Dnes si ukážeme 4 pluginy, ktoré urobia váš web na WordPresse nepriestreľným. Príspevok pripravil náš spolupracovník Jan Horna.

Pochopiteľne je dobré dodržiavať hlavné zásady, ktoré výrazne zvýšia bezpečnosť webu postaveného na redakčnom systéme WordPress.

Aktualizujte WordPress na najnovšiu verziu, hneď ako je dostupná

Používajte silné heslá

Nastavte prísne pravidlá pre zápis do súborov

Používajte administráciu len cez SSL protokol

Vypnite funkcie, ktoré nepotrebujete

Používajte len overené pluginy

Nepoužívajte správcovský účet „admin“

Premenujte tabuľky v MySQL databáze

Uzamknutie .htaccess

Zálohovať, zálohovať a zálohovať

Bezpečnosť webu môžete ešte zvýšiť, ak použijete niektorý z nižšie uvedených pluginov.

1. BulletProof Security

Plugin BulletProof Security ochráni váš web pred mnohými typmi útokov: XSS, RFI, CRLF, CSRF, Base64, ďalej pred záškodníckym vložením kódu do vašich stránok (Code Injection) a taktiež pred SQL Injection. Plugin automaticky nastaví súbory .htaccess, čo obmedzí prístup do jednotlivých adresárov na vašom serveri. Naviac sú ochránené všetky dôležité konfiguračné súbory systému WordPress, predovšetkým tie, ktoré obsahujú prístupové údaje, heslá a ďalšie citlivé informácie (napr. wp-config.php, bb-config.php, php.ini, install.php). K dispozícii je taktiež tzv. maintenance mode (HTTP 503), ktorý si majiteľ webu môže aktivovať jedným kliknutím v prípade, že chce na webe robiť úpravy, ktoré vyžadujú dočasné zníženie bezpečnosti.

Po inštalácii pluginu je vhodné v administrácii – nastavení pluginu zvoliť všetky dostupné bezpečnostné režimy na záložke „Security Modes“. Vždy ide len o jediné kliknutie. Na záložke „Security Status“ si potom môžete skontrolovať tieto nastavenia:

2. Secure WordPress

Podobným pluginom, ktorý automaticky predchádza najčastejším bezpečnostným hrozbám systému WordPress, je Secure WordPress. K jeho funkciám patria:

Odstráni chybové hlášky na stránke s prihlásením

Pridá súbory index.html a index.php do adresára s pluginmi

V zdrojovom kóde stránok odstráni údaj o verzii WordPressu

Skryje údaje o vyžadovaných updatoch systému, pluginov a vzhľadu šablón pred všetkými užívateľmi, ktorí nemajú administrátorské oprávnenie

Blokuje všetky podozrivé požiadavky, ktoré by mohli ohroziť bezpečnosť WordPress inštalácie

Všetky uvedené funkcie si môže užívateľ zvoliť na stránke s nastavením pluginu.

3. WordPress Exploit Scanner

Tento plugin prehľadáva databázu systému WordPress a všetky súbory s cieľom identifikovať príznaky zneužitia webu. Plugin nezabráni útokom na váš WordPress, skôr vám napovie, či niektorý zo súborov nebol neoprávnene zmenený, prípadne či na webe neexistujú súbory, ktoré mohol útočník na váš web nahrať.

Môže ísť o najrôznejšie skripty a súbory, ktoré obsahujú odkazy na spam napríklad. Rovnako tak môžu byť tieto škodlivé informácie obsiahnuté v databáze WordPressu, kde nemusia byť na prvý pohľad identifikovateľné. Pre šírenie kódu útočníka bol a stále je často využívaný systém pluginov WordPressu. A práve WP Exploit Scanner vám pomôže tieto podozrivé kúsky kódu nájsť.

4. TimThumb Vulnerability Scanner

TimThumb je malý kúsok kódu (a súčasť WordPressu), ktorý v minulosti spôsoboval majiteľom webov na WordPresse nemalé problémy. Skript má za úlohu zmenšovať a orezávať obrázky, ktoré užívateľ WordPressu nahraje na svoj web. Bohužiaľ TimThumb bol z pohľadu bezpečnosti veľkou hrozbou a obľúbeným terčom útočníkov.

Preto bol vytvorený TimThumb Vulnerability Scanner, ktorý testuje, či je skript TimThumb na vašom webe aktuálny a či nepredstavuje bezpečnostné riziko. V prípade, že nemáte na webe aktuálnu verziu, tak vám plugin ponúkne aktualizáciu na bezpečnú verziu.

Toľko teda kvarteto užitočných pluginov, ak to s bezpečnosťou svojho webu na WordPressu myslíte vážne. A to by ste rozhodne mali.

Na záver tohto príspevku by sme radi pripomenuli, že na našom hostingu môžete WordPress nainštalovať na jedno kliknutie.