Ako zabezpečiť web WordPress proti skutočným hrozbám

Úvod

Väčšina útokov na WordPress nie je dielom niekoho, kto má záujem o vašu stránku. Zvyčajne ide o automatizované roboty, ktoré prehľadávajú internet a hľadajú bežné slabé miesta, ako sú zastarané pluginy, slabé prihlásenie alebo otvorené nastavenia. Ak vaša stránka vyzerá, že sa do nej dá ľahko vniknúť, roboty to môžu začať skúšať už za pár minút.

Na jeho ochranu nepotrebujete zručnosti bezpečnostného inžiniera. Potrebujete niekoľko základných ochranných opatrení, ktoré spolu dobre fungujú. Zabezpečte kľúčové nastavenia WordPressu. Pridajte pravidlá pre server. Udržujte všetko aktualizované. Zálohovanie a monitorovanie považujte za nevyhnutné. Problémy zachytíte včas a rýchlo sa zotavíte, namiesto toho, aby ste škody objavili až o týždne neskôr.

Táto príručka je praktická. Začíname základmi s veľkým dopadom a potom prechádzame k hlbšiemu zabezpečeniu.

Bežné bezpečnostné útoky na stránky WordPress {#common-security-attacks-on-wordpress-sites}

Väčšina útokov na WordPress sleduje známy vzor. Roboty najprv preskúmajú bežné vstupné body a potom prejdú k tomu, čo je najľahšie zneužiť.

Tu sú najbežnejšie riziká, s ktorými sa stretnete na skutočných stránkach WordPress.

Brute Force {#brute-force}

Brute force funguje, pretože sa dá ľahko automatizovať a stále sa oplatí. Namiesto hádania jedného hesla roboty vyskúšajú na prihlasovacích stránkach tisíce používateľských mien a hesiel za minútu. Credential stuffing je ešte účinnejší, pretože využíva uniknuté prihlasovacie údaje z iných únikov. Ak sa uniknuté prihlasovacie údaje zhodujú, je to okamžitý prístup správcu.

Keď sa to stane, uvidíte nárazové zvýšenie návštevnosti, opakované presmerovania a veľa neúspešných prihlásení v protokoloch overovania pluginov alebo servera. Aj bez narušenia bezpečnosti to zaťažuje procesor, spomaľuje vašu stránku a zapĺňa vaše protokoly.

Zraniteľné pluginy a témy {#vulnerable-plugins-and-themes}

Problémy s jadrom WordPressu sa vyskytujú, ale skutočným problémom sú zvyčajne pluginy a šablóny. Útočníci sa na ne zameriavajú, pretože detekcia verzie je jednoduchá a exploit kód sa rýchlo šíri.

Medzi varovné signály patria opustené pluginy, bezplatné kópie prémiových nástrojov a oneskorené aktualizácie. Dôsledky sa pohybujú od vzdialeného spustenia kódu až po krádež databázy a vkladanie SEO spamu.

Vloženie malvéru {#malware-injection}

Malvér sa často skrýva na miestach, ktoré sú zapisovateľné alebo prehliadané. Môže to byť škodlivý skript umiestnený do wp-content/uploads/, súbor pluginu ticho upravený chaotickým kódom PHP alebo kód vložený do databázy, aby sa šíril cez šablóny alebo príspevky.

Typické príznaky zahŕňajú presmerovania iba na mobilné zariadenia, tajomných administrátorských používateľov, podivné cron úlohy, nezvyčajné naplánované úlohy, náhle nárasty odchádzajúcich požiadaviek a varovania o zneužívaní Search Console alebo hostiteľa. Často to vedie k opakovaným infekciám, spamu a riziku zaradenia na čiernu listinu.

SEO spamové útoky {#seo-spam-attacks}

SEO spam nie je pre ľudí vždy viditeľný. Útočníci pridávajú skryté odkazy, spamové stránky alebo obsah, ktorý vidia len roboty. Môžu vstrebať spam do databázy, pridať neautorizované mapy webu alebo upraviť súbor .htaccess, aby robotom poskytoval iný obsah.

Prvé náznaky sa zvyčajne objavujú vo výsledkoch vyhľadávania: podivné indexované URL adresy a náhle poklesy návštevnosti. Vaša doména začne byť hodnotená ako spam a skutočné stránky stratia viditeľnosť. Čistenie trvá dlhšie, pretože spam je často roztrúsený po celej databáze.

SQL injekcia {#sql-injection}

K SQL injekcii dochádza, keď plugin alebo vlastný kód odošle do databázy nebezpečné dáta. Medzi bežné príznaky patria podivné reťazce URL, upozornenia na SQLi v protokoloch firewallu a náhle výkyvy v zaťažení databázy. Môže to viesť k krádeži dát, zmenám obsahu a trvalému prístupu, ak útočníci zmenia používateľov alebo nastavenia.

Cross-Site Request Forgery {#cross-site-request-forgery}

K falšovaniu medziwebových požiadaviek (CSRF) dochádza, keď ste prihlásení do WordPressu a plugin nevykonáva správne bezpečnostné kontroly. Útočník vás môže podvodom prinútiť kliknúť na odkaz, ktorý spustí akcie, ako je vytváranie používateľov, zmena e-mailov alebo aktualizácia nastavení.

