fbpx

Bezpečnost

Jak zlepšit bezpečnost WordPress:

  1. Nepoužívejte uživatelské jméno admin.
  2. Použijte silné heslo.
  3. Omezte práva souborů a složek.
  4. Zálohujte.
  5. Změnte prefix databáze.
  6. Zabezpečte přihlašovací stránku.
  7. Aktivujte SSL (HTTPS).
  8. Zamkněte složku WP-ADMIN.
  9. Zamkněte přihlašovací stránku wp-login.php.
  10. Vypněte editaci šablon a pluginů z administrace.
  11. Vypněte XML-RPC Pingback.
  12. Zamezte zjištění uživatelského jména.
  13. Instalace více WordPressu na webhostingu
  14. Zablokujte PHP ve složce uploads.
  15. Další bezpečnostní tipy

1. Nepoužívejte uživatelské jméno admin.

Nejčastěji atakovaná uživatelské jména jsou: admin, test, user, administrator a další, viz statistiky z DDOS útoku na WordPress. Tato jména rozhodně nepoužívejte. Pokud již máte uživatelské jméno admin, je třeba ho zrušit zřízením nového uživatele, přidáním admin práv (+ super admin v případě WPMU), odlogovat se, přihlásit se jako nový admin a smazat původní účet. Při smazání přesuňte všechny články a nového admina. Nejdříve vždy zálohujte databázi.

2. Použijte silné heslo.

Podívejte se na nejpoužívanější hesla při DDOS útoku na WordPress, takové určitě nepoužívejte: admin, 123456, password, 12345678, 666666, 111111, 1234567, qwerty, 23321, 12345, 123123 a další, viz odkaz statistiky výše. Pokud máte hesel více, můžete využít nástroj na správu hesel, jako je LastPass a další.

3. Omezte práva souborů a složek.

Nastavení omezení složek je preventivní a doporučujeme nastavit níže uvedené hodnoty. Dejte pozor na některé konkrétní pluginy které mohou vyžadovat něco jiného!

  • CHMOD hodnota pro složky 755 nebo 750.
  • CHMOD hodnota pro soubory 644 or 640.
  • Wp-config.php by měl mít práva 600.
  • .htaccess nastavte 440 nebo 444.  – Pozor, nikdo pak nebude mít možnost upravovat soubor, dokud přes FTP zvýšit práva na 644.

4. Zálohujte.

Záloha má obecně dvě části. Hlavní je záloha databáze (obsahující články, komentáře, nastavení atd.) a druhá, také důležitá, je záloha souborů na FTP (fotky, přílohy článků, šablona atd.). Zálohy je nejlepší udělat na jiné místo, ideálně na jiný server přes FTP nebo na úložiště typu Dropbox, Google Disk atd.

Pluginy pro backup

  • BackWPup (zdarma) – umí zálohovat do cloudu, lze nastavit zálohu databáze a souboru zvlášť.
  • UpdraftPlus (zdarma) – druhý skvělý pluugin na zálohy, ale i na migraci či klonování. Umí zálohovat do cloudu.
  • BackupBuddy (placený) – kvalitní placený plugin.
  • VaultPress (placený) – celkem dost lidí ho doporučuje, placený plugin od WordPress.com.

5. Změňte prefix databáze.

WordPress při instalaci umožňuje změnit prefix z wp_ na cokoli jiného, například gta_ . Některé pluginy to umožňují udělat i zpětně. Pokud se do toho pustíte, doporučujeme zazálohovat databázi.

6. Zabezpečte přihlašovací stránku.

Nastavte maximální počet chybných přihlášení v určitém časovém úseku. Například v rámci 5 minut dovolte max. pětkrát špatně se přihlásit. Pokud někdo zadá pošesté špatné heslo, pak dostane ban na IP adresu na 15 minut. Po tuto dobu se nejde přihlásit z dané IP adresy. Toto je opravdu důležité, nevěřili byste kolik robotů projíždí WordPress weby a zkouší se prolomit dovnitř pomocí odhadnutí přihlašovacího jména a hesla.

