Jak zabezpečit web WordPress proti skutečným hrozbám

Úvod

Většina útoků na WordPress není dílem někoho, kdo se zaměřuje přímo na váš web. Obvykle se jedná o automatizované boty, které prohledávají internet a hledají běžné slabiny, jako jsou zastaralé pluginy, slabá přihlašovací hesla nebo otevřená nastavení. Pokud váš web vypadá, že se do něj dá snadno proniknout, boty to mohou začít zkoušet během několika minut.

K jeho ochraně nepotřebujete dovednosti bezpečnostního inženýra. Potřebujete několik základních ochranných opatření, která spolu dobře fungují. Uzamkněte klíčová nastavení WordPressu. Přidejte pravidla pro server. Udržujte vše aktualizované. Zálohování a monitorování považujte za nezbytné. Problémy odhalíte včas a rychle se zotavíte, místo abyste škody objevili až o několik týdnů později.

Tento průvodce je praktický. Začneme se základními opatřeními s velkým dopadem a poté přejdeme k hlubšímu zabezpečení.

Běžné bezpečnostní útoky na weby WordPress {#common-security-attacks-on-wordpress-sites}

Většina útoků na WordPress se řídí známým vzorem. Boti nejprve prozkoumají běžné vstupní body a poté přejdou k tomu, co je nejjednodušší zneužít.

Zde jsou nejčastější rizika, se kterými se setkáte na skutečných webech WordPress.

Brute Force {#brute-force}

Brute force funguje, protože se snadno automatizuje a stále se vyplatí. Místo hádání jednoho hesla boti zkoušejí na přihlašovacích stránkách tisíce uživatelských jmen a hesel za minutu. Credential stuffing je ještě účinnější, protože využívá uniklá přihlašovací údaje z jiných úniků. Pokud se uniklá přihlašovací údaje shodují, je to okamžitý přístup správce.

Když k tomu dojde, uvidíte výkyvy v návštěvnosti, opakovaná přesměrování a spoustu neúspěšných přihlášení v protokolech ověřování pluginů nebo serveru. I bez narušení to zatěžuje procesor, zpomaluje váš web a zaplavuje vaše protokoly.

Zranitelné pluginy a šablony {#vulnerable-plugins-and-themes}

Problémy s jádrem WordPressu se vyskytují, ale skutečným problémem jsou obvykle pluginy a šablony. Útočníci se na ně zaměřují, protože detekce verze je snadná a exploit kód se šíří rychle.

Mezi varovné signály patří opuštěné pluginy, bezplatné kopie prémiových nástrojů a zpožděné aktualizace. Dopad se pohybuje od vzdáleného spuštění kódu po krádež databáze a vkládání SEO spamu.

Vkládání malwaru {#malware-injection}

Malware se často skrývá na místech, která jsou zapisovatelná nebo přehlížená. Může se jednat o škodlivý skript umístěný do složky wp-content/uploads/, soubor pluginu tiše upravený chaotickým kódem PHP nebo kód vložený do databáze, který se šíří prostřednictvím šablon nebo příspěvků.

Mezi typické příznaky patří přesměrování pouze na mobilní zařízení, záhadní administrátoři, podivné cron úlohy, neobvyklé naplánované úkoly, výkyvy v počtu odchozích požadavků a varování Search Console nebo hostitele o zneužití. Často to vede k opakovaným infekcím, spamu a riziku zařazení na černou listinu.

SEO spamové útoky {#seo-spam-attacks}

SEO spam není pro člověka vždy viditelný. Útočníci přidávají skryté odkazy, spamové stránky nebo obsah, který vidí pouze crawlery. Mohou vkládat spam do databáze, přidávat neautorizované sitemapy nebo upravovat soubor .htaccess tak, aby robotům poskytoval odlišný obsah.

První náznaky se obvykle objeví ve výsledcích vyhledávání: podivné indexované URL adresy a náhlé poklesy návštěvnosti. Vaše doména se začne umisťovat ve výsledcích vyhledávání kvůli spamu a skutečné stránky ztratí viditelnost. Očištění trvá déle, protože spam je často rozptýlen po celé databázi.

SQL Injection {#sql-injection}

K SQL injekci dochází, když plugin nebo vlastní kód odešle do databáze nebezpečná data. Mezi běžné příznaky patří podivné řetězce dotazů v URL, upozornění na SQLi v protokolech firewallu a náhlé výkyvy v zatížení databáze. Může to vést ke krádeži dat, změnám obsahu a trvalému přístupu, pokud útočníci změní uživatele nebo nastavení.

Cross-Site Request Forgery {#cross-site-request-forgery}

K podvržení mezisiteového požadavku (CSRF) dochází, když jste přihlášeni do WordPressu a plugin neprovádí správné bezpečnostní kontroly. Útočník vás může přimět ke kliknutí na odkaz, který spustí akce, jako je vytváření uživatelů, změna e-mailů nebo aktualizace nastavení.

