Bezpečnost

Přehled bodů jak zlepšit bezpečnost WordPress:

  1. Nepoužívejte uživatelské jméno admin
  2. Použijte silné heslo
  3. Omezení práv souborů a složek
  4. Zálohujte
  5. Změnte prefixu databáze
  6. Zabezpečení přihlašovací stránky
  7. Aktivujte SSL (HTTPS)
  8. Zamknutí složky WP-ADMIN
  9. Zamknutí přihlašovací stránky wp-login.php
  10. Vypněte editaci šablon a pluginů z administrace
  11. Vypněte XML-RPC Pingback
  12. Zamezení zjištění uživatelského jména
  13. Instalace více WordPressu na webhostingu
  14. Zablokování PHP ve složce uploads
  15. Další bezpečnostní tipy

1. Nepoužívejte uživatelské jméno admin

Nejčastěji atakované uživatelské jména jsou: admin, test, user, administrator, a další viz statistiky z DDOS útoku na WordPress tak ty rozhodně nepoužívejte. Pokud již máte admin uživatelské jméno je třeba ho zrušit zřízením nového uživatele, přidáním admin práv (+ super admin v případě WPMU), odlogovat, přihlásit jako nový admin a smazat původní účet. Při smazání přesuňte všechny články a nového admina. Nejdříve vždy zálohujte databázi.

2. Použijte silné heslo

Podívejte se na nejpoužívanější hesla při DDOS útoku na WordPress a ty si určitě nedávejte: admin, 123456, password, 12345678, 666666, 111111, 1234567, qwerty, 23321, 12345, 123123 a další viz odkaz statistiky výše.  Pokud máte hesel více můžete využít nástroj na správu hesel, jako je LastPass a další.

3. Omezení práv souborů a složek

Nastavením složek je preventivní a doporučuji nastavit níže uvedené hodnoty. Dejte pozor na některé konkrétní pluginy které mohou vyžadovat něco jiného!

  • CHMOD hodnota pro složky 755 nebo 750
  • CHMOD hodnota pro soubory 644 or 640
  • wp-config.php by měl mít práva 600
  • .htaccess nastavte 440 nebo 444  – Pozor nikdo pak nebude mít možnost upravovat soubor dokud přes ftp zvýšit práva na 644.

4. Zálohujte

Záloha má obecně dvě části. Hlavní je záloha databáze (obsahující články, komentáře a nastavení atd.) a druhá také důležitá je záloha souborů na FTP (fotky, prílohy článků, šablona atd.). Zálohu je nejlepší udělat na jiné místo, ideálně na jiný server přes FTP, nebo na úložiště typu Dropbox, Google Disk atd.

Pluginy pro backup

  • BackWPup (zdarma) – umí zálohovat do cloudu, lze nastavit zálohu databáze a soubor zvláště
  • UpdraftPlus (zdarma) – druhý skvělý pluugin na zálohy ale i migraci či klonování. Umí zálohovat docloudu
  • BackupBuddy (placený) – kvlaitní placený plugin
  • VaultPress (placený) – celkem dost lidí ho doporučuje, placený plugin od WordPress.com

5. Změnte prefixu databáze

WordPress při instalaci umožňuje změnit prefix z „wp_“ na cokoli jiného například „gta_“ . Některé pluginy tu umožňují udělat i zpětně, pokud se do toho pustíte doporučuji zálohovat databázi.

6. Zabezpečení přihlašovací stránky

Nastavte max množství chybných přihlášení v určitém časovém úseku. Takže například v rámci 5 minut dovolíte max 5 krát se špatně přihlásit. Pokud se někdo zadá pošesté špatné heslo pak dostane ban na IP adresu na 15 minut se nejde přihlásit z dané IP adresy. Tohle je opravdu důležité, neuvěřili byste kolik robotů projíždí WordPress weby a zkouší se prolomit dovnitř pomocí odhadnutí přihlašovacího jména a hesla. Zde jsou tipy na pluginy:

7. Aktivujte SSL (HTTPS)

Nastavte SSL šifrování tedy https pro celý web. Dnes již můžete využít SSL certifikát zdarma „Let’s Encrypt“. Požádejte svůj webhosting o radu jak aktivovat https.

