Jak lépe zabezpečit administraci WordPressu?

Upraveno 6 prosince, 2023 06:13

Administrace WordPressu je klíčovou součástí tohoto redakčního systému, která nezřídka kdy bývá cílem různých útoků. Mohou to být útoky na prolomení přihlašovacích údajů (brute-force), DDOS útoky, ale také pokusy o přidání uživatele s root právy. Jakýkoliv krok k zabezpečení, který uděláte navíc je tedy žádoucí a přispívá k větší bezpečnosti toho nejvíce důležitého. Samotné administrace a administrátorského přístupu. V tomto článku se tedy podíváme blíže na to, jak lépe zabezpečit administraci WordPressu.

Základní prvky, které můžete pro větší bezpečnost udělat:

  • Používejte vždy silné heslo: Heslo by mělo být složité a obsahovat alespoň 8 znaků, včetně velkých a malých písmen, čísel a speciálních znaků. Takové heslo lépe odolá slovníkovému útoku na prolomení přihlašovacích údajů.
  • Nastavte jedinečná uživatelská jména: Místo použití výchozího jména administrátora (např. admin) použijte unikátní jméno, které není snadno odhadnutelné. Může to být např. i Vaše jméno, nebo přezdívka. Robot na slovníkový útok bude admina zkoušet vždy jako prvního.
  • Aktivujte dvou faktorové ověřování: Dvou faktorové ověřování vyžaduje k přihlášení nejen heslo, ale i jednorázový kód, který je zaslán na váš mobilní telefon.
  • Aktualizujte samotný redakční systém, pluginy a i šablony vzhledu na nejnovější verze: Staré verze mohou být zranitelné a snadno napadnutelné, takže je důležité mít je aktualizované na nejnovější verze.
  • Změňte adresu URL administrace: Výchozí URL administrace WordPressu je „http://vasedomena.cz/wp-admin/“. Změnou této adresy na jinou, neznámou URL, můžete odradit potenciální útočníky od pokusů o přístup.
  • Nainstalujte libovolný plugin na zabezpečení: Existuje mnoho bezplatných i placených pluginů, které vám pomohou zabezpečit váš web a administraci WordPressu. Tyto pluginy mohou zahrnovat funkce jako omezení přístupu IP adres, ochranu proti útokům typu brute-force, zálohování dat, dvou faktorové ověření a další.
  • Využijte SSL certifikát: SSL certifikát šifruje informace, které se přenášejí mezi vaším webem a prohlížečem návštěvníka. Díky tomu jsou tyto informace chráněny před zneužitím.
  • Zálohujte svůj web pravidelně: Zálohování vám umožní obnovit web v případě, že je napadený a poškozený.

Jaké pluginy vybrat, pro lepší bezpečí WordPressu?

Zde je základní výčet pluginů, které Vám pomohou zabezpečit přístup do administrace WordPressu:

Wordfence Security: Toto široce používané řešení nabízí firewall, ochranu proti útokům typu brute force, zálohování a další funkce zabezpečení. Plugin je ke stažení zde.

iThemes Security: Tento plugin nabízí mnoho funkcí, včetně ochrany proti útokům typu brute-force, zálohování, kontroly úprav souborů a dalších. Plugin je ke stažení zde.

Jetpack Security: Tento plugin od společnosti Automattic poskytuje funkce jako ochranu proti útokům typu brute-force, monitorování a oznámení o bezpečnostních hrozbách a další. Plugin je ke stažení zde.

All In One WP Security & Firewall: Tento plugin nabízí firewall, ochranu proti útokům typu brute-force, zálohování a další funkce pro lepší zabezpečení systému i samotné administrace. Plugin je ke stažení zde.

Sucuri Security: Tato bezplatná i placená služba poskytuje kompletní řešení zabezpečení, včetně firewallu, monitorování, nebo např. zálohování. Plugin je ke stažení zde.

Jak zapnu dvoufázové ověření administrace WordPressu?

Pokud chcete zabezpečit svůj přístup do administračního rozhraní více prvky, jednou z možností, jak přispět k větší bezpečnosti je také dvojí ověření přístupu (tzv. dvou faktorové ověřování). Po zadání loginu a hesla se díky tomuto prvku nepřesunete rovnou do administračního rozhraní, ale jste dále vyzvání k zadání druhého kódu, obvykle pomocí externí aplikace, která tyto kódy generuje. Pro takové použití tedy můžete sáhnout např. po aplikaci Google Authenticator.

Google authenticator na Google Play
Google authenticator na App Store

Dále je k zapnutí této funkce potřeba plugin, který samotné dvoufázové ověření provádí. Osobně pro tyto účely používám plugin Wordfence.

