webspecialista.cz Pluginy, šablony, recenze, návody – prostě vše ze světa WordPressu

Lze zabezpečení wordpress webu zajistit zdarma?

L

Tuhle otázku mi pokládá mnoho mých klientů hned na začátku našich konzultací a setkání ohledně zabezpečení webu. Odpovídám jim ano, ale tento  souhlas dávám do uvozovek a dodávám, že ne na 100%. A to především proto, že i přesto, že zvolíte plugin zdarma, strávíte jeho nastavováním nějaký čas, který by jste věnovali svému podnikání. A ten čas zdarma není.

Zabezpečení WordPress webu lze zajistit zdarma, ale není to na 100%

Dřív, než se pustíme společně do konkrétních kroků pro zvýšení zabezpečení vašeho webu, ukažme si čtyři nejčastější způsoby útoků kybernetických útoků na WordPress weby.

  • DDoS útok – je typ kybernetického útoku, jehož účelem je znefunkčnit internetovou službu, např. cílovou webovou stránku nebo e-mail. Útoky fungují na principu zahlcení serveru. V jeden moment na něj útočníci odešlou tolik požadavků, že služba nestíhá reagovat, a proto se zpomalí či kompletně zastaví.
  • SQL Injection – je druh útoku na databáze, který využívá bezpečnostních trhlin. Útočník pronikne do databázové vrstvy webu tím, že do něj vloží vlastní SQL příkaz. SQL je dotazovací jazyk, který se používá pro práci s daty v relačních databázích. V těch jsou uložené například přístupové údaje všech registrovaných uživatelů.
  • Brute Force Attack – neboli útok hrubou silou je druh kyberútoku, jehož cílem je nejčastěji prolomení hesla. Útočníci používají software (prolamovač hesel), který postupně zkouší různé kombinace znaků, dokud neuhádne skutečné heslo. Tímto způsobem se mohou útočníci dostat do internetových služeb, zamčených souborů nebo do jakéhokoli digitálního prostoru, který vyžaduje uživatelské jméno a heslo.
  • XSS attacks – XSS (cross-site scripting) je útok spočívající ve vložení škodlivého skriptu do cizích webových stránek. Útočník využívá chyb v kódu nebo v zabezpečení webu a může oklamat i obezřetné uživatele tím, že svůj škodlivý skript vloží i do jinak seriózního webu. Bezpečnostní chyby v kódu má totiž v dnešní době značné množství webů.

V druhé části tomto příspěvku bych vám rád dal několik tipů, které váš web zabezpečí proti těmto nejčastějším chybám a způsobům útoků.

Servis WordPress webu

Nechcete přemýšlet nad technickou stránkou vaší prezentace a chcete soustředit svou pozornost na podnikání a klienty? Není problém. Postarám se o váš web ve všech ohledech.
od 7500 Kč/rok/web
Další informace
1

Hesla

Silná, nepředvídatelná

Stále více zdůrazňované pravidlo bezpečnosti na internetu jsou hesla, která používáme pro přihlašování do svých účtů, jako je email, profily sociálních sítí nebo administrace webů.

Nejde jen o sílu hesla, ale také od jejich odlišnost a různorodost. To znamená, že pokud budu mít silné heslo v emailu a budu jej všude používat stejné, nebude to bezpečné. Stejně tak, pokud např. ve WordPressu ponechám jméno admin a přiřadím heslo 1234.

Proto je potřeba zdůraznit, že bychom měli používat generovaná hesla s různými znaky a různorodými jmény.

Stejně tak pomáhá hesla ukládat do správce hesel a posílat jej kolegům  přes něj. Rozhodně nedoporučuji je ukládat do prohlížeče, posílat hesla přes email nebo mít v prohlížeči  zapnuté automatické přihlašování.

2

Aktualizace

Pravidelné a promyšlené aktualizace jsou součástí zabezpečení

Stejně jako hesla, jsou důležité i aktualizace. Ať už se jedná o jádro WordPressu, pluginy nebo šablonu.

V aktualizacích se častokrát objevují nejen nové funkce, ale i záplaty bezpečnostních děr, které objevili uživatelé/administrátoři po celém světě.

U aktualizací však musím ještě upozornit na to, aby byly prováděny pouze tehdy, pokud existuje kompletní záloha webu (ftp i databáze) pro případ technických komplikací.

3

Zálohování

Pravidelné zálohy a mimo hosting jsou součástí plánu zabezpečení

Správně nastavený plán záloh, ať už ze strany hostingu, nebo ze strany administrátorů, by měl být součástí zabezpečení webu.

