1. Domů
  2. Dokumentace
  3. Zabezpečení
  4. Jak udržet WordPress bezpečný

Jak udržet WordPress bezpečný

Zajímá vás, zda je WordPress bezpečný? Odpověď je ano. WordPress je postaven na nejnovější bezpečnostní technologii a má pravidelný plán vydání aktualizací, který zahrnuje aktuální záplaty proti zranitelnosti. Je také sledován a udržován velkou komunitou vývojářů, kterým záleží na zabezpečení. Pokud je WordPress tak bezpečný, proč jsme připravili průvodce předcházení hackům? Pravdou je, že ochrana vašeho webu je probíhající praxe. Zahrnuje to budování překážek pro útočníky, prevence poruch, sledování změn, odepření škodlivého přístupu, skrývání citlivých informací atd. WordPress spravuje více než 30% webových stránek a jeho popularita z něj dělá cíl pro počítačové zločince. Je to také platforma v neustálém vývoji, otevřená změnám a integraci s třetí stranou. Na JK Studio jsme si vědomi mnoha způsobů, jak může vaše stránka spadnout kořistí útoků a jsme odhodláni pomáhat majitelům stránek chránit je. Tuto příručku použijte ke zvýšení svých znalostí zabezpečení webu WordPress, implementujte nová opatření k zabezpečení svůj web a informujte o tom lidi kolem sebe na nutnost chránit jejich stránky.

Chraňte své soubory a databáze.

1) Před instalací WordPress

Při nastavování nové instalace WordPress byste měli vždy zvolit nejnovější stabilní verzi. Před instalací proveďte tyto dva jednoduché kroky zabezpečení webu v souboru wp-config.php:

  • Změňte předponu databáze
  • Použijte ověřovací klíče

Ve výchozím nastavení používají všechny instalace WordPress předponu wp_ pro svou databázi. To je v celém WordPressu konzistentní, proto se doporučuje změnit předponu každého webu, aby se zabránilo možným útokům souvisejícím s databází.

Chcete-li změnit předponu tabulky WordPress, změňte následující řádek v souboru konfigurační soubor wp-config.php s předponou, kterou chcete použít:

$table_prefix = ‚wp_‘;

Například:

$table_prefix = ‚newsite_wp_‘;

Tato změna vám také umožní mít několik instalací WordPress ve stejné databázi, pokud předponu neopakujete.
Pokud je váš web již nainstalován a nezměnili jste výchozí předponu
během procesu instalace není pozdě. Použijte plugin, jako je
Změňte předponu tabulky a proveďte úpravy. Můžete to také udělat
ručně, ale nedoporučuji to, pokud nejste obeznámeni s prováděním databázových změn.
WordPress má tajné klíče, které jsou uloženy v
soubor wp-config.php. Chrání otevřené relace šifrováním dat relace do souboru cookie prohlížeče. Před zahájením instalace byste měli vygenerovat tajné klíče.

Stejně jako u předpony databáze můžete tajné klíče na existujícím webu kdykoli změnit, což je úkol, který vám doporučuji provádět rutinně za účelem zneplatnění aktivních relací a vynucení opětovného přihlášení všech uživatelů.

I když si můžete své vlastní klíče vygenerovat ručně, doporučuji použít oficiální službu WordPress na adrese api.wordpress.org/secret-key/1.1/salt a nahradit je klíči ve vašem souboru wp-config.php.

Než přejdu k dalšímu tipu, mám ještě jednu radu ohledně tajných klíčů WordPress pro živé weby. V nepravděpodobném scénáři, kdy potřebujete odepřít jakýkoli typ přístupu na panel administrátora, dokonce i s přihlašovacími údaji, můžete nakonfigurovat klíče tak, aby zneplatňovaly každou mikrosekundu jejich nahrazením v souboru wp-config.php následujícím způsobem:

define (‚AUTH_KEY‘, microtime ());
define (“ SECURE_AUTH_KEY ‚, microtime ());
define (‚LOGGED_IN_KEY‘, microtime ());
define (‚NONCE_KEY‘, microtime ());
define (‚AUTH_SALT‘, microtime ());
define (‚SECURE_AUTH_SALT‘, microtime ());
define (‚LOGGED_IN_SALT‘, microtime ());
define (‚NONCE_SALT‘, microtime ());

Nezapomeňte tyto klíče preventivně aktualizovat nebo ukončit aktivní relace.

