Kolem platformy WordPress existuje velká komunita, která zajišťuje, že nově objevené chyby v zabezpečení budou opraveny co nejdříve. Od roku 2020 zahrnuje bezpečnostní tým WordPress 50 odborníků, včetně předních vývojářů a výzkumných pracovníků v oblasti digitálního zabezpečení – přibližně polovina z nich jsou zaměstnanci společnosti Automattic Inc.
Zranitelnosti ve WordPressu a jejích typy
Zde je seznam nejběžnějších typů zranitelností / metod používaných útočníky zaměřenými na WordPress:
- Backdoors (Zadní vrátka).
- Pharma Hacks (SPAM na farmaceutické výrobky).
- Brute-force (Útok hrubou silou).
- Škodlivé přesměrování.
- Cross-site scripting (XSS útok).
- Denial of Service (DoS) – útoky, které se snaží znepřístupnit web.
Backdoors (Zadní vrátka)
Backdoor je umělá chyba v zabezpečení, která útočníkům poskytuje zadní vratka, aby získali přístup k webům WordPress (a nejen na tomto CMS) pomocí nestandardní metody autentizace přes wp-admin, SFTP, FTP apod.
Využití zadních vratek umožňuje hackerům poškodit nebo infikovat weby a pokud weby na hostingu nebo serveru nejsou mezi sebou tzv. izolované, tak použit následný „cross-site“ útok na další hostované weby na stejném serveru, obvykle v rámci jednoho účtu.
Ve 4. čtvrtletí 2019 společnost Sucuri uvedla, že zadní vrátka jsou stále jednou z nejčastěji používaných metod útočníky, přičemž téměř 47 % napadených stránek má nějakou formu zadních vrátek (obvykle jde o kradené prémiové pluginy, šablony, které jsou ke stažení na různých pochybných webech).
Zadní vrátka jsou často maskovaná a vypadají jako legitimní soubory WordPress nebo soubory šablon / pluginů, umožňující přístup k souborovému systému i databázi webu, taky většinou využívají slabiny a chyby v zastaralých (neaktualizovaných) verzích WP, pluginech a šablonách.
Prevence proti tomuto typu zranitelnosti je poměrně jednoduchá. WordPress můžete zkontrolovat pomocí nástroje SiteCheck, který snadno detekuje tento i další zadní vrátka nebo pomoci bezplatného pluginu Wordfence a jemu podobných.
Dvoufaktorová autentizace, blokování IP adres, omezení přístupu administrátora a zabránění neoprávněnému spuštění souborů PHP v určených adresářích (například v /wp-content/uploads/) snadno eliminuje běžné hrozby backdoorů, o kterých si podrobněji povíme níže.
Pharma Hacks
Zneužití „Pharma Hack“ se používá jako metoda pro vložení škodlivého kódu do zastaralých verzí WordPress a pluginů nebo šablon a ve výsledku jsou nahrazovaný meta tagy. Ve výsledcích SERP (výsledky vyhledávače) se uživatelům místo vašeho webu zobrazují reklamy na různé weby s farmaceutickými produkty. Tato chyba zabezpečení je spíše SPAMovou hrozbou než tradičním malware, ale dává vyhledávačům dostatečný důvod k penalizaci vašeho webu.
Hnací silou „Pharma Hacku“ jsou zadní vrátka nebo zranitelnosti způsobené, například, zastaralým kódem v pluginech a šablonách nebo jádru WordPress.
Web lze vyčistit podle pokynů v tomto starém, ale užitečném článku, od Sucuri. „Pharma Hacks“ můžete snadno předcházet pravidelnou aktualizací WordPress, šablon a pluginů.
Brute-force (Útok hrubou silou)
Brute-force je především pokus o autorizaci hrubou silou. Metoda se používá k vyzkoušení hesel a pokud úspěšně bude nalezeno heslo, útočník získá přístup do administraci webu.
Omezením počtů možných pokusů o autorizaci, dvoufaktorová autentizace, protokolování přístupů, používání bílého (white list) a černého (black list) seznamu IP adres a především silná hesla jsou jedny z nejjednodušších a nejúčinnějších způsobů, jak těmto útokům zabránit.
