All In One WP Security & Firewall – Jak levně na zabezpečení WordPress webu
Napsal: Miroslav Bartík
V kategorii: Zabezpečení
Dne: 17. 2. 2021
Zabezpečení je z mého pohledu stejně důležité, jako obsah webu. Jen s tím rozdílem, že vám nemůže vydělat peníze. Na druhou stranu vám může mnoho peněz ušetřit tím, že nebudete muset řešit nezabezpečený web. Odvirování webu je totiž složitá a finančně i časově nákladná záležitost, které se doporučuji vyhnout.
Úvodní stránka » All In One WP Security & Firewall – Jak levně na zabezpečení WordPress webu
Potřebný čas k přečtení: ( Počet slov: )

V tomto příspěvku z kategorie Zabezpečení bych vám rád vysvětlil, jak levně, ale jen částečně zabezpečit web. Pokud si zrovna s tímhle tématem nevíte rady, pohodlně se posaďte a dočtěte příspěvek až do konce.

Tak s chutí do toho.

Levná varianta zabezpečení WordPress webu

Pokud potřebujete hodně šetřit (což chápu, ale ohledně zabezpečení nedoporučuji), je dobrou variantou bezpečnostní plugin All in One WP Security & Firewall. Vzhledem k ceně poskytuje některé důležité a účinně funkce pro zabezpečení WordPress webu.

V zabezpečení WordPress webu vám pomůže plugin All in One WP Security & Firewall

V současné době má víc jak 900 000 aktivních instalací a hodnocení se pohybuje kolem pěti hvězdiček (950 hodnotících uživatelů). Je testován na novějších verzích WordPressu, a to od verze 5.6 a vyšší.