2) Po instalaci WordPress

Až dokončíte instalaci svého nového webu WordPress, by jste měli odstranit administrátorský profil použitý během instalace a vytvořit nového uživatele s oprávněními správce i jakéhokoli jiného potřebného uživatele.

Vyvarujte se uživatelským jmén, jako jsou admin nebo administrator, která jsou běžná ve všech instalacích WordPress, a nezapomeňte použít silné heslo.

Zakažte upozornění na pingbacks a trackbacks na panelu administrátora (Nastavení > Komentáře), protože mohou být vstupem pro možné útoky DDoS (Distribuované odmítnutí služby) na váš web.

Chraňte soubory před útoky a vniknutím přidáním následujících řádků kódu do souboru htaccess. V ideálním případě by to mělo být provedeno na začátku souboru umístěného v kořenovém adresáři vašeho webu:

#Deny Directory Listing
Options -Indexes
#Block sensitive files
<files .htaccess>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>

Měli byste zablokovat přístup k nepotřebným souborům vytvořením nového souboru .htaccess v adresáři / wp-admin a přidáním následujících řádků kódu:

#Block installation files
<files install.php>
Order allow,deny
Deny from all
</files>
<files setup-config.php>
Order allow,deny
Deny from all
</files>

Doporučuji zkontrolovat soubor robots.txt, který je umístěn v kořenovém adresáři vašeho webu. Tento soubor sděluje vyhledávacím robotům, co by na vašem webu mělo a nemělo být analyzováno, takže nezapomeňte zkontrolovat, zda nezobrazuje žádné citlivé informace o vaší instalaci WordPress, například ve složce wp-admin.

3) Změňte oprávnění pro soubory a Adresáře

Ujistěte se, že soubory a adresáře ve vaší instalaci WordPress mají příslušná oprávnění, která zabrání útočníkům převzít kontrolu nad vaším webem.

Oprávnění můžete změnit pomocí klienta FTP nebo prostřednictvím panelu správce poskytnutého vaším hostitelem webu.

4) Blokovat PHP v adresářích

Přestože instalace WordPress ve výchozím nastavení blokují nahrávání souborů PHP prostřednictvím administrátorského panelu, měli byste blokovat možnost spuštění kódu PHP v této složce. Měli byste také omezit zbytečné provádění kódu PHP v jiných složkách používaných WordPress, ke kterým by neměl být přistupováno přímo.

Vytvořte nový soubor .htaccess uvnitř svých složek „/ wp content / uploads“, „/ wp-content / plugins“ a „/ wp-content / themes“ a přidáním následujících řádků kódu zablokujte provádění PHP:

<Files *.php>
deny from all
</Files>

Poznámka: Mějte na paměti, že po každé změně v souboru .htaccess byste jej měli zkontrolovat v instalaci. Vyčistěte mezipaměť a ověřte, že přidaná pravidla fungují správně.

5) Zakázat úpravy souborů ve WordPressu

Tento krok se zaměřuje na přidání vrstvy zabezpečení pro panel správce, aby se zabránilo nežádoucím vetřelcům a omezily chyby provedené oprávněnými uživateli.

Chcete-li zakázat možnost úprav souboru v administrátorském panelu WordPress, použijte následující řádek kódu v konfiguračním souboru, wp-config.php:

define( ‚DISALLOW_FILE_EDIT‘, true );

Tento kód je ekvivalentem odebrání oprávnění „edit_themes“, „edit_plugins“ a „edit_files“ všem registrovaným uživatelům na webu.

