jak se webové stránky WordPress hacknou
Vzhledem k jeho široké popularitě jako CMS je WordPress také oblíbeným cílem hackerů.
Hackerské útoky jsou většinou spíše oportunistické než cílené (i když webové stránky velkých značek mohou být cíleně napadány). Většina útoků je automatizovaná, přičemž boti hledají na internetu vysoko i nízko bezpečnostní slabiny, které by mohli využít.
Útoky jsou často prováděny prostřednictvím:
- Nezabezpečeného hostingu webových stránek
- Přihlašovacích údajů – například pokusem o několik náhodných kombinací uživatelského jména a hesla
- Slabin zabezpečení v softwaru CMS, zásuvných modulech nebo tématech – obvykle pokud nebyly aktualizovány
Hackeři mají nejrůznější motivy, ale často jim jde o zisk. Hackování webů za účelem šíření malwaru, získávání uživatelských dat, rozesílání nevyžádaných e-mailů nebo přesměrování návštěvníků webu může být velmi lukrativní.
Taková narušení zabezpečení mohou mít na váš web a podnikání velmi negativní dopad – podkopávají důvěru uživatelů, způsobují porušení právních předpisů a mohou stát tisíce liber. Proto je velmi důležité chránit své webové stránky WordPress před hackerskými útoky.
Je můj web WordPress zranitelný vůči hackerským útokům?
Začátečníci a majitelé malých stránek WordPressu si často myslí, že se o zabezpečení nemusí starat. Předpokládají, že jejich web bude příliš malý a bezvýznamný na to, aby hackery zajímal.
Tento předpoklad je mylný.
Webové stránky WordPressu všech velikostí jsou napadány hackery. Hackeři používají automatizované roboty, kteří na internetu vyhledávají weby se slabinami v zabezpečení, a nabourají se všude, kde je k tomu příležitost.
Další klíčovou věcí, kterou je třeba si uvědomit, je, že si ani nemusíte být vědomi toho, kdy se hackeři pokoušejí proniknout na váš web. Pokud nebudete dostávat pravidelná bezpečnostní oznámení o pokusech o hackerský útok, pravděpodobně se to dozvíte až ve chvíli, kdy se hackerský útok podaří a na vašem webu se něco pokazí.
Z toho plyne, že všechny weby jsou zranitelné vůči hackerům – a prevence je lepší než léčba. Nezapomeňte si nainstalovat bezpečnostní plugin a přijmout další preventivní bezpečnostní opatření, aby byl váš web v bezpečí.
Jak porazit hackery WordPressu
Nyní se s vámi podělíme o 10 nejlepších způsobů, jak udržet váš web ve WordPressu v bezpečí a zabránit jeho hacknutí.
1) Vyberte si bezpečného poskytovatele hostingu
Všichni dobří poskytovatelé hostingu zahrnují bezpečnostní ochranu, která zajistí, že informace o vašem webu budou na jejich serverech v bezpečí.
Při výběru poskytovatele hostingu se ujistěte, jaká má bezpečnostní opatření (například firewally a zabezpečené FTP), jak monitoruje síť svých serverů a jak reaguje na případné narušení bezpečnosti.
Vaše stránky WordPress mohou být obzvláště zranitelné vůči hackerům, pokud máte sdílený hostingový plán, protože hackeři mohou potenciálně použít jiné stránky na stejném serveru, aby získali přístup k těm vašim.
Nejbezpečnější – ale také nejdražší – variantou hostingu je dedikovaný server. Ten se vyplatí zvážit, pokud máte obzvláště vysokou návštěvnost nebo na svých stránkách uchováváte citlivá data.
2) Pořiďte si bezpečnostní plugin
Mít kvalitní bezpečnostní plugin je nutností, abyste zabránili hacknutí vašich stránek WordPress.
Zabezpečovací pluginy obvykle obsahují:
- firewall pro blokování podezřelého provozu
- brutální ochranu proti vícenásobným náhodným pokusům o přihlášení
- skener, který kontroluje vaše soubory, témata a pluginy na bezpečnostní problémy
- pravidelná bezpečnostní upozornění
Doporučujeme Wordfence – vynikající, bezplatný bezpečnostní plugin. Po instalaci se v levé nabídce ovládacího panelu WordPressu objeví „Wordfence“. Kdykoli zde můžete kliknout a zkontrolovat svůj web, zobrazit nejnovější oznámení a získat doporučení ke zlepšení zabezpečení webu.
