Máte webovú stránku na populárnom systéme WordPress? Gratulujem, ☕ ste v dobrej spoločnosti! WordPress poháňa obrovskú časť internetu. Táto popularita však prináša aj nechcenú pozornosť pre bezpečnosť WordPress stránok. Tie sú častým cieľom hackerov a automatizovaných útokov.
Možno si hovoríte: „Môj web je malý, prečo by ho niekto napádal?“ Dôvody môžu byť rôzne: od rozosielania spamu a hosťovania škodlivého kódu (malware). Až po krádež citlivých údajov či využitie vášho servera na ďalšie útoky. Následky môžu byť nepríjemné: poškodená reputácia, strata dát, pokles pozícií vo vyhľadávačoch či SEO penalizácia. V prípade úniku dát aj právne problémy.
Dobrou správou je, že aj keď 100% bezpečnosť neexistuje, môžete výrazne znížiť riziko úspešného útoku dodržiavaním niekoľkých základných pravidiel a osvedčených postupov. V tomto článku sa pozrieme na to, ako efektívne zabezpečiť vašu WordPress stránku.
Najčastejšie hrozby, ktorým čelí váš web
Aby sme vedeli, ako sa brániť, musíme poznať nepriateľa. Toto sú bežné typy útokov:
Brute-force útoky: Automatizované pokusy o uhádnutie vášho prihlasovacieho mena a hesla skúšaním tisícok kombinácií.
Využívanie zraniteľností
Hackeri hľadajú bezpečnostné diery v samotnom WordPress, v nainštalovaných témach alebo pluginoch. Najčastejšie ide o zastarané verzie softvéru.
Malware: Škodlivý softvér, ktorý môže byť na váš web nahraný cez bezpečnostnú dieru. Môže kradnúť dáta, zobrazovať nechcenú reklamu, presmerovávať návštevníkov alebo poškodiť funkčnosť stránky.
SQL Injection: Útok zameraný na databázu webu s cieľom získať alebo manipulovať s uloženými dátami.
Cross-Site Scripting (XSS): Vloženie škodlivého kódu (väčšinou JavaScriptu) do stránky, ktorý sa potom spustí v prehliadači návštevníka.
Základné piliere pre bezpečnosť WordPress stránok
Našťastie, proti väčšine hrozieb sa dá účinne brániť. Zamerajte sa na tieto kľúčové oblasti:
Silné prihlasovacie údaje a ochrana prihlásenia:
Nepoužívajte „admin“ ako používateľské meno: Je to prvé meno, ktoré útočníci skúšajú. Zvoľte si unikátne meno.
Vytvorte silné heslo: Kombinujte veľké a malé písmená, číslice a špeciálne znaky. Heslo by malo byť dlhé (aspoň 12 znakov) a unikátne pre váš web. Použite generátor hesiel a správcu hesiel.
Zapnite dvojfaktorovú autentifikáciu (2FA): Aj keby niekto uhádol vaše heslo, bez druhého faktora (napr. kódu z mobilnej aplikácie) sa neprihlási. Existujú na to spoľahlivé pluginy (napr. Wordfence Login Security, Google Authenticator).
Pravidelné aktualizácie sú kľúčové:
Aktualizujte WordPress jadro: Hneď ako je dostupná nová verzia, aktualizujte. Často obsahuje dôležité bezpečnostné opravy.
Aktualizujte témy a pluginy: Toto je najčastejší zdroj zraniteľností! Používajte len témy a pluginy z dôveryhodných zdrojov, ktoré sú aktívne vyvíjané a podporované. Pravidelne kontrolujte a inštalujte ich aktualizácie.
Odstráňte nepoužívané témy a pluginy: Aj neaktívny plugin alebo téma môže predstavovať bezpečnostné riziko, ak obsahuje zraniteľnosť. Čo nepoužívate, vymažte.
Kvalitný a bezpečný webhosting:
Váš poskytovateľ hostingu hrá dôležitú rolu. Dobrý hosting by mal ponúkať ochranu na úrovni servera napr. firewall. Poskytovať by mal pravidelné skenovanie na malware a používať aktuálnu a podporovanú verziu PHP. Lacný hosting môže znamenať kompromisy v bezpečnosti.
Pravidelné a spoľahlivé zálohovanie
Zálohy sú vaša posledná záchranná sieť. Pre bezpečnosť WordPress stránok urobte aj nemožné. Ak sa niečo pokazí, alebo web napadnú, dobre urobená záloha vám umožní rýchlo obnoviť funkčný stav.