Pokud nechcete, aby si uživatelé instalovali šablony a pluginy sami, můžete přidat další vrstvu kontroly pro živé weby. Chcete-li to provést, přidejte do konfiguračního souboru následující kód – wp-config.php:

define( ‚DISALLOW_FILE_MODS‘, true );

Nezapomeňte ji deaktivovat změnou směrnice na hodnotu false, pokud potřebujete provádět úkoly v instalaci WordPress. Proveďte všechny úpravy v souboru wp-config.php nad následujícím řádkem kódu:

/* That’s all, stop editing! Happy blogging. */

6) Použijte CDN jako DNS

Prostřednictvím již známých výhod služby CDN (Content Delivery Network) pro zlepšení výkonu vašeho webu, použití CDN typu DNS (před webovým serverem) může zlepšit zabezpečení webu následující třemi způsoby.

  • Dokáže aktivní bránu firewall, která je průběžně aktualizována proti škodlivému chování, jako jsou masivní připojení, sledovací porty atd.
  • Zabraňuje útokům hrubou silou pomocí distribuované serverové sítě poskytovatele, která minimalizuje pravidla blokování dopadu a aplikací pro detekci těchto typů útoků, obvykle DoS nebo DDoS.
  • Skryje skutečnou IP adresu vašeho serveru, která zabraňuje přímým útokům na váš web maskováním skutečné IP adresy, kde jste hostovaní.

Doporučuji použít CloudFlare jako CDN ke zlepšení zabezpečení a výkon vašich WordPress webových stránek.

7) Zálohování webu

I když doufáme, že tento tip nikdy nebudete muset použít, je lepší být v bezpečí než litovat a mít plnou zálohu svého webu.

Zřídka kdy potřebujete obnovit úplnou zálohu webu, ale v případě, že váš hosting má nástroj pro zálohování a snadné obnovení vyvinuté inhouse, nezávisle na webové službě Infrastruktury. Můžete být v klidu s vědomím, že máme kopie vašich souborů v případě jakéhokoli incidentu a budete moci obnovit vaše stránky snadno a rychle.

Doporučuji dodržovat pravidlo 3-2-1 jako strategii pro zálohy, které obsahují důležitá data.

  • Uchováte 3 zálohy.
  • Ve 2 různých formátech (minimálně).
  • 1 záloha by měla být v jiném fyzickém umístění.

V případě katastrofy je zbytečné mít všechny zálohy ve stejném formátu nebo umístění. Nezapomeňte vždy generovat novou zálohu poté, co proveďte důležité změny ve vašem WordPressu.

Zabezpečte své přihlašovací údaje a relace

8) Aktivace a vynutit protokol HTTPS

Protokol HTTPS slouží zabezpečené spojení mezi jednotlivými servery a eliminuje možné útoky MITM (Man-in-the-Middle). K následujícím útokům proveďte, když zprostředkující službu změníte nebo změníte informace vyměňované mezi dvěma konci. To je důvod, proč používat HTTPS šifrování pro všechny citlivé informace.

Chcete-li na webu použít protokol HTTPS, na jakýkoli webový server certifikát SSL a změnit adresu URL v panelu pro správu.

Existuje několik WordPress pluginů, které vynutí připojení HTTPS na všech zdrojích vašeho webu, aby se zabránilo warnings nebo chybám při podávání obsahu HTTP i HTTPS na stejné stránce.

Nakonec je třeba vynutit, aby každá nová relace v administrátorském panelu vašeho webu byla pod protokolem SSL přidáním dalšího kódu do wp-config.php:

define („FORCE_SSL_LOGIN“, true);
define („FORCE_SSL_ADMIN“, true

Poznámka: Nezapomeňte, že v instalaci musíte mít aktivní SSL, například ten, který poskytuje Let’s Encrypt.

