[vc_row][vc_column][vc_column_text]WordPress je najobľúbenejší systém na správu obsahu (CMS), pričom 43,2 % všetkých webových stránok beží na jeho softvéri. Bohužiaľ, jeho popularita priťahuje najrôznejších kyberzločincov, ktorí zneužívajú bezpečnostné zraniteľnosti tejto platformy. Vaša webstránka môže byť kedykoľvek napadnutá bez toho, aby ste o tom vedeli. Boti môžu skúmať vaše stránky a snažiť sa nájsť zraniteľnosti, aby mohli zaviesť škodlivý softvér alebo získať prístup k údajom používateľov. Vašou úlohou je odpovedať si na otázku ako zabezpečiť WordPress stránku tak, aby sa nestala ľahkým terčom pre útočníkov.
Hoci redakčný systém WordPress je bezpečný sám o sebe, neznamená to, že nemôžete podniknúť kroky na lepšiu ochranu obsahu a bezpečnosť. Niekoľko zmien tu a tam môže premeniť vašu webovú lokalitu na nedobitnú pevnosť a zabezpečiť ju tak, aby údaje používateľov zostali v bezpečí. V tomto článku budeme hovoriť o to ako zabezpečiť WordPress vo všeobecnosti. Poďme sa hneď pustiť do práce!
Je WordPress zabezpečený? Pochopenie bezpečnosti a zraniteľností WordPress
Áno, WordPress je bezpečný, ale záleží na vás, či ho takým udržíte. WordPress dostáva pravidelné aktualizácie na opravu zraniteľností a existuje veľká komunita ľudí, ktorí sa venujú zaisteniu jeho trvalej bezpečnosti. WordPress je však obrovský. Tento systém CMS s otvoreným zdrojovým kódom poháňa viac ako 40 % webov na internete a jeho rozsah z neho robí ľahký cieľ pre kybernetických útočníkov. Premýšľajte o tom takto – ak existuje populárny plugin Wodpressu s chybou, môže to ovplyvniť tisíce až státisíce webových lokalít. Ak hacker objaví problém a rozhodne sa ho dobiť, jedna jednoduchá chyba môže mať za následok poškodenie obrovského počtu online stránok.
Tento problém sa môže ešte zhoršiť, keď používatelia neaktualizujú doplnky(pluginy), témy alebo jadro WordPress-u. Zastaraný kód je ešte zraniteľnejší voči škodlivým útokom, preto je dôležité venovať pozornosť tomu, keď vývojári vydávajú nové verzie. WordPress je bezpečný. Akonáhle sa však do tohto procesu zapojí ľudská chyba, veci majú tendenciu sa zvrtnúť. V závislosti od vašich rozhodnutí môžete nakoniec vystaviť svoje webové stránky útokom.
Takto to môže vyzerať, ak sa do vášho systému WordPress nabúra hacker:
- Nemôžete sa prihlásiť. Jedným z najjednoduchších spôsobov, ako môžu hackeri získať prístup k vášmu účtu WordPress, je zmena používateľského hesla. Môžu však tiež úplne odstrániť vaše používateľské konto. Nemožnosť prístupu k vášmu účtu pomocou bežného hesla a nemožnosť obnoviť heslo je silným znakom toho, že ste boli hacknutí, pretože to znamená, že váš používateľský účet je preč.
- Na vašej stránke je nový obsah... a vy ste ho tam nevložili. Ak si všimnete, že na mieste vašej domovskej stránky je statická stránka a/alebo ak je téma webovej stránky vymenená za úplne inú, je to znamenie, že ste boli hacknutí. Môžu však existovať oveľa jemnejšie rozdiely, ktoré budete musieť hľadať usilovnejšie. V obsahu sa napríklad môže nachádzať náhodný odkaz, ktorý vedie na pochybnú stránku.
- Vaša webová stránka je presmerovaná na inú webovú lokalitu. Hackeri niekedy pridajú skripty, ktoré presmerujú návštevníkov na úplne inú stránku – takú, na ktorej ich určite nechcete mať. Používanie nezabezpečeného servera zvyšuje pravdepodobnosť, že sa tak stane, preto je dôležité vždy si vybrať kvalitný hosting.
