Jak zabezpečit web a jak zálohovat web na WordPressu
Napadení webu s redakčním systémem WordPress je velice nepříjemné a bohužel hodně časté. Proč se to děje? Vytvořit web na WordPressu je celkem jednoduchý úkol a vytvořit jednoduchá web zvládne udělat téměř kdokoli. WordPress byl vytvořen, aby byl uživatelsky jednoduchý, je určen pro veřejnost a je (když nebudu brát v potaz nějaké extra funkce navíc) zdarma. Pro tyto výhody se WordPress stal velice oblíben a webů s redakčním systémem je mnoho. Bohužel kámen úrazu je ten, že a na zabezpečení nebo zálohy webu člověk, který s weby nemá moc zkušeností často zapomene nebo o tom ani možná neví, že napadení webu je velice časté. Zabezpečení nebo zálohy webu byste jako tvůrci měli ohlídat hned na začátku. Nikdo nechcete, aby všechny ty hodiny práce s webem byly fuč a museli jste tvořit web v nejhorším případě znovu.
Dobré je tedy mít na webu nějakou tu ochranu a také byste měli web z hlediska vyšší bezpečnosti pravidelně aktualizovat (to znamená aktualizovat WordPress, pluginy, šablonu) a než provedete aktualizaci doporučuji web zálohovat. Zálohy webu se vám jednak hodí do budoucna, pokud se s webem něco stanem jednoduše můžete web vrátit zpět, do stavu kdy ještě fungoval, takže časem budete rádi, že je máte.
Pokud třeba píšete na web často články a obsah Vám přibývá nebo ho měníte, je dobré dělat zálohy webu častěji.
Samotná aktualizace webu na redakčním systému WordPress je celkem jednoduchá, tedy zdá se jednoduchá, stačí naklikat pár tlačítek „aktualizovat“ a je to. Ano může to tak být, web může šlapat bez problému i po aktualizaci, ale pozor na to, často se stává, že při takové aktualizaci se na webu něco porouchá, web se začne divně chovat nebo se celý rozsype . Proč se může po aktualizaci webu vyskytnout problém? Web na WordPressu je většinou sestaven z více pluginů (pluginy berte jako nějaké rozšiřující funkce webu), které po aktualizaci mohou sami mezi sebou nebo i třeba se šablonou či se samotným WordPressem, přestat fungovat a zde je právě dobré myslet na zadní vrátka a vždy když na webu budete něco měnit zkoušet, tak si udělejte zálohu.
Myslete na to, že i malinký jednoduchý web je potřeba zálohovat, abyste při jakémkoli problému po aktualizaci nebo napadení webu třeba malwarem a nebo když na webu něco zvrznete, mohli web rychle a snadno vrátit zpět do stavu, kdy fungoval a nemuseli jste web tvořit od začátku komplet znovu. Zálohy se opravdu hodí.
Pokud si web od někoho necháte vytvořit, tak se s ním domluvte, aby po dokončení webu udělal zálohu a nastavil na webu i třeba pravidelné zálohování.
Většina klientů, co se na mne obrátí z důvodu napadení webu nebo, že jim web přestal fungovat, žádnou zálohu nemá. A důvody jsou různé, web si vytvořili sami, web byl vytvořen za levnější cenu, web tvořil kamarád, student, prostě člověk bez dostatečné praxe, který bohužel o důležitosti záloh a zabezpečení zřejmě vůbec nevěděl. Zálohy si pohlídejte, protože na tom samozřejmě závisí i to, jestli vám web bude fungovat měsíc nebo 10 let.
Na druhou stranu spousta lidí spoléhá na hosting, ano ten také tvoří zálohy webu, ale funguje to tak, že třeba tvoří zálohy 14 dní zpětně a tyto zálohy přepisuje automaticky novými zálohami. Pokud je web napaden malwarem, nemusíte to ani hned zjistit neboť hacker umí udělat i stav webu tak, že vám (podle vaší IP adresy) se web bude zobrazovat správně, ale ostatním návštěvníkům ne a vy to tedy okamžitě nezjistíte a než se rozkoukáte, tak zálohy budou přepsány novými zálohami již s virem. Na hosting bych tedy zcela nespoléhala.
