WordPress je jeden z nejrozšířenějších redakčních systémů, který se díky své popularitě nevyhne útokům hackerů. Pojďme si nyní ukázat pár jednoduchých rad, které vám sice nezajistí 100% bezpečnost webu, avšak posunou ho o nějaký ten level dál k bezpečnějšímu webu.
Přesuňte wp-config.php o úroveň výše
Pokud hackeři získají přístup k souboru wp-config.php, je vše zcela ztraceno a váš web se stane loutkou v rukách záškodníků. Existuje však jedna vlastnost WordPressu, o které moc lidí neví. Tou vlastností je fakt, že když WP nenajde soubor wp-config.php na svém očekávaném místě, hledá ještě o úroveň výše. To znamená, že když máte soubor v adresáři
/var/www/weby/web1/www
tak když ho přesunete do adresáře
/var/www/weby/web1/
bude WP stále pracovat, protože ho najde na druhém očekávaném místě. Je to jednoduché a přitom účinné. Ne vždy je však možnost tento soubor přesouvat o úroveň výše. Záleží na vašem hostingu.
Přesunutím zabráníte tomu, aby byl soubor na veřejném místě, kde je „snadno“ čitelný.
Pozor: toto nebude fungovat, pokud jste nainstalovali blog v podadresáři.
Smažte účet „admin“
Smazáním účtu s názvem „admin“ zkomplikujete případným hackerům život, protože ještě navíc budou muset uhodnout váš login. WP bohužel implicitně nabízí vytvořit tento účet při instalaci.
Aktualizujte
WordPress je plný chyb, které opravují nové aktualizace. Ty je potřeba pravidelně instalovat. WordPress se údajně umí sám aktualizovat, avšak toto jsem zatím nějak nerozchodil. Každopádně existují pluginy, které vám automatické aktualizace zajistí. Pozor však na to, že automatické aktualizace vám mohou zajistit pár bezesných nocí, když je vydán nefunkční plugin, to pak je srandy kopec.
Nainstalujete si WP Security Scan
WP Security Scan je plugin, který zjistí:
- jakou používáte verzi WP a upozorní vás na nové
- zkontroluje, jestli databázový prefix není snadno odhadnutelný „wp_“
- skryje META tag <meta name=“generator“ content=“WordPress 3.6″ />, který hackerům vykecává verzi vašeho WP. Ten velmi usnadňuje hackerům zjistit, jestli máte aktualizovaný WP a jaké chyby ve vaší verzi jsou.
- vypne vypisování databázových chyb
- zkontroluje, jestli máte smazaný login „admin“
- otestuje přítomnost souboru .htaccess v adresáři wp-admin, který má zakazovat indexaci adresáře
- otestuje nastavení práv jednotlivých adresářů
Existuje ještě jeden podobný plugin s názvem Secure WordPress, který dělá podobnou kontrolu, jen trochu jinak.
Na závěr jedna rada – zálohujte. Pro WP existuje velmi šikovný automatický backup s názvem UpdraftPlus Backup/Restore. Ten umí zálohovat na mnoho způsobů i mimo váš web. Osobně si tak zálohuji na jiný disk pomocí FTP, který jsem dostal od Wedosu.