Upraveno 15 prosince, 2023 14:12
WordPress je aktuálně velice populární redakční systém. Dalo by se říci, že v oblasti tvorby webu jej využívá patrně nejvíce lidí napříč celým internetem. A pokud nějaký systém využívá velká masa lidí, je pouze otázkou času, kdy se na něj ve velkém začnou zaměřovat i digitální útočníci. Pojďme se tedy podívat na 6 největších bezpečnostních problémů WordPressu, na které byste si měli dát velký pozor. Téma bezpečnost a WordPress je totiž zrovna těchto časech poměrně klíčová a důležitá.
Bezpečnost a WordPress – 6 největších problémů
1. Brute force útoky
Brute force útoky, nebo také útoky hrubou silou, jsou častým problémem WordPressu. URL adresu administrace WordPressu zná prakticky každý. Pokud ji nezměníte vlastní silou, např. pomocí pluginu, má WordPress administraci vždy na stejné adrese. To jest domena.tld/wp-admin. Tato skutečnost mnoha útočníkům usnadňuje práci. Pokud vezmete v potaz, že obrovské množství lidí při instalaci WordPressu ponechá hlavního uživatele pojmenovaného jako admin, jediné, co útočníkovi chybí, je heslo.
URL adresu administrace zná, uživatele také a tak spustí skript, který bude cyklicky zkoušet jedno heslo za druhým, dokud jej neuhodne. Jediná bariéra mezi Vaším webem a útočníkem je tak pouze velmi silné heslo. Někteří poskytovatelé webových serverů jdou proti těmto útokům a mají na svých serverech aplikovanou ochranu proti brute force. Ta jednoduše po několika neúspěšných pokusech o přihlášení adresu administrace zablokuje. Na to ale bohužel nemůžete spoléhat.
Pokud tedy instalujete nový web na WordPressu, pak vždy změňte uživatele na cokoliv jiného, než admin. Vaším dalším krokem by mělo být zamyšlení, zda URL adresu administrace nezměníte. Existuje k tomu několik pluginů, které udělají veškerou práci za Vás. Potom nemá útočník v ruce nic. Nezná ani adresu administrace, ani jméno uživatele a už vůbec nezná heslo.
2. Neaktualizovaný software
Další problém, který trápí bezpečnost a WordPress jsou jeho komponenty. WordPress je modulární systém. Tzn. že existuje nějaké základní jádro systému, do kterého si Vy jako uživatel nanistalujete potřebné komponenty. Změníte vzhled webu pomocí šablony a upravíte možnosti webu pomocí pluginů.
Tyto komponenty ale stejně jako samotný WordPress procházejí vývojem. Běžně se setkávám s weby, které mají více jak 20 pluginů. Dokážete si nejspíše sami představit, jaké bezpečnostní riziko existuje u webu, kde je např. více jak deset pluginů bez aktualizace.
Tím, že udržujete web i jeho komponenty aktuální, zároveň ztěžujete cestu potenciálnímu útočníkovi. Pokud se v pluginu objeví bezpečnostní chyba, kterou by mohl útočník zneužít, odstraníte jí obvykle pouze aktualizací. Nezapomínejte tedy svůj web na WordPressu pravidelně kontrolovat.
3. Neoprávnění uživatelé
Dalším typem útoku na redakční systém WordPress jsou neoprávnění uživatelé. Pokud se útočník dostane do Vašeho systému, obvykle si v něm vytvoří i vlastního uživatele s administrátorskými právy. To mu poté umožní, aby se přihlásil do Vašeho systému kdykoliv i přes fakt, že své heslo pravidelně aktualizujete. Pro vstup do systému jednoduše použije svého uživatele.
Občas se tedy v administraci svého webu podívejte i do sekce uživatelů a všem zkontrolujte jejich práva. Jakmile v seznamu objevíte podezřelého uživatele, je důležité, abyste ho nejen smazali, ale také velmi pečlivě zkontrolujte stav webu. Pravděpodobně máte web již z minulosti napadený. Pokud byste pouze smazali podezřelého uživatele, mohl by tam být velmi brzy zase zpět. Využije pouze stejnou bezpečnostní chybu, jako v minulosti.
Bezpečnost a WordPress – 6 největších problémů
4. Malware
Tento problém se opět obvykle týká neaktualizovaného systému. V tomto případě útočník využije nějaké předem známé bezpečnostní chyby. Díky ní na web nahraje škodlivý obsah, který poté napadá počítače Vašich uživatelů. Mohou to být vložené kódy do Vašich článků, PHP skripty na FTP a cokoliv jiného, co dovolí útočníkovi aby spouštěl nebezpečné kódy prostřednictvím Vašeho webu.
Mnoho uživatelů tomu jde navíc naproti a nahrává si na web šablony vzhledu a pluginy s neautorizovaných zdrojů. Jenom proto, protože originál by museli zaplatit. Poškozují tím nejen vývojáře pluginu, ale hlavně i sami sebe.
Díky tomuto typu útoku se navíc můžete velmi rychle dostat na Google listinu domén s podezřelým obsahem. Díky tomu pak každý uživatel dostane varování před vstupem na Váš web. Vám velmi rychle spadnou návštěvy webu na nulu a jako “bonus” Vás bude Google velmi drsně penalizovat ve výsledcích vyhledávání.
5. Nezabezpečený protokol HTTP
Jelikož je dnes protokol HTTPS v podstatě standard internetové komunikace, pak se s tímto problémem už tak často nesetkáte. Většina poskytovatelů webhostingu navíc nabízí SSL certifikáty k webu zdarma. Zkontrolujte si tedy u Vašeho webu, zda Vám web správně funguje na HTTPS protokolu a zda je na něj zároveň přesměrován. To znamená, že pokud někdo napíše Vaší doménu do prohlížeče, aniž by vysloveně uvedl i protokol, musí být vždy přesměrován na HTTPS. Bezpodmínečně.