Nastavte si automatické zálohovanie (celého webu – súbory aj databáza) a ukladajte zálohy na bezpečné miesto mimo vášho hostingu (napr. cloudové úložisko). Overte si, či viete zálohu aj reálne obnoviť. Mnohé hostingy ponúkajú zálohovanie, overte si však jeho frekvenciu a podmienky obnovy. Existujú aj spoľahlivé zálohovacie pluginy (napr. UpdraftPlus, BackupBuddy).
Používajte bezpečnostný plugin:
Pluginy ako Wordfence Security, Sucuri Security alebo iThemes Security pridávajú ďalšiu vrstvu ochrany. Ponúkajú funkcie ako:
Web Application Firewall (WAF) – blokuje škodlivé požiadavky.
Skenovanie na malware a zraniteľnosti.
Ochrana prihlásenia (obmedzenie pokusov, 2FA, reCAPTCHA, alebo Cloudflare Turnstile).
Monitorovanie zmien v súboroch. Nainštalujte si jeden z nich a správne ho nakonfigurujte podľa dokumentácie.
HTTPS (SSL certifikát):
Používanie HTTPS šifruje komunikáciu medzi prehliadačom návštevníka a vaším serverom. Je to dnes už štandard, ktorý zvyšuje dôveryhodnosť webu. Chráni prenášané dáta (napr. z formulárov) a je aj pozitívnym signálom pre SEO. Väčšina hostingov ponúka bezplatné SSL certifikáty (napr. Let’s Encrypt).
Ďalšie užitočné tipy aj pre pokročilejších
Obmedzte počet pokusov o prihlásenie: Bezpečnostné pluginy to zvyčajne umožňujú. Po niekoľkých neúspešných pokusoch sa IP adresa dočasne zablokuje.
Zmeňte predvolenú prihlasovaciu URL: Namiesto vasadomena.sk/wp-login.php použite inú, menej predvídateľnú adresu. Na to slúžia špecifické pluginy, alebo niektoré bezpečnostné balíky.
Skontrolujte oprávnenia súborov a priečinkov: Nesprávne nastavené oprávnenia na serveri môžu útočníkom uľahčiť prácu. Odporúčané hodnoty sú zvyčajne 755 pre priečinky a 644 pre súbory.
Používajte SFTP alebo SSH namiesto FTP: Tieto protokoly šifrujú prenášané dáta vrátane hesiel.
Chráňte dôležité súbory: Napríklad súbor wp-config.php obsahuje prístup k databáze. Dá sa chrániť pravidlami v súbore .htaccess.
Zakážte editáciu súborov cez administráciu WordPress: Do wp-config.php môžete pridať riadok define(‚DISALLOW_FILE_EDIT‘, true);. Ak by útočník získal prístup do administrácie, nemohol by priamo upravovať kód tém a pluginov.
Čo robiť, ak bol váš web napadnutý
Zachovajte pokoj. Panika nepomôže. Ak je to možné, prepnite web do režimu údržby. Preskenujte web: Použite bezpečnostný plugin, alebo externé nástroje na identifikáciu malware a zraniteľností. Obnovte web z čistej zálohy: Ak máte spoľahlivú zálohu spred doby napadnutia, je to často najrýchlejší spôsob obnovy. Okamžite zmeňte VŠETKY heslá: WordPress administrátorov, FTP/SFTP prístup, databázu, hostingový účet. Analyzujte príčinu: Zistite, ako sa útočník dostal dnu (zastaraný plugin, slabé heslo?), aby ste dieru zaplátali. Posilnite zabezpečenie: Prejdite si všetky body v tomto článku a aplikujte ich.
Zvážte profesionálnu pomoc: Ak si neviete rady, existujú firmy a osoby špecializujúce sa na čistenie a zabezpečenie napadnutých webov.
Bezpečnosť WordPress stránok a tipy pre pokročilejších
Využite silu súboru .htaccess pre lepšiu ochranu a bezpečnosť WordPress stránok: Súbor .htaccess (na Apache serveroch, ktoré používa väčšina hostingov) umožňuje definovať rôzne pravidlá pre server. Môžete ho použiť na posilnenie bezpečnosti. POZOR: Nesprávna úprava .htaccess môže spôsobiť nefunkčnosť stránky. Pred akoukoľvek úpravou si vždy zálohujte pôvodný súbor! Tu je niekoľko užitočných pravidiel, ktoré môžete pridať (zvyčajne na začiatok alebo koniec súboru, mimo blokov # BEGIN WordPress a # END WordPress):
Ochrana wp-config.php: Tento súbor obsahuje najcitlivejšie údaje (prístup k databáze). Pridajte toto na jeho ochranu pred priamym prístupom z webu:
Zakázanie prehliadania adresárov: Zabraňuje návštevníkom (a botom) vidieť zoznam súborov v adresároch, ak v nich chýba indexový súbor (napr. index.php alebo index.html).