Varovným signálom je akákoľvek zmena v nastaveniach administrátora, ktorá nastane hneď po kliknutí a ktorú ste nemali v úmysle vykonať. Protokoly môžu stále vyzerať normálne, pretože sa to odohráva v rámci vašej relácie, ale môže to nenápadne zmeniť oprávnenia a viesť k prevzatiu kontroly.

Cross-Site Scripting {#cross-site-scripting}

Cross-Site Scripting (XSS) nastáva, keď plugin alebo šablóna zobrazuje obsah používateľa bez toho, aby ho najprv vyčistila. Uložený XSS je horší, pretože škodlivý kód sa uloží a môže sa spustiť neskôr, dokonca aj v administrátorskej oblasti, čo útočníkom umožňuje meniť nastavenia, pridávať používateľov alebo inštalovať pluginy.

Môžete vidieť podivné skripty v príspevkoch alebo nastaveniach, presmerovania len pre prihlásených alebo zmeny, ktoré ste nevykonali. Môže to viesť k prevzatiu relácií a trvalej infekcii uloženej v databáze.

Základné bezpečnostné prvky {#baseline-security-essentials}

Začnite so základmi, ktoré odstraňujú ľahké vstupné body a štandardne sťažujú narušenie vášho nastavenia.

Vyberte si bezpečný WordPress hosting {#choose-a-secure-wordpress-hosting}

Môžete posilniť WordPress a napriek tomu utrpieť škody kvôli slabému hostingu. Hosting ovláda prostredie, v ktorom vaša stránka beží, a toto prostredie výrazne ovplyvňuje bezpečnosť.

Tu je zoznam toho, čo by mal obsahovať hosting zameraný na bezpečnosť.

• Izolácia a bezpečné predvolené nastavenia

Ak je vaša stránka umiestnená na preplnenom serveri, kde sa účty môžu navzájom ovplyvňovať, začínate s dodatočným rizikom. Hľadajte silnú izoláciu účtov, rozumné oprávnenia súborov a nastavenie, ktoré štandardne nenecháva otvorené rizikové služby.

• Ochrana na úrovni servera

Solídny hostiteľ sa stará o pravidlá firewallu, filtrovanie botov, bezpečnostné opravy a zabezpečené konfigurácie. Nemali by ste sa musieť prihlasovať na server a upravovať nastavenia len preto, aby bol dostatočne bezpečný.

• Zálohy a rýchle obnovenie

Keď sa niečo pokazí, rýchlosť je dôležitá. Automatické zálohy a rýchle obnovenie zachránia vašu firmu.

• Viditeľnosť

Protokoly prístupu, protokoly chýb a metriky výkonu vám pomáhajú zachytiť útoky hrubou silou, problémy s PHP a výkyvy v spotrebe zdrojov skôr, ako sa premenia na výpadky.

• SSL

Certifikáty SSL šifrujú prihlásenia a relácie, takže údaje zostávajú počas prenosu súkromné. Bezpečný hosting uľahčuje nastavenie certifikátov a ich automatickú rotáciu, aby sa predišlo problémom s vypršaním platnosti.

Na spravovaných platformách WordPress je už zavedených mnoho ochranných opatrení, ktoré zastavujú bežné hrozby skôr, ako sa dostanú do WordPressu. Napríklad spravovaný hosting Cloudways obsahuje bezpečnostné funkcie na úrovni platformy, ako sú firewally, automatické zálohy, voliteľné doplnky WAF a SafeUpdates. Aj v takom prípade ste stále zodpovední za aktualizácie a kontrolu prístupu, ale začínate z bezpečnejšieho základu.

Cloudways ponúka aj migráciu webových stránok s pomocou odborníkov a prvá migrácia je zahrnutá bezplatne.

Inštalácia certifikátu SSL {#install-an-ssl-certificate}

Všimli ste si niekedy malú ikonu visiaceho zámku vedľa URL webovej stránky? Znamená to, že vaša stránka používa HTTPS. Návštevníkom to signalizuje, že pripojenie k vašej stránke je zabezpečené a ich údaje sú v bezpečí. Bez neho by hackeri mohli zachytiť citlivé údaje, ako sú prihlasovacie údaje alebo platobné údaje.

SSL (Secure Sockets Layer) šifruje dáta medzi vašou webovou stránkou a jej návštevníkmi. Chráni tento prevádzku, aby heslá a údaje zákazníkov neboli prenášané v nezakódovanej podobe. Nech už prevádzkujete blog, obchod alebo portfólio, inštalácia SSL certifikátu už nie je voliteľná, ale nevyhnutná.

Vyberte si možnosť SSL

Väčšina poskytovateľov hostingu ponúka bezplatnú možnosť SSL, ktorú môžete aktivovať niekoľkými kliknutiami. Na Cloudways môžete aktivovať bezplatný certifikát Let’s Encrypt priamo z platformy.

Ak potrebujete certifikát zameraný na podnikanie alebo špecifickú validáciu, môžete si ho zakúpiť aj od poskytovateľov, ako sú DigiCert alebo Sectigo.

Vygenerujte CSR

Žiadosť o podpísanie certifikátu (CSR) je žiadosť, ktorú váš server odosiela poskytovateľovi certifikátov. Vo vašom hostingovom paneli zvyčajne nájdete možnosť Generovať CSR.

Zadajte základné údaje, ako je doména, názov organizácie a umiestnenie, a potom vygenerujte CSR. Váš poskytovateľ ju použije na vydanie certifikátu.

