Bezpečnosť WordPress stránok: Ako ich zabezpečiť na maximum?

Rastislav Prachař 14. augusta 2020 0 Komentáre

Zabezpečenie WordPress webu je neustále diskutovanou a vždy aktuálnou témou. Na tejto platforme beží viac ako 37,6 % všetkých webových stránok. Pri stovkách tisícov kombinácií tém a doplnkov nie je prekvapujúce, že zraniteľné miesta existujú a opakovane sa objavujú. 

Zistiť, že web je napadnutý a prípadne nefunkčný, je nočnou morou každého, kto podniká online či prevádzkuje nejakú formu prezentácie na internete. Existuje mnoho ciest, ako zabezpečiť svoje stránky a zabrániť hackerom alebo škodlivému kódu ovládnuť váš e-shop či blog. Ako sa s nimi vysporiadať čo najefektívnejšie?

Je WordPress bezpečný?

Otázka, na ktorú sa už vyplytvali hodiny hádok a dišpút. Je WordPress bezpečný?

Povieme to na rovinu: za nás áno! Platforma je síce pravidelne obviňovaná z toho, že je náchylná na bezpečnostné chyby a že jej použitie v podnikaní nie je práve šťastným riešením. No väčšina problémov je spôsobená práve užívateľmi, ktorí nedodržujú ani základné bezpečnostné pravidlá.

Najčastejšie chyby?

  • Používanie neaktualizovaného WordPressu.
  • Načierno stiahnuté pluginy, nedbalosť.
  • Zlá správa systému.
  • Nedostatok potrebných znalostí o fungovaní webu.

Toto všetko môže v okamihu udeliť administrátorský prístup niekomu nepovolanému.

Je povšimnutiahodné, že dokonca ani najznámejšie celosvetové weby bežiace na WordPresse nedodržiavajú bezpečnostné štandardy. Najznámejšia blogová platforma www.reuters.com bola v minulosti napadnutá práve kvôli zastaranej verzii WordPressu. Ak váš WordPress web nevytvorili a nespravujú profesionáli, je pochopiteľné, že po podobných správach nebudete mať práve ľahký spánok.

Bezpečnosť ale nespočíva v dokonale zabezpečených systémoch. Bezpečnosť znamená zníženie rizika, nie elimináciu rizika. Je to o správnom používaní všetkých dostupných prostriedkov, ktoré vám pomôžu ho znížiť na minimum.

Nie nejaký zázračný kus kódu. Ste to VY, kto musí znížiť pravdepodobnosť prelomenia vášho WordPressu.

Najčastejšie spôsoby prelomenia

Podľa štúdie Q3 2017 spoločnosti Sucuri, ktorá sa zameriava na internetovú bezpečnosť, WordPress naďalej vedie v počte infikovaných stránok (83%). Okolo tohto CMS systému však funguje tiež veľká komunita, ktorá zaistí, aby sa takéto diery opravili – podľa možnosti ASAP. Od roku 2020 tvorí tím zabezpečenia WordPress približne 50 odborníkov vrátane vedúcich vývojárov a výskumných pracovníkov v oblasti bezpečnosti (v roku 2017 to bolo len 25 ľudí).

Najčastejšie spôsoby hacknutí sú WordPress komunite dobre známe. Ktoré “slabé miesta” útočníci využívajú najčastejšie?

Pokusy o prihlásenie hrubou silou

V tomto prípade sa používajú automatické skripty, ktoré jednoduchým algoritmom “skúšajú” trafiť správne prihlasovacie meno a heslo. Obrana? Dvojstupňové overovanie, obmedzovanie pokusov o prihlásenie, monitorovanie neautorizovaných prihlásení, blokovanie IP a používanie silných hesiel. To sú najjednoduchšie a vysoko účinné spôsoby, ako zabrániť útokom hrubou silou.

Zadné vrátka

Toto zraniteľné miesto so skutočne príhodným názvom poskytuje hackerom skryté kódy, ktoré im vytvoria alternatívny administrátorský účet a dovolia im tak spravovať váš web. Najčastejšie je to spôsobené stiahnutím čiernych pluginov. Zadné vrátka sú príčinou až v 71 % prípadov napadnutia.

Presmerovanie stránok

Využitie programu „Pharma Hack“ sa používa na vkladanie škodlivých kódov do zastaraných verzií webových stránok a doplnkov. Pri vyhľadávaní kompromitovanej webovej stránky to spôsobí, že vyhľadávacie nástroje návštevníka presmerujú na reklamy na farmaceutické výrobky alebo erotické služby. Zvlášť nebezpečné je to preto, že vašu stránku môže vyhľadávač Google penalizovať či zablokovať pre zobrazovanie zakázaného obsahu.