- Pri pokuse o prístup na vašu stránku sa zobrazí varovanie prehliadača alebo spoločnosti Google. Existuje niekoľko rôznych dôvodov, prečo sa vám v prehliadači môže zobraziť upozornenie, že s vašou stránkou je problém, a hackerské útoky sú len jedným z nich. Môže to súvisieť aj s kódom zásuvného modulu alebo témy, ktorý je potrebné odstrániť. Alebo môže ísť o problém s vašou doménou alebo SSL, s ktorým vám môže pomôcť váš hostiteľ. Ak však Google zobrazuje varovanie, mohlo by to poukazovať na hacknutie sieťovej mapy stránky, ktorá ovplyvňuje spôsob prehľadávania vášho webu spoločnosťou Google.
Vždy, keď sa vyskytne bezpečnostná chyba, váš bezpečnostný plugin v redakčnom systéme WordPress alebo váš poskytovateľ webhostingu by vás mali na to upozorniť. Existuje viacero spôsobov, ako môžu hackeri prevziať kontrolu nad vašou webovou stránkou. Väčšina hackerských útokov na WordPress je automatizovaná a najhoršie na tom je, že sa im dá ľahko predísť. Hoci je možné, že sa hacker zameria na jednu konkrétnu stránku, zvyčajne sú webové stránky súčasťou oveľa väčšieho, širšieho útoku. Nižšie si ukážeme , ako hackeri prevezmú kontrolu nad vašou stránkou:
- Backdoors súbory – sú skryté súbory alebo skripty, predstavujú alternatívny spôsob prístupu k vašej lokalite. Backdoors súbory potom môžu byť použité na pridanie škodlivého presmerovania na inú lokalitu, kam by ste nechceli posielať svojich návštevníkov.
- Brute Force prihlasovanie – automatizované nástroje zistia slabé heslá na vašom webe alebo akejkoľvek inej službe.
- Cross-scripting (Krížové skriptovanie) – umožňuje hackerom odoslať škodlivý kód do prehliadača prostredníctvom skriptu v používanom zásuvnom module.
- Škodlivý softvér(Malware) – bežne známy ako malvér, je kód, ktorý využívajú hackeri na získanie prístupu k webovej lokalite s cieľom ukradnúť citlivé informácie. Ak bola vaša webová stránka WordPress napadnutá hackermi, je pravdepodobné, že do súborov vašej webovej stránky bol vložený škodlivý softvér – preto vždy sledujte tie, ktoré boli nedávno zmenené. Medzi najčastejšie útoky malvéru na webové stránky WordPress patria zadné vrátka, Pharma hacky a škodlivé presmerovania.
- Injektáže SQL – Webové stránky WordPress používajú na prevádzku takzvanú databázu MySQL. Injekcia SQL je situácia, keď hacker získa prístup k databáze WordPress, a teda ku všetkým údajom WordPress. Injektáž SQL databázy umožňuje hackerom vytvoriť nové používateľské konto správcu, ktoré môžu použiť na prihlásenie a prístup k celej vašej webovej lokalite. Hackeri používajú injekcie SQL aj na to, aby do vašej webovej lokality prakticky „vstrekli“ škodlivý kód vrátane odkazov na spamové webové lokality.
Hrozby znejú dosť desivo. Našťastie existujú kroky, ktoré môžete podniknúť, aby ste týmto problémom vôbec zabránili. Pravdepodobne vás zaujíma, aký je správny spôsob ako zabezpečiť WordPress. Môže byť zastrašujúce vidieť dlhý zoznam bezpečnostných opatrení na zabezpečenie webovej stránky pred hackermi. Poďte pozrieť niekoľko jednoduchých krokov, ako zabezpečiť webovú lokalitu WordPress.
Ako zabezpečiť WordPress?