Plugin Wordfence na wordpress.org

Pro zapnutí dvoufázového ověření postupujte v pluginu Wordfence následovně:

  1. v administraci WordPressu klikněte na sekci pluginů, vyhledejte plugin Wordfence a tento nainstalujte
  2. po aktivaci pluginu přibyde pro Wordfence samostatná položka, na kterou kliknete
  3. z nabídky Wordfence v levém menu vyberete položku Login security
  4.  na mobilním telefonu zapnete aplikaci Google authenticator a pomocí této aplikace naskenujete QR kód
  5. aplikace Google authenticator vygeneruje šestimístný kód , který poté vložíte do políčka s textem „Enter the code from your authenticator app below to verify and activate two-factor authentication for this account.“.
  6. pro dokončení procesu vše zprovozníte tlačítkem activate.
Dvoufaktorové ověřování přístupu do administrace WordPressu
Dvoufaktorové ověřování přístupu do administrace WordPressu

Mohu omezit přístup do administrace pouze pro určité IP adresy?

Ano, je to možné. Provádí se to na Linuxovém serveru pomocí souboru .htaccess. Přihlaste se tedy na FTP ke správě dat Vašeho webu. Zde si najděte složku wp-admin. Vytvořte textový soubor a pojmenujte jej .htaccess. Vložte do něj níže uvedená pravidla a nahrajte jej do výše zmíněné složky wp-admin. IP adresy v příkladu samozřejmě nahraďte svými.

				
					# Blokace administrace pro níže uvedené IP adresy
Order Allow,Deny
Deny from all
# 1. adresa
Allow from 12.34.56.78
# 2. adresa
Allow from 87.65.43.21
# konec seznamu
				
			

Jak změním URL adresu administrace WordPressu?

Toto se dá provést několika způsoby. Pro začátečníky uvedu ten nejjednodušší, pomocí pluginu. Použít můžete např. WPS Hide Login.

Plugin WPS Hide Login pro WordPress slouží právě ke změně URL přihlašovací stránky WordPress. Tím se zvýší bezpečnost vašeho webu, protože útočníci nebudou mít přístup k Vaší původní URL administrace, což jim poté umožňuje útočit na vaše heslo.

Navíc Vám plugin umožňuje přesměrovat URL přihlašovací stránky na libovolnou adresu, kterou si zvolíte, a to i za běhu webu, bez nutnosti aktualizace nebo úpravy kódu. To může být užitečné, pokud chcete zabránit útokům typu brute-force.

Výhodou pluginu WPS Hide Login je, že je lehký a jednoduchý na použití, takže i méně technicky zdatní uživatelé mohou snadno změnit URL administrace svého webu.

Jak lépe zabezpečit administraci WordPressu?

Závěr

V tomto článku je použito pouze několik metod ochrany administrace a jako příklad jsem použil základní a nejvíce používané pluginy, které Vám s tímto problémem mohou pomoct. Pravidelná kontrola webu, nových uživatelů a jejich práv je pak již ale na Vás. Vždy nejlepší ochranou je a bude, pečlivě aktualizovaný systém a pořádek v datech, silná hesla a občasná kontrola stavu webu.

Více článků o WordPressu

Celá kategorie je zde

Web je vytvářen s pečlivostí k obsaženým informacím. Snažím se poskytovat kvalitní a užitečný obsah, který ostatním pomáhá, nebo je inspiruje. Pokud jste spokojeni s mou prací a chtěli byste mě podpořit, můžete to udělat prostřednictvím jednoduchých možností.

Byl pro Vás tento článek užitečný?

Klikni na počet hvězd pro hlasování.

Průměrné hodnocení. 0 / 5. Počet hlasování: 0

Zatím nehodnoceno! Buďte první

Jak užitečný vidíte tento článek.

Sledujte mě na sociálních médiích.

Je mi líto, že pro Vás nebyl článek užitečný.

Jak mohu vylepšit článek?

Řekněte mi, jak jej mohu zlepšit.

newsletter

Odebírejte Newsletter

Buďte v obraze! Připojte se k odběru newsletteru a buďte první, kdo získá nejnovější informace přímo do vaší e-mailové schránky. Sledujte aktuality, exkluzivní události a inspirativní obsah, přímo na Vašem e-mailu.  

Odebírat
Upozornit na
guest
0 Komentáře/ů
Nejstarší
Nejnovější Nejvíce hlasováno
Vložené zpětné vazby.
Zobrazit všechny komentáře.

Pokud mi chcete napsat rychlou zprávu, využije, prosím, níže uvedený
kontaktní formulář. Děkuji.

Další Kontaktní údaje