WordPress – metódy na zabezpečenie webstránky


Systém manažérstva obsahu (angl. CMS) WordPress je bezpochyby najpopulárnejšou aplikáciou používanou na zriaďovanie webstránok. Kvôli jeho popularite je obľúbená aj medzi hackermi, ktorí často preberajú kontrolu nad nezabezpečenými a/alebo neaktualizovanými webstránkami založenými na tomto systéme.

Nižšie predstavujeme dobrú prax, ktorú odporúčame kvôli zvýšeniu úrovne bezpečnosti na Vašej webstránke založenej na systéme WordPress.

Dobrá prax zvyšujúca bezpečnosť vo WordPress

  1. NAJDÔLEŽITEJŠIE! Nezabudnite na aktualizácie WordPress a aktualizácie zásuvných modulov a motívov! Je to najdôležitejšie pravidlo, a ak ho nebudete dodržiavať, nasledujúce rady Vám nebudú nič platné.
    Spolu s verziou WordPress 3.7 zaviedli tvorcovia aplikácií mechanizmus automatických aktualizácií. Táto funkcia bez Vášho zásahu vykonáva aktualizáciu systému WordPress v momente, keď producent zverejní aktualizácie pre používateľov.
  2. Zmeňte predvolený prefix wp_ pre tabuľky v databázach. Zmenu predvoleného prefixu na vlastný prefix môžete vykonať už počas inštalácie WordPressu. Po inštalácii bude pri už existujúcich tabuľkách zmena prefixu tiež možná. Pri tomto môžete využiť nástroje phpMyAdmin. Po prihlásení sa do bázy označte všetky tabuľky, vyberte možnosť ‘Zmeň prefix tabuliek’ a zadajte nový prefix, ktorý chcete nastaviť pre tabuľky WordPress.
    Zmena názvu prefixu tabuliek si tiež vyžaduje aktualizáciu zápisov v dvoch tabuľkách WordPressu: xltw4_options a xltw4_usermeta. Odporúčame tiež využitie nižšie uvedených rád, ak chcete vyhľadať záznamy so starým prefixom tabuliek, ktorý budeme meniť:
    pre tabuľku prefix_options:

    SELECT * FROM `xltw4_options` WHERE `option_name` LIKE '%wp_%';

    pre tabuľku prefix_usermeta:

    SELECT * FROM `xltw4_usermeta` WHERE `meta_key` LIKE '%wp_%';

    Ako odpoveď na otázku sa zobrazí zoznam riadkov, v ktorých by ste mali starý prefix tabuľky ‘wp_’ zastúpiť novým, v našom prípade ‘xltw4_’.

    Nezabudnite! Po zmene prefixu tabuliek v báze aktualizujte prefix v súbore wp-config.php. V opačnom prípade sa už strana nebude zobrazovať.
    Po nastavení unikátneho prefixu pre databázu (najlepšie náhodný rad znakov) bude naša stránka viac odolná voči automatizovaným útokom typu SQL Injection.
  3. Zmena ID a loginu hlavného administrátora. Pri ID sa oplatí zadať veľké číslo skladajúce sa z mnohých číslic. Zmena štandardného loginu „admin” síce možno nie je najdôležitejšia (najmä ak vezmete do úvahy naše ostatné rady), ale kvôli svätému pokoju ho radšej nepoužívajte. Ako zmeniť názov používateľa/login a heslo vo WordPresse?
    Zmenu ID a loginu administrátora môžete vykonať prostredníctvom phpMyAdmin (po spojení s databázou, v ktorej bol nainštalovaný WordPress). Následne v tabuľke xxx_users môžete zmeniť údaje používateľov (ID a login). Ako sa prihlásiť do bázy MySQL, používajúc phpMyAdmin?
    DÔLEŽITÉ! Po zmene ID používateľa je nutné zaviesť zmeny (nastavenie NOVÉHO ID) v tabuľke xxx_usersmeta.
  4. Obmedzte prístup k /wp-admin/ pomocou .htaccess (prístup k ovládaciemu panelu WordPress iba pre konkrétne IP adresy). Viac informácií o obmedzení prístupu k stránkam nájdete tu. Ak chcete obmedziť prístup jednej IP adrese, v súbore .htaccess umiestnite nižšie uvedený kód: 
    AuthName "Example Access Control"
AuthType Basic
order deny,allow
deny from all
allow from 212.85.96.1
    DÔLEŽITÉ! Súbor .htaccess s takýmto obsahom je potrebné umiestniť v adresári /wp-admin/. Namiesto “212.85.96.1” zadajte Vašu stálu IP adresu. Ak máte pochybnosti, či Vám dodávateľ internetu pridelil stálu IP adresu, skontaktujte sa s ním s cieľom zistiť správne informácie.
  5. Zmeňte prihlasovaciu adresu prihlasovania do administrácie WordPressu. Skripty útočiace na stránky postavené na WordPresse sa vždy snažia získať prístup k tej istej štruktúre adries (napr. /wp-content/, /wp-admin/ atď.). Dobrým riešením je zmena adresy, pomocou ktorej sa prihlasujete na panel WordPress, aby ste skomplikovali snahu o prevzatie účtu. Odporúčame zásuvný modul WPS Hide Login – po inštalácii definujete novú prihlasovaciu cestu do administrácie servisu a…to je všetko!
    Nezabudnite – zásuvný modul začne fungovať okamžite po uložení zmien v nastaveniach, preto pri ďalšom pokuse o prihlásenie do panela WordPress zadajte novú adresu pre administráciu servisu.
  6. Zapnite prihlasovanie e-mailovou adresou. Do mnohých servisov sa prihlasujete tak, že namiesto prihlasovacieho mena zadáte e-mailovú adresu. Prečo nevyužiť túto možnosť vo WordPresse? Použite zásuvný modul WP Email Login, čím zapnete nutnosť zadať e-mailovú adresu pri prihlasovaní do administrácie WordPressu. WordPress – Prihlasovacie okno – Prihláste sa do servisu pomocou e-mailovej adresy.
  7. Ak nepoužívate editor súborov motívov a zásuvných modulov vo WordPresse – vypnite ho! Môžete pri všetkých administrátoroch vypnúť možnosť zavádzania zmien v súboroch motívov a zásuvných modulov pomocou ovládacieho panelu WP. V takejto situácii iba osoby, ktoré majú prístup k serveru FTP, budú môcť vykonávať zmeny v súboroch. Ak to chcete urobiť, stačí do súboru wp-config.php pridať tento riadok: 
    define('DISALLOW_FILE_EDIT', true);

