Predstavte si, že jedného rána otvoríte svoj web a namiesto vašej ponuky uvidíte cudziu reklamu, podozrivé presmerovanie alebo dokonca úplne prázdnu stránku. Presne toto sa deje majiteľom WordPress webov častejšie, než by ste čakali. WordPress je najpoužívanejší redakčný systém na svete, a práve preto je aj obľúbeným cieľom útočníkov. Dobrá správa je, že väčšine problémov sa dá predísť, ak dodržíte pár základných zásad. V tomto článku si prejdeme sedem krokov, ktoré vášmu webu poskytnú solídnu ochranu bez toho, aby ste museli byť programátor.
Prečo sa oplatí riešiť zabezpečenie WordPressu
Mnohí majitelia firemných webov si zabezpečenie spájajú len s bankami alebo veľkými korporáciami. V skutočnosti je zraniteľný akýkoľvek web, malý eshop rovnako ako jednoduchá vizitka firmy. Útočníci často ani nemieria na konkrétnu značku, len automaticky prehľadávajú internet a hľadajú stránky so zastaranou verziou WordPressu alebo nezaplátaným pluginom. Keď taký web nájdu, dokážu ho zneužiť na rozposielanie spamu, ukladanie škodlivých súborov alebo presmerovanie návštevníkov na podvodné stránky. Výsledkom je nielen strata dôvery zákazníkov, ale často aj pokles v Google vyhľadávaní, pretože vyhľadávač napadnuté weby aktívne penalizuje.
Sedem krokov, ktoré váš web ochránia
1. Aktualizujte jadro, pluginy aj šablónu
Väčšina úspešných útokov nevyužíva žiadnu sofistikovanú techniku. Útočníci jednoducho hľadajú weby, ktoré bežia na starej verzii WordPressu alebo pluginu so známou bezpečnostnou dierou. Preto je pravidelná aktualizácia jednou z najúčinnejších a zároveň najlacnejších foriem ochrany. Ideálne je kontrolovať aktualizácie aspoň raz týždenne a pred každou väčšou zmenou si urobiť zálohu, aby ste sa v prípade problému mohli jednoducho vrátiť späť.
2. Používajte silné heslá a dvojfaktorové overenie
Heslo typu meno firmy plus rok založenia je pre útočníka otázka pár sekúnd. Zvoľte radšej dlhšie a náhodné heslo, ktoré si uložíte v správcovi hesiel, a k prihlasovaciemu menu pridajte dvojfaktorové overenie. Vďaka nemu útočníkovi nestačí uhádnuť heslo, potrebuje aj kód z vášho telefónu, čo drvivú väčšinu automatizovaných útokov zastaví hneď na začiatku.
3. Vyberte si kvalitný hosting a nezabudnite na SSL
Lacný zdieľaný hosting býva častým zdrojom problémov, pretože zraniteľnosť na jednom webe na serveri môže ohroziť aj tie ostatné. Kvalitný poskytovateľ ponúka aktívny monitoring, pravidelné zálohy a rýchlu reakciu v prípade problému. Rovnako dôležitý je platný SSL certifikát, ktorý šifruje komunikáciu medzi vaším webom a návštevníkom a dnes je už bežným štandardom, ktorý si prehliadače a Google všímajú.
4. Zálohujte pravidelne a automaticky
Záloha je vaša poistka pre prípad, že sa niečo napriek všetkému pokazí. Nemala by ležať len na tom istom serveri ako web, ale aj na oddelenom externom úložisku. Ak sa nastaví automaticky, napríklad raz denne, nemusíte na ňu ani myslieť a v prípade problému viete web obnoviť v priebehu pár minút namiesto dní zúfalého hľadania riešenia.
5. Obmedzte počet pluginov na nevyhnutné minimum
Každý nainštalovaný plugin je ďalší kúsok kódu, ktorý treba udržiavať a ktorý môže obsahovať chybu. Čím viac ich na webe nazbierate, tým vyššia je pravdepodobnosť, že sa niektorý stane slabým miestom. Rovnaký princíp platí aj pre rozsiahle vizuálne buildery, ktorým sme sa podrobnejšie venovali v článku o tom, prečo custom vývoj vo WordPresse stále dáva zmysel. Menej pohyblivých súčiastok znamená jednoduchšiu údržbu aj nižšie riziko.
6. Nasaďte firewall a priebežný monitoring
Firewall pre WordPress dokáže odchytiť podozrivú návštevnosť ešte skôr, než sa dostane k samotnému webu. V kombinácii s monitoringom, ktorý vás upozorní na neobvyklé zmeny v súboroch alebo prihlásenia z neznámych lokalít, získate prehľad o tom, čo sa na webe deje aj vtedy, keď naň sami práve nepozeráte.
7. Zverte pravidelnú starostlivosť odborníkom
Všetkých šesť predchádzajúcich bodov si vie majiteľ webu do určitej miery ustrážiť sám, no v praxi na to väčšine chýba čas alebo istota, že postupuje správne. Vtedy má zmysel zveriť starostlivosť o WordPress niekomu, kto sa jej venuje profesionálne a pravidelne kontroluje, či je všetko v poriadku ešte predtým, než sa z malej chyby stane veľký problém.
Čo robiť, ak je web už napadnutý
Ak si všimnete podozrivé správanie webu, prvým krokom by malo byť okamžité obnovenie z poslednej čistej zálohy a zmena všetkých hesiel vrátane hostingu a databázy. Následne treba zistiť, kadiaľ sa útočník dostal dnu, inak sa problém po čase pravdepodobne zopakuje. Práve preto je oveľa lacnejšie a jednoduchšie problémom predchádzať, než ich neskôr riešiť.
Zhrnutie
Zabezpečenie WordPress webu nie je jednorazová úloha, ale priebežný proces. Aktualizácie, silné heslá, kvalitný hosting, zálohy, menej pluginov a firewall spolu tvoria základ, na ktorý sa dá spoľahnúť. Ak sa v tom všetkom necítite istí, alebo jednoducho nemáte čas sledovať každú aktualizáciu, radi sa o váš web postaráme namiesto vás.