Varovným signálem je jakákoli změna v nastavení administrátora, ke které dojde ihned po kliknutí a kterou jste nechtěli provést. Protokoly mohou stále vypadat normálně, protože se to odehrává v rámci vaší relace, ale může to tiše změnit oprávnění a vést k převzetí kontroly.

Cross-Site Scripting {#cross-site-scripting}

K cross-site scriptingu (XSS) dochází, když plugin nebo šablona zobrazí uživatelský obsah, aniž by jej nejprve vyčistila. Uložený XSS je horší, protože škodlivý kód se uloží a může se spustit později, dokonce i v administrační oblasti, což útočníkům umožní měnit nastavení, přidávat uživatele nebo instalovat pluginy.

Můžete vidět podivné skripty v příspěvcích nebo nastaveních, přesměrování pouze pro přihlášení nebo změny, které jste neprovedli. Může to vést k únosu relací a trvalé infekci uložené v databázi.

Základní bezpečnostní zásady {#baseline-security-essentials}

Začněte se základy, které odstraní snadné vstupní body a ve výchozím nastavení ztíží prolomení vašeho nastavení.

Vyberte si bezpečný WordPress hosting {#choose-a-secure-wordpress-hosting}

Můžete WordPress zabezpečit, ale i tak můžete být ohroženi slabým hostingem. Hosting řídí prostředí, ve kterém váš web běží, a toto prostředí má velký vliv na bezpečnost.

Zde je přehled toho, co by měl obsahovat hosting zaměřený na bezpečnost.

• Izolace a bezpečné výchozí nastavení

Pokud váš web běží na přeplněném serveru, kde se účty mohou navzájem ovlivňovat, začínáte s dodatečným rizikem. Hledejte silnou izolaci účtů, rozumná oprávnění k souborům a nastavení, které ve výchozím nastavení nenechává otevřené rizikové služby.

• Ochrana na úrovni serveru

Spolehlivý hostitel se stará o pravidla firewallu, filtrování botů, bezpečnostní záplaty a zabezpečené konfigurace. Neměli byste se muset přihlašovat na server a upravovat nastavení jen proto, aby byl dostatečně bezpečný.

• Zálohy a rychlé obnovení

Když se něco pokazí, záleží na rychlosti. Automatické zálohy a rychlé obnovení zachrání vaši firmu.

• Přehlednost

Protokoly přístupu, protokoly chyb a metriky výkonu vám pomohou zachytit útoky hrubou silou, problémy s PHP a výkyvy ve využívání zdrojů, než se promění v výpadky.

• SSL

SSL certifikáty šifrují přihlášení a relace, takže data zůstávají při přenosu soukromá. Bezpečný hosting usnadňuje nastavení certifikátů a jejich automatickou rotaci, aby se předešlo problémům s vypršením platnosti.

Na spravovaných platformách WordPress je již zavedena řada ochranných opatření, která zastaví běžné hrozby dříve, než se dostanou k WordPressu. Například spravovaný hosting Cloudways zahrnuje bezpečnostní funkce na úrovni platformy, jako jsou firewally, automatické zálohy, volitelné doplňky WAF a SafeUpdates. I tak jste stále zodpovědní za aktualizace a řízení přístupu, ale začínáte na bezpečnějším základě.

Cloudways také nabízí migraci webových stránek s pomocí odborníků a první migrace je zahrnuta zdarma.

Nainstalujte si SSL certifikát {#install-an-ssl-certificate}

Všimli jste si někdy malé ikony zámku vedle URL webové stránky? Znamená to, že váš web používá HTTPS. Návštěvníkům sděluje, že připojení k vašemu webu je zabezpečené a jejich data jsou v bezpečí. Bez něj by hackeři mohli zachytit citlivé údaje, jako jsou přihlašovací údaje nebo platební údaje.

SSL (Secure Sockets Layer) šifruje data mezi vaším webem a jeho návštěvníky. Chrání tento provoz, takže hesla a údaje zákazníků nejsou přenášeny v prostém textu. Ať už provozujete blog, obchod nebo portfolio, instalace SSL certifikátu již není volitelná, ale nezbytná.

Vyberte si možnost SSL

Většina poskytovatelů hostingu nabízí bezplatnou možnost SSL, kterou můžete aktivovat několika kliknutími. Na Cloudways můžete aktivovat bezplatný certifikát Let’s Encrypt přímo z platformy.

Pokud potřebujete certifikát zaměřený na podnikání nebo specifickou validaci, můžete si jej také zakoupit od poskytovatelů, jako jsou DigiCert nebo Sectigo.

Vygenerujte CSR

Žádost o podepsání certifikátu (CSR) je žádost, kterou váš server odesílá poskytovateli certifikátů. V ovládacím panelu hostingu obvykle najdete možnost Generovat CSR.

Zadejte základní údaje, jako je vaše doména, název organizace a umístění, a poté vygenerujte CSR. Váš poskytovatel jej použije k vystavení certifikátu.