1.Vyberte si kvalitnú webhostingovú spoločnosť
Poskytovateľ webhostingu, ktorého si vyberiete, môže mať veľký vplyv na rôzne aspekty výkonu vašej webovej lokality vrátane rýchlosti načítania a umiestnenia vo vyhľadávaní. Môže mať (hádate správne) aj významný vplyv na bezpečnosť vašej webovej lokality.
Viac-menej každý si myslí, že jeho webhosting je skvelý, kým sa niečo prvýkrát nepokazí. V reálnom svete nie sú všetky webhostingové spoločnosti a ponuky hostingu rovnaké. Ak sa pozriete do niektorého z našich prieskumov hostingu, uvidíte, aké rozdielne sú skúsenosti ľudí, pokiaľ ide o celkovú kvalitu hostingu a tiež jednotlivé aspekty ich webhostingových nastavení, ako je bezpečnosť, spoľahlivosť, rýchlosť atď.
Zlou správou je, že väčšinou ani neviete, že váš hostiteľ neberie bezpečnosť vašej webovej stránky dostatočne vážne. Veci ako zvýšený počet útokov hackerov, časté výpadky, nízky výkon, to všetko môže byť dôsledkom nedostatočných bezpečnostných mechanizmov na mieste. Realita je taká, že svojho hostiteľa v skutočnosti „neopravíte“. Najjednoduchším a najlepším riešením je prejsť na iného hostiteľa, ktorý je bezpečnejší. Ako však viete, ktorú z nich si vybrať? Tu je niekoľko ukazovateľov bezpečného poskytovateľa hostingu:
- Pravidelné zálohovanie, ktoré je súčasťou vášho zakúpeného balíka alebo za príplatok.
- Certifikáty SSL, ktoré chránia údaje návštevníkov vašich stránok.
- Zákaznícka podpora 24 hodín denne, 7 dní v týždni, pre prípad, že by vaše stránky boli napadnuté hackermi.
- Zabudovaný firewall, ktorý chráni súbory a databázy na vašom serveri.
- Dobrá reputácia. Recenzie a odporúčania sú často najlepším spôsobom, ako určiť kvalitu hostiteľa.
2.Vytvorenie bezpečných používateľských mien a hesiel
Výberom jedinečného používateľského mena a bezpečného hesla zabráňte hackerom v hádaní. Použite aspoň 20 znakov, veľké písmeno, malé písmeno, číslo a symbol. Používanie jedinečných prihlasovacích údajov môže znieť ako veľmi základná a pochopiteľná taktika. Často sa na ňu však zabúda. Podľa správy spoločnosti TeamPassword boli v skutočnosti „123456“ a „password“ dve z najobľúbenejších ukradnutých hesiel v roku 2019. Tieto heslá sú ľahko uhádnuteľné pre ľudí a oveľa ľahšie pre roboty, ktoré dokážu pri útoku hrubou silou vygenerovať viacero kombinácií čísel a písmen v priebehu niekoľkých sekúnd.
Ak chcete zvýšiť bezpečnosť redakčného systému WordPress, uistite sa, že ste pri nastavovaní webstránky vytvorili jedinečné a komplexné heslo. Okrem toho, hoci sa to môže zdať pohodlné, mali by ste sa vyhnúť používaniu rovnakého hesla na viacerých platformách. Namiesto toho by ste mali používať jedinečné heslo pre každé konto, ktoré máte na internete. Ak sa obávate, že zabudnete svoje heslá, môžete použiť niektorý nástroj, ako je napríklad Bitwarden, ktorý ukladá heslá do šifrovanej databázy. Alebo použite nástroje ako LastPass na ukladanie hesiel do cloudu. Tento nástroj vám pomôže aj s generovaním dostatočne silných hesiel, ktoré odolávajú aj silným brute-force útokom.
Bezpečné heslá sú len jednou zo súčastí zabezpečenia prihlasovania. Používanie bezpečného používateľského mena je rovnako dôležité, pretože používateľské mená sú rovnako náchylné. V predvolenom nastavení je vaše používateľské meno WordPress „admin“. Odporúčame ho zmeniť v procese vytvárania novej webovej stránky, avšak po nainštalovaní redakčného systému WordPress ho nebudete môcť priamo zmeniť.