3) Vyberte si bezpečné téma
Výběr správného tématu pro váš web je zásadní. Samozřejmě musí mít správný vzhled a funkce pro vaši organizaci. Musí být ale také robustní a bezpečné.
Zabezpečené téma bude:
- Bude pravidelně aktualizováno a opravováno
- Sledovat dobré standardy kódování
- Nebude spojeno s chybami nebo chybami kompatibility
Při více než 7 000 dostupných témat WordPress může být složité vědět, kde začít!
Nejlepším způsobem, jak si vybrat bezpečné téma, je podívat se na stránky WordPress.org. Tam si můžete prohlédnout recenze témat, zjistit, kolik instalací má téma za sebou, a podívat se, kdy bylo naposledy aktualizováno – to vše jsou dobré ukazatele bezpečnosti.
Můžete také požádat svou agenturu WordPress o doporučení témat, která budou vyhovovat potřebám vašeho konkrétního webu a organizace.
4) Udržujte WordPress aktualizovaný
Udržování WordPressu v aktuálním stavu je dalším důležitým bezpečnostním opatřením. Aktualizace softwaru WordPress jsou prováděny pravidelně s cílem optimalizovat výkon a opravit případné bezpečnostní problémy, jakmile jsou objeveny.
U většiny verzí jádra WordPressu je možné použít automatické aktualizace, takže váš web je aktualizován na pozadí, aniž byste museli cokoli dělat. Větší vydání je však stále nutné provést ručně – nezapomeňte si web nejprve zálohovat!
Zprávy o aktualizacích se na ovládacím panelu WordPressu objeví, jakmile budou k dispozici. Stačí na ně kliknout a provést akci. Je dobré pravidelně aktualizovat také zásuvné moduly a témata.
5) Používejte bezpečné přihlašovací údaje
Jak bylo uvedeno výše, jedním z klíčových způsobů, jak mohou hackeři získat přístup k vašemu webu WordPress, jsou automatické „uhodnuté“ pokusy o přihlášení. Čím zřejmější je vaše uživatelské jméno a heslo, tím větší je pravděpodobnost, že tyto pokusy budou úspěšné.
Chcete-li zabránit hackerům, nezapomeňte zvolit atypické uživatelské jméno. To v podstatě znamená nepoužívat „admin“, které je tak běžné, že je obvykle prvním uživatelským jménem, které hackeři vyzkouší.
Druhé, zvolte bezpečné heslo obsahující kombinaci písmen, symbolů a číslic. Pro maximální zabezpečení by mělo mít alespoň 12 znaků a nemělo by obsahovat žádná slovníková slova.
Kromě zabezpečení přihlašování do hlavního panelu WordPressu nezapomeňte zvolit bezpečná uživatelská jména a hesla i pro další účty související s webem, například pro vlastní e-mailovou adresu. V opačném případě by mohly být také použity k nabourání se do vašeho webu.
6) Přidejte dvoufaktorové ověřování
Přihlášení do systému WordPress můžete ještě více posílit zapnutím dvoufaktorového ověřování. To je užitečné zejména v případě, že se do backendu vašeho webu přihlašuje více uživatelů.
Při dvoufaktorovém ověřování se uživatelé přihlašují ve dvou fázích. Nejprve zadají své uživatelské jméno a heslo. Poté musí zadat jednorázový přístupový kód pro ověření své totožnosti.
Pomocí bezpečnostního pluginu Wordfence, který jsme doporučili výše, lze dvoufaktorové ověřování snadno zapnout. Ke generování přístupových kódů pro uživatele používá aplikaci autentizátor.
Chcete-li vše nastavit, přejděte na stránku Wordfence > Zabezpečení přihlášení v ovládacím panelu WordPressu a zkopírujte uvedený klíč. Poté si stáhněte aplikaci Google Authenticator (nebo jinou aplikaci autentizátoru) a zadejte tento klíč.
