Ako zvýšiť bezpečnosť WordPress webu [návod]

Návod ako zvýšiť bezpečnosť vašej WordPress stránky, aby ste boli chránený pred škodlivým softvérom a hackermi. Zabezpečte si váš web.

Ako zvýšiť bezpečnosť WordPress webu

Bezpečnosť webovej stránky je dôležitá pre každého jej majiteľa. WordPress je najrozšírenejší CMS systém na svete. Preto je častým terčom útokov hackerov.

Bezpečnosť WordPress webu

Dobre zabezpečená stránka je dôležitá aj pre podnikanie. Ak hackeri ukradnú informácie a heslá a nainštalujú malware, ten sa môže dostať cez vašu stránku až k vašim zákazníkom.

Prejdime si jednotlivé kroky, ktoré by ste mali dodržiavať, aby vaša stránka bola a aj zostala bezpečná.

Výber bezpečnej šablóny

Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.

💡 Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.

Výber bezpečného hostingu

Pre zabezpečenie WordPress stránky je dôležitý výber kvalitného hostingu. Hosting by mal mať SSL certifikát a zaručovať 99,9% dostupnosť. Okrem toho sa presvedčte, že administrácia hostingu, ktorý ste si vybrali, je zašifrovaná HTTPS protokolom.

Používajte hosting, ktorý je vhodný pre WordPress stránky. Takýto hosting ponúka zálohu vašej stránky, automatické WordPress aktualizácie a podporuje bezpečnosť vašej stránky. Nezanedbateľnou výhodou je kvalitná technická podpora. Viac sa téme výberu hostingu venujem v mojom článku Ako si vybrať najlepší WordPress hosting.

💡 Tip: Pre rýchly WooCommerce web je kľúčové vybrať si správny hosting. Odporúčam vsadiť na overenú kvalitu: WebSupport, Webglobe-Yegon alebo Wedos.

Nastavte zálohovanie dát

Všetky dáta je potrebné zálohovať. Nepoužívajte na to len váš hosting. Zálohovať je potrebné ešte na jednom mieste. Môžete využiť Dropbox alebo Amazon. Nastavte si systém pre zálohovanie celej databázy, všetkých pluginov a aj použitej šablóny. Po zálohovaní overte funkčnosť zálohy. Nevynechajte tento krok.

Uistite sa, že sa záloha dá použiť. Zálohovať je nutné minimálne raz denne, alebo v pravidelných časových intervaloch. Zálohovanie sa dá nastaviť aj v špeciálnom plugine pre zálohovanie alebo v bezpečnostnom plugine.

💡 Tip: ja na zálohovanie používam plugin UpdraftPlus. Spísal som aj presný návod ako si cez tento plugin spraviť automatické zálohovanie

Nainštalujte si bezpečnostný plugin

Sucuri bezpečnostný plugin

Zabezpečenie WordPress stránky vyžaduje aj inštaláciu bezpečnostného pluginu. Pred bežnými typmi útokov vás ochráni obľúbený plugin Sucuri. Účinne chráni webovú stránku pred malware. Po jeho inštalácii si prejdite všetkými potrebnými nastaveniami.

💡 Tip:  Podobnými pluginmi sú voľne dostupný Wordfence Security alebo prémiový iThemes Security. Výhodou posledného je automatická záloha stránky, ktorú plugin vytvorí v prípade, že je vaša stránka napadnutá.

Pravidelne aktualizujte stránku

Pravidelná aktualizácia šablóny aj všetkých pluginov je dôležitá súčasť zabezpečenia WordPress stránky. WordPress vývojári neustále pracujú na zlepšovaní šablón a pluginov. Ich aktualizácie môžu obsahovať odstránenie niektorých bezpečnostných chýb.

Tento krok vykonajte manuálne. V administratívnom menu prejdite do sekcie Nástenka a aktualizácie. Skontrolujte, ktoré pluginy potrebujú aktualizáciu a zaktualizujte ich.

Nepoužívajte zastarané pluginy

Pri výbere vhodných pluginov pre vašu internetovú stránku používajte iba tie, ktoré boli v poslednej dobe aktualizované. Tie, ktoré neboli aktualizované viac než dva roky iste nepoužívajte. Riskujete nie len bezpečnosť stránky ale aj kompatibilitu pluginu s vašou šablónou.