V případě napadení webu je zapotřebí nejen přístup k webu kompletně utnout, ale také změnit nastavení zabezpečení a v případě nutnosti obnovit předchozí nenapadenou verzi webu.

Zálohy vám také doporučuji dělat nejlépe mimo samotný hosting pro případ, že by spadl celý server a zálohy na něm by byly nedostupné.

4

Přesměrování

Přihlašovací stránka

O přesměrování úvodní stránky se vede diskuze. Přesměrovat, nebo ne. Zastávám názor, že záleží na tom, o jaký web se jedná.

Ze své praxe tvůrce a administrátora webů vím, že některé pluginy pro členské sekce mají potíže, když je nastaveno přesměrování na custom adresu.

Proto, pokud máte klasickou prezentaci s několika stránkami a kontaktním formulářem, určitě si přihlašovací stránku přesměrujte. Buď s pomocí pluginu, nebo přes soubor htaccess v kořenovém adresáři instalace WordPressu.

U webů s členskou sekcí nebo u eshopů bych byl ale s přesměrováváním velmi opatrný.

5

Nastavení administrace

Dvou faktorové přihlašování a práva uživatelů

Pro bezpečnost vašeho webu je zapotřebí udělat maximum. Proto je nutné nastavit i administraci tak, aby vyhovovala potřebám vašeho webu.

Tím nejdůležitějším prvkem je natavení práv a rolí uživatelů. Platí to především u e-shopů a webů s členskou sekcí.

Rozhodně doporučuji pro všechny administrátory nastavit expirující hesla (třeba na 30 dní) a doplnit je 2FA přihlašováním přes sms nebo e-mail.

6

Tipy na pluginy pro zabezpečení

Prověřené a účinné řešení zabezpečení webu

Kromě prověření samotného chování administrátorů a uživatelů je rozhodně dobré na web nainstalovat také bezpečnostní plugin, který bezpečnost webu zajistí také po technické stránce.

Mezi nejlepší ve své třídě patří Wordfence, All in One WP Security and Firewall nebo iTheme Security. První dva jmenované mají k dispozici verzi zdarma, kterou si můžete nainstalovat přímo z administrace svého webu.

Rozhodně ale nenechávejte bezpečnostní plugin v základním nastavení, protože v takovém stavu je neúčinný a do jisté míry i zbytečný.

7

Pár slov na závěr

Nic není na 100%

Zabezpečení vašeho webu by pro vás měla být stejná priorita, jako prodej on-line produktů nebo kontaktní formulář. není to něco navíc. Je to základní stavební kámen dobře fungujícího a stabilního webu.

Závěrem bych chtěl dodat, že žádný web není možné nastavit tak, aby byl na 100% bezpečný a nedotknutelný. Nakonec je velmi dobře známo, že správci webů mohou na útoky “pouze” reagovat. Neumí je předvídat.

Servis WordPress webu

Nechcete přemýšlet nad technickou stránkou vaší prezentace a chcete soustředit svou pozornost na podnikání a klienty? Není problém. Postarám se o váš web ve všech ohledech.
od 7500 Kč/rok/web
Další informace

Proto budeme za útočníky vždy o krok pozadu. Nic to ale nemění na tom, že práci hackerům můžeme hodně zkomplikovat a častokrát je od útoků odradit správným nastavením a chováním. Protože tím nejslabším článkem zabezpečení webu bývají častokrát administrátoři se špatnými návyky chování na internetu.

A to je pro tuto chvíli vše. Pevně doufám, že se vám příspěvek líbil a byl pro vás užitečný. Pokud by jste s něčím potřebovali pomoci, najdete mě na profesní síti LinkedIn nebo na Facebooku jako správce skupiny WordPress pro začínající uživatele. Případně, pokud vám to lépe vyhovuje, napište zprávu přes formulář.

O autorovi

Miroslav Bartík

Jmenuji se Miroslav Bartík a jsem tvůrce, editor a administrátor webů na redakčním systému WordPress. Kromě tvorby webů a jejich administrace mě baví běh a občasné hraní her. Mám rád zelený čaj a dobrý film.

Přidat komentář

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..

webspecialista.cz Pluginy, šablony, recenze, návody – prostě vše ze světa WordPressu

O autorovi

Miroslav Bartík

Jmenuji se Miroslav Bartík a jsem tvůrce, editor a administrátor webů na redakčním systému WordPress. Kromě tvorby webů a jejich administrace mě baví běh a občasné hraní her. Mám rád zelený čaj a dobrý film.

Kategorie blogu

Štítky

Instagram