8. Zamknutí složky WP-ADMIN

Díky jednoduchému zápisu do .htaccess v /wp-admin/ složce máte možnost omezit přístup pouze na konkrétní IP adresu. Vytvořte .htaccess ve složce /wp-admin/ a vložte do něj kód viz níže. Editujte IP adresu „x.x.x.x“ na tu Vaší, případně si jich dejte více

 
Order deny,allow
Allow from x.x.x.x 
Deny from all
<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

9. Zamknutí přihlašovací stránky wp-login.php

Odlehčenou alternativou k zamknutí administrace je zamknutí pouze přihlašovací stránky a povolení konkrétních IP adres. Stačí opět zápis do .htaccess ale v hlavní složce /WWW/. Použijte tento kód:

<Files wp-login.php>
Order deny,allow
Allow from x.x.x.x 
Deny from all
</Files>

10. Vypněte editaci šablon a pluginů z administrace

Vypnutí editace souborů z administrace WordPressu je celkem jednoduchá věc. Místo toho editujte přes SFTP. Stačí pouze tento zápis do wp-config.php:

define('DISALLOW_FILE_EDIT', true);

11. Vypněte XML-RPC Pingback

Od verze WordPressu 3.5 byl XML-RPC zapnut již v základu. Tato funkce umožňuje vzdáleně připojit WordPress na blogovací klienty. Je také používán na trackbacky a pingbacky. Bohužel hackeři využívají tento soubor a utočí na něj DDOS útokem. Podívejte se na plugin Disable XML-RPC Pingback. Zatím jsem vypnutí XML-RPC Pingback netestoval, budu rád pokud se podělíte o své zkušenosti.
iThemes Security nově umí zabezpečit i XML-RPC. Můžete nastavit tři stavy:

  • Off = funkce XMLRPC je zapnuto
  • Only Disable Trackbacks/Pingbacks = vypne trackback/pingback, ale ostatní funkce budou fungovat. Některé jsou potřeba pro služby jako Jetpack nebo WordPress Mobile aplikaci.
  • Completely Disable XMLRPC – kompletně vypne XMLRPC

12. Zamezení zjištění uživatelského jména

Divili jste se někdy jak mohl robot zjistit Vaše uživatelské jméno a už jen tipuje hesla? Stačí napsat domena.cz/?author=1 poté se přesměruje na domena.cz/author/jmeno/. Zkuste si to na Vašem WordPressu. Díky za tip Vladimírovi Smitkovi a jeho prezentace z 3.Wordpress konference.

Tento zápis vložte do .htaccess

# zamezi zjisteni username pomocí ?author=1
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^(.*)$ http://domena.cz? [L,R=301]

Alternatiova (ověřuje jestli fungují obě)

# zamezi zjisteni username pomocí ?author=1
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://www.DOMENA.cz/? [L,R=301]

13. Instalace více WordPressu na webhostingu

Martin v komentářích popsal zkušenost jak zapomenutá instalace WordPressu v subadresáři „hakla“ a shodila celý webhosting. Kdy testovací instalace WordPressu zůstala zapomenutá, neaktualizovala se později byla „hacknutá“, rozesílala spam a napadla i hlavním instalaci WordPressu v root adresáři.

Pokud máte v subadresáři další instalaci WordPressu nebo jiného systému a tase nakazí způsobí to automaticky i nakažení Dalších WordPressů na stejném webhostingu.

14. Zablokování PHP ve složce uploads

Vložením souboru .htaccess s níže uvedeným kódem zakážete spouštění php skriptů ve složce /uploads/.