Overte vlastníctvo domény

Pred vydaním certifikátu budete musieť preukázať, že ste vlastníkom domény. V závislosti od poskytovateľa to zvyčajne znamená jednu z nasledujúcich možností: potvrdenie overovacieho e-mailu, pridanie záznamu DNS alebo nahratie malého overovacieho súboru. Po úspešnom overení sa certifikát vydá.

Inštalácia certifikátu

Nainštalujte alebo nahrajte certifikát do riadiaceho panela vášho hostingu. Vyhľadajte sekciu typu Správa SSL alebo Nastavenia zabezpečenia a potom postupujte podľa pokynov, aby ste certifikát priradili k správnej doméne.

Vynúťte HTTPS

Po inštalácii SSL sa uistite, že všetka prevádzka smeruje štandardne na HTTPS. Tým sa zabezpečí, že návštevníci vždy dospejú na zabezpečenú verziu vašej stránky.

Môžete to urobiť pomocou pluginu, ako je Really Simple SSL, alebo môžete vynútiť HTTPS pre administrátorský panel WordPressu pomocou tohto nastavenia v súbore wp-config.php:

Aktualizujte interné odkazy

Ak vaša stránka stále odkazuje na staré HTTP URL adresy v nastaveniach alebo v databáze, prehliadače môžu zobrazovať varovania o zmiešanom obsahu. Aktualizujte tieto interné odkazy, aby sa všetko načítalo cez HTTPS.

Okrem bezpečnosti SSL buduje dôveru a môže pomôcť s SEO. Je to rýchla aktualizácia, ktorá návštevníkom dáva najavo, že beriete súkromie vážne.

Udržujte WordPress, šablóny a pluginy aktualizované {#keep-wordpress-themes-and-plugins-updated}

Aktualizácie znamenajú bezpečnosť. Väčšina verzií opravuje známe chyby. Akonáhle sa zraniteľnosť stane verejnou, roboty vyhľadávajú stránky, ktoré stále používajú starú verziu, a práve v tomto okne dochádza k infekciám.

Aktualizujte jadro WordPress

Aktualizácie jadra často obsahujú opravy zabezpečenia, aj keď sa verzia zdá byť malá.

Postupujte podľa týchto krokov, aby ste aktualizovali jadro WordPressu:

• Prejdite do administrátorského panela WordPressu → Aktualizácie.
• V sekcii WordPress kliknite na Aktualizovať teraz, ak je k dispozícii aktualizácia.
• Po dokončení aktualizácie otvorte svoju stránku a skontrolujte, či sa načíta a či sa môžete prihlásiť.

Praktický postup aktualizácie

• Povoľte automatické aktualizácie aspoň pre menšie verzie.
• Pre veľké aktualizácie využite testovacie prostredie.
• Vyhraďte si mesačné okno na údržbu pre inštaláciu opráv a kontrolu regresie.

Ak si vyberiete hostingovú platformu, ako je Cloudways, funkcia SafeUpdates naplánuje aktualizácie jadra WordPressu, pluginov a šablón prostredníctvom pracovného postupu zálohovania a testovania pred aplikovaním zmien do produkcie.

Aktualizácia šablón

Postupujte podľa týchto krokov na aktualizáciu šablóny WordPress:

• Prejdite do administrátorského panela WordPressu → Aktualizácie.

• Ak sú tam uvedené aktualizácie šablón, zaškrtnite príslušné políčka a kliknite na Aktualizovať šablóny.
• Po dokončení skontrolujte, či sa domovská stránka, ponuky a kľúčové stránky načítajú správne.

Odstráňte nepoužívané pluginy a šablóny

Neaktívne pluginy a šablóny zostávajú na vašom serveri. Odstráňte ich, aby ste znížili bezpečnostné riziká a zmenšili plochu útoku.

Kontrolný zoznam na vyčistenie:

• Odstráňte nepoužívané pluginy a šablóny. Deaktivácia zanecháva súbory.
• Najprv otestujte odstránenie na testovacom prostredí v prípade pluginov spojených s formulármi, ukladaním do vyrovnávacej pamäte, SEO alebo e-commerce.
• Nechajte si len aktívnu šablónu a jednu zálohu.
• Po vyčistení skontrolujte, či fungujú prihlásenie, formuláre, platba a vyhľadávanie.
• Každý mesiac skontrolujte nainštalované pluginy a šablóny.

Postupujte podľa týchto krokov, aby ste odstránili nepoužívaný plugin WordPress:

• V administračnom paneli WordPress prejdite do sekcie Pluginy → Nainštalované pluginy.
• Nájdite plugin, ktorý nepotrebujete.
• Kliknite na Deaktivovať. Následne sa zobrazí možnosť Odstrániť.
• Kliknite na Odstrániť a potvrďte, ak budete vyzvaní.

Ďalej postupujte podľa týchto krokov na odstránenie nepoužívanej šablóny:

• V administračnom paneli WordPress prejdite do sekcie Vzhľad → Šablóny.
• Kliknite na šablónu, ktorú nepotrebujete.
• Kliknite na Odstrániť a potvrďte, ak budete vyzvaní.

Vyberajte si renomované šablóny a pluginy

Nie všetky pluginy si zaslúžia dôveru, aj keď ich funkcie vyzerajú skvele. Hľadajte pluginy s pravidelnými aktualizáciami, jasnou dokumentáciou, aktívnou podporou a kompatibilitou s aktuálnymi verziami WordPressu.

