IT rekvalifikácia. Seniorní programátori zarábajú až 6 000 €/mesiac a rekvalifikácia je prvým krokom. Zisti, ako na to!

7. diel - Bezpečnosť vo WordPress

Dnes sa pozrieme na to, ako je to s bezpečnosťou Wordpressu.

WordPress.org (nie WordPress.com) má jednu obrovskú výhodu a zároveň nevýhodu v jednom. A tou je, že je open-source službou.

V čom teda problém tkvie?

Chybám sa nevyhne nikto a odhalenie chýb nie je tak náročné, keď takmer 1/3 internete daný systém používa. Pravidelne teda vidím rôzne podnety na zlepšenie jadra, návody, ako obísť prihlásenie alebo priamo ukážky kódu, s ktorým možno využiť špecifickú časť WordPress pre nekalé účely.

Avšak výhoda je zrejmá - veľmi rýchle nájdenie chýb au tých akútnych aj rýchla oprava. Ale keď sa povie A, musí sa povedať aj B. V našom prípade pluginy.

V dnešnom článku sa tak zameriame na 4 hlavné body zabezpečenia - WordPress sám, pluginy, šablóny a užívatelia.

Wordpress

CMS ako také už za tie roky pomerne dozrelo a až na pár nedokonalostí si vedie celkom dobre. Dovnútra sa dostať dá pomerne ťažko a bez toho, aby sa jednalo o naozaj ostrieľaného hackera, sa nemusíte báť.

Aktuálne si tak nie som vedomý žiadnych jednoduchých metód a tie zložité sú na pol hodinové video návody s priamou ukážkou. Pre nás teda stačí vedieť - silné heslo na databázu, silné heslo na FTP (ideálne použiť SSH) au inštalácia WordPress zvoliť iný prefix tabuliek, než wp_.

Iný prefix tabuliek sa hodí vždy, pretože pri nových verziách útočníci hľadajú u pluginov a šablóny chyby. Teda zmena prefixu im sťaží postup a to môže všeličo zachrániť.

Avšak do backendu majú prístup užívatelia.

Užívatelia

Áno, jedným z najväčších problémov sú vždy užívatelia. Často u svojich klientov narážam na to, že heslo je typu nazevwebu2018 alebo anicka123 a v ideálnom prípade sa prihlasovacie meno heslu dosť podobá.

Takáto heslá okamžite meníme a zavádzame nové procesy, aby heslo naozaj bolo v tvare:

  • 12 (a viac) znakov
  • znaková sada [a-ž], [A-Ž], [0-9], [@#$^&*-+-*]

A samozrejme sa heslo necháva generovať. Zvyčajne berieme 3. náhodne vygenerované. V ideálnom prípade sa ihneď zavedie akýkoľvek správca hesiel.

Dôležité je tiež prihlasovacie meno. Útočníci bežne skúšajú názov webu, alebo "admin" atp. Pozri ukážka nižšie.

Vytvorenie webu pomocou WordPress

Čo ja robím je to, že vytváram napríklad jmeno_prijmeni, web_jmeno alebo prefix_jmeno. A zatiaľ sa mi nestalo, že by to niekto prelomil a to spravujem weby s tisíckami aktívnych užívateľov denne. Čiže tento postup (spolu s ďalšími v tomto článku) sa zdá byť užitočný.

Pluginy

Teraz sa pozrieme, ako sa chrániť a aké potrebné kroky musíte urobiť pre ochranu svojho webu. Až budete mať web na produkčnom prostredí (tzn. Na finálny doméne), aktivácia bezpečnostného pluginu je prvý krok.

Za seba môžem odporučiť WordFence, ktorý kontroluje pluginy, WordPress a rôzne verzie súborov v jadre. Ak sa líšia, dá okamžite vedieť. Ak sa tam vyskytuje súbor, ktorý na danom mieste nemá čo robiť, viete to ihneď. Má aj ďalšie funkcie ako fail2ban (po X pokusoch zablokuje užívateľa), whitelist rôznych funkcií (ak nejaká akcia webe nie je preukázateľne validný, radšej zablokuje) a plno ďalších vychytávok.

Zablokovanie funkcií a priebehu udalostí je bežná vec. WordFence vás informuje a ak danú akciu spustíte vy (alebo iný admin), máte možnosť ju povoliť a pridať do onoho whitelistu.

Ďalším krokom, ktorý však prebieha nonstop, je výber a overovanie pluginov. Niektoré menšie i väčšie majú chyby, a preto je jasné odporúčania:

Vyberajte obozretne. Platené pluginy možno ťažko overiť oproti tým v repozitári wordpress.org. Vždy pozerajte na hodnotenie, odpovede na otázky a poslednú aktualizáciu.

Veľmi zvážte každý plugin, ktorý má byť na vašom webe nasadený. Dáta, ktoré každý plugin so sebou nosia, sa postupne budú kopiť s ďalšími.

Šablóny

U šablón je to v podstate to isté v bledo modrom. Akurát je tu navyše dôležitá aj životnosť a funkcie, pretože na šablóne stojí celý web. Vyberajte stredne staré (max rok späť) a hlavne pravidelne aktualizované. Čo sa týka platených šablón, s nimi je vždy ťažké počínanie.

Nikdy totiž nemožno povedať, akú šablónu zvoliť. Je to takmer nemožné. Prakticky je to šanca 50 / 50, že urobíte dobrý nákup.

Aktualizácie

Vytvorenie webu pomocou WordPress

Či už pôjdete cestou platených pluginov, šablón, alebo všetkého zdarma, dôležité je vždy jedno. Aktualizujte. Často, vždy a všetko. Ak mesiac nebudete aktualizovať, môžete stať, že sa prehodil systém ukladania dát a web padne. A potom už vás zachráni len odborná pomoc.

Nutné dodať, že toto sa často nestáva. Ale pri správe veľkých webov je každá aktualizácia utrpenie, pretože spoliehate, že 3. strana odviedla svoju prácu dobre.

Záver

Záverom teda môžem povedať len toto: aktualizujte, starostlivo vyberajte a voľte silné heslá. Všetko popísané vyššie je minimálna snaha, s ktorou ale máte obrovskú šancu nezabřednout do problémov, o ktorých sa dá bežne prečítať v článkoch s názvom "Prečo nevoliť WordPress a jeho problémy".

Každá z rád vyššie zaberie 5 minút času a zachráni hodiny a hodiny obnovovanie súborov a databázy.

To je pre dnešné lekciu všetko.

Kto stojí za článkom?

Ahoj, volám sa Pavol Mareš a od roku 2012 pracujem v digitálnom prostredí. Prešiel som si kódovaním, vývojom webov, grafikou a v tejto chvíli pomáham svojim klientom tvoriť kvalitné stránky na mieru.

Ponúkam služby - UX, UI (grafika), kódovanie (Gulp, SASS, HTML5, CSS3, JS) a nasadenie webu na WordPress (vlastné šablóny). Môžete sa pozrieť na moje referencie.

Rýchly kontakt: +420 776 256 020 / info @ --> mares-pavel.cz

V budúcom diele, Optimalizácie a cache , sa pozrieme na optimalizáciu a cache.


 

Predchádzajúci článok
Nový editor Gutenberg vs starý TinyMCE
Všetky články v sekcii
Vytvorenie webu pomocou WordPress
Preskočiť článok
(neodporúčame)
Optimalizácie a cache
Článok pre vás napísal Pavel Mareš
Avatar
Užívateľské hodnotenie:
2 hlasov
Autor se věnuje tvorbě webových prezentací na míru
Aktivity