Ověřte vlastnictví domény

Před vydáním certifikátu budete muset prokázat, že jste vlastníkem domény. V závislosti na poskytovateli to obvykle znamená jednu z následujících možností: potvrzení ověřovacího e-mailu, přidání záznamu DNS nebo nahrání malého ověřovacího souboru. Jakmile tato kontrola proběhne úspěšně, certifikát bude vydán.

Nainstalujte certifikát

Nainstalujte nebo nahrajte certifikát do ovládacího panelu hostingu. Vyhledejte sekci typu Správa SSL nebo Nastavení zabezpečení a podle pokynů certifikát přiřaďte ke správné doméně.

Vynutit HTTPS

Po instalaci SSL se ujistěte, že veškerý provoz směřuje ve výchozím nastavení na HTTPS. Tím zajistíte, že se návštěvníci vždy dostanou na zabezpečenou verzi vašeho webu.

Toho můžete dosáhnout pomocí pluginu, jako je Really Simple SSL, nebo můžete vynutit HTTPS pro administrační panel WordPressu pomocí tohoto nastavení v souboru wp-config.php:

Aktualizujte interní odkazy

Pokud váš web stále odkazuje na staré HTTP adresy v nastaveních nebo databázi, mohou prohlížeče zobrazovat varování o smíšeném obsahu. Aktualizujte tyto interní odkazy, aby se vše načítalo přes HTTPS.

Kromě bezpečnosti buduje SSL důvěru a může pomoci s SEO. Jedná se o rychlou aktualizaci, která návštěvníkům dává najevo, že berete ochranu soukromí vážně.

Udržujte WordPress, šablony a pluginy aktualizované {#keep-wordpress-themes-and-plugins-updated}

Aktualizace znamenají bezpečnost. Většina verzí opravuje známé chyby. Jakmile je zranitelnost zveřejněna, roboti prohledávají weby, které stále používají starou verzi, a právě v tomto okně dochází k infekcím.

Aktualizujte jádro WordPressu

Aktualizace jádra často obsahují opravy zabezpečení, i když se vydání jeví jako malé.

Pro aktualizaci jádra WordPressu postupujte podle těchto kroků:

• Přejděte do administrátorského panelu WordPressu → Aktualizace.
• V sekci WordPress klikněte na Aktualizovat nyní, pokud je k dispozici aktualizace.
• Po dokončení otevřete svůj web a ověřte, zda se načte a zda se můžete přihlásit.

Praktický postup aktualizace

• Povolte automatické aktualizace alespoň pro vedlejší verze.
• Pro významné aktualizace využijte testovací prostředí.
• Vyhraďte si měsíční časový úsek na údržbu pro instalaci oprav a kontrolu regrese.

Pokud si vyberete hostingovou platformu, jako je Cloudways, funkce SafeUpdates naplánuje aktualizace jádra WordPressu, pluginů a šablon prostřednictvím zálohovacího a testovacího workflow předtím, než se změny aplikují do produkčního prostředí.

Aktualizace šablon

Pro aktualizaci šablony WordPress postupujte podle těchto kroků:

• Přejděte do administrátorského panelu WordPressu → Aktualizace.

• Pokud jsou zde uvedeny aktualizace šablon, zaškrtněte příslušná políčka a klikněte na Aktualizovat šablony.
• Po dokončení zkontrolujte, zda se domovská stránka, nabídky a klíčové stránky načítají správně.

Odstraňte nepoužívané pluginy a šablony

Neaktivní pluginy a šablony zůstávají na vašem serveru. Odstraňte je, abyste snížili bezpečnostní rizika a zmenšili plochu pro útoky.

Kontrolní seznam pro úklid:

• Odstraňte nepoužívané pluginy a šablony. Deaktivace zanechává soubory.
• U pluginů souvisejících s formuláři, ukládáním do mezipaměti, SEO nebo e-commerce nejprve otestujte odstranění na testovacím prostředí.
• Nechte si pouze aktivní šablonu a jednu zálohu.
• Po vyčištění ověřte, zda fungují přihlášení, formuláře, pokladna a vyhledávání.
• Každý měsíc zkontrolujte nainstalované pluginy a šablony.

​​Postupujte podle těchto kroků k odstranění nepoužívaného pluginu WordPress:

• V administračním panelu WordPress přejděte do sekce Pluginy → Nainstalované pluginy.
• Najděte plugin, který nepotřebujete.
• Klikněte na Deaktivovat. Poté se zobrazí možnost Odstranit.
• Klikněte na Odstranit a potvrďte, pokud budete vyzváni.

Dále postupujte podle těchto kroků k odstranění nepoužívaného motivu:

• V administračním panelu WordPress přejděte do sekce Vzhled → Šablony.
• Klikněte na šablonu, kterou nepotřebujete.
• Klikněte na Odstranit a potvrďte, pokud budete vyzváni.

Vyberte si renomovaná témata a pluginy

Ne všechny pluginy si zaslouží důvěru, i když jejich funkce vypadají skvěle. Hledejte pluginy, které jsou pravidelně aktualizovány, mají srozumitelnou dokumentaci, aktivní podporu a jsou kompatibilní s aktuálními verzemi WordPressu.