Rýchla kontrola pred inštaláciou:

• Vyhýbajte sa opusteným pluginom a šablónam.
• Vyhýbajte sa nelegálnym pluginom a šablónam.
• Buďte opatrní pri sťahovaní mimo trhoviska, pokiaľ nedôverujete predajcovi.
• Vynechajte všetko, čo nebolo nedávno aktualizované alebo čo jasne nepodporuje vašu aktuálnu verziu WordPressu.

Praktické bezpečnostné operácie {#practical-security-operations}

Toto sú bežné kroky, ktoré znižujú každodenné riziko, obmedzujú aktivitu botov a pomáhajú vám včas odhaliť problémy.

Útočníci sa zameriavajú na prihlasovaciu stránku, pretože je predvídateľná a vždy dostupná. Zabezpečte vstupné body pre správcov, aby boty narazili na prekážku a ukradnuté heslá sa nezmenili na okamžitý prístup.

Používajte dvojfaktorovú autentizáciu {#use-two-factor-authentication}

Dvojfaktorová autentizácia zabraňuje väčšine útokov typu credential stuffing a prevzatia kontroly nad účtom prostredníctvom opätovného použitia prihlasovacích údajov. Jej aktivácia pre administrátorské účty blokuje prihlásenie aj v prípade, že dôjde k odcudzeniu hesla.

Ak chcete na svojom webe WordPress aktivovať 2FA, vyberte si renomovaný plugin 2FA a autentifikačnú aplikáciu vo vašom telefóne. Medzi bežné pluginy 2FA patria miniOrange 2FA, WP 2FA, Wordfence Login Security a Two Factor.

Aktivácia dvojfaktorovej autentifikácie:

• V riadiacom paneli WordPress prejdite do časti Pluginy → Pridať nový.
• Vyhľadajte plugin 2FA, potom ho nainštalujte a aktivujte.
• Otvorte menu pluginu v ľavom bočnom paneli, zvyčajne v sekcii Bezpečnosť alebo ako samostatnú položku.
• Nájdite Dvojfaktorová autentifikácia alebo 2FA a vyberte aplikáciu Authenticator.
• Naskenujte QR kód vo vašej autentifikačnej aplikácii alebo zadajte nastavovací kľúč.
• Na potvrdenie zadajte jednorazový kód a potom kliknite na Enable alebo Activate.
• Stiahnite si obnovovacie kódy a uložte ich do svojho správcu hesiel.

Vynúťte 2FA pre administrátorské role:

• Otvorte nastavenia pluginu, zvyčajne v časti Nastavenia alebo Bezpečnosť → 2FA.
• Zapnite možnosť Vyžadovať 2FA.
• Vynúťte to pre role Správca a Redaktor a pridajte Správca obchodu, ak prevádzkujete e-shop.
• Uložte zmeny po tom, čo ste zaregistrovali aspoň dva administrátorské účty na samostatných zariadeniach.

Zmeňte predvolenú URL adresu prihlásenia {#change-the-default-login-url}

Väčšina stránok WordPress používa rovnaké predvolené URL adresy: /wp-login.php pre prihlásenie a /wp-admin/ pre administrátorský panel. Roboty poznajú tieto URL adresy, takže ich neustále skúšajú.

Zmena prihlasovacej URL nezastaví odhodlaného útočníka, ale môže znížiť automatizovaný spam pri prihlasovaní a pokusy o hrubú silu.

Postupujte podľa týchto krokov, aby ste zmenili predvolenú URL adresu pre prihlásenie vo WordPresse:

• Prejdite do Pluginy → Pridať nový.
• Nainštalujte plugin na zmenu prihlasovacej URL adresy a potom ho aktivujte.
• Otvorte nastavenia pluginu v časti Nastavenia alebo Bezpečnosť.
• Nastavte novú prihlasovaciu URL a uložte zmeny.
• Odhláste sa a otestujte novú URL adresu v okne v režime inkognito.

Použite jedinečné administrátorské meno {#use-a-unique-admin-username}

** **„admin“ je prvý tip v každom zozname hrubou silou. Jeho použitie dáva útočníkom polovicu toho, čo potrebujú.

Postupujte podľa týchto krokov, aby ste v WordPresse používali jedinečné administrátorské meno:

• Prejdite do sekcie Používatelia → Pridať nového.
• Vytvorte nového používateľa s jedinečným používateľským menom. Nepoužívajte názov svojej domény, názov značky ani predponu e-mailovej adresy.
• Nastavte rolu na Správca a potom vytvorte účet.
• Odhláste sa a znovu sa prihláste s novým používateľom s právami správcu.
• Prejdite do sekcie Používatelia → Všetci používatelia.
• Nájdite starý administrátorský účet a buď zmeňte jeho rolu na nižšiu, alebo ho odstráňte. Ak ho odstránite, priraďte jeho obsah novému administrátorovi, keď vás WordPress vyzve.

Obmedzte počet pokusov o prihlásenie {#limit-login-attempts}

Nedovoľte botom vyskúšať neobmedzený počet hesiel. Po niekoľkých neúspešných pokusoch na chvíľu zablokujte IP adresu.