 
<FilesMatch \.php$>
    Order allow,deny
    Deny from all
</FilesMatch>

Další bezpečnostní tipy

  • Nepoužívejte nejlevnější nebo free hosting
  • Dejte pozor odkud se přihlašujete – používejte jen svůj počítač a mobil na přihlášení do administrace. V žádném případě se nepřihlašujte v kavárně nebo u kamaráda, který hraje cracnuté hry a má možná trojského koně nebo je dokonce zombie a ani to neví
  • Aktualizujte, aktualizujte, aktualizujte
  • Smažte nepoužívané účty
  • Smažte nepoužívané pluginy a šablony, nechte aktivní a jednu základní např. twentyten
  • Dejte vždy (zákazníkovi, redaktorům) co nejnižší možná práva, nedávejte jim administrátorské práva
  • Méně pluginů znamená více
  • Secret keys – zkontrolujte si jestli se Vám při instalaci vygenerovali secret keys v wp-config.php, pokud se tak nestalo zde
  • Použijte SFTP namísto FTP – ověřte si jestli umí Váš hosting SFTP a použijte je namísto FTP
  • sitecheck.sucuri.net – Online kontrola webu zdali jste na blacklistu přímo na nástěnce

Zdroje informací:

47 komentářů u „Bezpečnost“

  1. Kvalitní a povedený článek. Díky za vyčerpávající informace ohledně bezpečnosti WordPressu, myslím, že pomůže nejen mě, ale i spoustě další lidí ve zvýšení zabezpečení webů.

  2. Prosím o info a radu, zda se s tím někdo setkal a jakou bezpečnostní část článku mohu na toto použít, aby se to již neopakovalo, když mi asi před necelým měsícem došel email od googlu, že mě z důvodu nebezpečných stránek a to konkrétně pishingu vyřazují z vyhledávání. Já jsem hned šla kontrolovat stránky, mám tam zatím jen šablonu a teprve se na práci s ní chystám – nicméně se nějak nějaký robot či co dostalo do tinymce a následně do tématu stránek a nahrálo mi tam následující soubor: respektive byl tam i zip souboru, vše sem smazala a v inkriminovanou dobu, kdy tam tyto souboru něco nebo někdo narhál, jsem na svém wp vůbec nebyla.
    //mydigest.net/wp-includes/js/tinymce/themes/advanced/skins/yahoo/login.html

    Může mi někdo poradit jak a co změnit, abych se vyvarovala podobných kulišáren? Heslo mám dobré, ale mohu změnit na lepší, admin mám původní myslím tak jej změním též, není problém, ale co ještě?

      1. Projedte stránky online scanem http://sitecheck.sucuri.net/scanner a Pokud jsou stránky čisté pokračujte dál. Pokud ne zkuste přeinstalovat wordpress
      2. udělejte si zálohu DB i FTP. Udělejte export WP v admin menu. (pokud na webunic nemáte vše smažte a nainstalujte WP znovu včetně DB)
      3. Změnte hesla do: databáze, FTP, wordpress admin
      4. nainstalujte si WP better security – a pohrajte sis s nastavením (limit login access, intrusion detection a další
      5. Zakažte robotům indexovat interní adresáře WP-admin a WP-includes (lépe pomocí htaccess)
      6. zakažte změny souborů htaccess a wp-config.php
      7. používejte scanner souborů aby Vás upozornil na změny souborů mailem (WP-better security nebo wp security scan)

      Pokud budete potřebovat pomoci, zadejte se na forech webtrhu nebo na separatistovi. Je to nastavování pro pokročilého uživatele WP.

      Google ban zkontrolujete pomocí tohoto odkazu (url změnte na Vaší): http://www.google.com/safebrowsing/diagnostic?site=bigdrobek.com

      1. Dobrý den,

        četla jsem váš článek o bezpečnosti a vyzkoušela scanner. Bohužel výsledek byl takový:

        Warning: Malicious Code Detected on This Website!

        Stránky teprve vytvářím, prosím, poradíte co s tím?

        Veronika

        1. Dobrý den Veroniko, zřejmě jste použila plugin, šablonu která má nějakou chybu nebo někdo odchytil Vaše heslo. Je hodně těžké takhle něco poradit, záleží jak tomu rozumíte a co od webu chcete. Můžete začít od znova a zjistit kde se stala chyba, nebo si na toho někoho najmout, mohu vám někoho doporučit.

    1. Velmi přínosné, na wp dělám odně malých webů, bzpečností jsem se nikdy moc nezabýval až do doby kdy mi jeden z nich někdo navštívil, skoncilo to kompletní predelavkou 🙂 Tyhle jsou k nezaplaceni.