9) Zakázat návrhy relací

Jak již bylo zmíněno, ale stojí za to zopakovat, poskytování co nejméně informací útočníkům by mělo být vaší hlavní prioritou. Tento tip vám pomůže minimalizovat možné položky na vašem webu zakázáním návrhů přihlášení z přihlašovací stránky, která se ve výchozím nastavení zobrazí, pokud je uživatelské jméno nebo heslo nesprávné.

no_wordpress_login_errors () function {
return „Thanks for trying, but there were problems logging in.“;
}
add_filter („login_errors“, „no_wordpress_login_errors“);

10) Přesunutí přístupu správce webu

Není divu, že na přihlašovací stránce dochází k mnoha útokům na webové stránky. Je to proto, že roboti jsou naprogramovány tak, aby rozpoznali instalaci WordPressu a přidali cestu / wp-admin, aby se dostali na přihlašovací stránku. Pak mohou snadno vynutit vstup, pokud jsou uživatelská jména a hesla slabá. Všechny WordPress weby používají stejnou cestu pro přihlašovací stránku, což znamená, že její změna přidá útočníkům další vrstvu obtížnosti.

V repozitáři WordPress je několik pluginů, které vám umožní změnit cestu a umístění přihlašovací stránky.
Například: www.wpstudio.online/novyadminpanel

Doporučuji WPS Hide Login plugin. Existují však další pluginy a mnoho bezpečnostních pluginů také zahrnuje tuto funkci.

11) Omezit pokusy o přihlášení

Web můžete nakonfigurovat tak, aby blokoval přístup na přihlašovací stránku na několik minut, několik hodin nebo trvale, když uživatel zadá nesprávné přihlašovací údaje určitým počtem. To ztěžuje robotům přístup prostřednictvím útoků hrubou silou.

Bezpečnostní pluginy, jako je Wordfence, obvykle zahrnují tuto funkci, stejně jako následující pluginy:

Některé doplňky brány firewall také obsahují tuto funkci.

12) Použijte Firewall Pluginy

Brána firewall je další vrstva bezpečnostního softwaru, který chrání vaše webová připojení nebo instalaci WordPress detekcí a analýzou příchozích připojení. Pluginy firewallu jsou velmi efektivní a snadno se spravují, protože vše je konfigurováno z jediného pluginu.

Obvykle obsahují Firewall WAF (Web Application Firewall), nástroj, který analyzuje a blokuje útoky na web v reálném čase.

  • Zabezpečení Wordfence (buďte opatrní s funkcí Live Tracc, která vás kvůli přetížení serveru může nechat bez služby).
  • Vše v jednom zabezpečení a firewall.
  • Zabezpečení iThemes (dříve lepší zabezpečení WP).

Některé doplňky brány firewall zahrnují také tyto funkce:

  • Skener souborů k vyhledávání změn, chyb a virů.
  • Firewall WAF, který detekuje a blokuje škodlivé návštěvy.
  • Komunikační prohlížeč v reálném čase.
  • Nástroj pro blokování přístupu na web pomocí IP.
  • Captcha pro přihlašovací stránku WordPress a funkce omezení pokusů o přihlášení kontrola hesla.
  • Dvoufaktorové ověřování pro přístup do administrátorského panelu WordPress schopnost blokovat konkrétní země.
  • Nástroj pro kontrolu oprávnění složek a souborů.

13) Použijte záhlaví zabezpečení

Zlepšete zabezpečení svého webu implementací řady záhlaví zabudovaných do webového serveru a odeslaných do prohlížeče.

Začněte záhlaví X-Frame-Options, které zabrání otevření stránek v externím rámci nebo iframe. Tím se zabrání útokům typu clickjacking na váš web: technika, která přiměje uživatele internetu odhalit důvěrné informace na zdánlivě normálním webu.

Přidáním následujícího řádku kódu do souboru .htaccess oznámíte prohlížeči, že rámce lze otevírat pouze ze stejné domény nebo
původ:

Header set X-Frame-Options SAMEORIGIN

Pokud váš web obsahuje služby, které mohou být vloženy třetími stranami, můžete určit, které domény jsou povoleny, a zamezit přístup ke zbytku. Například:

Header set X-Frame-Options „ALLOW-FROM https://example.com/“

Zvyšte ochranu svého webu před útoky XSS (cross-site scripting) na starší prohlížeče přidáním následujícího řádku kódu do souboru .htaccess:

Header set X-XSS-Protection „1; mode=block“

Chcete-li snížit riziko XSS, stavte na následujícím tipu pomocí záhlaví zásad zabezpečení obsahu nebo zásad zabezpečení obsahu prohlížeče, které určují, jaký obsah z vašeho webu nebo třetích stran je dovoleno dynamicky načítat.