V tomto okamžiku aplikace poskytne šestimístný kód. Ten jednoduše zadejte zpět na ovládacím panelu WordPress a klikněte na tlačítko „Aktivovat“.
Dvoufaktorové ověřování bude nyní povoleno. To znamená, že při každém pokusu o přihlášení do WordPressu budete vyzváni, abyste přešli do aplikace autentizátor a vybrali přístupový kód.
7) Zakázat úpravu souborů
WordPress má editor kódu, který umožňuje upravovat soubory webu prostřednictvím ovládacího panelu. I když je to samozřejmě užitečná funkce, je to také obrovská odpovědnost, pokud jde o hackery. Doporučujeme ji proto vypnout.
Dalším způsobem, jak zabránit úpravám souborů, je zakázat spouštění souborů PHP ve složkách /wp-content/uploads/. Za tímto účelem otevřete Poznámkový blok – nebo podobný textový editor – a vložte následující příkaz:
<Soubory *.php>
zakázat ze všech
</Soubory>
Pokud toto uložíte jako .htaccess a nahrajete soubor do složky /wp-content/uploads/ na svých webových stránkách, zabráníte tím také hackerům, aby prováděli útoky zadními vrátky na spuštění PHP.
8) Skenujte své webové stránky a počítač
Je důležité pravidelně skenovat své webové stránky a kontrolovat, zda neobsahují malware, viry a podezřelý kód. Pokud používáte doplněk Wordfence, můžete to provést tak, že přejdete na Wordfence >Skenovat a kliknete na „Spustit nové skenování“.
Pokud se vyskytnou nějaké problémy, Wordfence vám navrhne, jak je odstranit a váš web opět zabezpečit. Doporučujeme skenovat alespoň jednou měsíčně – pokud to můžete dělat častěji, pak ještě lépe!
Není však dobré spoléhat na to, že máte bezpečný web, pokud je počítač, ze kterého web provozujete, napaden štěnicemi nebo infikován. Proto nezapomeňte pravidelně skenovat i svůj počítač nebo zařízení.
Ve svém zařízení byste měli používat kvalitní antivirový software a zajistit pravidelnou aktualizaci systému. Doporučujeme také zkontrolovat nastavení ochrany osobních údajů v prohlížeči, abyste se vyhnuli napadení při prohlížení internetu.
9) Používejte HTTPS
Mít web HTTPS znamená, že komunikace mezi vaším webem a prohlížečem uživatelů je šifrovaná. Jedná se tedy o další klíčový způsob, jak zabránit hackerským útokům.
Pokud ještě nemáte web s protokolem HTTPS, je jeho převod velmi jednoduchý. Stačí si pořídit certifikát SSL (Secure Sockets Layer), který je zdarma k dispozici všem webům od společnosti Let’s Encrypt.
Pokud již certifikát SSL máte, nezapomeňte si v kalendáři nastavit připomenutí jeho obnovení každé dva roky. Jinak je snadné zapomenout a nechat status HTTPS – a dobré bezpečnostní pověření – propadnout.
10) Zálohovat, zálohovat, zálohovat!
Ačkoli náš poslední tip ve skutečnosti hackerům nezabrání, je to pravděpodobně nejdůležitější krok, který je třeba udělat pro případ, že by vaše stránky byly někdy hacknuty.
Prováděním pravidelných záloh stránek můžete v případě potřeby své stránky opět rychle obnovit. Bez zálohování byste mohli přijít o vše, co jste kdy na svých stránkách navrhli, zveřejnili nebo napsali.
Způsob zálohování webu WordPress závisí na typu hostingu, který máte. Určitě se poraďte se svým poskytovatelem hostingu; zálohování může být součástí vašeho hostingového balíčku.
Případně se poraďte se svou agenturou WordPress nebo si nainstalujte zálohovací plugin. Ať už to uděláte jakýmkoli způsobem, nezapomeňte web WordPress pravidelně zálohovat a záložní soubory bezpečně ukládat, abyste věděli, že jsou tam, kdybyste je někdy potřebovali.