Zabezpečení webu běžícího na WordPressu

Zabezpečení vašeho webu byste neměli podceňovat. Denně se objevují tisíce útoků na webové stránky. Pokud se útočníkovi podaří získat přístupy nejen na váš web, ale i k webhostingu a databázi, je veliký problém.

Zpočátku si nemusíte ani všimnout, že vaše webová prezentace byla napadnutá. Útočník může v tichosti měnit a přidávat svůj „škodlivý kód“. Po zjištění, že se někdo naboural na váš web, je velmi těžké a někdy i nemožné tento web vrátit do původního stavu. Koneckonců se to může hlavně pěkně prodražit.

Níže najdete návod, jak byste měli postupovat, pokud chcete co nejvíce útočníkovi znesnadnit, aby se naboural do vašeho WordPressu. Tento postup můžete aplikovat i na jiné redakční systémy jako např. Joomla, Drupal či Prestashop. U těchto CMS systémů se mohou jednotlivé postupy lišit, nebo nemusí správně fungovat.

Dobrý login a silné heslo

Základem všeho je si vybrat správný login a silné heslo. Nedoporučuji používat pro login např. admin, administrator, login atd.. Hlavně nic jednoduchého, co může útočník snadno uhodnout nebo znát. Co se týče hesla, nejlépe ponechat co vygeneruje WordPress. Určitě by mělo být dlouhé nejméně 8 znaků, malé a velké písmena, číslo a znak.

Nepoužívat velké množství pluginů

Problémem je, když je celý web na WordPressu postavený na velkém množství pluginů (20, 30 atd.). Mnoho uživatelů neumí nebo neví, že se dá spousta věcí vytvořit pomocí jednoduchého kódu nebo nahradit několik pluginů jedním. Bohužel tento postup využívá i spousta webmasterů, kteří spravují weby.

Čím méně pluginů, tím lépe. Nedá se jim ovšem úplně vyhnout, takže tam nějaké pluginy vždy nainstalované budou.

Pravidelná aktualizace WordPressu a jeho součástí

Neméně důležitou záležitostí je pravidelná aktualizace WordPressu, použité šablony a nainstalovaných pluginů. Vývojáři opravují bezpečnostní hrozby a chyby v kódu. Pokud pravidelně nebudete aktualizovat, dáváte útočníkovi velkou příležitost k napadení vašeho webu.

Převést web z HTTP na HTTPS

Zapněte pro web HTTPS (Hypertext Transfer Protocol Secure). Nejenže útočníkovi znemožníte, aby odposlouchával komunikaci, ale zrychlíte i webovou prezentaci. Většina poskytovatelů webhostingu nabízí zdarma Let’s Encrypt certifikát.

Použití bezpečnostního pluginu

Určitě doporučuji nainstalovat nějaký security plugin. Je jich spousta, nabízejí různé nastavení a hlídání webové stránky. Jako příklad můžu uvést iThemes SecurityWordfence Security. Existuje jich samozřejmě mnohem víc a každý může mít oblíbený jiný.

Změna přihlašovací URL

Další bodem je změna přihlašovací url: „https://vasedomena.cz/wp-admin“ na vámi zvolenou, protože „wp-admin“ je defaultní url, a tedy všem známá. S tímto problémem umí pomoci některé security pluginy.

Nastavení .htaccess a zakázání xmlrpc.php

Do „.htaccess“ doporučuji vložit kód na zabezpečení přístupu do administrace jen z dané IP adresy např.:


Order deny,allow
Deny from all
Allow from vaše ip adresa

Další dobrý způsob je zakázání „xmlrpc.php„. Proto vložíme do „.htaccess“ tento kus kódu:

# Block WordPress xmlrpc.php requests

order deny,allow
Deny from all

Záloha WordPressu

Nesmíme zapomenout na zálohu celého WordPressu včetně databáze. Jakmile je web hotový a nastavený, je důležité hned udělat zálohu. Pokud se na webu moc neaktualizují informace, vystačíme si s prvotní zálohou. Doporučuji ji udělat po každé aktualizaci obsahu, vzhledu.

V případě, že se vám i přesto někdo nabourá na web, máte pořád zálohu a stačí původní obsah vymazat a nahrát všechny informace ze zálohy.

Samozřejmě musíte změnit heslo do WordPressu, webhostingu a databáze.

Share on facebook
Share on email
Share on linkedin
Share on skype
Share on pinterest
Share on whatsapp