Někteří administrátoři webových stránek WordPress tato bezpečnostní opatření bohužel neimplementují a podceňuji, zatímco hackeři mohou snadno napadnout až 30 000 webů za jeden den pomocí útoků hrubou silou.
Škodlivé přesměrování
Přesměrování webu se vytváří prostřednictvím zadních vrátek nebo chyb v zabezpečení šablon, pluginů apod. a vkládá škodlivý kód do souborů webu.
U takto infikovaného webu jsou skripty, pro přesměrování, umístěny v souboru .htaccess, ale lze je často najít jak v samotném jádru WordPress, tak v souborech šablony (například index.php a header.php). Tento útok je téměř nenápadný a přesměrovává návštěvníky na škodlivé nebo reklamní stránky. Níže, ve článku, uvedu některé způsoby, jak jim zabránit.
Cross-site scripting (XSS útok)
XSS je metoda, kterou je škodlivý kód vložen do těla webové stránky. Obvykle se jedná o JavaScript, který běží na straně prohlížeče koncového uživatele bez jeho vědomí a bez vědomí vlastníka webu. Cílem je obvykle přijímat / odchytávat soubory Cookies nebo data relací nebo dokonce přepsat samotný HTML kód na stránce.
Denial of Service (DoS) – útoky, které se snaží znepřístupnit web.
Jedna z nebezpečných zranitelností, která způsobuje odmítnutí služby a znepřístupnění webu (Denial of Service nebo jednoduše DoS) – využívá chyby v kódu a jednoduše spotřebovává RAM serveru / hostingu, na kterém je web umístěn.
Denně jsou takto napadeny miliony webů, které způsobí úplné zahlcení a vypnutí serveru. V širších kruzích se tato metoda nazývá DDoS (Distributed Denial-of-Service). DDoS je zkratka pro distribuované DoS útoky, což znamená, že se útoku účastní více počítačů / serverů najednou.
Ani aktuální verze WordPressu není schopná komplexně chránit se před velkými útoky DDoS. Každopádně, většina moderních hostingů dnes má základní nebo rozšířenou ochranu před těmito útoky. Doporučeno je též využívat alespoň bezplatnou CDN, například Cloudflare, která před podobnými útoky dokáže uchránit.
Zabezpečení webu WordPress. Obsáhlý průvodce pro začátečníky
Podle statistik internetu je denně „hacknuto“ resp. „napadeno“ přes 100 000 web stránek. Proto je tak důležité věnovat si čas a seznámit se s níže uvedenými pokyny, jak nejlépe zabezpečit váš web na WordPress.
Bezpečný web hosting pro WordPress
Pokud jde o obecné zabezpečení, nebo v našem případě o organizaci ochrany webu WordPress, je důležité si uvědomit, že jedním z klíčových faktorů zde je zabezpečení na úrovni serveru.
Při výběru hostingové společnosti jim svěřujete svůj web, své podnikání.
Rozhodně musíte vybírat prověřené poskytovatele hostingu, žádné pochybné poskytovatele za podezřelé levné nabídky. Věnujte pozornost nabízené ochraně a počtů zpětných záloh dat webu, databáze a emailů.
Používejte PHP 7.4+
PHP je páteří jakékoli stránky postavené na WordPress. Nepodceňujte důležitost používání aktuální verze!
Každé hlavní vydání nové verze PHP plně podporováno další 2 roky. To znamená, že existuje záruka, že během této doby budou všechny chyby opraveny. Už od této minuty kdokoli, kdo používá PHP 7.1 nebo ještě nižší, již nedostane žádné aktualizace a tímto je WordPress v potenciálním ohrožení.
Podle oficiálních statistik WordPress, a v době psaní tohoto článku, více než 24 % webů WordPress používá PHP verze 5.6 a nižší a počet uživatelů používajících PHP 7.2, který už teď není podporován (aktualizace budou vydávané jen do 1. prosince 2020), je více než 67 %. To je děsivé, že?!
