Ako zvýšiť bezpečnosť WordPress webu
WordPress dnes patrí medzi najpoužívanejšie redakčné systémy. Je jednoduchý na používanie a poskytuje veľké množstvo funkcií. To však nie je ani zďaleka všetko. Mnohí ho majú radi aj vďaka možnosti prispôsobenia. Pri toľkých výhodách a veľkému počtu užívateľov prichádza jedna otázka. Ako je to s bezpečnosťou?
Aj napriek skvelým výhodám, ktoré WordPress ponúka, má jednu viditeľnú nevýhodu. A tou je práve spomínaná bezpečnosť. Kvôli možnosti doplnkov od tretích strán je bezpečnosť systému takmer nemožná. Dôležité je však slovo takmer. Chcete mať svoj web zabezpečený čo najlepšie? Máme pre vás zopár tipov ako zabezpečiť WordPress a weby na ňom.
Prečo je ochrana webu dôležitá?
Váš web by ste si mali dobre ochrániť najmä pred hackerskými útokmi. Keďže WordPress nie je príliš zabezpečený, váš web by mohol šikovný hacker veľmi jednoducho napadnúť. Prečo je to vlastne tak?
Mnohí odborníci sa zhodujú, že dôvodom zlého zabezpečenia sú tri veci:
- rozšírenia tretích strán
- slabá správa systému
- neaktualizovaný zastaralý systém
Ak teda chcete tento redakčný systém využívať aj vy, na správnu ochranu by ste nemali zabúdať. Výhodou je, že existuje niekoľko spôsobov ako na to.
Tip
Wordpress je najrozšírenejším redakčným systémom na svete. To je dôvod, prečo priťahuje mnohých hackerov. Tí hľadajú rôzne slabé miesta. Cez ne sa môžu dostať aj na váš web. A keďže bezpečnosť WordPressu nie je najlepšia, mali by ste sa o ňu postarať sami. Riziko rozhodne netreba podceňovať.
Otestujte si svoj web
Zdá sa vám, že je váš web skvelo zabezpečený? Pre istotu sa pomocou nástroja Wordpress Security Scanner otestujte. Je to zdarma a už o pár minút viete, ako na tom váš web je.
Nástroj kontroluje ako verziu WordPressu, šablónu, pluginy či dokonca hosting. Ak získate hodnotenie “Passed”, web je v poriadku. Ak nie, budete na ňom musieť zapracovať. Netreba sa však ničoho báť. Bezpečnosť webu dokážete zlepšiť aj sami. Je to jednoduchšie, ako to znie.
Pravidelná aktualizácia
Rovnako ako svoj operačný systém v smartfóne, aj WordPress by ste mali pravidelne aktualizovať. Pre niektorých je to úplne bežná vec. Pravdou však je, že mnohí aktualizácie stále odkladajú. Nie je to však dobre.
Každá aktualizácia je lepšia a bezpečnejšia. Bojuje proti nedostatkom tej predchádzajúcej.
Kedy by ste mali WordPress aktualizovať?
Nemusíte to nijako sledovať, systém to urobí za vás a sám vás bude o aktualizácii informovať.
Vedeli ste, že ...
… už skoro 20 miliónov webstránok funguje na WordPresse?
Dôvodom je najmä jeho jednoduchosť, no taktiež možnosť prispôsobenia.
Záloha je základ - na hostcreators.sk je automatická
Druhou vecou, hneď po aktualizácii, je záloha. Tá sa vám určite zíde v prípade, ak sa s webom niečo stane. Netreba sa však báť. Aj keď zálohovanie znie pre mnohých náročne, opak je pravdou. Ako zálohovať WordPress?
Automatická záloha
Hostcreators.sk zálohuje Váš wordpress úplne automaticky 14 dní dozadu. Nemusíte nič robiť, kedykoľvek sa viete k svojim súborom vrátiť.
Vlastná záloha cez pluginy
Ak si chcete urobiť vlastné zálohy, najpraktickejším spôsobom ako na to je využitie jedného z pluginov. V ponuke ich je rovno niekoľko. Medzi ne sa radia napríklad:
- UpdraftPlus
- VaultPress
- BackupBuddy
UpdraftPlus je veľmi obľúbený najmä vďaka tomu, že je zadarmo. Využívajú ho viac ako 2 milióny webstránok. V prípade, že by ste chceli viac funkcií, môžete využiť Premium verziu.
