Úvod » Jak zabezpečit WordPress

Jak zabezpečit webové stránky na WordPressu

Bezpečnost webu patří mezi nejdůležitější věci, které byste neměli podceňovat. WordPress je sice skvělý a oblíbený redakční systém, ale právě kvůli své popularitě bývá častým cílem útoků. V tomto článku se dozvíte, jak zabezpečit webové stránky, jaké pluginy vám s tím pomohou a jak předejít napadení.

Proč je zabezpečení webu důležité

Napadení webu může znamenat ztrátu dat, poškození reputace i ztrátu pozic ve vyhledávačích. Web s WordPressem může být zranitelný, pokud není aktualizován nebo správně nastaven. Útočníci často využívají:

  • zastaralé pluginy nebo šablony,
  • slabá hesla,
  • nezabezpečené přihlašování,
  • absence firewallu nebo ochrany proti brute force útokům.

Napadení webu s redakčním systémem WordPress je velice nepříjemné a bohužel celkem běžná věc. Proč se to děje? Vytvořit jednoduchý web na WordPressu zvládne udělat téměř kdokoli. WordPress byl vytvořen, aby byl uživatelsky jednoduchý, je určen pro veřejnost a je zdarma (když nebudu brát v potaz nějaké extra funkce navíc, které už placené jsou).

Právě díky těmto výhodám se stal WordPress velice oblíbený a takových webů s je mnoho, uvádí se asi kolem 30 – 40% webů. Bohužel kámen úrazu je ten, že na zabezpečení webových stránek nebo s tím související zálohy webu - člověk, který s weby nemá moc zkušeností, často zapomene nebo o tom ani možná neví. Napadení webu je právě proto velice časté a přitom stačí tak málo udělat, aby váš web byl bezpečnější.

Když web tvoříte měli byste si ohlídat zabezpečení webu i zálohy hned na začátku. Nikdo nechcete, aby všechny ty hodiny práce s webem byly fuč a museli jste tvořit web v nejhorším případě znovu.

Co se mi u klientů často stává je, že spousta jich spoléhá jen na hosting. Pozor, ne všechny hostingy tvoří zálohy webu automaticky. Případně některé hostingy chtějí za zpřístupnění zálohy webu poplatek. Dobrá hostingová společnost tvoří zálohy webu automaticky a ještě vám je zpřístupní zdarma.

Přečtěte si: Jak vybrat spolehlivý hosting

Máte hosting se zálohami? Ještě se neradujte, tyto zálohy na hostingu nejsou všespasné a neměli byste na ně zcela spoléhat, funguje to tak, že hosting třeba tvoří zálohy 14 dní zpětně a tyto zálohy přepisuje automaticky novými zálohami. Pokud je web napaden malwarem, nemusíte to ani hned zjistit.

Hacker umí udělat i stav webu tak, že vám (podle vaší IP adresy) se web bude zobrazovat správně, ale ostatním návštěvníkům bude zobrazovat podvodný obsah a vy to tedy okamžitě nezjistíte. Problém je na světě a než se rozkoukáte, tak zálohy budou přepsány novými zálohami již s virem. V tom případě se k verzi vašeho webu, který ještě nebyl napaden nedostanete a budete muset najít vir a odstranit ho nebo vytvořit web znovu. Na hosting bych tedy zcela nespoléhala.

Dobré je tedy mít na webu nějakou tu ochranu, abyste předešli hacknutí. Ano když se útočník na váš web bude chtít dostat a dá si s tím tu práci, tak se na něj prostě dostane, zabezpečení nezabezpečení.. Ale můžete mu to o něco ztížit a útok znechutit, že se na to prostě vybodne. A moje zkušenost je taková, že po instalaci již jen zcela základního zabezpečení weby fungují dlouhodobě bez problémů. Hacker si najde raději jiný a hlavně snadný cíl, tedy web, který není zabezpečen vůbec.

Pro vyšší zabezpečení webu byste měli web také pravidelně aktualizovat (to znamená aktualizovat WordPress, pluginy, šablonu). Proč jsou nutné aktualizace? Protože pokud neaktualizujete pravidelně, tak systém WordPress, šablona, pluginy stárnou. Hackeři se učí nové a nové formy útoků a pokud web necháte tak jak je dlouhodobě, začne mít v sobě díry, pomocí kterých se na web útočníci mohou dostat. WordPress vyvíjí programátoři (velká komunita lidí), starají se pravidelně o to, aby v něm bezpečnostní díry nebyly právě tím, že vydávají pravidelní aktualizace. Takže tím, že budete pravidelně aktualizovat celý web s jeho součástmi, snížíte riziko napadení. Pozor než provedete aktualizaci doporučuji web zálohovat!

