8 tipů pro zabezpečení vašeho webu

Zabezpečení se v dnešní době řeší v mnoha oblastech a jinak tomu není ani u webových stránek. V době moderních redakčních systémů, které umožňují tvořit opravdu efektní, funkční a propracované weby, se totiž stále častěji setkáváme s nejrůznějšími druhy útoků směřujících právě na tuto oblast. Pokud i Vy máte své webové stránky, e-shop nebo třeba blog, a nebo se na jejich tvorbu teprve chystáte, určitě jejich zabezpečení nepodceňujte.

V dnešním článku se s Vámi podělím o několik tipů pro zajištění vyšší bezpečnosti Vašeho webu, e-shopu nebo blogu pracujícím pod redakčním systémem WordPress.

Tip 1 – Přihlašovací údaje

Pro přihlášení do administrace webových stránek se standardně využívá uživatelské jméno a heslo. Na tom samozřejmě není nic špatného. Problém ale nastává ve chvíli, kdy jako uživatelské jméno používáte příliš obecná slova jako například admin, administrator, uzivatel apod. Tato slova jsou nejčastěji využívána při útocích nejrůznějších robotů, kteří se snaží prolomit přístup k Vašemu webu. Snažte se proto u uživatelského jména použít taková slova, která nebudou snadno zjistitelná. Pokud už u svého webu používáte nevhodné uživatelské jméno, doporučuji provést jeho změnu. Postup změny je ale trochu komplikovaný, protože uživatelské jméno standardně změnit nelze.

Nejprve si tedy budete muset založit nového uživatele s novým uživatelským jménem, nastavit mu plný administrátorský přístup, následně se pod novým uživatelem přihlásit a původního uživatele smazat. Před tímto krokem doporučuji pro jistotu provést zálohu databáze.

Stejně jako v případě uživatelského jména si dejte pozor i na heslo. Vyvarujte se používání hesel jako jsou například 123, 123456, heslo, pass, password, admin, qwertzuiop, novak apod. Pro heslo nepoužívejte ani obecná slova, jména a názvy, které se vyskytují na Vašem webu. I v takovém případě mohou roboti heslo odhalit testováním kombinací textů, které na webu používáte. Nastavte si proto heslo takové, které bude složeno ze znaků (malých i velkých), číslic a ideálně také speciálních znaků (*&+;! …). Čas od času je také dobré heslo změnit.

Následně přejděte do nastavení svého profilu uživatele, ve kterém přibyla sekce Google Authenticator. Kliknutím na tlačítko Create new code vytvoříte unikátní kód, který za chvíli budete potřebovat. Vezměte si svůj mobilní telefon s operačním systémem Android nebo iOS a stáhněte si aplikaci Google Authenticator. Po jejím spuštění bude třeba vytvořit nový profil, který libovolně pojmenujte, opište do něj vygenerovaný kód z administrace WordPressu a nastavení uložte. Nakonec ve WordPressu nad vygenerovaným kódem aktivujte volbu Activea nastavení uložte. Jakmile se z administrace odhlásíte a budete se chtít znovu přihlásit, kromě standardního přihlašovacího jména a hesla bude nutné vyplnit také bezpečnostní kód, který si vždy vygenerujete prostřednictvím aplikace Google Authenticator ve svém mobilním telefonu.

Tip 3 – Omezení maximálního počtu pokusů o přihlášení

Dalším zajímavým pluginem je plugin Limit Attempts by BestWebSoft.

Soubor wp-config.php obsahuje důležité informace jako jsou název databáze, název serveru, na kterém je provozována, přihlašovací údaje a další. Standardně se nachází v instalačním adresáři redakčního systému WordPress na FTP serveru. Ten je přitom pojmenován například jako www. Pro zvýšení zabezpečení můžete soubor wp-config.php přesunout o úroveň výše, tedy ho vyjmout z adresáře www. Bude pak na stejné úrovni jako instalační adresář www WordPressu.

 Tip 5 – Omezení práv souborů a složek

Když už budete přihlášeni k FTP serveru, můžete rovnou nastavit doporučená práva pro složky a soubory, tedy jejichCHMOD hodnotu. Pro složky se používá obecně hodnota 750nebo 755, pro soubory pak 640 nebo 644. Speciálně pak u zmíněného souboru wp-config.php se doporučují ještě nižší práva s hodnotou CHMOD 600, a u souboru .htaccessdokonce 440 nebo 444. Po těchto změnách si ale ověřte správnou funkčnost webu a jeho součástí. Je totiž možné, že některé pluginy budou vyžadovat vyšší práva a nebudou se poté chovat správně, dokud práva prostřednictvím hodnoty CHMOD zase nezvýšíte.

Díky následujícímu jednoduchému zápisu (řádek si můžete zkopírovat) do souboru wp-config.php můžete vypnout možnost editace souborů šablon a pluginů v administraci WordPressu.

define('DISALLOW_FILE_EDIT', true);

define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);

Při instalaci redakčního systému WordPress je možné nastavit jiný prefix databázových tabulek, než přednastavený prefix wp_. Později lze tuto operaci provést pomocí různých pluginů. Pokud to však budete chtít vyzkoušet, zálohujte si předtím pro jistotu databázi.

V tomto článku jsem se několikrát zmínil o provádění zálohy. Tu lze provést hned několika způsoby. Příště Vám ukážu řešení, které je jednoduché, rychlé a elegantní.

Na závěr chci přidat ještě jedno malé upozornění. Pokud si s některým z uvedených tipů nebudete vědět rady, raději se zeptejte. Můžete mi napsat dotaz do komentářů, nebo e-mailem na lukas@uuw.webacademyclub.cz, moc rád Vám pomohu. Tento článek je informačním produktem a za případné úspěchy či neúspěchy z jeho informací plynoucí nenese autor žádnou odpovědnost.

A to je pro dnešek už opravdu vše, budu se na Vás těšit zase příště 🙂