Používajte silné heslá

Dôležitým bodom zabezpečenia WordPress webu je používanie silných hesiel. Takéto heslá by ste mali používať pre svoj vlastný prístup na stránku ako aj pre prístup iných užívateľov. Najčastejším útokom hackerov je totiž práve krádež hesla. Na vás je, aby ste im tento krok sťažili. Silné heslá používajte aj pre hosting, e-mailovú adresu a FTP účty.

Nepoužívajte všade rovnaké heslá, heslá by nemali obsahovať vaše meno, jednoduchý sled čísiel a podobne. Zvoľte kombináciu veľkých a malých písmen, číslic a znakov. Najlepšie je také heslo, ktoré sa nedá zapamätať.

Na to, aby ste si ich zapamätali vy sami, používajte password manager. Password manager vám pomôže vytvoriť silné heslá a všetky ich uloží. Prístup k týmto heslám zabezpečíte jediným heslom.

Pre zvýšenie bezpečnosti WordPress webu je tiež dôležité, aby ste dávali prístup do jeho administrácie inej osobe iba, ak je to nevyhnutné. Dôležité je tiež, aby každý, kto takýto prístup dostane rozumel tomu, aké má pri tvorbe a udržiavaní stránky kompetencie.

SFTP šifrovanie

Pre bezpečnosť WordPress webu je dôležité, aby ste pri úprave stránky posielali údaje na FTP šifrovane. Používajte SFTP šifrovanie.

Zabezpečte si SSL certifikát

ssl

SSL (Secure Socket Layer) certifikát zaistí vašu bezpečnú, šifrovanú komunikáciu so servermi. Táto komunikácia sa týka aj vášho hesla. Bez SSL certifikátu sa posiela vaše heslo po webe nezašifrované.

Odstráňte prebytočný obsah na servri

Obsah, ktorý je umiestnený v priestore webu (FTP) predstavuje riziko. Rizikom môžu byť napríklad zálohy celej stánky v adresári wp-content/backup, v ktorom sú uložené nastavenia stránky a obsah databáz. Prebytočné a rizikové súbory je nutné z priestoru webu zmazať.

Zmeňte prefix

Počas inštalácie WordPress šablóny sa vás WordPress opýta, aký prefix chcete použiť. WordPress používa predvolený prefix. Ak vyberiete predvolený prefix wp_ tak uľahčíte prácu hackerom. Odporúčam ho preto upraviť na čokoľvek iné.

Zmena prefixu po inštalácii (len pre pokročilých)

Pred tým, než zmenu vykonáte, zálohujte celú databázu stránky. Potom otvorte súbor wp-config.php. Nájdete ho v adresári WordPress root.

Predvolené nastavenie
$table_prefix = 'wp_';
zmeňte napríklad na:
$table_prefix = 'newprefix_';

Ak ste túto úpravu vykonali počas inštalácie WordPressu, nemusíte už robiť nič. Ak ste už mali WordPress nainštalovaný, potrebujete aktualizovať aj databázu. Môžete to urobiť pomocou bezpečnostného pluginu  iThemes Security, ktorý to urobí za vás alebo cez PHPMyAdmin:

RENAME table `wp_links` TO `newprefix_links`;

Tento príkaz je tiež potrebné spustiť pre každú databázovú tabuľku aj tabuľku pluginov. Ak používate cPanel WordPress hosting, nájdite phpMyAdmin a zmeňte pomenovanie každej tabuľky. Tento proces môže byť trochu zdĺhavý. Môžete si ho uľahčiť použitím týchto príkazov:

RENAME table `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME table `wp_comments` TO `newprefix_comments`;
RENAME table `wp_links` TO `newprefix_links`;
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_termmeta` TO `newprefix_termmeta`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

Môžete pridať ďalšie riadky pre ďalšie pluginy, ktoré majú vo vašej databáze svoje tabuľky.

Pre dokončenie procesu je potrebné vyhľadať akékoľvek ďalšie súbory, ktoré používajú prefix wp_. Tento proces vám uľahčí tento príkaz:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE '%wp_%'

Vyhľadané názvy zmeňte.

Povoľte aplikáciu Firewall (WAF)

Pre lepšie zabezpečenie WordPress stránky používajte Firewall (WAF), ktorá blokuje malware ešte pred tým, než dorazia k vašej stránke. Na tento účel odporúčam používať Sucuri. Ten garantuje ochranu pred malware.