Najskôr jednoduché možnosti

• Nainštalujte si plugin, ktorý spravuje obmedzenie rýchlosti, ako napríklad Wordfence, Limit Login Attempts Reloaded alebo Loginizer.
• Ak je to možné, aktivujte obmedzenie rýchlosti v riadiacom paneli firewallu vášho hostiteľa.

Pokročilá konfigurácia servera

Príklad obmedzenia rýchlosti v Nginx (odporúčané, ak máte kontrolu nad konfiguráciou Nginx):

Pridajte toto do kontextu Nginx HTTP:

Potom pridajte obmedzenie pre prihlasovací endpoint vo vnútri vášho serverového bloku:

Tip: Zvýšte hodnotu „rate“ alebo „burst“, ak sú blokovaní legitímni používatelia. Dôkladne otestujte.

Používajte silné heslá správcov {#use-strong-admin-passwords}

Heslá správcov nemusia byť ľahko zapamätateľné. Musia byť ťažko uhádnuteľné. Použite správcu hesiel na generovanie dlhých náhodných hesiel a uistite sa, že každý účet správcu má svoje vlastné jedinečné heslo. Takýmto spôsobom, ak dôjde k narušeniu jednej služby, váš prístup do administrácie WordPressu tým nebude ohrozený.

Tipy na konfiguráciu:** **

• Ak je to možné, zakážte opätovné používanie hesiel v politikách vašej organizácie.
• Hneď po odchode člena tímu zmeňte heslá správcov.

Postupujte podľa týchto krokov, aby ste zmenili heslo správcu v WordPresse:

• Prejdite do sekcie Používatelia → Všetci používatelia.
• Upravte používateľa s právami správcu.
• Kliknite na Nastaviť nové heslo a potom na Aktualizovať používateľa.

Používajte odporúčané bezpečnostné pluginy pre WordPress {#use-recommended-wordpress-security-plugins}

Pluginy na zabezpečenie nevyriešia všetko, ale môžu vám poskytnúť rýchlu ochranu a oveľa lepší prehľad. Hľadáte protokoly, ktoré môžete skutočne použiť, keď sa niečo nezdá v poriadku.

Dobrý bezpečnostný plugin obsahuje:

• Monitorovanie integrity súborov na odhalenie neočakávaných zmien
• Ochrana prihlásenia a vynútenie 2FA
• Skenovanie malvéru s jasným postupom na vyčistenie a obnovenie
• Upozornenia a auditové protokoly, ktoré môžete skutočne skontrolovať
• Základné pravidlá firewallu

Akonáhle viete, čo hľadáte, nainštalujte si jeden renomovaný plugin, ako je Wordfence, Sucuri alebo All In One WP Security. Tieto nástroje pridávajú ochranu prihlásenia, detekciu zmien súborov a protokoly a môžu blokovať veľa bežných útokov, vrátane pokusov o hrubú silu.

Postupujte podľa týchto krokov na inštaláciu bezpečnostného pluginu pre WordPress:

• Prejdite do Pluginy → Pridať nový.
• Vyhľadajte bezpečnostný plugin.
• Kliknite na Inštalovať teraz a potom na Aktivovať.
• Otvorte plugin z ľavého bočného panela a spustite jeho sprievodcu nastavením, ak ho má.

Tipy na nastavenie:

• Používajte jeden hlavný bezpečnostný plugin, aby ste sa vyhli konfliktom a duplicitám.
• Vypnite funkcie, ktoré nebudete používať, najmä náročné skenovanie na vyťažených stránkach.
• Ak váš poskytovateľ hostingu ponúka obmedzenie rýchlosti alebo blokovanie, využite túto funkciu na ochranu proti útokom hrubou silou, ak je to možné.

Riešenie problémov:

• Ak ste boli zablokovaní v administrácii WordPressu, skontrolujte pravidlá firewallu a najskôr znížte prísnosť režimu.
• Pridajte svoju IP adresu na whitelist, aby ste nezablokovali svoj vlastný tím.
• Pred deaktiváciou ochrany skontrolujte protokoly, aby ste zistili, čo blokáciu spustilo.

Používajte firewall a skenovanie malvéru {#use-a-firewall-and-malware-scanning}

Firewally zastavujú útoky skôr, ako sa dostanú do WordPressu. Skenovanie malvéru potom skontroluje vaše súbory a databázu, či neboli poškodené.

Ak nemáte kontrolu nad konfiguráciou servera, použite ovládací panel firewallu vášho hostiteľa alebo bezpečnostný plugin, ako je Wordfence alebo Sucuri, na obmedzenie počtu prihlásení a spomalenie alebo blokovanie XML-RPC.**

Nastavenie firewallu

Používajte viacero vrstiev. WAF na okraji siete, pravidlá servera pre neprimeraný prevádzku a skenovanie malvéru na vyčistenie.

Na spravovaných platformách môžete aktivovať integrovaný firewall webových aplikácií s blokovaním IP adries alebo krajín. Napríklad Cloudways ponúka voliteľný doplnok Cloudflare Enterprise pre filtrovanie na okraji siete a ochranu pred botmi.

Skenovanie malvéru

Skontrolujte, či nedošlo k neočakávaným zmenám súborov a vniknutiu do databázy (spamové odkazy, skryté skripty).