Options -Indexes
Zakázanie vykonávania PHP skriptov v adresári pre nahrávané súbory: Adresár wp-content/uploads by mal obsahovať len médiá, nie spustiteľné PHP skripty. Týmto zabránite spusteniu škodlivého kódu, ak by sa ho útočníkovi podarilo nahrať:
Vytvorte v adresári wp-content/uploads/ nový súbor .htaccess a vložte do neho:
deny from all
Ochrana samotného súboru .htaccess <files ~:
order allow, deny deny from all satisfy all
Online nástroje na kontrolu bezpečnosti a odhaľovanie napadnutia
Okrem bezpečnostných pluginov, ktoré skenujú váš web zvnútra, existujú aj externé online nástroje. Tie vám môžu pomôcť skontrolovať web „zvonku“ a identifikovať prípadné problémy alebo napadnutie. Tieto nástroje sú užitočné na rýchlu kontrolu. Ak máte podozrenie, že s webom niečo nie je v poriadku.
Otvoriť obrázok v plnom rozlíšení v novom okne.
🛠️ Tu je niekoľko populárnych a užitočných nástrojov:
🕸️ Jeden z najznámejších bezplatných skenerov je Sucuri SiteCheck. Skontroluje váš web na známy malware, škodlivý kód, status na čiernych listinách, zastaraný softvér a niektoré ďalšie bezpečnostné problémy.
🔧 Google Safe Browsing (Stav stránok v Bezpečnom prehliadaní):
Google označuje weby, ktoré považuje za nebezpečné (napr. šíriace malware alebo phishing). Môžete si tu overiť, či Google váš web neoznačil ako problematický. Stav webu podľa bezpečného prehliadania.
🔨 WPScan v tejto chvíli vykazuje (404 Not found) tak snáď nabehne neskôr.(wpscan.com/wordpress-security-scanner): Je to nástroj zameraný špecificky na WordPress. Dokáže identifikovať známe zraniteľnosti vo verziách WordPress jadra, pluginov a tém, ktoré používate. Základné online skenovanie môže byť dostupné, ale plná sila nástroja je v jeho lokálnej inštalácii (pre pokročilejších používateľov alebo bezpečnostných expertov). Niektoré funkcie sú však spoplatnené.
🔍 VirusTotal
Aj keď je primárne určený na skenovanie súborov, umožňuje skenovať aj URL adresy. Rôzne antivírusové skenery webových stránok analyzujú zadanú URL a poskytnú report o prípadných hrozbách. Virus total sa otvorí v novom okne prehliadača.
⚙️ Nástroje vášho hostingového poskytovateľa:
Mnohí kvalitní poskytovatelia webhostingu ponúkajú vlastné nástroje na skenovanie malware. Ide o monitorovanie bezpečnosti ako súčasť svojich služieb. Informujte sa u svojho hostingu o dostupných možnostiach.
Do pozornosti
Dôležité upozornenie: Tieto online skenery sú užitočné pre rýchlu diagnostiku, ale nemusia odhaliť všetky typy infekcií, alebo zraniteľností. Pre dôkladnejšiu analýzu je často potrebné použiť bezpečnostný plugin priamo vo WordPress, alebo vykonať hĺbkovú manuálnu kontrolu. Ja takéto služby okolo zápisov htaccess neposkytujem aj keď ich ovládam. Venujem sa výhradne SEO auditom webu. Ak potrebujete, viem vám odporučiť niekoľko špecialistov na riešenie napadnutých webov. Pred záverom by som odporučil čítať niektorý z mojich článkov, napríklad SEO audit webu. Prečo? Preto, lebo dobrá architektúra webu tiež úzko súvisí s bezpečnosťou webových stránok.
Záver pre bezpečnosť WordPress stránok
Bezpečnosť WordPress stránok nie je jedno rázová úloha, ale nepretržitý proces. Pravidelné aktualizácie, silné heslá, kvalitný hosting, spoľahlivé zálohy a rozumné používanie bezpečnostných pluginov tvoria základ pevnej obrany vašej WordPress stránky. Venovať čas a pozornosť bezpečnosti sa oplatí – ochránite tak svoju prácu, dáta svojich používateľov a svoju online reputáciu. Buďte proaktívni, nie reaktívni!
Pre vás pripravil Pavol Knut Navrátil