Podívejte se na článek - Proč zálohovat web a jak na zálohy webu s WordPress

Jak zabezpečit WordPress web krok za krokem

  1. Pravidelně aktualizujte WordPress, pluginy i šablonu. Než provedete aktualizaci, zálohujte web.
  2. Používejte silná hesla a nepoužívejte jména jako admin nebo název webu.
  3. Omezte počet pokusů o přihlášení a aktivujte ochranu proti brute force útokům.
  4. Skryjte verzi WordPressu – útočník pak nepozná, jaký systém používáte.
  5. Pravidelně kontrolujte web – ideálně pomocí bezpečnostního pluginu.

Jak zabezpečit WordPress pomocí pluginu Wordfence

Jedním z nejlepších pluginů pro zabezpečení webu je Wordfence Security. I v bezplatné verzi nabízí silnou ochranu a snadné nastavení.

Instalace Wordfence

  1. Ve WordPressu přejděte do Pluginy → Instalace pluginů a vyhledejte „Wordfence“.
  2. Plugin nainstalujte a aktivujte.
  3. Po aktivaci zvolte bezplatnou licenci (Free verze).
  4. Zadejte svůj e-mail a potvrďte registraci.

Jakmile jej nainstalujete a aktivujete, bude po vás chtít plugin licenci. Kliknete na tlačítko „Získejte licenci Wordfence“.

Vyberete si licenci. Wordfence nabízí více variant, základní FREE verzi zdarma a několik placených. Nyní si ukážeme variantu zdarma, FREE verze, která i přesto, že je zdarma, dokáže velice slušně ochránit váš web.

Verze zdarma umožnuje vybrat pouze variantu I´m OK waiting 30 days for protection from new threats, takže vyberete tuto variantu.

Zadáte email, odsouhlasíte podmínky, vyberete si, zda chcete dostávat na email upozornění o aktualzacích a novinkách a kliknete na „Register“.

Do emailu vám přijde licenční klíč. Půjdete zpět do webu a můžete okno s nabídkou získání licence od Wordfence křížkem zavřít. Kliknete a „Nainstalujte stávající licenci“.

Zadáte email, licenční klíč, odsouhlasíte podmínky, vyberete, zda chcete zasílat novinky a kliknete a „Nainstalovat licenci“.

Když dopadne vše dobře, objeví se vám hláška, že byla nainstalována bezplatná verze Wordfence. Můžete kliknout na přejít na nástěnku.

Doporučené nastavení Wordfence

  • Aktivujte brute force ochranu – např. uzamknutí po 2 neúspěšných pokusech.
  • Zablokujte běžná jména uživatelů (např. admin, název webu).
  • Nastavte zasílání upozornění na e-mail.
  • Zapněte možnost Skrýt verzi WordPressu.
  • Povolte týdenní report aktivity.

Jak nastavit Wordfence nastavení najdete v menu ve Wordfence > Všechny možnosti

Nastavení zobrazit přizpůsobení: zaškrtávám všechny tři možnosti (Všechny možnosti, Blokování, Živý provoz)

Obecné možnosti:

Nenechávám aktualizovat Wordfence automaticky, protože před aktualizací jakéhokoli pluginu si dělám zálohy, dělejte je také. 

Kam zasílat upozornění e-mailem – nastavte si váš email.

Jak Wordfence získává IP adresy – Nechte Wordfence použít nejbezpečnější metodu k získání IP adres návštěvníka. Zabraňuje spoofingu a funguje s většinou webů. (Doporučeno).

Doporučuji – Skrýt verzi WordPress (pomáhá to lepšímu zabezpečení, aby útočník neviděl ihned verzi WordPressu.

Předvolby upozornění emailem

Upozornit, když na mém webu bude zjištěn velký nárůst útoků – ano, ale omezte si počet emailů, které vám mají chodit!!! Ať vám ta upozornění nezahltí emailovou schránku, doporučuji zadat max 10 emailů za hodinu.

 

Report aktivity – ano a stačí třeba 1x za týden

 

Ochrana před Brute Force – Aktivujte ochranu brute force – nastavte si podle sebe, níže uvádím např. mé časté nastavení, ale záleží, zda se vám do webu někdo často přihlašuje (návštěvníci/zákazníci), pak můžete pravidla trochu zmírnit, aby nedocházelo často k blokaci uživatelů webu.