Jedným z najlepších spôsobov, ako zabezpečiť čo najbezpečnejšie prihlasovacie postupy, je zapnutie dvojfaktorového overovania. V tomto prípade poskytnete dve rôzne sady prihlasovacích údajov. Napríklad pravdepodobne nastavíte používateľské meno a heslo, ale potom môžete pridať aj rôzne bezpečnostné prvky: napríklad bezpečnostnú otázku, tajný kód, záložný e-mail alebo overovací kód zaslaný na zvolené telefónne číslo. Dvojfaktorové overovanie je jedným z najlepších spôsobov ochrany všetkých vašich online účtov, nielen webovej lokality WordPress.
3.Inštalácia bezpečnostného pluginu pred WordPress
Ak sa pýtate, či sú potrebné bezpečnostné pluginy WordPress, odpoveď je áno. Túto skutočnosť je dôležité si pamätať. A ak sa niektorý z týchto útokov podarí, môže to mať pre vašu online spoločnosť katastrofálne následky. Čo je však dôležitejšie, samotný poskytovateľ hostingu WordPress nedokáže ochrániť vašu lokalitu WordPress pred všetkými hrozbami.
Na zabezpečenie vášho počítača sa používa antivírusový softvér. Odporúčame siahnuť po doplnku s názvom Wordfence, ktorého základný balík je bezplatný a obsahuje aj funkciu dvojitého overenia používateľa, ktorá do značnej miery môže zamedziť veľkému počtu útokov. V dôsledku toho má zmysel chrániť váš webový projekt aj pomocou spomínaných pluginov. Útočníci môžu spôsobiť prudký pokles návštevnosti webovej lokality, ak nie sú odhalení alebo sú odhalení príliš neskoro.
4.Udržujte aktualizácie všetkých tém a pluginov aktuálne
Jedným z najjednoduchších spôsobov, ako zabezpečiť WordPress, je používať pravidelné aktualizácie prípadne mať nadstavené automatické aktualizácie pluginov. Aktualizácie vo všeobecnosti obsahujú opravy problémov, ktoré vývojári našli v predchádzajúcich verziách tém, doplnkov alebo jadra WordPress. Tie zahŕňajú bezpečnostné problémy, ktoré môžu byť zneužité, keď ich hackeri objavia.
WordPress sa neustále vyvíja a poskytuje používateľom nové aktualizácie. Preto je dôležité, aby ste tieto aktualizácie priebežne sledovali a zabezpečili, že vždy používate najnovšiu verziu systému WordPress. Nejde len o jadro operačného systému WordPress, ktoré musíte udržiavať aktuálne, ale musíte tiež zabezpečiť, aby ste používali najaktuálnejšie verzie všetkých zásuvných modulov a tém.
Ak bolo niečo aktualizované, bude to mať svoj dôvod. Nové aktualizácie často opravujú chyby alebo bezpečnostné problémy, ktoré boli označené v starších verziách, takže udržiavanie všetkého aktualizovaného vám pomôže zabezpečiť, aby bola vaša stránka WordPress čo najbezpečnejšia. Podobne ako WordPress by sa mali aktualizovať aj nainštalované témy a pluginy. Dôležité je tiež udržiavať stránku v bezpečí. Ak chcete aktualizovať témy a zásuvné moduly, jednoducho prejdite do oblasti správcu WordPress na kartu Pluginy „Nainštalované pluginy“. Zobrazí sa tu zoznam všetkých vašich nainštalovaných zásuvných modulov, pričom pri každom z nich sa nachádza cesta „Povoliť automatické aktualizácie. Ak chcete povoliť automatické aktualizácie jednotlivých zásuvných modulov, kliknite na položku „Povoliť automatické aktualizácie“.