Rychlá kontrola před instalací:

• Vyhněte se opuštěným pluginům a šablonám.
• Vyhněte se nelegálním pluginům a šablonám.
• Buďte opatrní při stahování mimo oficiální tržiště, pokud nedůvěřujete prodejci.
• Vynechte vše, co nebylo v poslední době aktualizováno nebo co jasně nepodporuje vaši aktuální verzi WordPressu.

Praktické bezpečnostní operace {#practical-security-operations}

Toto jsou běžné kroky, které snižují každodenní riziko, omezují rušivé aktivity botů a pomáhají vám včas odhalit problémy.

Útočníci se zaměřují na přihlašovací stránku, protože je předvídatelná a vždy dostupná. Uzamkněte přístupové body pro správce, aby boti narazili na zeď a ukradená hesla se nezměnila v okamžitý přístup.

Používejte dvoufaktorové ověřování {#use-two-factor-authentication}

Dvoufaktorová autentizace zabraňuje většině útoků typu credential stuffing a převzetí účtu pomocí opakovaného použití přihlašovacích údajů. Její aktivace pro administrátorské účty zablokuje přihlášení i v případě, že dojde ke krádeži hesla.

Chcete-li na svém webu WordPress povolit 2FA, vyberte si renomovaný plugin 2FA a autentizační aplikaci do svého telefonu. Mezi běžné pluginy 2FA patří miniOrange 2FA, WP 2FA, Wordfence Login Security a Two Factor.

Povolení dvoufaktorového ověřování:

• V ovládacím panelu WordPress přejděte do sekce Pluginy → Přidat nový.
• Vyhledejte plugin pro 2FA, nainstalujte jej a aktivujte.
• Otevřete nabídku pluginu v levém postranním panelu, obvykle v sekci Zabezpečení nebo jako samostatnou položku.
• Najděte Dvoufaktorové ověření nebo 2FA a poté vyberte možnost Aplikace pro ověření.
• Naskenujte QR kód ve své autentizační aplikaci nebo zadejte nastavovací klíč.
• Zadejte jednorázový kód pro potvrzení a poté klikněte na Povolit nebo Aktivovat.
• Stáhněte si obnovovací kódy a uložte je do svého správce hesel.

Vynutit 2FA pro role správců:

• Otevřete nastavení pluginu, obvykle v sekci Nastavení nebo Zabezpečení → 2FA.
• Zapněte možnost Vyžadovat 2FA.
• Vynuťte tuto funkci pro role Správce a Editor a přidejte roli Správce obchodu, pokud provozujete e-shop.
• Uložte změny poté, co jste zaregistrovali alespoň dva administrátorské účty na samostatných zařízeních.

Změňte výchozí URL pro přihlášení {#change-the-default-login-url}

Většina webů WordPress používá stejné výchozí URL: /wp-login.php pro přihlášení a /wp-admin/ pro administrátorský panel. Boti tyto URL znají, a proto je zkoušejí znovu a znovu.

Změna URL adresy pro přihlášení nezastaví odhodlaného útočníka, ale může omezit automatický spam při přihlašování a pokusy o hrubou sílu.

Postupujte podle těchto kroků, abyste změnili výchozí přihlašovací URL v WordPressu:

• Přejděte do sekce Pluginy → Přidat nový.
• Nainstalujte plugin pro změnu přihlašovací URL a poté jej aktivujte.
• Otevřete nastavení pluginu v sekci Nastavení nebo Zabezpečení.
• Nastavte novou přihlašovací URL a uložte změny.
• Odhlaste se a otestujte novou URL v anonymním okně.

Použijte jedinečné uživatelské jméno správce {#use-a-unique-admin-username}

** **„admin“ je první tip v každém seznamu pro hrubou sílu. Jeho použití dává útočníkům polovinu toho, co potřebují.

Postupujte podle těchto pokynů, abyste v WordPressu používali jedinečné uživatelské jméno správce:

• Přejděte do sekce Uživatelé → Přidat nového.
• Vytvořte nového uživatele s jedinečným uživatelským jménem. Nepoužívejte název své domény, značku ani předponu e-mailu.
• Nastavte roli na Správce a poté vytvořte účet.
• Odhlaste se a znovu se přihlaste jako nový správce.
• Přejděte do sekce Uživatelé → Všichni uživatelé.
• Najděte starý účet správce a buď změňte jeho roli na nižší, nebo jej smažte. Pokud jej smažete, přiřaďte jeho obsah novému správci, když vás k tomu WordPress vyzve.

Omezte počet pokusů o přihlášení {#limit-login-attempts}

Nenechte boty zkoušet neomezené množství hesel. Po několika neúspěšných pokusech na chvíli zablokujte IP adresu.

Nejprve jednoduché možnosti

• Nainstalujte plugin, který řeší omezení rychlosti, jako je Wordfence, Limit Login Attempts Reloaded nebo Loginizer.
• Pokud je to možné, povolte omezení rychlosti v ovládacím panelu firewallu vašeho hostitele.