Když už se stane, že máte web napaden
Podnikněte kroky co nejdříve!! Jak jsem psala, zálohy jsou tvořeny většinou i u hostingové firmy, tam kde si platíte doménu a hosting většinou to bývá pod stejnou firmou Wedos, Active24 (Websupport), Forpsi, OneBit (Webglobe), Český hosting, Web4you, Webhosting c4, a tak dále. Většinou mají zálohy jen měsíc nebo 14 dní zpětně a pak to přepisují novou zálohou, která může být už s virem, takže tato záloha je pak nepoužitelná a prostě je web potřeba celkem časově náročně a za vysokou cenu zbavit viru, což je cesta na nic, zdlouhavá a hlavně drahá.
Co nejrychleji tedy kontaktujte hosting a zeptejte se z jakého dne mají poslední zálohu a zda mají zálohy i za delší časový úsek. Většinou to jde ještě napravit – když to zjistíte včas a reagujete okamžitě. A samozřejmě byste měli ihned kontaktovat tvůrce webu, zda si udělal zálohu, alespoň pro sebe nějakou starou z data, kdy web tvořil. Většina tvůrců webových stránek si totiž toto hlídá a zálohu si po dokončení webu udělá, alespoň pro sebe.
Já jsem si weby klientů zálohovala většinou sama pro sebe ručně, takže pokud se toto stalo, tak jsem měla zálohu na disku a jednoduše data na serveru a v databázi jsem přehrála zálohou a byl problém vyřešen, ale na vašeho tvůrce webu také moc nespoléhejte, protože do budoucna jak je klientů hodně, tak toto nejde časově ani kapacitně udržet, nejde mít zálohy aktuální, pravidelné a ještě uložené někde v počítači, který může kdykoli zkolabovat. Jednoduše na pravidelné zálohy časem přestane být čas. Myslete na to a mějte zálohy u sebe, no a jak toto zautomatizovat nebo udělat co nejjednodušeji. Samozřejmě je nejlepší se přihlásit na server a do databáze a všechny soubory ručně stáhnout, ale laik s tím asi bude mít problém a také to časově není zcela nejlepší řešení, člověk zapomene zálohu udělat nebo to oddaluje a není to efektivní. Na štěstí existuje skvělé řešení v podobě pluginu UpdraftPlus.
Jak zálohovat WordPress pomocí pluginu
Stáhněte si plugin zde >> UpdraftPlus nainstalujte si jej do WordPressu v zip souboru, aktivujete si jej nebo jej vyhledejte ve WordPressu Pluginy > vyhledat „UpdraftPlus“.
Nastavení pluginu najdete po aktivaci v Nastavení > UpdraftPlus zálohy
Poté půjdete do záložky „Nastavení“ kde si sami vyberete jak často se mají zálohy tvořit, kolik jich chcete uchovat a kam se mají zálohy ukládat a máte pravidelné zálohování vyřešené, UpdraftPlus je podle mě zatím nejjednodušší řešení pro zálohy vašeho WordPress webu, který zvládne nastavit každý.
Například zadáme, že chceme data a databázi zálohovat každý měsíc, uchovat vždy chceme 2 zálohy zpětně a ukládat budeme data například na FTP server.
Zadáte údaje vašeho serveru, zjistíte to po přihlášení do hostingu nebo budete mít přihlašovací údaje v emailu, z doby kdy jste si kupovali hosting. Vzdálená cesta znamená umístění složky, do které chcete zálohy nahrát, můžete si novou složku například s názvem „záloha“ vytvořit na serveru nebo použít složku třeba uploads.
Jakmile otestujete spojení s FTP serverem a funguje. Půjdete do záložky „Záloha/Obnovení a můžete začít zálohovat. Pokud budete potřebovat web někdy v budoucnu obnovit ze zálohy, stačí si vybrat níže datum zálohy a kliknout na tlačítko obnovit.
Jakmile otestujete spojení s FTP serverem a funguje. Půjdete do záložky „Záloha/Obnovení a můžete začít zálohovat. Pokud budete potřebovat web někdy v budoucnu obnovit ze zálohy, stačí si vybrat níže datum zálohy a kliknout na tlačítko obnovit.