Malou nevýhodou se může zdát, že není přeložen do českého jazyka. Jeho nastavení je ale natolik jednoduché (zaškrtnout políčka kliknutím myši umí každý), že to nepovažuji za chybu.
Plugin má tyto funkce a nastavení:
  • User accounts (uživatelské účty) – v této části pluginu najdete nastavení ohledně uživatelských účtů. Můžete zde změnit jména všech uživatelů a nechat si pro ně vygenerovat silná hesla. tato funkce je důležitá především pro weby, kde stále fungují účty se jmény admin a hesly 1234. Na záložce Display name vás také upozorní na to, zda máte kompletně vyplněný profil, přes nějž jste nyní přihlášeni
  • User login (přihlášení uživatele) – zde si můžete nastavit přesný počet pokusů o přihlášení, což je jedna z nejlepších obran proti tzv.: Brute Force Attack. Můžete zde také nastavit, na jak dlouho bude uživatel zablokován po neúspěšných pokusech o přihlášení. tyto neúspěšné pokusy o přihlášení se vám budou zaznamenávat a zobrazí se vám na záložce Failed Login Records. A na záložce Force logout si nastavíte, po jak dlouhé době bude uživatel při nečinnosti v administraci automaticky odhlášen
  • User registration (registrace uživatele) – na této záložce si můžete zajistit ruční schválení registrace uživatele, což může společně s dalšími nastaveními zabránit nechtěné registraci spam botů, kteří mohou zahltit váš web spamem např.v komentářích. Máte také možnost přidat funkci Captcha a Honeypot do registračních formulářů, což v mnohým jednoduchým spambotům zabrání v registraci.
  • Database Security (zabezpečení databáze WordPressu) – zde můžete jednoduše zálohovat svou databázi WordPressu, která vám bude zaslána ve stanovený datum na e-mailovou adresu, kterou si zadáte. V první záložce této funkce můžete změnit tzv. prefix databázové tabulky, což je jeden z důležitých bezpečnostních prvků ohledně WordPressu. Přesto, že změnu doporučuji, neváhejte oslovit zkušeného administrátora, který vám tuto změnu zajistí. Neodbornou změnou prefixu tabulky můžete znepřístupnit celý web.
  • Filesystem Security (zabezpečení WordPress souborů) – již podle názvu je jasné, že se jedná o zabezpečení souborů instalace na ftp serveru hostingu. Zde je barevně rozlišené, zda má WordPress přístup ke všem souborům v systému a zda do nich může zapisovat potřebné informace. Na záložce PHP File Editing můžete nastavit zákaz používání editoru souborů, který je ve WordPressu obsažen. To se hodí především pro méně zkušené uživatele. kteří by nevhodnou úpravou souborů mohou způsobit pád celého webu. V záložce WP Fille Access pak můžete zabránit indexaci kořenových souborů instalace WordPressu, což je z bezpečnostního hlediska žádoucí.
  • Blacklist Manager (manažer černé listiny) – v této části pluginu si můžete zablokovat ip adresy, ze kterých je váš web napadán, např. v komentářích, které jsou označeny jako spam, se vám zobrazuje ip adresa komentujícího. Tu můžete vložit do tohoto textového pole. Od této chvíle se uživatel vůbec nedostane na stránky a bude blokován. Upozorňuji, že systém ip adres je trochu složitější a je potřeba dát si pozor, aby jste nezablokovali účty administrátorů webu nebo svůj vlastní účet
  • Firewall – na této položce menu nastavujete ochrannou zeď, nebo-li firewall webu. Ten probíhá laicky řečeno zápisem do souboru .htaccess, který je umístěn v kořenovém adresáři webu. Můžete zde vypnout nepoužívané funkce, jako je XML-RPC protokol nebo Trace and Track. Můžete také deaktivovat nežádoucí nahlížení do indexu souborů na serveru nebo zakázat anonymizované komentáře přes proxy servery. Můžete také zabránit útokům s pomocí škodlivých řetězců na vašem webu pomocí XSS. Na záložce Prevent Hotlinks můžete zabránit zneužívání vašeho obsahu jinými weby (především obrázků). V poslední záložce Custom Rules můžete přidat do souboru .htaccess vlastní pravidla. Tato funkce je ale určena pouze zkušeným administrátorům.
  • Brute Force Attack (tzv. útoky hrubou silou) – hned na první záložce můžete přejmenovat přihlašovací stránku do administrace. Vzhledem k tomu, že třetina webů na internetu běží na WordPressu, je adresa přihlašovací obrazovky v základu všude stejná. Je tedy na místě tuto adresu změnit. Na záložce Login Captcha můžete do přihlašovacích formulářů přidat ověření, že přihlašující se uživatel není robot a to včetně formulářů pluginu WooCommerce, který můžete používat pro prodej.
  • SPAM Prevention (prevence proti spamu) – zde můžete nastavit funkci Captcha u formulářů pro komentáře. Pokud plánujete instalaci pluginů BuddyPress (vytváření komunity) nebo BBPress (diskuzní fórum), je zde nastavení i pro tyto dva pluginy
  • Scanner – (skener proti malware) – na první záložce si můžete nastavit upozornění na změnu systémových souborů WordPressu. Pokud si jej nastavíte, na e-mailovou adresu vám přijde upozornění se seznamem změn. Autoři pluginu nabízejí placenou službu v podobě procházení (pravidelného skenování) webu. Tu plugin samotný nenabízí
  • Maintenance mod (mód údržby) – v nastavení pluginu můžete zapnout mód údržby. Je určen pro situace, kdy na webu děláte zásadní změny, při kterých potřebujete na nějaký čas web odstavit z provozu bez toho, abyste museli web odstřihnout z provozu natvrdo. Plugin umožňuje i jednoduchou editaci textu, který se uživatelům zobrazí, když web navštíví v době údržby. Administrátoři, kteří budou přihlášeni v administraci stále uvidí kompletní obsah webu, běžný návštěvník pouze tuto stránku.
  • Miscellaneous – na poslední záložce pluginu najdete možnost aktivovat si ochranu proti kopírování (vypne pravé tlačítko myši a možnost Kopírovat text). Můžete také vypnout funkci WP REST API pro případ neautorizovaného přístupu.

Všechna nastavení, která v pluginu provedete jsou bodově hodnocena a sčítána. Aktuální bodové hodnocení zabezpečení webu si můžete prohlédnout na záložce Dashboard. Jedná se o grafické znázornění, které laikům může naznačit, jak na tom jejich web je. 