Pokročilá konfigurace serveru

Příklad omezení rychlosti v Nginx (doporučeno, pokud ovládáte konfiguraci Nginx):

Přidejte toto do svého kontextu Nginx HTTP:

Poté přidejte omezení pro přihlašovací koncový bod uvnitř svého serverového bloku:

Tip: Zvyšte hodnotu „rate“ nebo „burst“, pokud jsou blokováni legitimní uživatelé. Důkladně otestujte.

Používejte silná hesla pro správce {#use-strong-admin-passwords}

Hesla správců nemusí být snadno zapamatovatelná. Musí být však těžko uhodnutelná. Použijte správce hesel k generování dlouhých náhodných hesel a zajistěte, aby každý účet správce měl své vlastní jedinečné heslo. Tímto způsobem, pokud dojde k narušení jedné služby, váš přístup do administrace WordPressu tím nebude ohrožen.

Tipy pro konfiguraci:** **

• Pokud je to možné, zakážte opakované používání hesel v zásadách vaší organizace.
• Okamžitě změňte hesla správců, když člen týmu odejde.

Postupujte podle těchto kroků, abyste změnili heslo správce ve WordPressu:

• Přejděte do sekce Uživatelé → Všichni uživatelé.
• Upravte uživatele s administrátorskými právy.
• Klikněte na Nastavit nové heslo a poté na Aktualizovat uživatele.

Používejte doporučené bezpečnostní pluginy pro WordPress {#use-recommended-wordpress-security-plugins}

Pluginy pro zabezpečení nevyřeší vše, ale mohou vám poskytnout rychlou ochranu a mnohem lepší přehled. Hledáte protokoly, které můžete skutečně použít, když se něco nezdá.

Dobrý bezpečnostní plugin obsahuje:

• Sledování integrity souborů pro odhalení neočekávaných změn
• Ochrana přihlášení a vynucení dvoufaktorového ověřování
• Skenování malwaru s jasným postupem pro vyčištění a obnovu
• Upozornění a auditní protokoly, které můžete skutečně zkontrolovat
• Základní pravidla brány firewall

Jakmile víte, co hledáte, nainstalujte si jeden renomovaný plugin, jako je Wordfence, Sucuri nebo All In One WP Security. Tyto nástroje přidávají ochranu přihlášení, detekci změn souborů a protokoly a mohou blokovat mnoho běžných útoků, včetně pokusů o hrubou sílu.

Při instalaci bezpečnostního pluginu pro WordPress postupujte podle těchto kroků:

• Přejděte do sekce Pluginy → Přidat nový.
• Vyhledejte bezpečnostní plugin.
• Klikněte na Instalovat nyní a poté na Aktivovat.
• Otevřete plugin v levém postranním panelu a spusťte jeho průvodce nastavením, pokud jej obsahuje.

Tipy k nastavení:

• Používejte jeden hlavní bezpečnostní plugin, abyste se vyhnuli konfliktům a duplicitám.
• Vypněte funkce, které nebudete používat, zejména náročné skenování na frekventovaných webech.
• Pokud váš hostingový poskytovatel nabízí omezení rychlosti nebo blokování, využijte tuto funkci k ochraně před hrubou silou, kdykoli je to možné.

Řešení problémů:

• Pokud vám bude zablokován přístup do administrace WordPressu, zkontrolujte pravidla firewallu a nejprve zmírněte přísný režim.
• Přidejte svou IP adresu na seznam povolených, abyste nezablokovali vlastní tým.
• Před deaktivací ochrany si prohlédněte protokoly, abyste zjistili, co blokování způsobilo.

Používejte firewall a skenování malwaru {#use-a-firewall-and-malware-scanning}

Firewally zastaví útoky dříve, než se dostanou k WordPressu. Skenování malwaru pak zkontroluje vaše soubory a databázi, zda nedošlo k jejich neoprávněné manipulaci.

Pokud nemáte kontrolu nad konfigurací serveru, použijte ovládací panel firewallu svého hostitele nebo bezpečnostní plugin, jako je Wordfence nebo Sucuri, k omezení počtu přihlášení a omezení nebo blokování XML-RPC.**

Nastavení firewallu

Používejte více vrstev. WAF na okraji sítě, pravidla serveru pro zneužívající provoz a skenování malwaru pro vyčištění.

Na spravovaných platformách můžete povolit vestavěný webový aplikační firewall s blokováním IP adres nebo zemí. Například Cloudways nabízí volitelný doplněk Cloudflare Enterprise pro filtrování na okraji sítě a ochranu před boty.

Skenování malwaru

Skenujte neočekávané změny souborů a injekce do databáze (spamové odkazy, skryté skripty).

Naplánujte pravidelné kontroly:

• Úpravy souborů a neznámý kód PHP v wp-content/uploads
• Spam v databázi nebo vložený kód
• Podezřelé cron úlohy a odchozí připojení

Cloudways poskytuje doplněk Malware Protection od společnosti Imunify360 pro skenování na úrovni serveru a automatické čištění.