VaultPress je spoplatnený. Jeho používanie je však jednoduché a poplatok za mesiac vo výške 3 dolárov je pomerne nízky. Vhodný je tak pre každého, kto hľadá dobrý plugin na zálohovanie.
BackupBuddy je jedným z najpopulárnejších platených pluginov. Využíva ho viac ako pol milióna webstránok. Cena závisí od typu, ktorý si vyberiete. Typ blogger stojí 56 dolárov, Freelancer 89 dolárov a Gold 140 dolárov.
Snáď najväčším plusom väčšiny týchto pluginov je to, že dokážu zálohovať na cloud. To znamená na rôzne úložiská ako napríklad Google Drive či Dropbox.
Kvalitný webhosting
Rovnako ako pri prenajímaní klasických fyzických priestorov, aj pri webhostingu sú určité obmedzenia. Každý prenajímateľ vám môže poskytnúť inú veľkosť priestoru alebo povolený objem prenesených dát.
Kvalitný webhosting by ste mali riešiť ešte pred kúpou domény. Z veľkej časti sa podieľa na jeho bezpečnosti. Mysleli sme na ňu aj pri našom HostCreators WordPress Hostingu. Jeho súčasťou je WordPress security, ktorý má za úlohu zvýšiť bezpečnosť vášho WP webu. Používa dve technológie:
- ochrana prihlásenia do administrácie WordPressu iba z konkrétnych kontinentov alebo krajín
- ochrana pred zobrazením a spúšťaním citlivého škodlivého obsahu.
Limitovaný počet prihlásení
Na to, aby ste sa prihlásili do svojho webu, potrebujete najčastejšie jeden pokus. Poprípade dva, ak ste zabudli vypnúť caps lock alebo ste stlačili dva klávesy naraz. Niektorí ľudia sa však môžu snažiť do vášho účtu dostať tak, že budú heslo hádať. Ak nelimitujete počet prihlásení, majú voľný priestor. Môžu skúšať rôzne kombinácie.
Zabezpečte si svoj web bezpečnostnostným pluginom. Ten dokáže limitovať počet pokusov na prihlásenie. Medzi tieto pluginy sa radia napríklad:
Oba fungujú veľmi jednoducho. Zamedzujú viacerým opakovaným pokusom o prihlásenie z rovnakej IP adresy.
Vytvorte si silné heslo
Sila hesla dnes klesá a preto sa hľadajú iné spôsoby ako web zabezpečiť. Aj napriek tomu by váš web mal mať silné a dobré heslo. Stále je to bezpečnostný prvok. Netreba ho nijakým spôsobom podceňovať.
Správne heslo by malo obsahovať:
- veľké a malé písmená,
- aspoň jedno číslo
- aspoň jeden špeciálny znak, ako napríklad otáznik, výkričník alebo pomlčka.
Nech je heslo akékoľvek silné, mali by ste ho pravidelne meniť. Najlepší časový úsek sú každé 3 - 4 mesiace. Vždy zvoľte nové heslo. Môžete použiť generátor hesiel.
Ďalším dobrým pomocníkom je softvér na manažovanie hesiel. Môžete použiť napr. Lastpass či offline manažer KeePass
Prikladáme tiež zoznam nebezpečných hesiel pre rok 2019
Vedeli ste, že …
… existujú rôzne aplikácie, ktoré vám vedia s heslami pomôcť?
Aplikácia vám spravuje všetky heslá a vy si ich tak nemusíte pamätať. Stačí, aby ste si vytvorili jedno silné pre danú aplikáciu. Poprípade môžete využiť napríklad odtlačok prsta alebo snímanie tváre. Medzi veľmi obľúbené sa radia napríklad Dashlane alebo Lastpass.
Prihlasovacie meno
Klasikou v prihlasovacích menách na WordPresse je najčastejšie “Admin”. Áno, prihlasovacie meno nie je takým bezpečnostným prvkom ako heslo. Ak ho však zmeníte, znížite pravdepodobnosť, že kombináciu mena a hesla niekto uhádne.
Prihlasovacie meno by však nemalo byť ani názov vašej webstránky. Vyberajte neobvyklé meno. Nezabudnite však, že musí byť ľahko zapamätateľné. Dobré je, ak sa vám k niečomu viaže.