Naplánujte pravidelné kontroly na:

• Úpravy súborov a neznámy kód PHP v wp-content/uploads
• Spam v databáze alebo vložený kód
• Podezrivé úlohy cron a odchádzajúce pripojenia

Cloudways poskytuje doplnok Malware Protection poháňaný Imunify360 pre skenovanie na úrovni servera a automatické čistenie.

Postupujte podľa týchto krokov na odstránenie malvéru z WordPressu:

• Zapnite režim údržby.
• Identifikujte vstupný bod (zraniteľný plugin, slabé prihlasovacie údaje).
• Vymeňte všetky tajné údaje (heslá správcu/databázy, soli, SSH kľúče).
• Obnovte systém z čistej zálohy.
• Opravte príčinu problému pred spustením do prevádzky.

Pokročilé technické zabezpečenie {#advanced-technical-hardening}

Pokročilé technické zabezpečenie znamená, že nastavenie WordPressu posilníte nad rámec základov. Tieto kroky sa zameriavajú na konfiguráciu, ovládacie prvky servera a zásady prístupu, ktoré znižujú riziko a obmedzujú škody v prípade, že dôjde k narušeniu prihlásenia alebo pluginu.

Zabezpečte súbor wp-config.php {#secure-the-wp-config-php-file}

Súbor wp-config.php obsahuje prihlasovacie údaje do databázy a tajné kľúče. Zaobchádzajte s ním ako s trezorom na kľúče.

Nastavte prísne oprávnenia pomocou nasledujúceho príkazu:

chmod 400 wp-config.php.

Týmto zabránite ostatným používateľom a procesom v čítaní alebo úprave súboru. Použite 440, ak váš webový server potrebuje skupinový prístup na čítanie.

Ak sa stránka s nastavením 400 nezobrazuje, prejdite na 440 a uistite sa, že vlastníctvo skupiny zodpovedá tomu, pod čím beží váš webový server.

Pre dodatočnú ochranu, ak to vaše nastavenie dovoľuje, presuňte súbor wp-config.php o jednu úroveň nad koreňový adresár webu. WordPress ho aj tak načíta automaticky.

Obmedzte úlohy a oprávnenia používateľov {#limit-user-roles-and-permissions}

Priraďte používateľom len tie oprávnenia, ktoré potrebujú (princíp minimálnych oprávnení). Tým zabránite tomu, aby hacknutý účet prevzal kontrolu nad celou vašou stránkou.

Postupujte podľa týchto krokov, aby ste obmedzili úlohy a oprávnenia používateľov v WordPresse:

• Prejdite do sekcie Používatelia → Všetci používatelia.
• Kliknite na používateľa, ktorého chcete skontrolovať.
• V roletovom menu Úloha vyberte najnižšiu úlohu, ktorú potrebujú, napríklad Predplatiteľ, Prispievateľ, Autor alebo Redaktor.
• Kliknite na Aktualizovať používateľa.

Zopakujte tento postup pre každý účet s oprávneniami správcu a zrušte oprávnenia každému, kto ich nepotrebuje. Odstráňte alebo deaktivujte neaktívne účty, ktoré už nikto nepoužíva.

Ak potrebujete špeciálny prístup, použite vlastné roly a skontrolujte oprávnenia pred ich pridelením. Každé štvrťročne kontrolujte roly a odstráňte nepotrebný prístup správcu. Tým obmedzíte, čo môže útočník urobiť s ukradnutým prihlásením.

Deaktivujte úpravu súborov z riadiaceho panela {#disable-file-editing-from-the-dashboard}

Deaktivujte vstavaný editor šablón a doplnkov. Týmto spôsobom kompromitovaný administrátorský účet nemôže rýchlo vložiť škodlivý kód do súborov vášho webu.

Postupujte podľa týchto krokov, aby ste zakázali úpravy súborov z riadiaceho panela WordPress:

• Pripojte sa k svojej stránke pomocou SFTP alebo správcu súborov vášho hostiteľa.
• Upravte súbor wp-config.php v koreňovom adresári WordPressu a pridajte:
• Uložte súbor.
• V administrácii WordPressu skontrolujte položku Vzhľad. Editor šablón zmizne. Zmizne aj Editor pluginov.

Ak váš tím využíva úpravy v riadiacom paneli, presuňte tento pracovný postup na nasadenie založené na Git alebo SFTP s obmedzenými účtami.

Zakázať XML-RPC {#disable-xml-rpc}

XML-RPC je bežným vstupným bodom pre útoky hrubou silou a zneužitie pingbackov. Zablokujte ho na úrovni WordPressu alebo servera.

Možnosť A: Deaktivácia vo WordPress

• Pridajte nasledujúci kód do súboru functions.php alebo vlastného pluginu:
• Uložte súbor.
• Otvorte koncový bod xmlrpc.php vo vašom prehliadači na adrese https://yourdomain.com/xmlrpc.php Uvidíte všeobecnú správu XML-RPC, ale požiadavky XML-RPC už nebudú fungovať.

Týmto sa deaktivuje XML-RPC na úrovni WordPressu. Koncový bod xmlrpc.php môže byť stále zasiahnutý, takže pre úplnú ochranu a zníženie zaťaženia ho zablokujte na webovom serveri alebo WAF.

Možnosť B: Blokovanie na úrovni webového servera**

Blokovanie XML-RPC na serveri je najúčinnejšia možnosť, pretože zastaví požiadavky ešte pred spustením PHP.

