Bezpečnost WordPress webu – jak se chránit před útoky

Bezpečnost WordPress webu – kompletní průvodce ochranou

WordPress pohání přes 40 % webů na internetu, což z něj dělá nejčastější cíl hackerů. Napadený web může znamenat ztrátu dat, poškození reputace, výpadek podnikání a dokonce i právní problémy. V tomto článku vám ukážeme, jak WordPress web efektivně zabezpečit.

Nejčastější bezpečnostní hrozby

• Brute force útoky – automatizované pokusy o uhádnutí hesla do administrace
• Zranitelné pluginy a šablony – neaktualizované pluginy jsou nejčastější vstupní bod
• SQL injection – vložení škodlivého kódu přes formuláře a URL parametry
• Cross-site scripting (XSS) – vložení škodlivých skriptů do webových stránek
• Malware – škodlivý kód vložený do souborů webu
• DDoS útoky – zahlcení serveru požadavky

Základní zabezpečení (nutné minimum)

1. Silná hesla a dvoufaktorové ověření

Používejte silná, unikátní hesla pro administraci WordPressu, FTP, databázi a hosting. Implementujte dvoufaktorové ověření (2FA) pro všechny administrátorské účty. Plug-in jako Wordfence nebo WP 2FA to umožní snadno.

2. Pravidelné aktualizace

Aktualizujte WordPress jádro, pluginy a šablony okamžitě po vydání bezpečnostních záplat. 90 % napadení WordPressu je přes zastaralé pluginy. Nastavte automatické aktualizace pro menší verze a bezpečnostní opravy.

3. SSL certifikát

HTTPS je nutností. Chrání data přenášená mezi webem a návštěvníky. Většina hostingů nabízí bezplatný Let’s Encrypt certifikát.

4. Kvalitní hosting

Levný sdílený hosting za 50 Kč/měsíc typicky nemá pokročilé bezpečnostní funkce. Investujte do managed WordPress hostingu, který zahrnuje firewall, malware scanning a automatické zálohy na úrovni serveru.

Pokročilé zabezpečení

5. Bezpečnostní plugin

Instalujte bezpečnostní plugin jako Wordfence, Sucuri nebo iThemes Security. Tyto pluginy nabízejí firewall, malware scanner, ochranu před brute force útoky a monitoring podezřelé aktivity.

6. Změna výchozích nastavení

• Změňte výchozí prefix databázových tabulek (z wp_ na něco jiného)
• Nepoužívejte uživatelské jméno „admin”
• Skryjte přihlašovací stránku (změňte URL z /wp-admin/)
• Omezte počet pokusů o přihlášení
• Zakažte editaci souborů z administrace

7. Pravidelné zálohy

Automatické zálohy celého webu včetně databáze. Zálohujte na externí úložiště (ne na stejný server). Testujte, zda zálohy fungují – záloha, kterou nelze obnovit, je k ničemu. Doporučujeme denní zálohy s retencí minimálně 30 dní.

8. Omezení přístupů

Přidělujte uživatelům pouze oprávnění, která skutečně potřebují. Editor nepotřebuje administrátorský přístup. Odstraňte nepoužívané účty. Omezte přístup k wp-admin podle IP adresy, pokud je to možné.

Co dělat, když je web napaden

1. Izolujte web – přepněte do údržbového režimu
2. Kontaktujte hosting – mohou pomoci s identifikací a izolací problému
3. Skenujte malware – identifikujte napadené soubory
4. Obnovte ze zálohy – pokud máte čistou zálohu
5. Změňte všechna hesla – WordPress, FTP, databáze, hosting
6. Aktualizujte vše – WordPress, pluginy, šablony
7. Zabezpečte web – implementujte preventivní opatření

Potřebujete pomoct se zabezpečením WordPress webu? Kontaktujte nás na bezplatnou 30min diagnostiku. V Prime Web Craft poskytujeme komplexní zabezpečení a údržbu WordPress webů.