Tento problém je dobré riešiť hneď pri prvej inštalácii wordpress na webhostingu kde zadávate prihlasovacie údaje.
Zmena prihlasovacej adresy
V spojitosti s menom a heslom je dobré spomenúť aj prihlasovaciu adresu. Bežnú, vygenerovanú WordPressom, je jednoduché uhádnuť. Preto je pre bezpečnosť často vhodné zmeniť ju.
Na zmenu budete potrebovať plugin. Veľmi obľúbený je Change wp-admin login.
Môžete použiť napr. url www.vaswordpress.sk/web-editacia/
Nezabudnite sa odhlasovať
Nečinné, no pritom prihlásené účty, sú často tou najzraniteľnejšou časťou webu. Hackeri útočia práve na ne. Mnohokrát problémom nemusíte byť vy ale ostatní používatelia. Ak ich má váš web viacero, povedzte im, aby sa odhlásili.
Pravidelne sa vy alebo niektorí iní užívatelia zabúdate odhlásiť? V tom prípade stavte na jeden praktický a bezpečný plugin. Je ním Inactive Logout. Ten po určitom čase nečinnosti užívateľa bezpečne odhlási.
Tip
Automatické odhlasovanie vám pomôže aj v prípade, že ste na verejnom mieste. Ak si od notebooku alebo počítača odskočíte, nikto vám na webe nič neurobí.
Dvojfaktorové overenie
Dvojfaktorové overenie možno poznáte zo svojho e-mailu alebo sociálnych sietí. Jeho základom je, že po prihlásení sa pomocou mena a hesla vás čaká ešte jeden krok. Vo väčšine prípadov ide o SMS kód. Využijete ho po prvej fáze prihlásenia sa.
Ide o dvojvrstvovú ochranu vášho webu. Je to veľmi účinné a výhodné. Ten, kto nemá váš mobilný telefón, sa do webu nedostane. Bezpečnosť nebude závisieť len od hesla.
A ako na to? Tým najlepším a najjednoduchším spôsobom je využiť plugin. Pri jeho hľadaní nájdete viacero druhov. Medzi tie najlepšie sa radí napríklad WordPress Two Factor Authentication (2FA) alebo Google Authenticator.
Spolu s dvojfaktorovým overením sa spája ešte jedna funkcia. Tou je reCaptcha. Ochráni vás pred botmi. Existujú dva typy a to reCaptcha v2 a reCaptcha v3.
Pri reCaptcha v2 ide o jednoduchý formulár. V rámci neho musia užívatelia napríklad pri prihlasovaní odškrtnúť políčko, že nie sú robotmi.
reCaptcha v3 je o niečo novšia verzia. Nevyžaduje overenie daného človeka. Vyhodnocuje jeho aktivitu v pozadí a automaticky udeľuje skóre. Na základe toho vyhodnotí, či je daný užívateľ podozrivý alebo nie.
Na takéto overenie môžete využiť napríklad plugin reCaptcha by BestWebSoft.
Bezpečnostné otázky
Bezpečnostné otázky rovnako poskytujú dvojvrstvovú ochranu. Ide o plugin. Stačí ho iba nainštalovať do WordPressu a o bezpečnosť máte postarané.
Po prihlásení dostanete jednu z otázok. Výber závisí od vás. Sami si ich zadáte v Nastavení. Myslite však na to, že otázky by mali byť, aspoň pre vás, jednoduché. Vyhnete sa tak tomu, že na odpoveď zabudnete.
Jedným z veľmi účinných pluginov na otázky je WP Security Question.
Menej je niekedy viac.
Je dobré spomenúť, že tieto odporúčania sú výberom možností. Treba si z nich vybrať jednu, alebo dve - určite nie všetky. Mohlo by sa Vám potom stať, že budú navzájom biť a web sa bude načítavať pomaly.
Pozor na množstvo pluginov
Pluginy sú dôležité. Dokážu odviesť skvelú prácu. Na druhej strane, čím viac pluginov máte, tým horšie je zabezpečenie a rýchlosť načítania vášho webu.
Práve preto by ste mali pluginy využívať s mierou. Počet všetkých pluginov (nielen bezpečnostných) by nemal presiahnuť 15 - 20.