Nepoužívajte používateľské meno „admin“

Pre bezpečnosť WordPress webu je potrebné zmeniť základné používateľské meno. Vytvorte nový administrátorský účet a odstráňte predvolený. Urobte tak hneď pri inštalácii WordPress šablóny.

Zvoľte také užívateľské meno, ktoré sa nedá uhádnuť. Ak už máte nainštalovaný WordPress a používate meno „admin“, dá sa to zmeniť. Vytvorte nového používateľa a pôvodného vymažte. Riešením je aj použitie pluginu na zmenu užívateľského mena.

Vypnite editáciu šablón a pluginov

WordPress obsahuje zabudovanú funkciu editácie kódu, ktorá umožňuje v administratívnom menu upravovať šablónu a pluginy. Aby sa táto možnosť nedostala do nesprávnych rúk, je vhodné ju vypnúť. Urobíte tak pridaním nasledujúceho kódu do wp-config.php file:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Znefunkčnite PHP file (pokročilé)

V niektorých WordPress adresároch je potrebné znefunkčniť súbor PHP. Ako napríklad vo /wp-content/uploads/. Urobíte to v textovom editore. Môžete použiť Poznámkový blok. Vložte do neho tento kód:

<Files *.php>
deny from all
</Files>

V nasledujúcom kroku ho uložte ako .htaccess a nahrajte do súborov /wp-content/uploads/.

Toto zabezpečí aj Hardening feature v plugine Sucuri.

Úprava súboru .htaccess (pokročilé)

Zabezpečenie WordPress webu zvýši aj úprava súboru .htaccess. Ak nemáte aspoň minimálne znalosti programovania, tento krok vynechajte. Pred úpravou si uložte zálohu vašej stránky. Nasledujúcim postupom umožníte prístup do administračného panelu iba definovaným IP adresám. Pre ostatných bude prístup zablokovaný.

AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx

Upravený .htaccess vložte do adresára wp-admin.

Prekontrolujte súbory, ktoré nahrávate na stránku

Na webovú stránku nahrávajte iba súbory, ktoré neobsahujú vírusy. Pravidelne si kontrolujte počítač antivírovým programom.

Zabezpečte prihlasovanie do administratívneho menu

login-lockdown

WordPress umožňuje neobmedzený počet pokusom o prihlásenia do administratívneho menu. Pre zabezpečenie prihlasovania môžete nastaviť maximálne dovolené množstvo chýb. Napríklad tri chybné prihlásenia.

Okrem toho môžete nastaviť aj časový úsek na chybné prihlásenia — tri prihlásenia za tri minúty. Ak sa niekto prihlási nesprávne aj štvrtý krát, zablokujete jeho IP adresu na niekoľko minút. Urobte tak nainštalovaním pluginu Login LockDown. Po jeho aktivácii prejdite do Nastavenia»Login LockDown.

Používajte dvojfázové overenie

Jedným zo spoľahlivých spôsobov zabezpečenia WordPress stránky je aj dvojfázové overenie. Umožní vám to chrániť prístup na stránku pomocou hesla a pomocou telefónu.

Skryte prihlasovaciu stránku

Zabezpečenie WordPress webu zvýši aj ukrytie prihlasovacej stránky. WordPress používa pre prihlásenie do administrácie adresu www.názov-domény.sk/wp-admin alebo www.názov-domény.sk/wp-login.php. Môžete ju premenovať pomocou pluginu WPS Hide Login.

Pozor na komentárový SPAM

akismet

V komentárovom SPAMe sa často nachádzajú odkazy na stránky, na ktorých sa nachádza malware. Ak nechcete zakázať všetky komentáre, potrebujete ich kontrolovať. Najznámejším nástrojom na kontrolu komentárov je plugin Akismet, ktorý vyhodnocuje komentáre a  filtruje ich. Akismet je nainštalovaný v každej WordPress šablóne. V menu šablóny vyhľadajte Akismet a zaškrtnite políčko „aktivovať“.

Pozor: plugin akismet je bezplatný len pre nekomerčné webstránky.