Nginx:

• Otvorte konfiguračný súbor Nginx pre doménu vášho webu.
• Pridajte pravidlo pre xmlrpc.php do bloku servera.
• Načítajte Nginx nanovo.

Apache:

• Upravte konfiguráciu Apache alebo súbor .htaccess vašej stránky, ak je to povolené.
• Pridajte pravidlo bloku xmlrpc.php.
• Načítate Apache.

Tým sa zabráni tomu, aby sa požiadavky vôbec dostali do WordPressu, čo zníži zaťaženie a odreže bežné cesty útokov XML-RPC.

Poznámka: Ak plugin Jetpack alebo mobilná aplikácia WordPress potrebujú XML-RPC, neblokujte ho úplne. Namiesto toho obmedzte počet požiadaviek a, ak je to možné, povoľte prístup len z dôveryhodných IP adries.

Zálohy a monitorovanie {#backups-and-monitoring}

Buďte pripravení na zlyhanie. Zálohy vám umožnia rýchlu obnovu. Monitorovanie ukazuje, čo sa zmenilo.

Pravidelne zálohujte svoju webovú stránku {#back-up-your-website-regularly}

Zálohy nie sú voliteľné. Sú vašou núdzovou cestou von, keď aktualizácia naruší prevádzku, plugin bude kompromitovaný alebo zlé nasadenie zničí databázu.

Vaším cieľom je mať čistú kópiu vašej stránky, ktorú môžete rýchlo obnoviť bez toho, aby ste museli hádať, čo chýba.

Ručné zálohovanie

Postupujte podľa týchto krokov, aby ste zálohovali svoju stránku WordPress:

• Nainštalujte a aktivujte plugin na zálohovanie z Plugins → Add New.
• Otvorte plugin a spustite Zálohovať teraz s vybranými súbormi a databázou.
• Uložte ho do externého úložiska, ak je k dispozícii.

Automatické zálohovanie

Väčšina spravovaných hostiteľov WordPressu štandardne ponúka automatické zálohovanie, ktoré sa zvyčajne vykonáva denne, ukladá sa na určitú dobu a je k dispozícii ako body obnovenia jedným kliknutím z riadiaceho panela hostingu.

Vyberte si harmonogram na základe toho, ako často sa vaša stránka mení.

• Denné: Pre aktívne stránky s častými aktualizáciami, komentármi alebo objednávkami.
• Týždenne: Pre marketingové stránky s malými zmenami.
• Mesačne:** **Ak sa obsah mení len zriedka.

Úplné zálohovanie zahŕňa vašu databázu, priečinok wp-content (najmä nahraté súbory) a konfiguračné súbory, ak ich vaše nastavenie automaticky neobnovuje.

Osvedčené postupy:

• Zálohy ukladajte mimo lokality. V prípade zlyhania servera sa tak nestratia.
• Uchovávajte viacero bodov obnovenia, nielen najnovšiu snímku.
• Obnovy pravidelne testujte. Netestované zálohy nie sú overené. Dúfate, že budú fungovať, keď na tom bude záležať.

Ak sa obnovenie spomaľuje alebo zlyhá, záloha je zvyčajne preplnená. Skontrolujte nárast veľkosti zálohy, ktorý je často spôsobený logovými súbormi alebo adresármi cache vo vnútri wp-content. Vylúčte adresáre cache zo záloh, ak ich vaša platforma dokáže bezpečne znovu vytvoriť.

Monitorujte svoju stránku {#monitor-your-site}

Zabezpečenie pomáha, ale monitorovanie zachytí to, čo prekĺzne. Včas odhaľujte problémy. Majte pripravené protokoly, aby ste mohli vysledovať, čo sa stalo.

Monitorovanie dostupnosti

Kontroly dostupnosti vám pomôžu zistiť, kedy stránka nefunguje alebo došlo k nepriaznivým zmenám, ako je napríklad napadnutá úvodná stránka, aktualizácia, ktorá narušuje fungovanie PHP, alebo útok, ktorý preťažuje server.

Nástroje na kontrolu dostupnosti, ako napríklad UptimeRobot (s veľkorysou bezplatnou verziou) alebo Pingdom, vykonávajú kontroly HTTP a kľúčových slov na vašej domovskej stránke a kľúčových stránkach.

Praktické nastavenie:

• Monitorujte svoju domovskú stránku a jednu dôležitú stránku, ktorá funguje bez prihlásenia, napríklad stránku s cenami, pokladňu alebo hlavnú vstupnú stránku.
• Používajte kontrolu HTTP statusu aj kontrolu kľúčových slov, aby vám neunikla hacknutá stránka, ktorá stále vracia normálnu odpoveď 200.

Bezpečnostné upozornenia

Nastavte upozornenia na udalosti, ktoré signalizujú prevzatie účtu, manipuláciu alebo odchýlky.

Bezpečnostné pluginy ako Wordfence alebo Sucuri upozorňujú na náhle zvýšenie počtu prihlásení, zmeny súborov a nových administrátorov.