Ano, vývojářům trvá nějakou dobu, než odladí a zajistí to, aby byly aktuální verze PHP plně kompatibilní s jejich kódem, ale neexistuje žádná výmluva pro provozování čehokoliv bez podpory zabezpečení.
Navíc, PHP 7.4+ je mnohonásobně rychlejší a bezpečnější než jeho předchozí verze.
Uživatelská jména a hesla
Jedním z nejjednodušších způsobů, jak posílit zabezpečení webu na WordPress, je nestandardní přístup k výběru bezpečného uživatelského jména a hesla, místo standardního uživatelského jména „admin“ a hesla „123456“.
Je důležité používat různá hesla pro každý samostatný web. Pokud máte problém je jednoduše pamatovat, zkuste používat nějaký program na jejích uchovávaní na lokálním počítači v šifrované podobě (třeba prográmek KeePass) nebo je mějte bezpečně uložena v cloudové službě (1Password, LastPass apod.). K heslům tak budete mít přístup nejen z počítače, ale také z mobilního telefonu.
Vždy používejte nejnovější verzi WordPress, aktuální verze pluginů a šablony
Dalším způsobem, jak posílit zabezpečení vašeho webu WordPress, je udržovat ho aktuální. To zahrnuje jádro WordPress, pluginy a šablony (jak z repozitářé pluginů WordPress, tak prémiové zakoupené verze). Autoři aktualizují své výtvory z nějakého důvodu, důvodu oprav chyb, zabezpečeni, vylepšení.
Miliony webů bohužel používají zastaralé verze pluginů, šablon a samotného jádra WordPress a stále věří, že je vše absolutně v pořádku, že to prostě funguje s odůvodněním, pro odmítnutí aktualizace, že „jejich web se rozsype“ nebo „rozsáhlé úpravy webu budou ztraceny“ nebo „plugin nebude fungovat“ nebo „nepotřebují nové funkce“.
Webové stránky se ve skutečnosti rozpadají hlavně kvůli chybám ve starších verzích WordPressu a nekompatibilitě pluginů a šablon.
Aktualizace WordPress zahrnují hlavně povinné bezpečnostní záplaty a další funkce potřebné ke spuštění a provozu nejnovějších verzi pluginů.
Věděli jste, že chyby zabezpečení pluginů a šablon představují více než 60 % vstupních bodů pro hackery?
Zabezpečení administrace WordPressu
Zabezpečení administrace WordPress a konkrétně její „skryti“ je vhodné jak pro e-shop, tak pro běžný web nebo blog. Jde o to, že pro útočníky znesnadňujete nalezeni stránky pro přihlášeni do administrace webu a je tedy menší pravděpodobnost vedení útoku na web. Je to výborný způsob, jak zvýšit zabezpečení WordPressu.
Jak skryt adresu pro login stránku WordPress
Ve výchozím stavu vypadá adresa pro login stránku takto: https://www.domena.cz/wp-admin. Změnou této adresy se můžete stát méně atraktivním cílem a lépe se chránit před útoky hrubou silou.
Každopádně toto není řešení všech problémů, je to jen jeden malý krok, který vás určitě pomůže chránit.
Chcete-li změnit přihlašovací adresu administrace WordPress, doporučuji použít bezplatný plugin WPS Hide Login nebo All In One WP Security. Plugin přidává jednoduché možnost vytvoření nové adresy stránky pro přihlášeni.
Jak omezit počet možných pokusů o autorizaci do WordPress?
Kromě skrytí adresy login stránky na WordPress, může být také velmi účinné omezení počtu pokusů o autorizaci.
Toto lze vyřešit pomocí bezplatného pluginu Cerber Limit Login Attempts, All In One WP Security, nebo bezplatnou verzi pluginu Wordfence. Pokud hledáte jednodušší řešení, vyzkoušejte plugin Login Lockdown.