Postupujte podle těchto kroků k odstranění malwaru z WordPressu:

• Zapněte režim údržby.
• Identifikujte vstupní bod (zranitelný plugin, slabá přihlašovací jména a hesla).
• Obnovte všechna tajná hesla (hesla pro správu/databázi, soli, klíče SSH).
• Obnovte systém z čisté zálohy.
• Opravte příčinu problému před spuštěním do ostrého provozu.

Pokročilé technické zabezpečení {#advanced-technical-hardening}

Pokročilé technické zabezpečení znamená, že nastavení WordPressu zpřísníte nad rámec základů. Tyto kroky se zaměřují na konfiguraci, ovládací prvky serveru a zásady přístupu, které snižují riziko a omezují škody v případě, že dojde k narušení přihlášení nebo pluginu.

Zabezpečte soubor wp-config.php {#secure-the-wp-config-php-file}

Soubor wp-config.php obsahuje přihlašovací údaje k databázi a tajné klíče. Zacházejte s ním jako s trezorem na klíče.

Nastavte přísná oprávnění pomocí následujícího příkazu:

chmod 400 wp-config.php.

Tím zabráníte ostatním uživatelům a procesům v čtení nebo úpravách souboru. Použijte 440, pokud váš webový server potřebuje skupinový přístup pro čtení.

Pokud web s nastavením 400 přestane fungovat, přepněte na 440 a ujistěte se, že vlastnictví skupiny odpovídá tomu, pod jakým účtem běží váš webový server.

Pro větší ochranu, pokud to vaše nastavení umožňuje, přesuňte soubor wp-config.php o jednu úroveň výše než kořenový adresář webu. WordPress jej bude i nadále načítat automaticky.

Omezte role a oprávnění uživatelů {#limit-user-roles-and-permissions}

Přiřaďte uživatelům pouze oprávnění, která potřebují (princip minimálních oprávnění). Tím zabráníte tomu, aby hacknutý účet převzal kontrolu nad celým vaším webem.

Postupujte podle těchto kroků, abyste omezili uživatelské role a oprávnění ve WordPressu:

• Přejděte do sekce Uživatelé → Všichni uživatelé.
• Klikněte na uživatele, kterého chcete zkontrolovat.
• V rozevíracím seznamu Role vyberte nejnižší roli, kterou potřebuje, například Předplatitel, Přispěvatel, Autor nebo Redaktor.
• Klikněte na Aktualizovat uživatele.

Opakujte tento postup pro každý účet s oprávněním správce a odeberte oprávnění všem, kteří je nepotřebují. Odstraňte nebo deaktivujte neaktivní účty, které již nikdo nepoužívá.

Pokud potřebujete speciální přístup, použijte vlastní role a před jejich přiřazením zkontrolujte oprávnění. Každé čtvrtletí provádějte audit rolí a odstraňte zbytečný přístup správce. Tím omezíte možnosti útočníka s ukradenými přihlašovacími údaji.

Zakázat úpravy souborů z ovládacího panelu {#disable-file-editing-from-the-dashboard}

Deaktivujte vestavěný editor šablon a pluginů. Tímto způsobem nemůže napadený administrátorský účet rychle vložit škodlivý kód do souborů vašeho webu.

Postupujte podle těchto kroků, abyste zakázali úpravy souborů z ovládacího panelu WordPress:

• Připojte se ke svému webu pomocí SFTP nebo správce souborů vašeho hostitele.
• Upravte soubor wp-config.php v kořenovém adresáři WordPressu a přidejte:
• Soubor uložte.
• V administraci WordPressu zkontrolujte sekci Vzhled. Editor šablon zmizí. Zmizí také editor pluginů.

Pokud váš tým využívá úpravy v ovládacím panelu, přesuňte tento pracovní postup na nasazení založené na Git nebo SFTP s omezenými účty.

Zakázat XML-RPC {#disable-xml-rpc}

XML-RPC je běžným vstupním bodem pro útoky hrubou silou a zneužití pingbacků. Zablokujte jej na úrovni WordPressu nebo serveru.

Možnost A: Zakázat ve WordPressu

• Do souboru functions.php nebo vlastního pluginu přidejte následující:
• Soubor uložte.
• Otevřete koncový bod xmlrpc.php ve svém prohlížeči na adrese https://yourdomain.com/xmlrpc.php Zobrazí se vám obecná zpráva XML-RPC, ale požadavky XML-RPC již nebudou fungovat.

Tím se deaktivuje XML-RPC na úrovni WordPressu. Koncový bod xmlrpc.php může být stále zasažen, takže pro úplnou ochranu a snížení zátěže jej zablokujte na webovém serveru nebo WAF.

Možnost B: Blokování na úrovni webového serveru**

Blokování XML-RPC na serveru je nejúčinnější možností, protože zastaví požadavky ještě před spuštěním PHP.

