Bezpečnosť vo WordPress: ako chrániť web pred útočníkmi

WordPress ako redakčný systém používa viac ako 30 % webov na celom svete.  Ani WordPressu sa nevyhýbajú individualizované a globálne útoky, ktoré majú za cieľ poškodiť prevádzkovateľa webstránky, využiť napaduté weby na ďalšie šírenie hrozieb alebo pre vlastný zárobok. Ako sa dá pred takými útokmi chrániť?

WordPress a jemu podobné redakčné systémy majú spoločného menovateľa. Používatelia do nich inštalujú doplnky a rozšírenia tretích strán. To prakticky znemožňuje ochranu bezpečnosti celého kódu a systém sa stáva zraniteľnejší pred útokmi zvonku.

Wordfence 1

V iných článkoch sme už písali o tipoch, ktoré pomôžu zvýšiť odolnosť webu pred útokmi. Teraz sa budeme venovať inštalácii bezpečnostného riešenia, ktoré by ste na svojom webe vytvorenom vo WordPress mali mať.

Prečítajte si tipy ako zvýšiť bezpečnosť webu:

Dozviete sa Ako zabezpečiť WordPress bez pluginov, len s použitím .htaccess súboru a ako zvýšiť bezpečnosť tak, že zmeníte URL prihlasovacej stránky.

1.Bezplatný Antivírus, firewall a vyhľadávač malwaru – Wordfence je bezplatný

Wordfence Security je najodporúčanejší doplnok do WordPressu. Má to svoje dôvody. Pripomína antivírus pre počítače a dokáže web efektívne ochrániť web útokmi hackerov vrátane útokov hrubou silou aj útokov pluginmi, v ktorých bola objavená bezpečnostná diera. To všetko v reálnom čase a s pravidelnými kontrolami, ktoré reportujú možné riziká a možnosti obrany. Je dostupný v neplatenej aj platenej verzii. Viac si povieme o bezplatnej verzii. Tá ponúka dostatok funkcií pre zvýšenie bezpečnosti webu.

  1.  V administrácii WordPressu kliknite v ľavom stĺpci na „Pluginy“ > „Inštalácia pluginov"
  2. Do políčka vyhľadávanie zadajte „Wordfence Security“.
  3. Kliknite na „Inštalovať“.
  4. Aktivujte kliknutím na tlačidlo „Aktivovať“

V ľavom stĺpci administrácie webu teraz uvidíte záložku „Wordfence“. Po jej otvorení sa zobrazí okno, do ktorého vpíšete e-mail, na ktorý budú chodiť prípadné bezpečnostné upozornenia. Zadanie licenčného kľúča môžete preskočiť. Je platné len pre Premium verziu.

Wordfence 2

Teraz je už Wordfence funkčný a aktívny. Ak neviete po anglicky alebo nechcete robiť detailné nastavenia, nemusíte ďalej robiť nič. Plugin bude svoje funkcie plniť aj bez detailnejších nastavení.

2. Aká je bezpečnosť šablón a  doplnkov? Spoľahnite sa na automatické kontroly.

Výhodou Wordfence sú automatické kontroly. Tie priebežne prechádzajú stav aktuálnych pluginov a upozorňujú administrátora webu na prípadné hrozby. Kontrolovaná je aktuálnosť doplnkov a šablón – teda či je na webe nainštalovaná najnovšia verzia. Kontroluje sa aj konzistencia pluginov - či neboli zmenené niektoré ich súčasti a neobsahujú škodlivý kód.

  1. V ľavom stĺpci administrácie kliknite na Wordfence a vyberte „Scan“.
  2. Nový test spustíte ručne kliknutím na „Start new scan“ alebo si pozrite priamo výsledky.
  3. Spustí sa kontrola a nižšie na stránke sa zobrazia výsledky s návrhmi riešenia.

Wordfence 3

Wordfence skvelo poslúži ako prevencia pred opakovanými útokmi na web a vymazaním obsahu stránky, či presmerovaním návštevníka na iný web.

Wordfence 4

V bezplatnej verzii prebiehajú kontroly každých 24 hodín. Detailnejšie kontroly sa robia každých 72 hodín. Plánovanie kontrol však ponúka len platená verzia.

3.Ochrana prihlásenia a zablokovanie podozrivých IP adries

Wordfence automaticky detekuje a vie blokovať IP adresy, ktoré sa opakovane neúspešne pokúšajú prihlásiť na web v krátkom čase. Také správanie je príznačné pre tzv. slovníkové útoky. Podozrivé adresy, často pochádzajúce z Ruska a Ázie, dokáže systém zablokovať a zabráni tak ďalším prístupom na server.

Ak by bol nedopatrením zablokovaný používateľ s prístupom do administrácie, tento sa dá ručne odblokovať pomocou odkazu, ktorý príde na e-mail administrátora. 

4. Prehľad živej prevádzky servera

Wordfence umožňuje sledovanie živej prevádzky servera. Sledovať sa dajú živí používatelia, tak ako v Google Analytics. Vidieť však budete všetky prístupy - vrátane crawlerov, robotov vyhľadávačov a služieb.

Wordfence 6

Ako sledovať prevádzku servera naživo?

  1. V administrácii WordPressu kliknite v ľavom stĺpci na Wordfence a vyberte „Tools“.
  2. Kliknite na záložku „Live Traffic“.
  3. Zobrazí sa živý log s IP adresami a informáciami o tom, o aký typ návštevy ide. Prehľad ukazuje, kedy ide o živých ľudí „Human“ a kedy ide o robota „Bot“.
  4. Po kliknutí na záznam zobrazíte detail, uvidíte viac o danej IP adrese a budete ju vedieť prípadne blokovať.

Plugin môžete v prípade potreby upraviť na dvoch miestach. Vo „Wordfence Global Options“, nájdete nastavenia pravidiel – napr. kedy má byť odoslané upozornenie administrátorovi.

Wordfence 7

Detailnejšie nastavenia nájdete v položke „All options“. Zmeniť budete vedieť podobu a frekvenciu pravidelných e-mailových reportov alebo nastavenie ochrany pred útokmi hrubou silou. Zvoliť môžete aj to, po koľkých neúspešných pokusoch bude používateľ zablokovaný alebo uzamknutý. Podobné nastavenie odporúčame skôr skúseným používateľom a na vlastné riziko.

Hodnotenie článku

Priemerné hodnotenie: 4.1/5

Počet hlasov: 8