Zabezpečení administrace pomocí .htpasswd
Dalším způsobem, jak zabezpečit stránku přihlášení, je přidání HTTP autentizaci. Před přístupem na standardní přihlašovací stránku, do administrace WordPress, se budete muset autorizovat loginem a heslem. Tím docílíte nutností dvojí autorizaci – dvojího přihlašovaní.
Jak vytvořit a zprovoznit .htpasswd se můžete podívat do nápovědy svého poskytovatele hostingu.
Využijte výhody dvoufaktorové autentizace (2FA neboli two-factor authentication)
Bez ohledu na to, jak silné je vaše heslo, vždy existuje riziko, že ho někdo prolomí. Dvoufaktorová autentizace je druh dvoustupňového procesu, ve kterém potřebujete nejen uživatelské jméno a heslo, ale také něco navíc.
Obvykle se jedná o SMS, telefonní hovor nebo jednorázové heslo/PIN založeného na čase (TOTP – Time-based One-time Password algorithm). Ve většině případů je to 100 % účinné při prevenci útoků hrubou silou, protože pro útočníka je téměř nemožné mít současně login, heslo i váš smartphone.
Pokud jde o 2FA pluginy pro WordPress, je jich poměrně málo, ale jedním z nejjednodušších a nejsrozumitelnějších je 2FAS Light – Google Authenticator. Stačí nainstalovat aplikaci Google Authenticator pro telefony s Andriod nebo iOS a podle nejjednodušších pokynů v pluginu – naskenovat QR kód a potvrdit autorizaci. Tuto metodu lze snadno kombinovat se všemi výše uvedenými metodami.
Používejte HTTPS pro šifrovaná připojení – certifikát SSL
Snad jednou z nejvíce přehlížených metod ke zvýšení zabezpečení webu WordPress je instalace certifikátu SSL a provoz webu na HTTPS.
HTTPS (Hyper Text Transfer Protocol Secure) je protokol, který je využíván především pro zabezpečenou komunikaci webového prohlížeče s webovým serverem. Naštěstí tento trend se mění a čím dál tím více webů SSL již používá.
HTTPS – Bezpečnost
Hlavním důvodem používání HTTPS je samozřejmě další zabezpečení. Jak moc si ceníte soukromí svých uživatelů? Při registraci nebo autorizaci na webech s HTTP jsou všechny osobní údaje přenášeny na server ve formě jednoduché textové zprávy.
HTTPS je naprosto zásadní pro udržení zabezpečeného spojení mezi webem a prohlížečem. Tímto způsobem můžete zabránit hackerům v přístupu k osobním údajům uživatelů vašeho webu.
Ať už máte blog, zpravodajský web, e-shop vždy používejte HTTPS. Ostatně drtivá většina web hostingů nabízí bezplatný certifikát SSL od certifikační autority Let’s Encrypt.
K HTTPS doporučuji používat, respektive provozovat web na hostingu, který má TLS ve verzi minimálně 1.2. Ověřit verzi TLS lze zde: https://www.cdn77.com/tls-test
Dalším důvodem k používaní SSL je SEO
Google již v roce 2014 oficiálně uvedl, že HTTPS je jedním z hodnotících faktorů webu. I když je to jen malý hodnotící faktor, většina z vás pravděpodobně využije jakoukoli výhodu, kterou můžete získat v SERP.
SSL a důvěra k stránce
Podle průzkumu GlobalSign 77 % uživatelů obává se, že by jejich data mohla být na internetu zachycena nebo zneužita. Zákazníci se cítí bezpečně, když vědí, že jejich data jsou zabezpečena, zvlášť když uvidí zelený zámeček v liště prohlížeče.
Web bez SSL (HTTPS). Varování v prohlížečích = méně návštěvníků
Od července 2018 začal Google Chrome verze 68 a vyšší označovat všechny weby bez HTTPS jako „nechráněné“, „nebezpečné“. Od té doby se HTTPS stává důležitějším než kdy jindy! V návaznosti na Google tento příklad následovali další prohlížeče, například s ikonou přeškrtnutýho zámečku.
Výkon. Web je rychlejší na HTTPS
Při používaní HTTPS web je rychlejší díky protokolu HTTP/2.