Nginx:

• Otevřete konfigurační soubor Nginx pro doménu vašeho webu.
• Přidejte pravidlo pro xmlrpc.php do bloku serveru.
• Znovu načtěte Nginx.

Apache:

• Upravte konfiguraci Apache nebo soubor .htaccess vašeho webu, pokud je to povoleno.
• Přidejte pravidlo bloku xmlrpc.php.
• Znovu načtěte Apache.

Tím se zabrání tomu, aby se požadavky vůbec dostaly do WordPressu, což sníží zátěž a odřízne běžné cesty útoků XML-RPC.

Poznámka: Pokud plugin Jetpack nebo mobilní aplikace WordPress potřebují XML-RPC, neblokujte jej úplně. Místo toho omezte počet požadavků a pokud je to možné, povolte přístup pouze z důvěryhodných IP adres.

Zálohy a monitorování {#backups-and-monitoring}

Připravte se na selhání. Zálohy vám umožní rychlou obnovu. Monitorování ukazuje, co se změnilo.

Zálohujte svůj web pravidelně {#back-up-your-website-regularly}

Zálohy nejsou volitelné. Jsou vaším nouzovým východem, když aktualizace naruší produkci, plugin je ohrožen nebo špatné nasazení zničí databázi.

Cílem je mít k dispozici čistou kopii webu, kterou můžete rychle obnovit, aniž byste museli hádat, co chybí.

Ruční zálohování

Postupujte podle těchto kroků a zálohujte svůj web WordPress:

• Nainstalujte a aktivujte zálohovací plugin z Pluginy → Přidat nový.
• Otevřete plugin a spusťte Zálohovat nyní s vybranými soubory a databází.
• Uložte jej do externího úložiště, pokud je k dispozici.

Automatické zálohování

Většina spravovaných hostitelů WordPressu standardně zahrnuje automatické zálohy, které se obvykle provádějí denně, ukládají se po určitou dobu a jsou k dispozici jako body obnovení na jedno kliknutí z ovládacího panelu hostingu.

Vyberte si plán podle toho, jak často se váš web mění.

• Denně: Pro aktivní weby s častými aktualizacemi, komentáři nebo objednávkami.
• Týdně: Pro marketingové weby s malými změnami.
• Měsíčně:** **Pokud se obsah mění jen zřídka.

Úplná záloha zahrnuje databázi, složku wp-content (zejména nahrané soubory) a konfigurační soubory, pokud je vaše nastavení nevytváří automaticky.

Osvědčené postupy:

• Zálohy ukládejte mimo web. V případě selhání serveru se tak neztratí.
• Uchovávejte více bodů obnovení, nejen nejnovější snímek.
• Pravidelně testujte obnovení. Netestované zálohy nejsou ověřené. Doufáte, že budou fungovat, až na tom bude záležet.

Pokud se obnovení zdržuje nebo selže, záloha je obvykle nadměrně velká. Zkontrolujte nárůst velikosti zálohy, který je často způsoben logovými soubory nebo adresáři cache uvnitř wp-content. Vyloučte adresáře cache ze záloh, pokud je vaše platforma dokáže bezpečně znovu vytvořit.

Sledujte svůj web {#monitor-your-site}

Zabezpečení pomáhá, ale monitorování zachytí to, co mu unikne. Odhalte problémy včas. Mějte připravené protokoly, abyste mohli vysledovat, co se stalo.

Sledování dostupnosti

Kontroly dostupnosti vám pomohou zjistit, kdy dojde k výpadku webu nebo k nežádoucím změnám, jako je například napadená domovská stránka, aktualizace, která naruší fungování PHP, nebo útok, který přetíží server.

Nástroje pro kontrolu dostupnosti, jako je UptimeRobot (s velkorysou bezplatnou verzí) nebo Pingdom, provádějí kontroly HTTP a klíčových slov na vaší domovské stránce a klíčových stránkách.

Praktické nastavení:

• Sledujte svou domovskou stránku a jednu důležitou stránku, která funguje bez přihlášení, jako je stránka s cenami, pokladna nebo hlavní vstupní stránka.
• Používejte jak kontrolu HTTP statusu, tak kontrolu klíčových slov, aby vám neunikla hacknutá stránka, která stále vrací normální odpověď 200.

Bezpečnostní výstrahy

Nastavte si upozornění na události, které signalizují převzetí účtu, neoprávněnou manipulaci nebo odchylky.

Bezpečnostní pluginy jako Wordfence nebo Sucuri upozorňují na náhlé nárůsty přihlášení, změny souborů a nové administrátorské uživatele.

Postupujte podle těchto kroků k nastavení upozornění ve WordPressu:

• Přejděte do Pluginy → Přidat nový.
• Nainstalujte a aktivujte bezpečnostní plugin, který podporuje upozornění.
• Otevřete plugin z levého postranního panelu.
• V nastavení pluginu najděte položku Upozornění nebo Oznámení.
• Zapněte upozornění pro:
  • Vytvoření nového administrátora
  • Změny v souborech pluginu nebo šablony
  • Náhlé nárůsty přihlášení nebo opakované selhání
  • Dostupné kritické aktualizace pluginů
  • Problémy s DNS nebo SSL certifikáty
• Směřujte kritická upozornění do Slacku nebo PagerDuty. E-mail ponechte pro oznámení s nízkou prioritou.

