3.1.2018

Bezpečnost WordPressu

O bezpečnosti WordPressu se vedou diskuze, ale podle mého názoru je stejně (ne)bezpečný, jako jiné opensourcové aplikace. Základem každé bezpečnosti je pravidelná aktualizace jádra i pluginů, ale i to může být málo.

Webové stránky jsou pod neustálým tlakem a pokusů o jejich prolomení bývá i několik do minuty. Proto je vhodné tyto útoky omezit tak, že zakážeme vše, co není pro běh webu potřebné a útočníkům ztížíme přístup do míst, které by mohly posloužit jako vstupní brána útoku.

Co můžeme pro ochranu webových stránek udělat?

Kromě již zmíněných pravidelných aktualizací je potřeba překontrolovat nastavení práv pro složky a soubory. To se může lišit podle nastavení serveru, ale obecně platí, že žádná ze systémových složek by neměla být volně přístupná (755), žádný systémový soubor by neměl jít samostatně přečíst (644) a nikde by neměla být nastavená práva pro zápis z externího zdroje. Zvláštní pozornost je potřeba věnovat konfiguračním souborům a .htaccess, které by měly být nastaveny ještě restriktivněji (444).

Antivirové programy jako je známe z ochrany počítačů se sice nepoužívají, ale bezpečnostní pluginy funkcemi podobné firewallu ano. Zde naleznete seznam používaných bezpečnostních pluginů pro WordPress. Jejich nastavení nemusí být nejsnadnější, ale dělají na jednom místě přesně to, co popisuji výše. Tedy zakáží přístup do citlivých míst, jako je například formulář pro vstup do administrace a vypnou nepotřebné služby. Disponují blacklistem adres známých útočníků, zakáží po stanoveném počtu podezřelých aktivit vstup na celý web pro danou adresu na určitou dobu, potlačí chybové hlášky a jiné projevy systému na cílené útoky a mnoho dalšího.

Vše jmenované v důsledku povýší bezpečnost webových stránek na mnohem vyšší úroveň a riziko úspěšného napadení sníží na dlouhodobě přijatelnou úroveň. To za předpokladu, že i vy dostatečně chráníte své přístupové a jiné citlivé údaje, protože v opačném případě bývá doslova každá rada drahá. Viz odvirování webových stránek.