5.Používanie dôveryhodnej témy
Pri výbere témy WordPress si možno myslíte, že jediným aspektom, ktorý treba zohľadniť, je jej vzhľad. No mýlili by ste sa! Téma, ktorú si vyberiete, môže mať zásadný vplyv aj na bezpečnosť vašej webovej lokality. Jednou z kľúčových vecí, na ktoré si treba dávať pozor a vyhnúť sa im, sú nulové témy tzv. nulled themes. Znehodnotená téma je verzia legitímnej prémiovej témy, ktorá často obsahuje škodlivý kód a malvér. Tieto témy sa zvyčajne predávajú za nižšiu cenu ako originály, aby prilákali zákazníkov. Znehodnotená téma je nelegálna a od vývojárov nedostanete žiadnu technickú podporu – takže ak sa niečo pokazí, budete to musieť vyriešiť sami.
Pri výbere témy je najlepšie zabezpečiť, aby ste si vybrali tému od oficiálneho vývojára schváleného pre WordPress. Takto budete mať istotu, že neobsahuje škodlivý kód, a vývojári témy vám v prípade potreby poskytnú pomoc pri inštalácii. Téma poskytuje hlavný návrh alebo rozvrhnutie pre stránky WordPress. Keďže sa téma skladá z kódu, aj ona má digitálne dvere, ktoré môžu hackeri odomknúť, ak zistia správny kľúč. Vašou najbezpečnejšou konfiguráciou je téma parent theme/child theme, pretože sa skladá z dvoch tém vytvorených tak, aby fungovali v tandeme.
Podriadená téma(Child theme) je duplicitná kópia rodičovskej témy(Parent theme) so všetkými rovnakými funkciami a vlastnosťami, ale podriadená téma vám umožňuje navrhovať web a vykonávať zmeny bez zmeny hlavnej rodičovskej témy. Vývojári často vydávajú aktualizované verzie svojich tém s najnovšími aktualizáciami zabezpečenia a kompatibilitou s verziami WordPress. Uistite sa, že udržiavate svoju tému aktualizovanú, čo pomôže zaistiť bezpečnosť vášho webu.
6.Časté zálohovanie
Napriek vašej snahe sa niekedy stane to najhoršie a hackerom sa podarí napadnúť vaše webové stránky nemusí to znamenať ihneď koniec. Ak pravidelne zálohujete svoje webové stránky, mali by ste byť schopní ľahko obnoviť ich pôvodný stav alebo stav, ktorý bol aktívny pri poslednej zálohe. Na zálohovanie webovej lokality WordPress môžete použiť buď špecifické pluginy určené na tento účel – napríklad JetPack,Updraft – alebo môžete vykonať zálohovanie v rámci ovládacieho panela vášho webového poskytovateľa. Nezabudnite preto často zálohovať svoje webové stránky. Skúste si vytvoriť plán zálohovania webovej lokality a – čo je dôležitejšie – dodržujte ho!
Zálohy ukladajte na viacero rôznych externých miest – napríklad na fyzický pevný disk – aby ste mali vždy ľahký prístup k aktuálnej verzii alebo cloudový účet ako napríklad Google Drive. Keď sa pustíte do novej zálohy, nenechajte sa zlákať na okamžité vymazanie starej zálohy. Vaša najnovšia záloha môže mať neriešiteľný problém, preto je vždy dobré mať zálohu zálohy.
8.Odstránenie nepoužívaných pluginov a tém
WordPress má k dispozícii viac ako 58 000 doplnkov. Áno, čítate správne – 58 000! Pri takom množstve na výber nie je prekvapením, že ľudia zabúdajú, ktoré z nich si stiahli a nainštalovali. Často sa stretávate s tým, že používatelia WordPress majú nainštalované rôzne doplnky, ktoré ani nie sú aktívne. Aj keď sa to nemusí zdať ako veľký problém, nepoužívané doplnky a témy môžu mať nakoniec významný vplyv na bezpečnosť vašej webovej lokality WordPress.
Niekedy sa hackerom podarí preniknúť do kódu starších tém a pluginov a použiť ich na spustenie škodlivého softvéru na vašej webovej lokalite WordPress. Ak hromadíte staré témy a doplnky vo vašom webhostingu, ľahko zabudnete, ktoré z nich máte nainštalované – a teda ktoré by mohli brániť celkovej bezpečnosti vašej webovej lokality. Najlepší spôsob, ako zabrániť tomu, aby staré doplnky alebo témy ovplyvnili bezpečnosť vašej stránky, je pravidelne odstraňovať všetky, ktoré už nepoužívate.
