Co je to WordPress hardening a jak zvýšit bezpečnost stránek?

WordPress hardening je proces, díky kterému dokážeme zvýšit bezpečnost webových stránek postavených na systému WordPress. Cílem hardeningu je minimalizovat rizika útoků ze strany hackerů, kteří se snaží získat neoprávněný přístup k webovým stránkám, ukrást citlivé informace nebo vyřadit web z provozu.

Aktualizace WordPressu

Základem toho, aby byl WordPress bezpečný, je nutné udržovat jádro WordPressu a jeho komponenty (pluginy a šablony) aktualizované. V případě, že byste využívali starou verzi systému a zastaralé komponenty, vystavili byste tím váš web zbytečnému nebezpečí a mohli byste se stát snadným terčem útoku.

Instalace bezpečnostních pluginů

Dnes je k dispozici mnoho bezpečnostních pluginů pro WordPress, které pomohou chránit váš web před různými horzbami a zranitelnostmi. Mezi nejpopulárnější bezpečnostní pluginy patří:

• WordFence Secruity
• Sucuri Security
• iThemes Secruity

Nainstalováním jednoho z těchto pluginů určitě neuděláte chybu, ale je důležité si uvědomit, že žádný plugin nemůže zaručit stoprocentní bezpečnost vašeho webu.

Zabezpečení souboru wp-config.php

Soubor wp-config.php je jeden z nejdůležitějších souborů v instalaci WordPressu. Obsahuje velmi citlivé údaje, jakou jsou přístupová hesla do databáze, konfigurační informace, náhodně generovanou „sůl“ pro ukládání hesel a další nastavení WordPressu.

Pokud používáte Apache server, můžete do souboru .htaccess v kořenovém adresáři vložit tento kód, který odepře přímý přístup k souboru wp-config.php.

# Block the wp-config.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

Také se ujistěte, že wp-config.php je pouze pro čtení a může ho číst pouze webový server, v jednoduchosti to znamená, že soubor bude mít nastavená oprávnění na 400 nebo 440.

Zabezpečení složky wp-includes

Jako další vrstvu zabezpečení stránek můžeme přidat tím, že zablokujeme přístup ke skriptům v složce wp-includes (jedná se o základní soubory a knihovny, které jsou nutné pro správnou funkčnost WordPressu).

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Zablokujte úpravy souborů přes administraci

Ve výchozím nastavení umožňuje administrace WordPressu upravovat soubory šablony a pluginů. To může útočník využít v jeho prospěch, pokud se mu podaří přihlásit do administrace.

Pomocí kódu níže zablokujete jak úpravu šablony, tak úpravu pluginů a všech souborů ve WP.

define('DISALLOW_FILE_EDIT', true);

Security through obscurity

Security through obscurity (bezpečnost skrze neznalost) patří mezi obecně špatná řešení, jak zvýšit bezpečnost webových stránek. V případě, že tuto strategii použijeme v kombinaci s dalšími bezpečnostními prvky, můžeme tím alespoň trochu snížit šance na hacknutí webových stránek.

• Přejmenovat administrátorský účet
• Změnit URL adresu pro přihlášení
• Změnit předponu tabulek v databázi