Jak zabezpečit WordPress pomocí pluginu
Pluginů na zabezpečení webu je spousta, ale mohu doporučit jeden z nejlepších pluginů Wordfence, který v podstatě už jen, že tento plugin instalujete a aktivujete, tak značně ochrání váš web.
Jakmile jej nainstalujete a aktivujete, bude po vás chtít plugin licenci. Kliknete na tlačítko „Získejte licenci Wordfence“.
Vyberete si licenci. Wordfence nabízí více variant, základní FREE verzi zdarma a několik placených. Nyní si ukážeme variantu zdarma, FREE verze, která i přesto, že je zdarma, dokáže velice slušně ochránit váš web.
Verze zdarma umožnuje vybrat pouze variantu I´m OK waiting 30 days for protection from new threats, takže vyberete tuto variantu.
Zadáte email, odsouhlasíte podmínky, vyberete si, zda chcete dostávat na email upozornění o aktualzacích a novinkách a kliknete na „Register“.
Do emailu vám přijde licenční klíč. Půjdete zpět do webu a můžete okno s nabídkou získání licence od Wordfence křížkem zavřít. Kliknete a „Nainstalujte stávající licenci“.
Zadáte email, licenční klíč, odsouhlasíte podmínky, vyberete, zda chcete zasílat novinky a kliknete a „Nainstalovat licenci“.
Když dopadne vše dobře, objeví se vám hláška, že byla nainstalována bezplatná verze Wordfence. Můžete kliknout na přejít na nástěnku.
Jak nastavit Wordfence nastavení najdete v menu ve Wordfence > Všechny možnosti
Nastavení zobrazit přizpůsobení: zaškrtávám všechny tři možnosti (Všechny možnosti, Blokování, Živý provoz)
Obecné možnosti:
Nenechávám aktualizovat Wordfence automaticky, protože před aktualizací jakéhokoli pluginu si dělám zálohy, dělejte je také.
Kam zasílat upozornění e-mailem – nastavte si váš email.
Jak Wordfence získává IP adresy – Nechte Wordfence použít nejbezpečnější metodu k získání IP adres návštěvníka. Zabraňuje spoofingu a funguje s většinou webů. (Doporučeno).
Doporučuji – Skrýt verzi WordPress (pomáhá to lepšímu zabezpečení, aby útočník neviděl ihned verzi WordPressu.
Předvolby upozornění emailem
Upozornit, když na mém webu bude zjištěn velký nárůst útoků – ano, ale omezte si počet emailů, které vám mají chodit!!! Ať vám ta upozornění nezahltí emailovou schránku, doporučuji zadat max 10 emailů za hodinu.
Report aktivity – ano a stačí třeba 1x za týden
Ochrana před Brute Force – Aktivujte ochranu brute force – nastavte si podle sebe, níže uvádím např. mé časté nastavení, ale záleží, zda se vám do webu někdo často přihlašuje (návštěvníci/zákazníci), pak můžete pravidla trochu zmírnit, aby nedocházelo často k blokaci uživatelů webu.
Uzamkněte po několika pokusech o neúspěšné přihlášení – zadávám 2 pokusy.
Uzamkněte po několika pokusech o zapomenuté heslo – zadávám 2 pokusy.
Počítejte selhání za jaké časové období – zadávám 5 minut.
Doba, po kterou je uživatel uzamčen – 1 měsíc.
Okamžitě uzamkněte neplatná uživatelská jména – toto si zadejte sami, doporučuji ihned blokovat jména jako admin, Admin a název vašeho webu (domény) s tečkou i bez tečky s koncovkou cz bez koncovky cz, toto jsou nejčastější jména, která tvůrci webů zadávají při tvorbě webu a tato jména jsou také většinou astavena na hostingu, kdy vy si sami třeba instalujete WordPress, proto pokud máte jméno admin nebo název web jako jméno, přes které se přihlašujete do webu, doporučuji se jméno ihned změnit.
Ochrana omezením rychlosti – pokud se někdo bude chovat jako robot nebo přijde na web robot, můžete jej zablokovat nebo mu omezit rychlost.
Možnosti výkonu, pokud máte nějaký základní hosting, mohl by vám sken web zpomalovat, můžete si zde nastavit – Použít skenování s nízkými zdroji (snižuje zatížení serveru prodloužením doby skenování).