Přístupová práva k souborům – CHMOD
Soubory v kořenovém adresáři WordPress jsou obvykle nastaveny na oprávnění 644, což znamená, že soubor čte / zapisuje vlastník tohoto souboru, uživatelé v skupině, která soubor vlastní, a číst ho můžou všichni ostatní.
Podle dokumentace WordPress musí být oprávnění pro soubor wp-config.php nastaveno na 440 nebo 400, aby jej ostatní uživatelé na serveru nemohli přečíst. Toto oprávnění můžete snadno změnit přes FTP, cPanel nebo webové FTP rozhraní (v závislosti na poskytovateli hostingu).
U některých poskytovatelů hostingu se ovšem oprávnění mohou lišit pro správný provoz web stránky. Pokud si tím nejste jisti, zeptejte se svého poskytovatele hostingu.
Běžný CHMOD pro wp-config.php je 600 (-rw——-)
Zakaz XML-RPC na WordPress
V posledních letech se XML-RPC stává stále častějším cílem útoků hrubou silou. Jednou ze skrytých funkcí XML-RPC je, že můžete použít metodu system.multicall k provedení více procedur v rámci jednoho požadavku. To je velmi užitečné, protože umožňuje aplikaci přenášet více příkazů v jednom požadavku HTTP.
Existuje několik pluginů pro WordPress, jako je Jetpack, které používají XML-RPC, ale většíma webů ho nepotřebuje a může být užitečné ho prostě deaktivovat.
Nejste si jisti, zda na vašem webu je aktuálně aktivní XML-RPC? Využijte bezplatný validátor XML-RPC od Automattic.
Chcete-li zcela zakázat XML-RPC, můžete použít různé pluginy. Stojí za zmínku, že většina pluginů pro optimalizaci výkonu / rychlosti zahrnuje také možnost zakázat XML-RPC i ve svých bezplatných verzích.
Zakázat se da XML-RPC manuálně, v souboru .htaccess následujícím způsobem:
# Blokujeme WordPress xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
Kde xxx.xxx.xxx.xxx můžete nahradit IP adresou, ze které jsou požadavky na XML-RPC povolené. V opačném případě tento řádek zcela odstraňte.
Skrytí verze WordPress
Skrytí verze WordPress též pomáhá zabezpečit web. Čím méně lidí ví o použité verzi WordPress vašeho webu, tím lépe. Pokud uvidí, že používáte zastaralou verzi, může to být skvělá nápověda pro útočníky.
Ve výchozím nastavení verze WordPress zobrazuje v záhlaví zdrojového kódu vašeho webu. Například:
<meta name = "generator" content = "WordPress 5.5.3" />
Opět, doporučuji abyste vždy aktualizovali jádro WordPress na nejnovější verzi místo toho abyste cokoliv skrývali.
Následující kód můžete použít ke skrytí své verze WordPress i bez použiti pluginu. Stačí jej přidat do souboru functions.php vaší šablony WordPress (cesta obvykle býva: /wp-content/themes/nazev-sablony/functions.php), nejlépe ovšem pokud použivate child-theme, nebo pouzitim pluginu Code Snippets:
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
Pokud používáte hlavní šablonu tak při její aktualizaci téměř vždy dojde k přepsaní functions.php a tím pádem přijdete o svá dosavadní nastavení.
Alternativou může být použiti jednoho z bezpečnostních pluginu, ve kterém verzi WP bez problému skryjete.
Security Headers – bezpečnostní HTTP hlavičky
Dalším krokem, který můžete podniknout k posílení zabezpečení WordPress, je využití bezpečnostních hlaviček HTTP.
Obvykle jsou konfigurovány na úrovni webového serveru a informují prohlížeč, jak se chovat při práci s obsahem vašeho webu. Existuje mnoho různých bezpečnostních hlaviček HTTP, ale nejdůležitější jsou následující:
Content-Security Policy
X-XSS-Protection
Strict-Transport-Security
X-Frame-Options
Public-Key-Pins
X-Content-Type
Můžete zkontrolovat, které hlavičky jsou aktuálně použité na vašem webu WordPress spuštěním inspektora (Nástroje pro vývojáře – najdete v menu > Další nástroje), například v prohlížeči Chrome, a prohlížením položky „Headers“ na kartě „Network“.
Snadnější způsob je možnost zkontrolovat web pomocí bezplatného nástroje securityheaders.io
Používání pluginů k zabezpečení vašeho webu WordPress
Nelze opomenout doporučit některé bezpečnostní pluginy pro WordPress. Existuje jích celá řada. Ovšem, v žádném případě nedoporučuji kombinaci dvou a více pluginů najednou. Jednak, web může být přetížen a zpomalen a za druhé může vzniknout nekompatibilita těchto pluginů.
Vyberte vždy pouze jeden z pluginů a správně jej nakonfigurujte. Pouhá instalace a aktivace neřeší téměř nic.
WordFence
All In One WP Security
iThemes Security
Sucuri Security
Plugin pro zabezpečení WordPress webu rozhodně nepomůže na 100 % s jeho zabezpečením, pokud používáte kradené placené pluginy, šablony a nepožíváte aktuální jádro WordPress.
Zde jsou některé typické funkce nabízené ve výše uvedených pluginech:
Generování silných hesel při vytváření uživatelských účtů.
Vynucení vypršení platnosti hesel a jejích pravidelné resetování.
Logování aktivity uživatelů.
Aktualizace bezpečnostních klíčů (secret-key) WordPress.
Hledání malwaru.
Dvoufaktorové ověřování.
reCAPTCHA
IP whitelist a blacklist.
Blokace XML-RPC
Zákaz editace PHP souboru
Zákaz spuštění PHP souboru v určených adresářích.
Změny adresy administrace webu.
Omezení počtů pokusů o přihlášení do administrace a obnovu hesel.
Zobrazení informace WHOIS návštěvníků webu.
Zabezpečení databáze WordPress
Existuje několik způsobů, jak zlepšit zabezpečení vaší databáze WordPress.
Prvním způsobem je použití odlišného názvu a uživatelského jména databáze než je samotný název vaší domény.
Druhým způsobem je použít jinou předponu databázových tabulek, než vytváří výchozí instalace WordPress. WordPress ve výchozím nastavení používá předponu wp_.
Změna této výchozí předpony na něco jako například: ilpm_op_ pomůže lépe zabezpečit databázi.
Soubory a přístupová práva k ním
Oprávnění k souborům jsou zásadní pro zlepšení zabezpečení WordPress. Pokud jsou omezení příliš volná, může někdo snadno získat přístup na váš web a způsobit tím škody. Na druhou stranu, pokud jsou vaše omezení příliš přísná, může to narušit funkčnost vašeho webu.
Přístupová práva (CHMOD) k souborům a adresářům WordPress
Práva ke čtení (Read) se nastaví, pokud má mít uživatel právo číst soubor nebo prohlížet obsah adresáře.
Práva k zápisu (Write) se nastaví, pokud má uživatel právo k zápisu nebo úpravám jednotlivých souborů nebo k zápisu a mazání něčeho v adresáři.
Oprávnění ke spuštění (Execute) se nastaví, pokud má uživatel práva ke spuštění souboru a/nebo ke spuštění skriptu.
Zde jsou některé typické doporučení pro (CHMOD) oprávnění souborů a složek na WordPressu:
Všechny soubory musí mít oprávnění 644 nebo 640. Výjimka je pro soubor wp-config.php, který musí mít nastaveny CHMOD 440 nebo 400, aby jej ostatní uživatelé na serveru nemohli přečíst.
Všechny adresáře musí mít oprávnění 755 nebo 750. V žádném případě není třeba udělovat oprávnění 777, a to ani pro adresář /uploads/.
Zakažte možnost upravovat soubory v administraci WordPress
Mnoho webů WordPress má více uživatelů a správců současně, což může komplikovat zabezpečení WordPress.