Zde jsou tipy na pluginy:

7. Aktivujte SSL (HTTPS).

Nastavte SSL šifrování tedy HTTPS pro celý web. Můžete využít SSL certifikát zdarma Let's Encrypt. Požádejte svůj webhosting o radu, jak aktivovat HTTPS.

8. Zamkněte složku WP-ADMIN.

Díky jednoduchému zápisu do .htaccess ve /wp-admin/ složce máte možnost omezit přístup pouze na konkrétní IP adresu. Vytvořte .htaccess ve složce /wp-admin/ a vložte do něj kód, viz níže. Editujte IP adresu „x.x.x.x“ na tu vaši, případně jich udejte více.

Order deny,allow
Allow from x.x.x.x
Deny from all
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

9. Zamkněte přihlašovací stránku wp-login.php.

Odlehčenou alternativou k zamknutí administrace je zamknutí přihlašovací stránky a povolení pouze konkrétních IP adres. Stačí opět zápis do .htaccess, ale tentokrát v hlavní složce /WWW/. Použijte tento kód:

<Files wp-login.php>
Order deny,allow
Allow from x.x.x.x
Deny from all
</Files>

10. Vypněte editaci šablon a pluginů z administrace.

Vypnutí editace souborů z administrace WordPressu je celkem jednoduchá věc. Místo toho editujte přes SFTP. Stačí pouze tento zápis do wp-config.php:

define('DISALLOW_FILE_EDIT', true);

11. Vypněte XML-RPC Pingback.

Od verze WordPressu 3.5 byl XML-RPC zapnut již v základu. Tato funkce umožňuje vzdáleně připojit WordPress na blogovací klienty. Je také používán na trackbacky a pingbacky. Bohužel hackeři využívají tento soubor a utočí na něj DDOS útokem. Podívejte se na plugin Disable XML-RPC Pingback. Zatím jsme vypnutí XML-RPC Pingback netestovali a budeme rádi, pokud se podělíte o své zkušenosti.

iThemes Security nově umí zabezpečit i XML-RPC. Můžete nastavit tři stavy:

  • Off = funkce XMLRPC je zapnutá.
  • Only Disable Trackbacks/Pingbacks = vypne trackback/pingback, ale ostatní funkce budou fungovat. Některé jsou potřeba pro služby jako Jetpack nebo aplikaci WordPress Mobile.
  • Completely Disable XMLRPC – kompletně vypne XMLRPC.

12. Zamezte zjištění uživatelského jména.

Divili jste se někdy, jak mohl robot zjistit vaše uživatelské jméno a už jen tipuje hesla? Stačí do prohlížeče napsat domena.cz/?author=1, poté se přesměruje na domena.cz/author/jmeno/. Zkuste si to na svém WordPressu. Díky za tip Vladimírovi Smitkovi a jeho prezentaci z 3. WordPress konference.

Tento zápis vložte do .htaccess:

# zamezi zjisteni username pomocí ?author=1
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^(.*)$ http://domena.cz? [L,R=301]

Alternativa (ověřuje, jestli fungují obě):

# zamezi zjisteni username pomocí ?author=1
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://www.DOMENA.cz/? [L,R=301]

13. Instalace více WordPress na webhostingu

Martin v komentářích popsal zkušenost, jak zapomenutá instalace WordPress v subadresáři hakla a shodila celý webhosting. Testovací instalace WordPressu zůstala zapomenutá, neaktualizovala se, později byla hacknuta, rozesílala spam a napadla i hlavním instalaci WordPress v root adresáři.

Pokud máte v subadresáři další instalaci WordPress nebo jiného systému a ta se nakazí, způsobí to automaticky i nakažení dalších WordPress na stejném webhostingu.

14. Zablokujte PHP ve složce uploads.

Vložením souboru .htaccess s níže uvedeným kódem zakážete spouštění PHP skriptů ve složce /uploads/.

