tento soubor.
Ochraňte svůj wp-config.php soubor
Když už upravujete soubor .htaccess, je do něj také dobré implementovat ochranu souboru wp-config.php. Tento soubor obsahuje mnoho důvěrných informací, které hackaři dokážou snadno identifikovat a zneužít. Mimo jiné obsahuje i přístupové údaje. Svůj web můžete ochránit tak, že tento soubor jednoduše „zamknete“.
Do souboru .htaccess tedy ještě vepište:
# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Zakažte neznámým IP adresám vstup na přihlašovací stránku
Další slabinou je přihlašovací stránka. Lze ji ochránit tak, že na ni pustíte pouze IP adresy, které si sami určíte. Tedy vaši, vašich redaktorů atd.
Opět jdeme upravovat soubor .htaccess a to následujícím způsobem:
<files wp-login.php>
order deny,allow
deny from all# static IP
allow from xxx.xxx.xxx.xxx# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8 </files>
Je mnoho způsobů jak zabránit tomu, aby se stránky staly terčem útoku. Základ je instalovat nové aktualizace a jednorázové akce, které byly výše zmíněny.