Skriptovanie na viacerých stránkach (XSS)

Cross-Site Scripting (XSS) je prípad, keď je škodlivý kód vložený do dôveryhodnej webovej stránky alebo aplikácie. Útočník to používa na odosielanie škodlivého kódu (zvyčajne skriptov na strane prehliadača) koncovému užívateľovi bez toho, aby o tom vedel. Účelom je zvyčajne získať údaje o súboroch cookie či reláciách. Týmto spôsobom je dokonca možné prepísať HTML na stránke.

Ako sa čo najúčinnejšie brániť?

Ako sme už povedali vyššie, vo väčšine prípadov bezpečnosť začína u samotného používateľa. Nič nepodceniť, vyberať si overené riešenia, dbať na zodpovedné narábanie s platformou, to sú základné kritériá, ktoré vás dokážu ochrániť pred väčšinou hackerských útokov.

Investujte do bezpečného hostingu

Pokiaľ ide o zabezpečenie WordPressu, existuje oveľa viac než len zabezpečenie vášho webu. Myslieť treba tiež na zabezpečenie na úrovni webového servera, za ktoré je zodpovedný váš hosting. My odporúčame služby Websupport.sk, s ktorými máme v tomto smere skvelé skúsenosti.

Používajte najnovšiu verziu PHP

Programovací jazyk PHP je chrbticou každého WordPress webu, preto je veľmi dôležité používať vždy jeho najnovšiu verziu. Každé nové vydanie PHP obsahuje množstvo noviniek a nových možností a je zvyčajne plne podporované dva roky po jeho vydaní. Počas tejto doby sú chyby a bezpečnostné problémy pravidelne opravované.

Všetky WordPress stránky, ktoré aktuálne bežia na PHP verzií 7.1 a menej, už dnes nemajú potrebnú podporu zabezpečenia. A hádajte čo? Podľa oficiálnej stránky WordPress Stats v čase písania tohto článku funguje stále viac než 57 % WordPress webov stále v PHP 5.6 alebo nižšom. Až 77,5 % používateľov WordPressu momentálne používa verzie PHP, ktoré už nie sú podporované!

Pamätáte si číslo, ktoré vyjadrovalo počet napadnutých WordPress stránok? Vidíte tú podobnosť?

Používajte inteligentné používateľské mená a heslá

Prekvapivo jedným z najlepších spôsobov, ako zvýšiť bezpečnosť vášho webu, je používať originálne používateľské meno a silné heslo. Znie to celkom jednoducho, však? Napriek tomu je však internet plný článkov o tých miliónoch používateľov, ktorí používajú meno “admin” a heslo “admin”.

Najobľúbenejším (rozumej najpoužívanejším) heslom je „123456“ , za ktorým nasleduje úžasné „heslo“. Pri týchto faktoch zajasá aj hacker-amatér…

Vždy používajte najnovšiu verziu WordPressu, pluginov a tém

Ďalším veľmi dôležitým spôsobom, ako zlepšiť zabezpečenie WordPressu, je neustále ho aktualizovať. V princípe ide stále o to isté – lepenie prípadných bezpečnostných dier a zvyšovanie kvality kódu. WordPress komunita nespí a v praxi platí, že čím novšia verzia, tým kvalitnejší web. Nielen v oblasti bezpečnosti.

Zmeňte prihlasovaciu URL

Odhaliť prihlasovaciu stránku www.domena.sk/wp-admin nie je práve zložité. Tým, že zmeníte prihlasovaciu URL, sťažíte hackerom prihlasovacie rozhranie nájsť a tým aj oddialite (ideálne rovno znemožníte) prípadné prelomenie. Pomôže vám v tom programátor alebo niektorý šikovný plugin. Je to jednoduchý a účinný spôsob.

Na šifrované pripojenia – certifikát SSL použite HTTPS

Jedným z najviac prehliadaných spôsobov zabezpečenia WordPressu je inštalácia certifikátu SSL a prevádzka vašich stránok cez HTTPS protokol. HTTPS (Secure Hyper Text Transfer Protocol Secure) je mechanizmus, ktorý umožňuje vášmu prehliadaču alebo webovej aplikácii bezpečne sa spojiť s webovou stránkou. Veľmi mylnou predstavou je, že ak neakceptujete kreditné karty, nepotrebujete protokol SSL. SSL je dnes už štandardom, ktorý dokáže aj laik nainštalovať na niekoľko kliknutí. Tak prečo ho nepoužiť?

Záver

Uviedli sme len niekoľko z ciest, ako dostať zabezpečenie vášho webu na maximum. Možností je však oveľa viac. Našim klientom preto vždy odporúčame, aby si WordPress neservisovali sami, ale zverili ho odborníkom. Profesionál vie, ktoré doplnky sú bezpečné, a ktoré môže na vašom webe bez obáv použiť.

A hoci vám môžeme (a budeme :-)) tvrdiť, že v High5 sa o váš web dokážeme dokonale postarať, opatrnosti nikdy nie je dosť. Pozerajte na váš web ako na kreditku – PIN kód takisto nezveríte len tak hocikomu. Tak prečo by ste to robili so svojimi WordPress prístupovými údajmi?

NapísalRastislav Prachař