Postupujte podľa týchto krokov, aby ste nastavili upozornenia v WordPress:

• Prejdite do Pluginy → Pridať nový.
• Nainštalujte a aktivujte bezpečnostný plugin, ktorý podporuje upozornenia.
• Otvorte plugin z ľavého bočného panela.
• V nastaveniach pluginu nájdite položku Upozornenia alebo Oznámenia.
• Zapnite upozornenia pre:
  • Vytvorenie nového administrátorského používateľa
  • Zmeny v súboroch pluginu alebo šablóny
  • Náhle zvýšenie počtu prihlásení alebo opakované zlyhania
  • Dostupné kritické aktualizácie doplnkov
  • Problémy s DNS alebo SSL certifikátmi
• Presmerujte kritické upozornenia do Slacku alebo PagerDuty. E-mail si nechajte pre oznámenia s nízkou prioritou.

Protokoly aktivít

Počas incidentu odpovedajú protokoly na jediné dôležité otázky: čo sa zmenilo, kedy sa to zmenilo, kto to zmenil a odkiaľ.

Praktické nastavenie:

• Zaznamenávajte administrátorské akcie, ako je vytváranie používateľov, inštalácia pluginov a zmeny nastavení.
• Uchovávajte protokoly dostatočne dlho, aby ste mohli vyšetrovať pomaly prebiehajúce kompromitácie.
• Spojte protokoly aktivít s protokolmi prístupu k serveru, aby ste mohli korelovať IP adresy a používateľské agenty.

Postupujte podľa týchto krokov, aby ste povolili protokoly aktivít v WordPress:

• Prejdite do Pluginy → Pridať nový.
• Nainštalujte a aktivujte plugin pre protokoly aktivít.
• Otvorte plugin z ľavého bočného panela.
• Zapnite protokolovanie administrátorských akcií, ako je vytváranie používateľov, inštalácia doplnkov a zmeny nastavení.
• Nastavte, ako dlho sa majú protokoly uchovávať, a uložte.
• Ak je to možné, povolte export protokolov alebo ich odosielanie do externého úložiska.

Ak sa protokoly príliš rýchlo zväčšujú, znížte ich objem bez straty signálov, ktoré budete neskôr potrebovať.

• Znížte podrobnosť záznamov pre nekritické udalosti.
• Protokoly agresívne rotujte.
• Preneste do externého úložiska protokolov, ak je k dispozícii.

Záver {#final-thoughts}

Bezpečnosť WordPressu zvyčajne zlyháva z jednoduchých dôvodov. Malé medzery zostávajú otvorené príliš dlho: vynechané aktualizácie, slabé heslá alebo príliš veľký prístup správcu.

Ak urobíte len jednu vec, nech je to dôslednosť. Pravidelne aktualizujte jadro WordPressu, šablóny a pluginy. Vynúťte 2FA na účtoch na úrovni správcu. Používajte dlhé, jedinečné heslá a vyhnite sa zrejmým používateľským menám. Udržujte HTTPS na každej stránke, aby prihlásenia, relácie a údaje z formulárov zostali šifrované.

Akonáhle máte základy na mieste, pridajte ďalšiu ochranu. Používajte firewall na blokovanie škodlivého prevádzky skôr, ako sa dostane na vašu stránku. Spúšťajte kontroly malvéru a monitorovanie zmien súborov, aby ste mohli problémy odhaliť včas. Uchovávajte zálohy mimo lokality, zachovajte viacero bodov obnovenia a testujte obnovenia, aby bolo zotavenie predvídateľné.

Vďaka týmto opatreniam bude vaša stránka WordPress ťažšie napadnuteľná, ľahšie monitorovateľná a v prípade problémov rýchlo obnoviteľná.

Často kladené otázky {#frequently-asked-questions}

1. Je WordPress bezpečný?

Áno, WordPress je bezpečný, ak dodržiavate základné postupy: aktualizujte jadro, šablóny a pluginy; používajte silné jedinečné heslá a 2FA pre správcov; vyberte si hosting s izoláciou a firewallmi; pravidelne vytvárajte zálohy.

2. Má WordPress vstavanú bezpečnosť?

Áno. Jadro WordPressu obsahuje solídne základy, ako sú role a oprávnenia, ochrana administrátorských akcií, bezpečné hašovanie hesiel a pravidelné bezpečnostné aktualizácie. Väčšina reálnych útokov pochádza zo zastaraných pluginov a šablón, slabých prihlasovacích údajov alebo nesprávne nakonfigurovaných serverov, nie z predvolenej inštalácie jadra, ktorá je aktualizovaná.

3. Bol môj web WordPress napadnutý?

Dávajte pozor na zrejmé varovné signály, ako sú neočakávané presmerovania, noví administrátori, ktorých ste nevytvorili, zmeny súborov šablón alebo pluginov bez nasadenia, podivné naplánované úlohy a náhle nárasty prihlásení. Skontrolujte protokoly bezpečnostných pluginov a protokoly prístupu k serveru. Ak používate Google Search Console, hľadajte varovania a neznáme indexované URL adresy.

4. Ako môžem na svojej stránke WordPress nastaviť HTTPS?

Nainštalujte certifikát SSL v riadiacom paneli vášho hostingu. Potom aktualizujte doménovú adresu WordPress a URL stránky na HTTPS a vynúťte HTTPS pre administrátorskú oblasť a front-end. Ak sa zobrazujú varovania o zmiešanom obsahu, nahraďte pevne zakódované odkazy HTTP v databáze a súboroch šablóny. Ak používate proxy alebo vyvažovač zaťaženia, uistite sa, že WordPress rozpozná pôvodnú požiadavku ako HTTPS, aby sa zabránilo slučkám presmerovania.