Provozujeme-li web na WordPressu, je třeba jako u kterékoliv jiné internetové aplikace dbát jistých bezpečnostních pravidel, abychom web ubránili před útoky hackerů a škodlivého malwaru. Podle magazínu Forbes je denně napadeno až 30 tisíc webových stránek. Tím spíše bychom bezpečnost webu neměli podceňovat, chceme-li mít web funkční a v pořádku. Pojďme se tedy podívat na několik postupů, které je nutné u WordPressu zajistit.

1. Změna výchozího názvu uživatele „admin“

Hlavní chybou, kterou zejména noví uživatelé WordPressu dělají je, že používajívýchozí název uživatele „admin“. Problém je v tom, že většina škodlivých crawlerů,  které automaticky prolézají webové stránky a snaží se do nich dostat, zkoušejí
prolomit uživatelské jméno a heslo a právě uživatelské jméno „admin“ je jejich nejčastější volbou. Naštěstí v novějších verzích WordPressu již při instalaci výchozí název uživatele „admin“ nenajdeme a pole je prázdné, takže uživatele zadávají různorodější názvy uživatelů. Název uživatele je dobré složit jak z malých a velkých písmen, tak i z čísel a symbolů. Skvělý pomocník na tvorbu dobře zapamatovatelných uživatelských jmen je převod písmen do číselné podoby, takže např. z jména Jaroslav bychom dostali J4r0sl4v. Číslice 4 zastupují písmena A a 0 zastupuje písmeno O. K tomu doplníme ještě symbol libovolný symbol a máme dostatečně bezpečný název uživatele.

2. Dostatečně silné heslo do administrace WordPressu

U volby hesla můžeme aplikovat stejný způsob převodu písmen na čísla jako v případě tvorby uživatelských jmen nebo můžeme využít některý z online generátorů hesel, jako je např. passwordsgenerator.net. V generátoru si pouze zvolíme délku hesla a typy znaků, jaké chceme v heslu použít a funkce sama vygeneruje heslo v požadovaném formátu. Takto generovaná hesla jsou velmi silná, jen jen se těžko pamatují.

3. Změna výchozího prefixu tabulek v MySQL databázi

Během instalace WordPressu se jako první zobrazí tabulka pro zadání názvu databáze, názvu uživatele k databázi, hesla, názvu serveru a prefixu tabulek v MySQL databázi. Pole prefixu je předvyplněno v podobě „wp_“ asi z toho důvodu, aby i méně zkušenější uživatelé věděli, že prefix musí být ve formátu „nazevprefixu_“. Ovšem i zkušenější uživatelé WordPressu toto pole nachází ve výchozím nastavení, tedy v podobě „wp_“, a to je další velmi častou chybou v bezpečnosti WordPressu. Škodliví crawleři se totiž nepokoušejí dostat jen do administrace webu, ale také do samotné MySQL databáze, kde mohou napáchat ještě větší škody. V databázi se ukládá veškerý obsah, který na webu máte a navíc jsou zde uloženy přístupové údaje všech uživatelů WordPressu a případně také údaje o zákaznících, odběratelů newsletterů a další citlivé informace. Databáze by proto měla být dostatečně zabezpečena, aby nedošlo k jejímu zneužití. Název prexifu databáze stačí změnit na libovolný název a je dobré používat také číslice. Příklad takového prefixu může být „scar199_“.

4. Nastavení práv souborů

Po nainstalování WordPressu byste měli zkontrolovat přes FTP manažera práva u svých složek a souborů. To slouží k zamezení úprav důležitých souborů z nežádoucích stran. Pomocí nastavení oprávnění můžete zvolit kdo bude mít jaký přístup k daných složkám a souborům na FTP. Pokud si nevíte rady, můžete využít skvělého průvodce nastavením oprávnění u souborů a složek.

5. Implementace bezpečnostních pluginů

Existuje mnoho plugin, placených i neplacených, které na pár kliknutí sami nastaví skvělé bezpečnostní funkce. Bezpečnostní pluginy nám v tomto případě usnadňují mnoho práce s manuálním zásahem do zdrojových souborů a databáze. Jejich výběr by však měl být pečlivý, protože neověřené pluginy mohou web velmi nepříjemně poškodit. Je dobré si také rozmyslet, co pluginů budeme potřebovat a tomu bychom měli přizpůsobit jejich složení. Ne všechny pluginy totiž je možné na webu použít současně, neboť se nemusí navzájem snést. Některé pluginy dělají jen jednu věc a jiné naopak v sobě obsahují větší množství bezpečnostních funkcí. Vždy bychom při výběru pluginů měli hledět zejména na jejich kompatibilitu s používanou verzi WordPressu, hodnocení uživatelů a počet aktivních instalací, které daný plugin má. Zde je přehled nejoblíbenějších bezpečnostních pluginů:

Pomocí pluginů bychom měli zajistit několik funkcí:

  • firewall, který web ubrání před útoky crawlerů a hackerů,
  • Změna výchozího názvu přihlašovací stránky /wp-login, která se stává
    nejčastějším terčem,
  • automatické blokování IP adres, které se opakované pokoušejí prolomit
    uživatelské jméno a heslo.

6. Pravidelné aktualizace

Wordpres je vyvíjen globální komunitou vývojářů, a proto jeho nové aktualizace vycházejí velmi často. Vždy bychom měli zajistit, aby byl WordPress aktualizovaný. Ovšem pozor na kompatibilitu používaných pluginů, které nemusí být s nejnovější verzí WordPressu zatím ještě kompatibilní. V takovém případě je dobré s aktualizací WordPressu počkat až budou všechny vaše používané pluginy kompatibilní s novou verzí WordPressu a teprve poté WordPress aktualizovat. Totéž platí u aktualizace pluginů.

7. Používání ověřených pluginů a šablon

WordPress má výhodu v tom, že pro něj existuje velké pluginů a šablon. Pro zajištění maximální bezpečnosti WordPressu bychom však měli využívat výhradně ověřené doplňky. Nemusíme nutně využívat pouze placené pluginy a šablony, které bývají často zaručeně kvalitní i díky stálé podpoře vývojářů. I spousta neplacených doplňku bývá vysoce kvalitní, je ale nutné pečlivě ověřit jejich hodnocení mezi ostatními uživateli. Dobrým zdrojem neplacených pluginů a šablon je přímo oficální web WordPressu
wordpress.org, kde lze nalézt bohaté informace týkající se WordPressu. Pro přehled dostupných bezplatných pluginů slouží sekce „Plugins“. A bezplatné šablony najdeme v sekci „Themes“.

8. Automatické zálohování

Každému se může stát, že na web něco špatně upraví nebo omylem smaže. Pro takové případy by měl být web dostatečně zálohován, aby bylo možné zálohy použít k obnovení zničených nebo ztracených dat. Vůbec nejlepší jsou automatické zálohy, které se provádějí ve stejný den a hodinu. Zálohovat bychom měli jak data na FTP, čili zdrojové soubory Worpdressu, tak celou MySQL databázi. Skvělým pomocníkem pro automatické zálohování je např. UpdraftPlus Backup and Restoration UpgraftPlus umí automatické i manuální zálohování databáze i zdrojových souborů na širokou skálu uložišť: FTP, Dropbox, Google Drive, Rackspace, Amazone Drive a další. Navíc dokáže také jednoduchou obnovu dat ze zvolené zálohy