Protokoly aktivit

Během incidentu poskytují protokoly odpovědi na jediné otázky, na kterých záleží: co se změnilo, kdy se to změnilo, kdo to změnil a odkud.

Praktické nastavení:

• Zaznamenávejte akce správce, jako je vytváření uživatelů, instalace pluginů a změny nastavení.
• Uchovávejte protokoly dostatečně dlouho, abyste mohli vyšetřovat pomalu se vyvíjející narušení bezpečnosti.
• Spojte protokoly aktivit s protokoly přístupu k serveru, abyste mohli korelovat IP adresy a uživatelské agenty.

Postupujte podle těchto kroků k povolení protokolů aktivity ve WordPressu:

• Přejděte do sekce Pluginy → Přidat nový.
• Nainstalujte a aktivujte plugin pro protokoly aktivity.
• Otevřete plugin z levého postranního panelu.
• Zapněte protokolování akcí správce, jako je vytváření uživatelů, instalace pluginů a změny nastavení.
• Nastavte, jak dlouho se mají protokoly uchovávat, a uložte.
• Pokud je k dispozici, povolte export protokolů nebo jejich přesměrování do externího úložiště.

Pokud se záznamy hromadí příliš rychle, omezte jejich objem, aniž byste ztratili signály, které budete později potřebovat.

• Snižte podrobnost záznamů pro nekritické události.
• Protokoly aktivně obměňujte.
• Přeneste data do externího úložiště protokolů, pokud je k dispozici.

Závěrečné myšlenky {#final-thoughts}

Zabezpečení WordPressu obvykle selhává z jednoduchých důvodů. Malé mezery zůstávají otevřené příliš dlouho: zmeškané aktualizace, slabá hesla nebo příliš rozsáhlý přístup správce.

Pokud uděláte jen jednu věc, ať je to důslednost. Pravidelně aktualizujte jádro WordPressu, šablony a pluginy. Na účtech na úrovni správce vynuťte dvoufaktorové ověřování (2FA). Používejte dlouhá, jedinečná hesla a vyhýbejte se zřejmým uživatelským jménům. Na každé stránce udržujte HTTPS, aby přihlašování, relace a data formulářů zůstaly šifrované.

Jakmile budete mít zajištěny základy, přidejte další ochranu. Používejte firewall k blokování škodlivého provozu, než se dostane na váš web. Spouštějte skenování malwaru a monitorování změn souborů, abyste mohli problémy odhalit včas. Uchovávejte zálohy mimo web, zachovávejte více bodů obnovení a testujte obnovení, aby bylo zotavení předvídatelné.

Díky těmto opatřením bude váš web WordPress těžší napadnout, snáze monitorovat a v případě potíží rychle obnovit.

Často kladené otázky {#frequently-asked-questions}

1. Je WordPress bezpečný?

Ano, WordPress je bezpečný, pokud dodržujete základní zásady: udržujte jádro, šablony a pluginy aktualizované; používejte silná jedinečná hesla a dvoufaktorové ověřování pro administrátory; vyberte si hosting s izolací a firewally; provádějte pravidelné zálohy.

2. Má WordPress zabudované zabezpečení?

Ano. Jádro WordPressu obsahuje solidní základy, jako jsou role a oprávnění, ochrana administrátorských akcí, bezpečné hashování hesel a pravidelné bezpečnostní aktualizace. Většina reálných útoků pochází ze zastaralých pluginů a šablon, slabých přihlašovacích údajů nebo nesprávně nakonfigurovaných serverů, nikoli z výchozí instalace jádra, která je udržována v aktuálním stavu.

3. Byl můj web WordPress napaden hackery?

Dávejte pozor na zjevné varovné signály, jako jsou neočekávaná přesměrování, noví administrátoři, které jste nevytvořili, změny souborů šablon nebo pluginů bez nasazení, podivné naplánované úlohy a náhlé nárůsty přihlášení. Zkontrolujte protokoly bezpečnostních pluginů a protokoly přístupu k serveru. Pokud používáte Google Search Console, hledejte varování a neznámé indexované URL adresy.

4. Jak nastavím na svém webu WordPress protokol HTTPS?

Nainstalujte SSL certifikát v ovládacím panelu hostingu. Poté aktualizujte domovskou URL a URL webu WordPress na HTTPS a vynuťte HTTPS pro administrační oblast i frontend. Pokud se zobrazují varování o smíšeném obsahu, nahraďte pevně zakódované HTTP odkazy v databázi a souborech šablony. Pokud používáte proxy nebo load balancer, ujistěte se, že WordPress rozpozná původní požadavek jako HTTPS, aby nedocházelo k přesměrovacím smyčkám.