WordPress poháňa veľkú časť internetu, a práve preto je najčastejším terčom útokov. Útočníci automaticky skenujú tisíce webov a hľadajú slabiny. Dobrá správa je, že väčšine útokov sa dá predísť. Tu je praktický návod, ako WordPress (alebo iný CMS) zabezpečiť.

Prečo je WordPress terčom

Nie preto, že by bol nebezpečný, ale preto, že je najrozšírenejší. Útočníkom sa oplatí hľadať jednu chybu, ktorá funguje na milióny webov. Najčastejšie sa dnu dostanú cez zastaraný softvér, slabé heslá a deravé pluginy. A presne tu sa dá brániť.

1. Všetko pravidelne aktualizujte

Najdôležitejší a najčastejšie zanedbaný krok. Aktualizujte:

  • Samotný WordPress (jadro).
  • Šablónu (tému).
  • Všetky pluginy.

Zastaraný plugin so známou chybou je najčastejšia vstupná brána. Súvisí to s článkom aktualizácie: prečo ich neodkladať.

2. Silné heslá a dvojfaktor

  • Silné a unikátne heslá pre všetky účty, najmä administrátorské. Pomôže správca hesiel.
  • Dvojfaktorové overenie (2FA) na prihlásenie do administrácie, viac v článku 2FA.
  • Nepoužívajte meno admin ako administrátorské prihlasovacie meno.

3. Obmedzte prihlásenie

  • Limit pokusov o prihlásenie, aby útočník nemohol skúšať heslá donekonečna (útok hrubou silou).
  • Skrytie alebo presun prihlasovacej stránky, aby ju automatické útoky ťažšie našli.
  • Captcha pri prihlásení a vo formulároch.

4. Pozor na pluginy a šablóny

  • Inštalujte len to, čo naozaj potrebujete. Každý plugin navyše je ďalšie možné riziko.
  • Používajte len overené a aktívne udržiavané pluginy a šablóny.
  • Odstráňte nepoužívané pluginy a šablóny úplne, nielen ich vypnite.

5. Zálohujte, zálohujte, zálohujte

Aj pri najlepšej ochrane sa môže niečo stať. Pravidelná záloha celého webu (súborov aj databázy) znamená, že po probléme web rýchlo obnovíte. Princíp rozoberá článok ako správne zálohovať. Záloha by mala byť aj mimo samotného servera.

6. HTTPS a bezpečné spojenie

Web musí bežať na HTTPS s platným certifikátom, viac v článku čo je SSL/TLS certifikát. Chráni to prihlasovacie údaje aj dáta návštevníkov.

7. Ochrana na úrovni servera a siete

  • Firewall pre web (WAF) odfiltruje známe útoky ešte pred webom.
  • CDN s ochranou, viac v článku čo je CDN, pomôže aj proti DDoS útokom.
  • Kvalitný a aktuálny hosting, viac v článku hosting webov.

8. Sledujte, čo sa deje

  • Monitoring dostupnosti, aby ste o probléme vedeli hneď, viac v článku monitoring dostupnosti webu.
  • Sledovanie zmien a prihlásení, aby ste odhalili neobvyklú aktivitu.

Čo robiť, ak vám web už hackli

Ak je už neskoro, postupujte rýchlo: web dočasne odstavte, obnovte čistú zálohu spred útoku, zmeňte všetky heslá, aktualizujte všetko a nájdite, ako sa útočník dostal dnu, aby sa to neopakovalo. S tým vieme pomôcť.

Záver

WordPress nie je nebezpečný, len populárny, a preto terčom. Väčšine útokov predídete aktualizáciami, silnými heslami, rozumom pri pluginoch a pravidelnými zálohami. Pár krokov navyše spraví z vášho webu oveľa ťažší cieľ.

Chcete zabezpečiť svoj WordPress web alebo riešite, že vám ho hackli? Ozvite sa nám, web zabezpečíme, zálohujeme a postaráme sa o jeho chod.