Pokud SSL certifikát u svého webu nemáte, oslovte svého poskytovatele webu a nechte si tuto klíčovou komponentu k webu nainstalovat. Dokud ji nebudete mít, bude Vás Google penalizovat.
6. Phishing
Tento útok je forma sociálního inženýrství a poslední dobou se velmi často objevuje na webech, které používají WordPress. Phishing, resp. tento typ útoku probíhá prakticky stejným způsobem jako útok, který na web nahrává škodlivý malware. Phishing ale nemá za úkol primárně poškodit zařízení uživatele. To ale neznamená, že je méně nebezpečný.
Phishing používá nezákonné techniky a praktiky a k tomu, aby od Vašich uživatelů získal citlivá data. Útočník může na Váš web nahrát obsah, který bude přesnou kopií webu známé instituce, nebo banky. Na takovém obsahu pak bude útočník lákat Vaše uživatele k zadání citlivých údajů jako jsou čísla platebních karet apod. Rizika jsou zde prakticky stejná, jako u malware útoku. Pravděpodobně se velmi brzy dostanete do problémů s blokací ze strany Google a s penalizací co se vyhledávání týče. Zároveň také riskujete fakt, že poskytovatel webu Vám Vaše stránky ihned zablokuje do vyřešení problému. Jde o protizákonnou praktiku a poskytovateli webu nezbývá nic jiného, než takový web okamžitě vypnout!
Bezpečnost a WordPress – 6 největších problémů
Závěr
Tyto typy útoků jsou nejvíce časté a majoritní. WordPress k dnešnímu dni pohání více jak několik desítek milionů webů. Je tedy zcela logické, že bude přitahovat velkou pozornost útočníků. Ti se díky nezabezpečeným systémům mohou snadno dostat k Vašim datům, které poté využijí ve svůj vlastní prospěch. Bohužel však za cenu poškození Vašeho dobrého jména, či jména Vaší společnosti. Na konci bych tedy ještě zdůraznil několik důležitých bodů, které Vám výrazně pomohou chránit Vaši bezpečnost a WordPress proti výše uvedeným útokům.
Bezpečnost a WordPress – jak můžete zamezit vzniku různých bezpečnostních problémů WordPressu
- Používejte vždy velmi silné heslo. Dobrá praxe je alespoň 8-10 znaků. Kombinujte malá a velká písmena, číslice a speciální znaky. Nepoužívejte slova ani fráze. Heslo si neukládejte do prohlížeče a používejte raději správce hesel.
- Změňte URL adresu administrace pomocí pluginu.
- Nepoužívejte uživatele admin.
- Provádějte pravidelné aktualizace systému, pluginů i šablony vzhledu.
- Občas zkontrolujte uživatele Vašeho systému a přidělená práva.
- Začněte používat systém nejmenšího oprávnění. Každému uživateli svého systému přidělte opravdu pouze ty nejmenší práva, která jsou nutná pro to, aby mohl vykonávat svou práci. Žádná další práva nad rámec své činnosti nepotřebuje.
- Zablokujte administraci pomocí Geoip pluginu, nebo pomocí souboru .htaccess pouze na určité země.
- Nenahrávejte na web šablony vzhledu nebo pluginy, které jste si stáhli z neautorizovaných zdrojů jenom proto, že originál je placený. Crackované šablony i pluginy jsou obrovským zdrojem problémů a malwaru. Velmi často si pak sami a dobrovolně nahrajete na web nebezpečný software.
Bezpečnost a WordPress – FAQ
Existuje několik klíčových opatření pro zvýšení bezpečnosti WordPress stránek. To zahrnuje pravidelné aktualizace pluginů a témat, používání silných hesel, instalaci bezpečnostních pluginů a nastavení dvou faktorové autentizace.
Pravidelné aktualizace pluginů, jádra a témat jsou nezbytné pro zajištění bezpečnosti. Zálohování dat pravidelně pomáhá obnovit stránky v případě útoku nebo selhání systému.
Můžete chránit své stránky pomocí bezpečnostních pluginů, firewallů a sledováním neobvyklých aktivit. Dále je důležité minimalizovat počet pluginů a používat ověřené zdroje pro pluginy a témata.
“Hardening WordPress” je proces zvýšení bezpečnosti vašeho webu tím, že se zaměříte na odstranění nebo omezení potenciálních bezpečnostních hrozeb. To může zahrnovat změny v konfiguraci souborů, odebrání nepoužívaných pluginů a zajištění, že všechny hesla jsou silná a aktualizovaná.
Mezi nejčastější slabiny patří zastaralé verze pluginů a jádra, používání slabých hesel, nedostatečná ochrana proti útokům typu SQL injection nebo Cross-Site Scripting (XSS) a nedůsledné zálohování dat.
Web je vytvářen s pečlivostí k obsaženým informacím. Snažím se poskytovat kvalitní a užitečný obsah, který ostatním pomáhá, nebo je inspiruje. Pokud jste spokojeni s mou prací a chtěli byste mě podpořit, můžete to udělat prostřednictvím jednoduchých možností.
Odebírejte Newsletter
Buďte v obraze! Připojte se k odběru newsletteru a buďte první, kdo získá nejnovější informace přímo do vaší e-mailové schránky. Sledujte aktuality, exkluzivní události a inspirativní obsah, přímo na Vašem e-mailu.