Pri ich využívaní inštalujte len tie od dôveryhodných dodávateľov. Predtým, ako ich nainštalujete, sa pozrite na hodnotenie a počet inštalácií. Poprípade na recenzie alebo komentáre.
Skontrolovať plugin či tému si môžete na https://wpvulndb.com/ alebo využiť plugin Wordfence, ktorý Vás vie aj upozorňovať na bezpečnostné ohrozenia vašeho wordpressu.
Vypnutie editora pluginov
V prípade, že pravidelne WordPress používate, asi viete, že existuje editor pluginov a tém. Ten vám umožňuje upravovať témy a pluginy priamo z hlavnej stránky, tzv. Wordpress dashboard.
Áno, je to skvelá možnosť, ako ušetriť čas a upraviť všetko hneď po prihlásení. Na druhej strane to však nie je až taká výhoda. Táto funkcia totižto znižuje bezpečievášho webu. Stačí jedna malá chyba v kóde a web padne alebo sa zablokuje.
Práve preto by ste editor pluginov a tém mali jednoducho vypnúť. Stačí, ak do súboru wp-config.php vložíte tento kód: define( 'DISALLOW_FILE_EDIT', true );
Ďalšie bezpečnostné pluginy
Okrem spomenutých existujú ešte desiatky ďalších bezpečnostných pluginov. Tie vám dokážu web zabezpečiť veľmi efektívne. Medzi ne sa radia napríklad:
WordFence patrí medzi jedny z najlepších bezpečnostných pluginov na trhu. To, že jeho služby sú viac ako skvelé nasvedčuje aj viac ako milión inštalácií. Základná verzia je zdarma. Ak však chcete čo najlepšiu ochranu, budete si musieť priplatiť.
Spolu s WordFence patrí medzi najlepšie pluginy. Jeho veľkou výhodou je to, že aj základná bezplatná verzia poskytuje dostatočnú ochranu. iThemes je však veľmi známa spoločnosť. Poskytuje rôzne WordPress nástroje už od roku 2008. Jedným z nich je aj BackupBuddy. Ten sme spomínali v rámci zálohy.
Treticu najlepších bezpečnostných pluginov uzatvára Sucuri Security. Ten poskytuje taktiež veľa služieb. Od testovania vášho webu a jeho zraniteľnosti až po webový firewall. Ten je však dostupný len v premium verzii.
Doplňujúce bezpečnostné rozšírenia
Množstvo útokov na WordPress stránky sa deje prostredníctvom tzv. Bad Queries alebo SQL Injections. BBQ spoľahlivo ochráni práve pred takýmito útokmi, ktoré dokáže rozpoznať a zastaviť.
Ďalším typom útoku robotov je skúšanie prihlasovacích mien a hesiel. Útočníci používajú zoznamy najčastejšie používaných hesiel a tak je vysoká pravdepodobnosť že sa do nejakého “trafia” a získajú tak neoprávnený prístup. Fail2Ban sleduje prihlásenia do WordPress adminu a ak užívateľ (v tomto prípade robot) napíše nesprávne meno a heslo 3-krát po sebe, systém mu automaticky zablokuje prístup z jeho IP adresy. Aby sa však nestalo, že si sami zablokujete prístup k webu, Fail2Ban, v prípade ak zadáte správne prihlasovacie meno ale iba heslo nesprávne, tak je viac tolerantný a dovolí Vám zadať nesprávne heslo až 6-krát. Zablokovanie IP adresy je po dobu 10 minút, potom je prístup automaticky obnovený.
CloudFlare je cloudová služba, ktorá okrem CDN (Content Delivery Network) poskytuje aj ochranu Vášho webu podobným spôsobom ako spomínané pluginy vyššie. Zastaví tak veľké množstvo falošných requestov a tak šetrí traffic z Vášho webu a aj výkon servera kde je web umiestnený.
Ako nainštalovať bezpečnostný plugin?
Ak ste doteraz ešte bezpečnostné pluginy neinštalovali, máme pre vás návod. Na ukážku sme vybrali Sucuri Security.
1. Prihláste sa do svojho webu a v ľavom menu si vyberte možnosť “Pluginy”. Následne kliknite na možnosť “Pridať nový”.
2. Na výber máte dve možnosti. Plugin nájdete prostredníctvom vyhľadávacieho poľa. To sa nachádza v strede stránky na pravo.