Dashboard (nástěnka) také obsahuje záložky, ze kterých můžete vyčíst systémové informace o vašem webu, jako je verze php a mysql databáze, nainstalované pluginy a šablony atd. Najdete zde také přehled blokovaných a uzamčených ip adres.

Na poslední záložce s názvem Settings můžete jednoduše všechna bezpečnostní pravidla vypnout. Tato možnost se hodí v případě, že vám po nastavení pluginu přestala fungovat nějaká část webu. Pak je zde možnost zálohovat si aktuální soubor .htaccess (včetně možnosti obnovy již zálohovaného souboru) a wp-config.php (včetně možnosti obnovy již zálohovaného souboru).

Jak vidíte, plugin je sice zdarma, ale obsahuje pouze základní funkce, které vám ale na druhou stranu v začátcích pomůžou se zabezpečením webu. Chybí zde ale funkce skeneru webu, dvoufázové ověřování pro administrátory a další pokročilé funkce, které jsou pro pokročilejší zabezpečení nutné.

Dražší varianta zabezpečení WordPress webu

Dražší, ale o to víc účinnější variantou řešení jsou pak placené pluginy, jejichž cena se pohybuje kolem 99$ (1$ = 24 Kč), což v přepočtu znamená investici 2 376 Kč za roční licenci. Což v případě zabezpečení nepovažuji za vysokou částku.

Mezi prémiové bezpečnostní pluginy, které poskytují komplexní ochranu a zabezpečení WordPress webu patří Wordfence nebo iThemes Security Pro. Ty již poskytují nastavení dvoufázového ověření pro administrátory (a další skupiny uživatelů), podrobné nastavení práv v administraci scaner pro procházení souborů webu, ochranu proti malware atd.

A to je pro tuto chvíli vše. Věřím, že vám příspěvek vysvětlil, jak levně na zabezpečení vašeho WordPress webu. Pokud chcete, přihlaste se k odběru newsletteru (aby jste nezmeškali další návody).

Nevíte, jak zabezpečit WordPress web?

Nevíte si rady? Potřebujete poradit nebo zjistit aktuální stav zabezpečení? Rád vám pomohu s řešením. Udělám audit, navrhnu a případně zrealizuji řešení.

Zůstaňme ve spojení

Poslední příspěvky

Doporučuji

Miroslav Bartík

Jsem webspecialista pro tvorbu obsahu a designu webů. Pracuji s redakčním systémem WordPress, s jehož pomocí plním sny firem i jednotlivců o funkčním webu,
Webdesign
Divi a WooCommerce: Úvod do úprav on-line projektu

Divi a WooCommerce: Úvod do úprav on-line projektu

Divi a WooCommerce jsou pro on-line projekty postaveném na WordPressu skvělou dvojicí. V prvním případě se jedná o šablonu se zabudovaným vizuálním editorem, v tom druhém o komplexní plugin, který zajistí společně s šablonou, platební bránou a nastavenou dopravou (pokud je potřeba) prodej jakéhokoliv produktu.

Webdesign
Webskicák: poznámkový blok pro váš on-line projekt

Webskicák: poznámkový blok pro váš on-line projekt

Při svých osobních toulkách internetem a sociálními sítěmi jsem narazil na hezké slovní spojení - web a skicák. Dohromady webskicák. A vzhledem k tomu, že používám techniku Bullet Journal pro organizaci času a úkolů, upoutal mě Webskicák ještě víc. Pojďme se tedy společně podívat, co tohle slovní spojení znamená.

Newsletter

N

Učení bez nákladů

S pomocí těchto návodů se rychle a zdarma naučíte s WordPressem pracovat jako zkušenější uživatelé.

N

Vhodné pro začátečníky

Postupy v článcích jsou psány jednoduše, s ohledem na začínající a technicky méně zdatné uživatele.

N

Bez rozpaků a neurčitostí

Jistě jste u jiných webů zažili moment překvapení, kdy jste si říkali „Cože, jak to sakra..“ Zde se vám to nestane.

0 komentářů

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

14 + one =

Pin It on Pinterest