Je špatnou praxí dát autorům nebo editorům oprávněni administrátora, ale bohužel se to děje pořád. Je důležité dát uživatelům správné role, aby nic na webu nepokazili.
Proto může být užitečné jednoduše deaktivovat „Editor vzhledu“ nebo souborů pluginů ve WordPressu. Pravděpodobně většina z vás alespoň jednou použila tento editor.
Je ovšem mnohem lepší upravit soubor lokálně na počítači (předtím udělat jeho kopii) a nahrát jej zpět pomoci FTP. A samozřejmě, v osvědčených postupech, byste měli nejprve otestovat změny na vývojovém webu / prostředi (localhostu nebo jinde než produkčním webu) a pak upravený soubor nahrát na produkční web.
Zakázat editaci PHP souboru lze i manuálně, stačí do wp-config.php přidat následující řádek:
define('DISALLOW_FILE_EDIT', true);
Hotlinking
Koncept hotlinkingu je velmi jednoduchý. Někde na webu najdete obrázek a adresu URL obrázku použijete přímo na svém webu. Ano, tento obrázek se zobrazí na vašem webu, ale načítá se přímo ze zdroje.
Obecně to se považuje za krádež, protože zobrazení tohoto obrázku na vašem webu využívá šířku pásma webu dárce – zdrojového webu. To se nezdá jako velký problém, ale může to vést k mnoha dalším komplikacím a nákladům dárce.
Pokud jde o bezpečnost vašeho webu WordPress, věřte, že pokud je to dnes skutečný obrázek s příponou *.JPG, tak zítra do něj může být vložen škodlivý kód.
Zakázání hotlinkingu na serverech s Apache
Chcete-li zabránit hotlinkingu na serveru s Apache, jednoduše přidejte následující kód do souboru .htaccess (většinou se nachází v kořenovém adresáři webu tam kde je soubor wp-config.php)
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domena.cz [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ https://via.placeholder.com/350x150 [NC,R,L]
Výraz domena.cz se nahradí za název vaši domény a z adresy https://via.placeholder.com/350×150 se bude načítat prázdný obrázek tzv. placeholder. Hodnota 350×150 značí rozměr, hodnotu můžete libovolně změnit.
Zakázání hotlinkingu na serverech s NGINX
Abyste zabránili hotlinkingu na NGINX, jednoduše přidejte následující kód do svého konfiguračního souboru.
location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo ~.seznam.cz domena.cz *.domena.cz;
if ($invalid_referer) {
return 403;
}
}
Zálohování webu
Zálohy webu jsou něco, co musí každý dělat bez váhání. Většina výše uvedených doporučení jsou bezpečnostní opatření, která můžete podniknout, abyste lepe zabezpečili svůj web. Bez ohledu na to, jak bezpečný je váš web, může být stále napaden nebo jednoduše stát se nefunkčním.
Vytvářejte a uchovávejte zálohy pro případ, že dojde k nejhoršímu. Stojí za zmínku, že vytváření záloh není bojem proti malware nebo hackerům a útokům, ale bezpečnostním opatřením z hlediska eliminace jejích následků.
Ideální je vytvářet zálohy webu odděleně od vašeho hostingu (například na jiné „cloudové“ uložiště).
Ochrana před DDoS
DDoS je typ útoku DoS. DDoS útoky nejsou nic nového – první zdokumentovaný případ pochází z počátku roku 2000. Na rozdíl od těch, kteří se na váš web vrhnou, tyto typy útoků obvykle nepoškodí váš web, ale jednoduše ho „položi“ na hodiny nebo dny. Jednoduše bude nedostupný.
Co můžete udělat, abyste ustali DDoS?
Pořídit si kvalitní web hosting / VPS s patřičnou ochranou před těmito útoky.
Použit jednu z CDN, například základní bezplatnou CDN poskytovanou Cloudflare nebo jeden z placených tarifu nebo Sucuri CDN a jim podobné. Pokud web je váš byznys, má smysl investovat do jejich placených služeb.
Pokud máte dotazy nebo se chcete podělit o svůj názor, zanechte, prosím, komentář.