Uzamkněte po několika pokusech o neúspěšné přihlášení – zadávám 2 pokusy.

Uzamkněte po několika pokusech o zapomenuté heslo – zadávám 2 pokusy.

Počítejte selhání za jaké časové období – zadávám 5 minut.

Doba, po kterou je uživatel uzamčen – 1 měsíc.

Okamžitě uzamkněte neplatná uživatelská jména – toto si zadejte sami, doporučuji ihned blokovat jména jako admin, Admin a název vašeho webu (domény) s tečkou i bez tečky s koncovkou cz bez koncovky cz, toto jsou nejčastější jména, která tvůrci webů zadávají při tvorbě webu a tato jména jsou také většinou astavena na hostingu, kdy vy si sami třeba instalujete WordPress, proto pokud máte jméno admin nebo název web jako jméno, přes které se přihlašujete do webu, doporučuji se jméno ihned změnit.

Ochrana omezením rychlosti – pokud se někdo bude chovat jako robot nebo přijde na web robot, můžete jej zablokovat nebo mu omezit rychlost.

Možnosti výkonu, pokud máte nějaký základní hosting, mohl by vám sken web zpomalovat, můžete si zde nastavit  – Použít skenování s nízkými zdroji (snižuje zatížení serveru prodloužením doby skenování).

Další tipy pro vyšší bezpečnost

  • Používejte SSL certifikát (https://).
  • Nedávejte přístup k webu neznámým osobám.
  • Zálohujte web pravidelně.

🔒 Chcete, aby byl váš web bezpečný? Napište mi – pomohu vám ho zabezpečit.

FAQ – Zabezpečení webových stránek

Je WordPress bezpečný?

Ano, pokud ho udržujete aktualizovaný a používáte ověřené pluginy a silná hesla.

Stačí Wordfence k ochraně webu?

Wordfence je skvělý základ. Doporučuji ho doplnit pravidelnými zálohami a SSL certifikátem.

Co dělat, když je web napaden?

Když už se stane, že máte web napaden, reagujte ihned!! Jak jsem psala, zálohy jsou tvořeny většinou i u hostingové firmy, tam kde si platíte doménu a hosting většinou to bývá pod stejnou firmou Český hosting , Webglobe (dříve OneBit), Vedos, Websupport (dříve Active24), Forpsi, Web4you, Webhosting c4 a tak dále. Většinou mají zálohy jen měsíc nebo 14 dní zpětně a pak to přepisují novou zálohou, která může být už s virem, takže tato záloha je pak nepoužitelná a prostě je web potřeba celkem časově náročně a za vysokou cenu zbavit viru, což je cesta zdlouhavá a hlavně drahá.

Co nejrychleji tedy kontaktujte hosting a zeptejte se z jakého dne mají poslední zálohu a zda mají zálohy i za delší časový úsek. Většinou to jde ještě napravit – když to zjistíte včas a reagujete okamžitě. A samozřejmě byste měli ihned kontaktovat tvůrce webu, zda si udělal zálohu, alespoň pro sebe nějakou starou i z data, kdy web tvořil. Většina tvůrců webových stránek si totiž toto hlídá a zálohu si po dokončení webu udělá, alespoň pro sebe.

Kdo píše tyto texty:

Jmenuji se Radka Jiránková, specialistka na WordPress a online marketing s praxí od roku 2013. Tvořím webové stránky pro firmy i podnikatele, často opravuji nefunkční weby a propojuji techniku, grafiku a marketing tak, aby weby skutečně přiváděly nové zákazníky.

Firmám pomáhám nejen s tvorbou webových stránek, ale také s tím, aby je zákazníci našli – díky SEO, PPC reklamě a chytrému obsahu. Učila jsem tvorbu webových stránek na SŠ a nadále se WordPress kurzům pro firmy i jednotlivce aktivně věnuji.

Více jak 15 let píši pro vás návody, abyste mohli snadno tvořit a upravovat vaše webové stránky. Některé odkazy na tomto webu mohou být partnerské. Když je využijete, nic vás to nestojí a podpoříte tím tvorbu dalších článků a návodů. Děkuji, že pomáháte udržovat tento web bez agresivních a rušivých reklam.

Více o mně | Kurzy WordPress | Opravy webů | Kontakt