Sucuri Security – prevence a kontrola zabezpečení pro váš WordPress

Na WordPress číhá řada potenciálních nebezpečí, stejně jako na každý jiný web s administrací. WordPress to má těžší v tom, že je tam rozšířený. Jak kontrolujete, zda jej máte zabezpečený a zda do něj někdo nevnikl? Spoléháte jen na aktualizace? To možná nestačí.

Reklama

Nechci tady dělat z WordPressu nezabezpečený krám. Pravdou je, že s hacknutými a nakaženými weby na WordPressu se setkávám častěji, než je tomu v případě jiných redakčních systémů. Nevím, zda jsou programátoři WordPressu horší než jiní, podobné debatování by mohlo skončit nějakou hádkou. Velký problém je v tom, že WordPress je tak moc populární.

Ano, popularita bezpečnosti WordPressu rozhodně nepřidává. Ono totiž v každém větším projektu, ať jde o redakční systém nebo nějaký program, najdete dříve či později nějakou bezpečnostní trhlinku. Tvůrci na koleně uplácaných administračních systémů tvrdící, že v jejich případě nic takového nehrozí, vědomě či nevědomě lžou. Když kolikrát čtu bezpečnostní opravy v Drupalu a WordPressu, tak si říkám, jestli tvůrci proprietárních CMS vůbec vědí o čem je řeč a zda to ve svých redakčních systémech mají vyřešeno a ošetřeno.

Chcete-li mít web s WordPressem v kondici, zabezpečený a v maximální možné míře neprůstřelný, pak musíte pravidelně instalovat bezpečnostní aktualizace. V nejnovějších verzích WordPressu vám s tím může pomoci automatická aktualizace, po níž vám dojde jenom mail s oznámením, že se tak stalo. Je samozřejmě otázkou, zda ji povolit a zda váš web je vytvořen tak, aby případná nová verze WordPressu nebo nějakého pluginu celý web neshodila. Podobně to platí pro šablony vzhledu.

Ovšem pravidelná instalace aktualizací není jediný úkol, který byste měli při tvorbě webů s WordPressem z hlediska bezpečnosti řešit. Ve výchozí instalaci je několik potenciálních bezpečnostních hrozeb, které mohou útočníkovi usnadnit práci, až se rozhodne váš web zamořit škodlivým kódem.

S ochranou webu na WordPressu vám může pomoci několik pluginů. Já bych v tomto článku chtěl doporučit Sucuri Security. Službu znám už delší dobu, viděl jsem i její zástupce na přednáškách a celkově ji považuji za povedenou a spolehlivou. Navíc je v základní verzi zdarma a nabízí povedený plugin pro WordPress, který slouží jako kontrola i prevence.

Zabezpečte svůj web s pomocí Sucuri Security

Plugin Sucuri Security nabízí hned několik zajímavých bezpečnostních funkcí. Nejde jen o nějakou základní kontrolu toho, zda je web nakažen. Po instalaci si vyžádá vygenerování API klíče spojujícího váš web se Sucuri. Není to ale žádná zdržovačka, stačí kliknout na tlačítko a chvíli počkat.

Základní informace nabízí Sucuri Security v podobě nástěnky s informací, zda nebyly některé soubory z výchozí instalace WordPressu v dané verzi změněny. Pokud se tak stalo, uvidíte výstražné varování s možností zobrazit si takto změněné soubory.

Sucuri Security

Už tato základní funkce je k nezaplacení, když se probíráte soubory nakaženého webu a potřebujete rychle zjistit, kde všude se ukrývá škodlivý kód.

Vyhledávání škodlivého softwaru

Sucuri nabízí přímo na svém webu kontrolu zadaných URL a ověření, zda se na nich nevyskytuje nějaký škodlivý kód. Ten totiž nemá dopad jen na případné odcizení dat z webu nebo jejich poškození, ale i na pozice webu ve vyhledávači. Škodlivé weby se totiž nahlásí do blacklistu a majitel takového webu pak přijde o návštěvníky.

V závislosti na hloubce skenování a kontroly vám postačí buď bezplatný nebo placený tarif Sucuri. Kontrolu můžete spouštět i rovnou ze svého webu, pokud máte ve WordPressu příslušný plugin. Podobně můžete web zabezpečit zapnutím firewallu.

Sucuri Security

Zabezpečení instalace WordPressu

Na kartě Hardening najdete sadu tipů a kontrolní seznam toho, zda jste provedli maximum možného pro zabezpečení standardní instalace WordPressu. V prvé řadě se kontroluje aktuální verze proti nejnovější dostupné. Následuje kontrola firewallu, odstranění verze WordPressu, ochrana složky pro nahrávání souborů, zamezení přístupu do dalších složek, kontrola verze PHP, vypnutí editoru témat, změna výchozího prefixu pro názvy databázových tabulek a další tipy.

Sucuri Security

V případě, že už byl váš web hacknut, tak vám kromě kontroly změněných souborů pomůže i karta Post-Hack. Zabezpečíte zde cookies, vyresetujete přihlašovací hesla a případně zresetujete i pluginy.

V Drupalu občas koukám, kolikrát se různým uživatelům nepodařilo přihlášení. Jinými slovy, kolikrát se někdo zkoušel neúspěšně přihlásit pod jejich účtem. Ve WordPressu mi to chybí, ale Sucuri Security tuto informaci doplňuje. S dalšími informacemi o uživatelích (třeba jejich IP) to najdete na kartě Last Logins.

Podobně karta Site Info nabízí základní informace o konfiguraci webu i serveru.

Řadu kontrol je možné spouštět automaticky po uplynutí nějakého intervalu, stačí si jej pro jednotlivé kontroly nastavit na kartě Settings.

Sucuri Security

Plugin Sucuri Security považuji za velmi užitečný doplněk, který by neměl ve vašem WordPressu chybět. Samozřejmě ale sám o sobě web nezabezpečí. Pokud se nebudete řídit jeho instrukcemi, pak bude váš web vystaven nebezpečí temných internetových vod i nadále.

Jak řešíte zabezpečení webů s WordPressem vy?

Reklama

Přidat komentář