  3. http://www.linkedin.com/groupAnswers?trk=view_disc&gid=154024&commentID=84289519&ut=3wp6R3zq5ZHBg1&viewQuestionAndAnswers=&discussionID=123413129
    Darel Parker • Use Website Defender and WP-Security Admin to identify improperly configured folder permissions and to change your WP database table prefixes.
    Use Bulletproof Security to secure and backup your .htaccess files.
    Install Timthumb Vulnerability Scanner and update any vulnerable scripts. Run it every time you install a new theme.
    Stick to established theme and plugin developers (WordPress.org, ThemeForest, Woo, etc.), and stay away from „free“ theme sites that distribute premium themes.

  4. Ahoj, prosím tě, jak tam máš ten zápis do htaccessu, tak „netluče“ se to pak s tím robots.txt?
    Jde mi o řádku:

    Pak mám ještě dotaz:
    ServerSignature Off
    Options -Indexes
    se dává úplně nahoru do htaccessu?
    Děkuji

    1. Teď jsem někde četl, že pokud nastavíš v robot.txt aby roboti neprocházeli nějaké adresáře, tak někteří „špatní roboti“ tohle můžou brát jako výzvu.
      Takže netluče se to. Robot.txt je informace pro roboty, kterým se nemusí řídit všichni. Kdežto přes htaccess si nastavuješ svůj vlastní server aby to neumožňoval.
      Myslím, že je to jedno kam to dáš.

  5. Ahoj, zkoušel jsem na verzi 3.3.2
    vložit
    define(‚DISALLOW_UNFILTERED_HTML‘, true); … Zakázání vkládání nefiltrovaného html pro všechny uživetele včetně administrátora

    a pozoruji problém s přístupností nabídky na instalaci pluginů, resp. se pak v adminovi nedostanu do instalace pluginů. Možná je to v nějaké souvislosti s nějakými jinými pluginy.

    1. matně jsi pamatuji že jsem to také zkoušel a že to mělo kolizi z nějakým pluginem nebo šablonou, ale už nevím s čím 🙁

  6. Ahoj,

    díky tvému návodu jsem spustil WP, i když jsem v tomto úplný amatér, ale rád se takové věci učím. Všechno proběhlo v pořádku. Pak jsem se dostal sem k otázce bezpečnosti a vůbec nevím, jakou má mít ten soubor .htaccess strukturu, jak se to zapisuje atd. Přestaly se mi zobrazovat trvalé odkazy, když jsem si tam překopíroval toto: http://www.separatista.net/forum/topic.php?id=1179#post-6026

    Mohu poprosit, zda by šlo poslat do mailu přímo to, co mám překopírovat do Word Padu, co uvádíš zde na stránkách?

    Jsem prostě jen uživatel, co si to chtěl spustit sám, ale teď už fakt nevím 🙁

    1. 1) místo wordpadu použij nějaký textový editor – já používám PSPad (wordpad může dělat problémy se znakovou sadou)
      2) jaký kód jsi tam zkopíroval? Nechal jsi tam kod který tam vložil WordPress?
      3) Klidně se registruj na foru a polož otázku do dané diskuze byt je půl roku stará 🙂

    1. Na některém hostingu to dělá toto:

      # Zakáže procházení adresářů vašeho serveru
      Options -Indexes

      Smažu to z návodu, dobrá připomínka. Díky

    1. Používám Limit login attempt (BWS) na odstranění „brute force attack“ to si myslím že plně dostačuje z hlediska bezpečnosti. IP dostane na 15 min ban a je jedno jaký uživatel.

  7. Ahoj, na zálohu (export) databáze používám plugin Adminer, který si pro potřeby provedení zálohy vždy v administraci aktivuji. Pak kompletní export obsahu. Nepřijdu tak o to nejdůležitější, tj. obsah.

    1. Já používám better wp security pokud je db menší jinak automaticky odlévám zálohy na Dropbox pomocí smapshot pluginu.

  8. Mám otázku k bodu 7. Kam do souboru wp-config.php mám vložit ty řádky

    define(‘FORCE_SSL_LOGIN’, true);
    define(‘FORCE_SSL_ADMIN’, true);

    Vložil jsem je na konec souboru ale přihlašování mi stále probíhá přes http a nepřesměruje se na HTTPS. Pokud zadám ručně HTTPS tak to je OK, takže SSL funguje.