9.Zabezpečte svoju webovú stránku WordPress ochranou prihlasovacej stránky
Adresa URL, ktorú používate na prihlásenie do ovládacieho panela svojej webovej lokality WordPress, je v predvolenom nastavení zvyčajne domena.com/wp-admin. Každý hacker to vie a čiastočne je to dôvod, prečo sú webové stránky WordPress také zraniteľné. V niekoľkých jednoduchých krokoch to zmeníte tak, že zmeníte cestu k prihlasovacej adrese URL na niečo jedinečné. Môžete to urobiť ručne, ale najjednoduchšie je použiť zásuvný modul. Stačí si stiahnuť a nainštalovať doplnok, napríklad WPS Hide Login. Pomocou týchto nástrojov môžete v priebehu niekoľkých minút zmeniť predvolenú adresu URL na niečo jedinečné a menej ľahko uhádnuteľné.
Hoci môžete ručne zmeniť prihlasovaciu adresu URL bez pomoci zásuvných modulov, neodporúča sa to. Vždy, keď totiž aktualizujete WordPress, predvolená prihlasovacia stránka sa vytvorí nanovo, čo vás prinúti zmeniť prihlasovaciu cestu znova. Takisto pokus o ručnú zmenu prihlasovacej adresy URL môže spôsobiť chyby na obrazovke odhlásenia a môže ovplyvniť ďalšie kľúčové funkcie WordPress.
10.Zmena prefixu tabuľky databázy WordPress
Ak ste niekedy inštalovali WordPress, potom poznáte prefix tabuľky wp-, ktorý sa používa v databáze WordPress. Odporúčam vám zmeniť ju na niečo jedinečné. Používanie predvoleného prefixu spôsobuje, že databáza vášho webu je náchylná na útoky SQL injektáže. Takýmto útokom sa dá zabrániť zmenou wp- na nejaký iný výraz. Môžete ho napríklad zmeniť na mywp- alebo wpnew-.
Ak ste už nainštalovali redakčný systém WordPress s predvoleným prefixom, môžete ho pomocou niekoľkých doplnkov zmeniť. Pluginy, ako napríklad WP-DBManager alebo iThemes Security, vám pomôžu vykonať túto prácu jednoduchým kliknutím na tlačidlo. (Predtým, ako začnete čokoľvek robiť s databázou, uistite sa, že ste si stránku zálohovali).
Zopár slov na záver
Kybernetické útoky môžu mať rôzne formy, od injektovania škodlivého softvéru až po útoky DDoS. Najmä webové stránky WordPress sú častým cieľom hackerov vzhľadom na popularitu tohto systému CMS. Zabezpečenie webovej lokality WordPress nie je až také zložité, ale zaberie to nejaký čas. Našťastie, mnohé z najpopulárnejších bezpečnostných opatrení si po implementácii nevyžadujú veľkú údržbu. Trochu práce navyše teraz môže udržať vašu webovú lokalitu v bezpečí po celé roky. Bezpečnosť webových stránok WordPress by mala byť prioritou pre všetkých správcov webových stránok. Aj keď žiadna webová lokalita nie je 100% nedobytná, implementácia tipov a osvedčených postupov ako zabezpečiť WordPress uvedených v tomto článku vám pomôže výrazne obmedziť riziká hackerského útoku.[/vc_column_text][movedo_divider padding_top=“30″ padding_bottom=“30″][vc_row_inner][vc_column_inner][vc_column_text text_style=“subtitle“]
Pomohol vám tento článok? Podporte nás prosím jeho zdieľaním.
[/vc_column_text][movedo_social social_facebook=“yes“ social_twitter=“yes“ social_linkedin=“yes“ social_pinterest=“yes“ icon_size=“small“ icon_shape=“round“ shape_color=“white“][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row]