<FilesMatch \.php$>
Order allow,deny
Deny from all
</FilesMatch>

Další bezpečnostní tipy

  • Nepoužívejte nejlevnější nebo free hosting.
  • Dejte pozor, odkud se přihlašujete. Používejte jen svůj počítač a mobil na přihlášení do administrace. V žádném případě se nepřihlašujte v kavárně nebo u kamaráda, který hraje cracnuté hry a má možná trojského koně nebo je dokonce zombie a ani to neví.
  • Aktualizujte, aktualizujte, aktualizujte.
  • Smažte nepoužívané účty.
  • Smažte nepoužívané pluginy a šablony, nechte jen aktivní šablonu a jednu základní např. Twenty Ten.
  • Dejte vždy (zákazníkovi, redaktorům) co nejnižší možná práva, nedávejte jim administrátorské práva.
  • Méně pluginů znamená více.
  • Secret keys – zkontrolujte si, jestli se vám při instalaci vygenerovali secret keys v wp-config.php, pokud se tak nestalo, můžete je vygenerovat zde.
  • Použijte SFTP namísto FTP – ověřte si, jestli umí váš hosting SFTP, a použijte jej namísto FTP.
  • sitecheck.sucuri.net – Online kontrola webu, zda jste na blacklistu přímo na nástěnce.

Zdroje informací:

47 komentářů u „Bezpečnost“

  1. Kvalitní a povedený článek. Díky za vyčerpávající informace ohledně bezpečnosti WordPressu, myslím, že pomůže nejen mě, ale i spoustě další lidí ve zvýšení zabezpečení webů.

  2. Prosím o info a radu, zda se s tím někdo setkal a jakou bezpečnostní část článku mohu na toto použít, aby se to již neopakovalo, když mi asi před necelým měsícem došel email od googlu, že mě z důvodu nebezpečných stránek a to konkrétně pishingu vyřazují z vyhledávání. Já jsem hned šla kontrolovat stránky, mám tam zatím jen šablonu a teprve se na práci s ní chystám – nicméně se nějak nějaký robot či co dostalo do tinymce a následně do tématu stránek a nahrálo mi tam následující soubor: respektive byl tam i zip souboru, vše sem smazala a v inkriminovanou dobu, kdy tam tyto souboru něco nebo někdo narhál, jsem na svém wp vůbec nebyla.
    //mydigest.net/wp-includes/js/tinymce/themes/advanced/skins/yahoo/login.html

    Může mi někdo poradit jak a co změnit, abych se vyvarovala podobných kulišáren? Heslo mám dobré, ale mohu změnit na lepší, admin mám původní myslím tak jej změním též, není problém, ale co ještě?

      1. Projedte stránky online scanem http://sitecheck.sucuri.net/scanner a Pokud jsou stránky čisté pokračujte dál. Pokud ne zkuste přeinstalovat wordpress
      2. udělejte si zálohu DB i FTP. Udělejte export WP v admin menu. (pokud na webunic nemáte vše smažte a nainstalujte WP znovu včetně DB)
      3. Změnte hesla do: databáze, FTP, wordpress admin
      4. nainstalujte si WP better security – a pohrajte sis s nastavením (limit login access, intrusion detection a další
      5. Zakažte robotům indexovat interní adresáře WP-admin a WP-includes (lépe pomocí htaccess)
      6. zakažte změny souborů htaccess a wp-config.php
      7. používejte scanner souborů aby Vás upozornil na změny souborů mailem (WP-better security nebo wp security scan)

      Pokud budete potřebovat pomoci, zadejte se na forech webtrhu nebo na separatistovi. Je to nastavování pro pokročilého uživatele WP.

      Google ban zkontrolujete pomocí tohoto odkazu (url změnte na Vaší): http://www.google.com/safebrowsing/diagnostic?site=bigdrobek.com

      • Dobrý den,

        četla jsem váš článek o bezpečnosti a vyzkoušela scanner. Bohužel výsledek byl takový:

        Warning: Malicious Code Detected on This Website!

        Stránky teprve vytvářím, prosím, poradíte co s tím?

        Veronika

        • Dobrý den Veroniko, zřejmě jste použila plugin, šablonu která má nějakou chybu nebo někdo odchytil Vaše heslo. Je hodně těžké takhle něco poradit, záleží jak tomu rozumíte a co od webu chcete. Můžete začít od znova a zjistit kde se stala chyba, nebo si na toho někoho najmout, mohu vám někoho doporučit.

    • Velmi přínosné, na wp dělám odně malých webů, bzpečností jsem se nikdy moc nezabýval až do doby kdy mi jeden z nich někdo navštívil, skoncilo to kompletní predelavkou 🙂 Tyhle jsou k nezaplaceni.

  3. http://www.linkedin.com/groupAnswers?trk=view_disc&gid=154024&commentID=84289519&ut=3wp6R3zq5ZHBg1&viewQuestionAndAnswers=&discussionID=123413129
    Darel Parker • Use Website Defender and WP-Security Admin to identify improperly configured folder permissions and to change your WP database table prefixes.
    Use Bulletproof Security to secure and backup your .htaccess files.
    Install Timthumb Vulnerability Scanner and update any vulnerable scripts. Run it every time you install a new theme.
    Stick to established theme and plugin developers (WordPress.org, ThemeForest, Woo, etc.), and stay away from „free“ theme sites that distribute premium themes.

  4. Ahoj, prosím tě, jak tam máš ten zápis do htaccessu, tak „netluče“ se to pak s tím robots.txt?
    Jde mi o řádku:

    Pak mám ještě dotaz:
    ServerSignature Off
    Options -Indexes
    se dává úplně nahoru do htaccessu?
    Děkuji

    • Teď jsem někde četl, že pokud nastavíš v robot.txt aby roboti neprocházeli nějaké adresáře, tak někteří „špatní roboti“ tohle můžou brát jako výzvu.
      Takže netluče se to. Robot.txt je informace pro roboty, kterým se nemusí řídit všichni. Kdežto přes htaccess si nastavuješ svůj vlastní server aby to neumožňoval.
      Myslím, že je to jedno kam to dáš.

  5. Ahoj, zkoušel jsem na verzi 3.3.2
    vložit
    define(‚DISALLOW_UNFILTERED_HTML‘, true); … Zakázání vkládání nefiltrovaného html pro všechny uživetele včetně administrátora

    a pozoruji problém s přístupností nabídky na instalaci pluginů, resp. se pak v adminovi nedostanu do instalace pluginů. Možná je to v nějaké souvislosti s nějakými jinými pluginy.

    • matně jsi pamatuji že jsem to také zkoušel a že to mělo kolizi z nějakým pluginem nebo šablonou, ale už nevím s čím 🙁

  6. Ahoj,

    díky tvému návodu jsem spustil WP, i když jsem v tomto úplný amatér, ale rád se takové věci učím. Všechno proběhlo v pořádku. Pak jsem se dostal sem k otázce bezpečnosti a vůbec nevím, jakou má mít ten soubor .htaccess strukturu, jak se to zapisuje atd. Přestaly se mi zobrazovat trvalé odkazy, když jsem si tam překopíroval toto: http://www.separatista.net/forum/topic.php?id=1179#post-6026

    Mohu poprosit, zda by šlo poslat do mailu přímo to, co mám překopírovat do Word Padu, co uvádíš zde na stránkách?

    Jsem prostě jen uživatel, co si to chtěl spustit sám, ale teď už fakt nevím 🙁

    • 1) místo wordpadu použij nějaký textový editor – já používám PSPad (wordpad může dělat problémy se znakovou sadou)
      2) jaký kód jsi tam zkopíroval? Nechal jsi tam kod který tam vložil WordPress?
      3) Klidně se registruj na foru a polož otázku do dané diskuze byt je půl roku stará 🙂

    • Na některém hostingu to dělá toto:

      # Zakáže procházení adresářů vašeho serveru
      Options -Indexes

      Smažu to z návodu, dobrá připomínka. Díky

    • Používám Limit login attempt (BWS) na odstranění „brute force attack“ to si myslím že plně dostačuje z hlediska bezpečnosti. IP dostane na 15 min ban a je jedno jaký uživatel.

  7. Ahoj, na zálohu (export) databáze používám plugin Adminer, který si pro potřeby provedení zálohy vždy v administraci aktivuji. Pak kompletní export obsahu. Nepřijdu tak o to nejdůležitější, tj. obsah.

    • Já používám better wp security pokud je db menší jinak automaticky odlévám zálohy na Dropbox pomocí smapshot pluginu.

  8. Mám otázku k bodu 7. Kam do souboru wp-config.php mám vložit ty řádky

    define(‘FORCE_SSL_LOGIN’, true);
    define(‘FORCE_SSL_ADMIN’, true);

    Vložil jsem je na konec souboru ale přihlašování mi stále probíhá přes http a nepřesměruje se na HTTPS. Pokud zadám ručně HTTPS tak to je OK, takže SSL funguje.

    Funguje to na šechna přihlášení do administrace nebo jen na některé konkrétní username?

  9. Díky za spoustu užitečných tipů, jen takový postřeh:

    Mj. jsem vyzkoušel bod 11 na premium šabloně, která má mnoho vlastních nastavení. A pokud v wp-config.php zakážu editaci šablon a pluginů, nefunguje pak právě nastavení šablony z administrace. U osobních projektů mi to nevadí, ale zákazníkovi ano.

    • Ahoj,
      já bych doporučil pro apache toto:

      RewriteCond %{QUERY_STRING} author=
      RewriteRule ^(.*)$ http://beznekam.cz? [L,R=301]

      Řešení výše má 2 drobné nevýhody:

      a) {REQUEST_URI} ^/$ omezuje podmínku na dotaz do kořenové složky, to je většinou ok, ale u některých webhostingů mají mapované kořenové domény subdomény pomocí .htaccess do podsložek – např. u Wedosu: zde bude v defaultu request uri něco jako /domains/domena.xy/ a ne pouze /, takže k omezení nikdy nedojde.

      b) {QUERY_STRING} ^/?author testuje pouze, pokud je author hned za otazníkem a lze to pak jednoduše obejít pomocí dalšího parametru – např. /?obelsteni&author=1

      Také [0-9]* říká, že se číslo muže vyskytovat i nulakrát, takže to zablokuje i author=josef, což je ok, jen se ten výraz pak tváří, že dělá něco co doopravdy nedělá (vůbec tam ta část tedy nemusi být).

      Varianta co navrhuji testuje to, zda se kdekoliv v dotazu vyskytuje author=. Původně jsem měl ve výrazu author=d, který testoval zda je za rovnítkem číslice, ale to šlo obejit např. author= 1 (s mezerou) nebo author=%31 (ascii znak 1 v hexa).

  10. Zdravím,
    děkuji Vám za článek. Já osobně jsem na svém webu vyzkoušela bod 20. Ve WP nějaký ten čas pracuji, ale byl pro mě docela oříšek to, jak přepsat soubor .htaccess. Možná by bylo dobré připsat do článku pro začátečníky stručný návod, že .htaccess se dá otevřít pomocí programu, např. pomocí PsPadu či jiného. Když jsem si pak tento program nainstalovala, šel mi soubor .htaccess přepsat bez problémů. Pak uložit, nahrát FTP klientem na server, a bylo to. Při pokusu o zjištění uživatelského jména mě pak web jen přesměroval na úvodní stránku. Čili podle toho usuzuji, že se mi to povedlo. Ještě jednou Vám děkuji za článek a přeji krásný den.

  11. Já jsem zažil hack WP a celého hostingu, když jsem zapomenul na nějakou zkušební instanci WordPressu na jedné subdoméně. Ta se neaktualizovala a skrze ni se na webhosting nahrály skripty, co začaly posílat spam. Takže další postřeh je hlídat si různé zkušební a testovací instalace wordpressu a jakýchkoli jiných RS v různých zašitých podadresářích a subdoménách, a nezapomínat to vypínat jakmile se to někde nasadí naostro nebo se rozhodne, že se to pošle k ledu.

Napsat komentář