    Funguje to na šechna přihlášení do administrace nebo jen na některé konkrétní username?

    1. kód vložit před /* That’s all, stop editing! Happy blogging. */
      Pak je myslím ještě třeba na hostingu aktivovat SSL. Někde umožnují použít sdílené SSL pro přihlášení admina

      define(‘FORCE_SSL_LOGIN’, true); - pro všechny uživatele
      define(‘FORCE_SSL_ADMIN’, true); - pro adminy

      Je třeba to více otestovat. Pro více info koukni sem:
      http://premium.wpmudev.org/blog/wordpress-ssl-login/ detailní nastavení
      http://www.wpbeginner.com/wp-tutorials/how-to-secure-your-wordpress-pages-with-ssl/ – plugin

  9. Díky za spoustu užitečných tipů, jen takový postřeh:

    Mj. jsem vyzkoušel bod 11 na premium šabloně, která má mnoho vlastních nastavení. A pokud v wp-config.php zakážu editaci šablon a pluginů, nefunguje pak právě nastavení šablony z administrace. U osobních projektů mi to nevadí, ale zákazníkovi ano.

    1. Ahoj,
      já bych doporučil pro apache toto:

      RewriteCond %{QUERY_STRING} author=
      RewriteRule ^(.*)$ http://beznekam.cz? [L,R=301]

      Řešení výše má 2 drobné nevýhody:

      a) {REQUEST_URI} ^/$ omezuje podmínku na dotaz do kořenové složky, to je většinou ok, ale u některých webhostingů mají mapované kořenové domény subdomény pomocí .htaccess do podsložek – např. u Wedosu: zde bude v defaultu request uri něco jako /domains/domena.xy/ a ne pouze /, takže k omezení nikdy nedojde.

      b) {QUERY_STRING} ^/?author testuje pouze, pokud je author hned za otazníkem a lze to pak jednoduše obejít pomocí dalšího parametru – např. /?obelsteni&author=1

      Také [0-9]* říká, že se číslo muže vyskytovat i nulakrát, takže to zablokuje i author=josef, což je ok, jen se ten výraz pak tváří, že dělá něco co doopravdy nedělá (vůbec tam ta část tedy nemusi být).

      Varianta co navrhuji testuje to, zda se kdekoliv v dotazu vyskytuje author=. Původně jsem měl ve výrazu author=d, který testoval zda je za rovnítkem číslice, ale to šlo obejit např. author= 1 (s mezerou) nebo author=%31 (ascii znak 1 v hexa).

  10. Zdravím,
    děkuji Vám za článek. Já osobně jsem na svém webu vyzkoušela bod 20. Ve WP nějaký ten čas pracuji, ale byl pro mě docela oříšek to, jak přepsat soubor .htaccess. Možná by bylo dobré připsat do článku pro začátečníky stručný návod, že .htaccess se dá otevřít pomocí programu, např. pomocí PsPadu či jiného. Když jsem si pak tento program nainstalovala, šel mi soubor .htaccess přepsat bez problémů. Pak uložit, nahrát FTP klientem na server, a bylo to. Při pokusu o zjištění uživatelského jména mě pak web jen přesměroval na úvodní stránku. Čili podle toho usuzuji, že se mi to povedlo. Ještě jednou Vám děkuji za článek a přeji krásný den.

  11. Já jsem zažil hack WP a celého hostingu, když jsem zapomenul na nějakou zkušební instanci WordPressu na jedné subdoméně. Ta se neaktualizovala a skrze ni se na webhosting nahrály skripty, co začaly posílat spam. Takže další postřeh je hlídat si různé zkušební a testovací instalace wordpressu a jakýchkoli jiných RS v různých zašitých podadresářích a subdoménách, a nezapomínat to vypínat jakmile se to někde nasadí naostro nebo se rozhodne, že se to pošle k ledu.

    1. Nechápu to, když děláš přece web, tak jedině na localu, ne? Testovat něco na ostro je dost o ústa 😀 (i když je pravda, jak co a kdy 🙂

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *