V tomto návodu si řekneme, jak zabezpečit web ve WordPressu. Bezpečnost je totiž jednou z nějdůležitějších věcí, na kterou spousta lidí při tvorbě a provozu webu zapomíná.
Jak zabezpečit web?
1. Pluginy a šablona
WordPress je skvělý. Je flexibilní, je zdarma a existuje na něj absurdní množství všech různých pluginů. No a díky tomu na něm postavíte skoro cokoliv, co je běžně potřeba. Má to však několik háčků.
Při tak obrovském množství pluginů od různých vývojářů totiž nelze čekat, že každý ten plugin bude na 100 % kvalitní. Zmíněné pluginy a šablony bývají jednou z nejčastějších příčin napadeného WordPress webu. Musíte si tedy dát opravdu pozor, do jakých pluginů a šablon vkládáte důvěru.
Šablona nebo pluginy by měl být od známého vývojáře, který pravidelně poskytuje bezpečnostní akutalizace a celou věc rozvíjí. Velkým plusem je také existující komunita pluginu/šablony.
Nebudete na to sami. V případě řešení problémů vám uživatelé v komunitách podají pomocnou ruku.
2. Nastavení SSL certifikátu
Je rok 2022 a nemít na webu SSL certifikát je zásadní problém. SSL certifikát zajistí například to, že když u vás na webu někdo nakoupí, nebo vyplní formulář, tak díky zabezpečenému připojení nedojde k úniku citlivých dat.
SSL má mimo jiné vliv i na SEO, jelikož samotný Google hodnotí technický stav vašeho webu. A to na pravidelné bázi. Absense SSL certifikátu se pak může promítnout do nižší pozice vašeho webu ve vyhledávání.
3. Hesla a přístupy
Naprostý evergreen napadených webů. Vyvarujte se používání běžných uživatelských jmen (admin, root, administrator…) a slabých hesel. Silné heslo si navíc můžete vygenerovat přímo ve WordPressu. Takové heslo se občas těžko pamatuje, používejte proto password manager, jako je například 1Password.
Uživatelské jméno ve WordPressu lze změnit několika způsoby:
- Přímo v databázi
- Vytvořením nového účtu, následovným smazáním starého
- Pomocí pluginu
Vřele doporučuji použít plugin. Je to rychlé a bezbolestné. Po změně uživatelského jména ho však nezapomeňte smazat!
Dále také doporučuji změnit přihlašovací URL (/wp-admin) na vlastní (/muj-super-tajny-login). Vyhnete se tím ústavičným bruteforce útokům, kdy útočník zkouší řadu nějpoužívanějších kombinací uživatelských jmen a hesel.
Změnu přihlašovací URL lze jednoduše provést pomocí security pluginu, o kterém si v tomto návodu dále povíme.
4. Webhosting
Pokud se útočník zmocní vašeho hostingu, všechny ostatní kroky jsou vám k ničemu. Kvalitní hosting je pro úspěšný web zkrátka základ. Naštěstí existuje celá řada solidních hostingů. Osobně mohu doporučit např. Webglobe hosting.
5. Použití bezpečnostního pluginu, firewall
Jednou z nejlepších věcí, kterou můžete přispět k zabezpečení svého webu je instalace bezpečnostního pluginu.
Osobně doporučuji Wordfence a iThemes Security. V samotném videu rozebírám základní konfiguraci pluginu iThemes Security.
6. Zálohy, zálohy, zálohy…
Pokud na svém webu nemáte nastavené automatické zálohy, děláte chybu. Pokud dojde na nejhorší, zálohy vám web můžou zachránit.
Není důvod je nedělat. Je to zdarma a navíc plně automatizované.