Jak zabezpečit WordPress a ochránit jej před útočníky?

Redakční systém WordPress stojí za více než 30 % všech webových stránek na internetu. Díky své oblíbenosti se tak stává častým cílem individualizovaných i globálních útoků, které se snaží využít napadené weby k dalšímu šíření hrozeb či vlastnímu výdělku. Jak se proti útokům efektivně bránit?
 

Problémem všech redakčních systémů je mj. fakt, že do nich uživatelé instalují další rozšíření a pluginy třetích stran. Prakticky je tak velmi těžké zajistit bezpečnost veškerého kódu a bránit CMS jako celek před útoky zvenčí.

wordfence1

Již dříve jsme si ukázali několik tipů, které pomohou zvýšit odolnost webu před útoky. Nyní si ukážeme, jak nainstalovat bezpečnostní řešení, které by nemělo chybět na žádných webových stránkách na WordPressu.

Tipy na zvýšení bezpečnosti webu, které by vám neměly ujít:

Zjistěte více o tom, Jak zabezpečit WordPress bez pluginů, jen s pomocí .htaccess souboru a jak zvýšit bezpečnost tím, že změníte URL přihlašovací obrazovky stránek.

  • Bezplatný Antivirus, firewall a hledač malwaru – Wordfence chrání WordPress weby zcela zdarma

Wordfence Security patří mezi nejdoporučovanější plugin do WordPressu vůbec. A není se čemu divit. Bezpečnostní rozšíření připomíná antivirus pro počítače a dokáže chránit web před hackery, útoky hrubou silou i pluginy, ve kterých byla objevena bezpečnostní díra. To vše v reálném čase a s pravidelnými kontrolami, které vám neustále reportují možná rizika a možnosti, jak se jim bránit.

Plugin je dostupný zdarma i v placené verzi. V textu se zaměříme na verzi zdarma, která nabízí dostatek funkcí pro zvýšení bezpečnosti webu.

  1. V administraci WordPressu klikněte v levém sloupci na „Pluginy“ > „Instalace pluginů“.
  2. Do pole vyhledávání zadejte „Wordfence Security“.
  3. Klikněte na „Instalovat“.
  4. Následně plugin aktivujte kliknutím na „Aktivovat“.

V administraci v levém sloupci webu nově přibude záložka „Wordfence“. Po jejím otevření se zobrazí okno, do kterého je třeba zadat e-mail, na který budou chodit případná bezpečnostní upozornění. Následně můžete přeskočit zadání licenčního klíče – tato volba je pouze pro Premium verzi.

wordfence2

Po těchto krocích je Wordfence funkční a aktivní. Kdo neumí anglicky, nebo si netroufá na detailní nastavení, může zde s nastavením skončit a nechat plugin dělat svou práci.

  • Jsou pluginy a šablony bezpečné? Automatické kontroly odhalí hrozby

Wordfence má skvělou vlastnost v podobě automatických kontrol. Ty kontrolují stav aktuálních pluginů a upozorní administrátora webu na případné hrozby. Kontrolována je aktuálnost pluginů a šablon – tedy zda je na webu nainstalována nejnovější verze. Zároveň s tím je možné provést kontrolu konzistence pluginů, tedy zda nebyly změněny některé jejich součásti a nenachází se v nich ukrytý škodlivý kód.

  1. V administraci WordPressu klikněte v levém sloupci na Wordfence a vyberte „Scan“.
  2. Nový test můžete spustit manuálně kliknutím na tlačítko „Start new scan“, nebo můžete rovnou přejít k výsledkům.
  3. Proběhne kontrola a níže na stránce se zobrazí výsledky s návrhem řešení.

wordfence3

Pokud jste někdy narazili na situaci, kdy váš WordPress web někdo opakovaně napadl a přemazal obsah či návštěvníky přesměroval na jinou stránku, právě pro takové situace je Wordfence účinnou prevencí.

wordfence4

Rychlé kontroly u bezplatné verze probíhají každých 24 hodin, detailní poté každých 72 hodin a ochrana běží nepřetržitě. Detailní plánování kontrol nabízí až placená verze.

  • Ochrana přihlašování a blokování podezřelých IP adres

Wordfence automaticky detekuje a případně blokuje IP adresy, které se opakovaně neúspěšně pokouší přihlásit k webu v krátkém časovém rozmezí. Takové chování totiž odpovídá často využívaným tzv. slovníkovým útokům. Podezřelé adresy, dle statistik nejčastěji z Ruska a asijských zemí, umí systém následně zablokovat a znemožnit jim další přístup k serveru.

Pokud by náhodou došlo k zablokování někoho z uživatelů s přístupem do administrace, lze jej manuálně odblokovat. Díky odkazu, který dorazí na e-mail administrátora, nemůže dojít k situaci, že by došlo ke kompletnímu zablokování přístupu na web.

  • Sledování živého provozu na serveru

Další ze zajímavých funkcí je sledování živého provozu, kde lze spatřit nejen živé uživatele, což umí např. i Google Analytics, ale vidíte tu veškeré přístupy. Tedy i nejrůznější crawlery, roboty vyhledávačů a služeb.

wordfence6

Sledování živého provozu spustíte následovně:

  1. V administraci WordPressu klikněte v levém sloupci na Wordfence a vyberte „Tools“.
  2. Zde klikněte na záložku „Live Traffic“.
  3. Zobrazí se živý log se záznamy IP adres a informacemi o tom, o jaký typ návštěvy se jedná. Tabulku ukazuje, kdy jde o živé lidi „Human“ a kdy o roboty „Bot“.
  4. Kliknutím na záznam lze zobrazit detail, zjistit více o dané IP adrese a případně ji zablokovat.

V případě potřeby změnit nastavení pluginu jej lze upravovat na dvou místech. Jedním jsou tzv. „Wordfence Global Options“, kde lze nalézt nastavení různých pravidel – např. kdy má dojít k e-mailovému upozornění administrátorovi.

wordfence7

Druhou možností je položka „All options“, kde lze nalézt detailní nastavení. Měnit tam lze podobu a frekvenci pravidelných e-mailových reportů nebo třeba nastavení ochrany proti útokům hrubou silou. Zvolit lze mj. to, po kolika neúspěšných pokusech bude uživatel zablokován či uzamknut. Změnu těchto nastavení lze doporučit pouze zkušeným uživatelům a na vlastní riziko.

Hodnocení článku

Průměrné hodnocení: 4.6/5

Počet hlasů: 160