Neprihlasujte sa na nezabezpečenej wifi sieti

Pre bezpečnosť WordPress stránky je dôležité aj to, aby ste na prihlasovanie nepoužívali nezabezpečenú sieť. Hacker, ktorý sa nachádza v tej istej sieti, môže zistiť vaše prihlasovacie údaje alebo cookie na trvalé prihlásenie.

Presunutie wp-config.php

Pre zvýšenie zabezpečenia WordPress webu odporúčam presunúť súbor wp-config.php do adresára vyššie. Tento krok vykonajte, iba ak to nenaruší funkčnosť vašej stránky a ak máte na hostingu iba jednu doménu. V tomto súbore máte uložené údaje ako názov databázy, heslo a podobne. Presunutím ho ukryjete pred hackermi.

Nastavenie práv

Ďalším krokom pre zvýšenie bezpečnosti WordPress stránky je nastavenie práv prístupu k zložkám a súborom. Pre stránku by ste mali používať toto nastavenie práv:
Všetky adresáre — 755 alebo 750
Všetky súbory — 644 alebo 640
wp-config.php — 600

Vypnite zasielanie PHP správ o chybách

Aj chybové hlásenie môže zobraziť cestu vašim súborom. Môžete ho ale zakázať. Do súboru wp-config.php pridajte:

@ini_set('display_errors','Off');
@ini_set('error_reporting',0);

Vypnite XML-RPC Pingback

Funkcia XML-RPC Pingback umožňuje pripojenie stránky na trackbacky a pingbacky. Predstavuje však aj možnosť pre hackerov. Zabezpečenie XML-RPC Pingback poskytuje napríklad plugin iThemes Security.

Odstránenie čísla verzie WordPressu

V zdrojovom kóde WordPressu je umiestnený meta tag s používanou verziou WordPressu. Túto informáciu môžu zneužiť hackeri. Môžete ju jednoducho ukryť použitím pluginu Meta Generator and Version Info Remover alebo pridaním kódu do súboru functions.php, ktorý nájdete vo vašej šablóne:

remove_action('wp_head', 'wp_generator');

Nastavte automatické odhlásenie nečinných užívateľov

Niektorí užívatelia odchádzajú od obrazovky na dlhšiu dobu, hoci sú stále prihlásení. Pre zvýšenie zabezpečenia vášho WordPress webu môžete nastaviť ich automatické odhlásenie. Možno ste si všimli, že podobné nastavenia používajú aj banky. Je to preto, že počas neprítomnosti prihláseného užívateľa môžu hackeri vykonať zmeny na ich heslách alebo účtoch.

Automatické odhlásenie neaktívnych používateľov môžete spraviť cez plugin Inactive Logout.

Zhrnutie tipov pre bezpečnosť WordPress

Za najdôležitejšie považujem výber kvalitného hostingu. Hosting by mal mať SSL certifikát. Odporúčam vsadiť na overenú kvalitu: WebSupport, Webglobe-Yegon alebo Wedos.

Ďalej nezabudnite používať silné heslá a nainštalovať / nastaviť si niektorý z overených bezpečnostných pluginov – Sucuri, Wordfence Security alebo iThemes Security.

Ako zvýšiť bezpečnosť WordPress webu [návod]
4.9 (97.78%) 18 hlasy

Pomohol vám tento článok? Podporte ma prosím jeho zdieľaním 👍

3 KOMENTÁRE

  1. Ahoj. Používaš všetky tieto nastavenia na weboch, ktoré tvoríš/spravuješ? Mohol by si dať k niektorým nastaveniam aj väčší detailnejší návod pre ľudí, čo to (web) robia prvý krát.. napr. vôbec netuším ako sa dostať k adresáru WordPress root 🙂 pracujem cez wordpress webadmin, a tieto súborové veci by som aj chcela upraviť podľa návodov čo som našla na tvojej stránke, ale kde nájsť tie súbory.. ???

    • Ahoj, WordPress root adresár je na serveri webhostingu. Dostaneš sa doňho cez FTP. Ide o pokročilejšie veci, takže toto by som asi v tvojom prípade neriešil :). Podstatné je mať kvalitný hosting, aktuálny WordPress, šablóny a pluginy…a hlavne nainštalovaný niektorý z bezpečnostných pluginov. To je dostatočné na zabezpečenie webstránky.

ZANECHAŤ ODPOVEĎ

Please enter your comment!
Please enter your name here
Súhlasím so spracovaním osobných údajov.