3. Druhou možnosťou je, že plugin môžete nahrať z počítača. V tom prípade stačí kliknúť na možnosť “Nahrať plugin”. Tá sa nachádza na vrchnej časti stránky, hneď vedľa nadpisu “Pridať pluginy”.
4. Sucuri Security môžete nájsť veľmi jednoducho v ponuke WordPressu. Stačí do vyhľadávača zadať názov. Akonáhle nájdete daný plugin, stačí kliknúť na možnosť “Inštalovať teraz”.
5. Chvíľku počkajte. Keď je plugin nainštalovaný, zobrazí sa vám možnosť “Aktivovať”. Kliknite na ňu.
6. Keď je plugin aktivovaný, zobrazí sa vám aj medzi ostatnými. A taktiež na ľavej strane v menu. Aby ste mohli s pluginom pracovať a využívať jeho ďalšie funkcie, je potrebné kliknúť naň v ľavej časti menu.
Sucuri Security vám poskytuje ako ochranu, tak aj skenovanie webu. V jeho ponuke uvidíte, ako na tom je ten váš.
Antivírus v počítači
Či už v počítači máte uložené prihlasovacie údaje alebo nie, je dôležité ochrániť aj ten. Dôvod je veľmi jednoduchý. V prípade, že by sa hacker dostal do vášho počítača, mohol by zistiť dôležité informácie. Ich súčasťou môžu byť napríklad prihlasovacie údaje.Taktiež to môžu byť informácie spájajúce sa s prihlásením.
Nezabúdajte preto na správny antivírus. Tých je na trhu veľké množstvo. Medzi najznámejšie sa radí ESET či Avast.
Nezabúdajte ani na bezpečné uloženie hesiel v počítači pomocou tzv. password managerov. Môžete na to využiť software, ktorý si nainštalujete u seba v počítači, napríklad už spomínaný KeePass (https://keepass.info/) alebo využiť niektorú z cloudových služieb ako je napríklad LastPass (https://www.lastpass.com/).
Zhrnutie
To, či niekto váš web napadne a kedy, nikdy neviete. Práve preto je jeho správna ochrana veľmi dôležitá. Na prvý pohľad sa môže zdať, že je to ťažký proces, opak je však pravdou. Na dosiahnutie vysokej bezpečnosti máte na výber veľa možností. Začať by ste mali výberom kvalitného a bezpečného hostingu. Miera zabezpečenia vášho webu bude závisieť od počtu vyššie spomenutých opatrení, ktoré použijete.
HOSTCREATORS Vám vie poskytnúť Wordpress WebHosting s tými najvyššími bezpečnostnými parametrami na trhu. K tomu poskytujeme jednu z najlepších a najrýchlejších automatických inštalácií wordpress.
Ako prvý na Slovensku a Českej republike sme spustili pre wordpress OpenLiteSpeed webhosting, ktorý vie zrýchliť vašu webovú stránku až 10násobne.
HOSTCREATORS spolupracuje s odborníkmi na WordPress, ktorí mu pomáhajú Wordpress WebHosting optimalizovať čo najlepšie. Jednou z firiem je aj BIG BRANDING.
Tu je ich vizitka:
Chcete optimalizovať a zrýchliť Váš WordPress web? BIG BRANDING je firma, ktorá sa zaoberá web developmentom výlučne na platforme WordPress už viac ako 6 rokov. Okrem vývoja nových webových riešení má firma bohaté skúsenosti aj s optimalizácou existujúcich riešení. Nie je výnimkou, že sa im poradí zrýchliť načítanie webu aj 10-násobne. V dnešnej uponáhľanej dobe nikto nechce čakať na načítanie pomalého webu a je dokázané, že načítanie webu nad 4 sekundy vás môže obrať aj o viac ako 30% konverzií. Nehovoriac o to, že od roku 2021 bude rýchlosť načítania webu podľa Google Web Core Vitals figurovať aj ako významný koeficient pri umiestnení vo vyhľadávaní google (SERP). Ak si myslíte, že váš web je pomalý, prípadne má iné nedostatky, neváhajte kontaktovať firmu BIG BRANDING. Vstupná konzultácia je samozrejme Grátis! Viac info na adrese https://bigbranding.sk/