    Týmto spôsobom znížite riziko pridania škodlivého kódu na stránku osobami, ktoré neautorizovaným spôsobom získali prístup k ovládaciemu panelu WordPress.

  8. Vypnite funkciu registrácie používateľov. Ak nechcete umožniť registráciu účtov na Vašej internetovej stránke, navrhujeme úplne vylúčiť možnosť registrácie v nastaveniach WordPress (Nastavenia -> Všeobecné nastavenia -> Členstvo).
  9. Nastavte dvojstupňové overovanie (2FA). Dvojstupňové overovanie (2FA) spočíva na pridaní druhého stupňa overenia v procese prihlasovania na WordPress. Okrem niečoho, čo si pamätáte (heslo), bude systém vyžadovať takisto niečo, čo máte vždy pri sebe (smartfón). Vďaka tomu aj ak niekto pozná Vaše heslo, neprihlási sa k WordPressu bez prístupu do Vášho smartfónu.
    Ak chcete spustiť dvojstupňové overovanie vo WordPresse, vyžaduje sa inštalovanie príslušného zásuvného modulu (napr. Two Factor Authentication) a inštalácia aplikácie Google Authenticator na smartfóne s Androidom alebo iOS. Po prihlásení sa do WordPressu a nainštalovaní zásuvného modulu Two Factor Authentication ju budete môcť prepojiť s aplikáciou Google Authenticator, ktorá bude na telefóne generovať kódy nevyhnutné pre logovanie.
  10. Dodatočné bezpečnostné zásuvné moduly. V sieti môžete nájsť dodatočné zásuvné moduly pre WordPress slúžiace na zvýšenie úrovne bezpečnosti WordPressu. K týmto najobľúbenejším patria bezpochyby Shield, Sucuri, WordFence a iThemes Security.
    Každý z vyššie uvedených zásuvných modulov Vám jednoduchým spôsobom umožní zabezpečiť inštalovanie WordPressu, ponúkajúc funkcionality také ako: zmena prefixu tabuliek v databáze, zmena identifikátora hlavného používateľa, blokovanie útokov typu BruteForce, blokovanie útokov typu XSS, ukrývanie verzie WordPressu, monitorovanie zmien v súboroch na serveri a notifikácie administrátorovi v prípade odhalenia zmien, automatická tvorba kópií zabezpečenia servisu (najčastejšie pri platných verziách)
    Ktorý zásuvný modul nainštalovať? Používatelia WordPressu majú rôzne názory na účinnosť vyššie uvedených zásuvných modulov. Nájdete rovnako veľa hlasov ZA aj PROTI inštalácii zásuvných modulov. Rozhodnite sa sami.
  11. Pravidelne zálohujte údaje (backup údajov). Údaje na všetkých serveroch IONOS podliehajú cyklickej archivácii (vždy v noci). Archivácia záložných údajov je vedená bodovo v určitých časoch v noci. Vďaka tomu je dobré mať možnosť vykonať zálohu v ľubovoľnom momente (napr. hneď po vykonaní dôležitých zmien na webstránke).
    Kvôli tomuto môžete využiť obľúbený zásuvný modul: Duplicator, ktorý je pokročilým a zároveň jednoduchým nástrojom na tvorbu zálohy. Vďaka tomu budete môcť obnoviť svoj WordPress v krízovej situácii, keď stránka prestane fungovať.
  12. Odstránenie zbytočných zásuvných modulov a motívov. Odstráňte program, ktorý nevyužijete, pretože nepoužívaný a neaktualizovaný zásuvný modul alebo motív môžu slúžiť ako cieľ budúceho útoku.
    Odporúčame inštalovať zásuvné moduly a šablóny iba z overených zdrojov!
    Bezpečným miestom pre sťahovanie zásuvných modulov a motívov pre WordPress je oficiálny repozitár. Rozšírenia, ktoré sa v ňom nachádzajú, prechádzajú pred zverejnením overovacím procesom, v rámci ktorého sa kontrolujú napr. pre prítomnosť škodlivého kódu. Repozitár používajú denne tisícky používateľov, ktorí si hneď všimnú a nahlásia všetky možné problémy.
  13. Zapnite službu HTTPS:// (SSL certifikát). SSL certifikáty sú vyžadované pre väčšinu webstránok. Zvýšenie úrovne bezpečnosti údajov uchovávaných na stránke, údajov odosielaných klientmi (kontaktné formuláre, košíky v internetových obchodoch), a napokon – väčšia dôveryhodnosť servisu pre návštevníkov, ako aj vyhľadávačov (napr. Google).
    Objednajte si SSL certifikát už dnes. Dbajte na bezpečnosť svojej webstránky, elektronickej pošty, údajov používateľov. Zaregistrujte SSL v IONOS a kontrolujte všetky služby z jedného Klientskeho panela. Kliknite a prejdite do ponuky, ak si chcete objednať SSL certifikát.
    Dokonca aj autori WordPressu oficiálne hovoria o nutnosti inštalovania SSL certifikátov na stránkach založených na WordPresse (viď: V roku 2017 WordPress iba s SSL certifikátom).
    Ak je na Vašom serveri SSL certifikát už nainštalovaný, zapnite jeho obsluhu vo WordPresse. Táto operácia sa vykoná zadaním správnej adresy (https:// namiesto http://) v nastaveniach aplikácie (Nastavenia -> Všeobecné)
    Navyše, do súboru .htaccess v hlavnom adresári WordPressu je potrebné pridať tento zápis:

    RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  14. Využívajte dlhé bezpečná prístupové heslá (o. i. k ovládaciemu panelu WordPress a servera FTP) a využívajte aktuálny antivírusový program, napr. Kaspersky.
    Žiadne zabezpečenia nebudú účinné, ak používate heslo, ktoré sa dá ľahko prelomiť!
    Sumarizácia – nezabudnite kontrolovať svoju webstránku! Väčšina škodlivých skriptov, ktoré útočia na stránky založené na WordPresse, nemá za cieľ zničiť dobytý servis. Spravidla pridávajú na stránky kódy, ktoré spôsobia odosielanie spamu alebo presmerovanie návštevníkov na iné URL adresy (môžu tiež nahrávať škodlivé stránky do skrytého rámu iframe). Používatelia webstránok nemusia vedieť vôbec nič o tom, že škodlivé skripty boli pridané na ich webstránky.

Hosting vytvorený pre WordPress

Máte webovú stránku na WordPress? My tiež milujeme tento systém pre webové stránky. Preto sme vytvorili hosting špeciálne pre jeho používateľov.

Hosting WordPress SSD
Hosting WordPress SSD Start Pridať do košíka

Súvisiace články

  • Autoinštalátor na hostingu – ako ho používať?
    Ako používať Autoinštalátor? Jednoduchý proces inštalácie Aké aplikácie si môžem nainštalovať na server? Autoinštalátor je nástroj, ktorý umožňuje ľahkú a rýchlu inštaláciu hotových softvérových aplikácií...

Zobraziť ďalšie výsledky ...

Generic filters
Tylko dokładne dopasowania
Szukaj w tytułach
Szukaj w treści
Filter by Article Categories
Často kladené otázky
Registrácia služieb
Zákaznícky panel
Domény
Hosting
Automatický inštalátor CMS
Databázy
FTP
Elektronická pošta
Webmail
E-mailové programy
SSL certifikát
Website Builder
Office 365
Google Workspace
Bezpečnosť
Vedomostná základňa
WordPress
alebo
Vyhliadka 48 zápisy
a Adresár v Pošte Antispamové nastavenia Autoinštalátor automatickej odpovede blog cms joomla cms wordpress cname DNS domény e-mailovú schránku európske domény FTP globálne domény google workspace gsuite hosting IONOS kalendár Možnosti účtu Multipošta mx Objednávky a faktúry opakované platby PayU podpis k e-mailu Pošta Pošta Gmail Pošta G Suite Pošta IONOS poštový program prevod profil e-mailu putty Registrácia e-mailu spustenie e-mailu SSH total commander Tvorca webových stránok vyúčtovania webmail zabezpečenie webstránky zaplatiť za službu Záznamy domény