Například pokud chcete, aby váš web přijímal pouze obsah ze stejné domény, přidejte do souboru .htaccess následující řádek kódu:

Header set Content-Security-Policy „default-src ‚self‘;“

To blokuje načítání skriptů z externích zdrojů.

Chcete-li upravit proměnné pro konkrétní projekt, například povolit skripty třetích stran, jako je Google Analytics, použijte tento řádek kódu:

header set Content-Security-Policy „script-src ‚self‘ www.google-analytics.com;

Toto záhlaví by mělo být pečlivě implementováno, protože je snadné blokovat zdroje bez povšimnutí. Doporučuji provést různé testy s touto hlavičkou na samostatné záložce prohlížeče a zkontrolovat chyby na terminálu.

Poznámka: Pokud jste na svůj server dříve zahrnuli záhlaví zásad x-content-security-policy a je zastaralé, budete jej muset odstranit, protože při použití obou záhlaví současně by to mohlo způsobit problémy.

Čtvrté záhlaví, které můžete použít ke zvýšení zabezpečení, je možnost X-content-type-options, která vás chrání před nechtěnými styly a skripty, které se mají načíst, když očekávané typy MIME neodpovídají tomu, co bylo deklarováno na stránce. Chcete-li přidat tuto ochranu, přidejte tento řádek do souboru .htaccess:

Header set X-Content-Type-Options „nosniff“

14) Zabraňte útokům XML-RPC

Soubor xmlrpc.php používají některé aplikace a software ke komunikaci s WordPress, například aplikace WordPress nebo poštovní klienti jako Outlook a Thunderbird, které umožňují funkci „publikovat e-mailem“. Pluginy jako Jetpack nebo Json Api používají pro některé ze svých funkcí soubor XMLRPC.

Přístup k souboru xmlrpc.php můžete zcela odepřít pomocí pravidel v souboru .htaccess nebo odstraněním, pokud jste si jisti, že jej nepotřebujete. Chcete-li odepřít přístup pomocí .htaccess, přidejte do souboru následující řádky kódu:

# deny access to xmlrpc.php <Files xmlrpc.php>
Order Deny,Allow Deny from all </Files>

K odepření přístupu k XMLRPC můžete také použít doplňky jako Zakázat XML-RPC nebo iThemes Security uvedené v tipu č. 14.

Pro ty, kteří tuto funkčnost API absolutně potřebují, je nejlepším řešením povolit ji pouze z IP adresy, kde potřebujete přístup, a zbytek odepřít.

V tomto konkrétním případě přidejte následující řádky kódu do souboru .htaccess a upravte IP na ten, který vyžaduje přístup:

<Files xmlrpc.php>
order deny, allow
deny from all
allow from X.X.X.X
</Files>

15) Zakažte JSON REST API

Od WordPressu verze 4.4 je rozhraní REST API zahrnuto do základního softwaru, což umožňuje každému vývojáři komunikovat s webem. To umožnilo WordPressu oslovit větší počet vývojářů, kteří WordPress neznají, ale zároveň ponechává otevřené dveře možným útokům na váš web, zejména útokům DDoS.

Pokud žádný z vašich pluginů nepoužívá REST API, můžete jej pro svou instalaci snadno deaktivovat. Jednoduše přidejte následující řádky kódu do souboru functions.php vašeho aktivního pluginu motivu nebo zdrojů:

add_filter(‚json_enabled‘, ‚__return_false‘);
Thisaddblocksfilter(‚jsonscriptsfromjsonploadienabled‘,gfromexte’returnnalsourcesfalse‘

Pokud si s kódem raději nemyslíte, můžete použít plugin Zakázat REST API. Můžete také použít plugin iThemes Security uvedený v tipu 12 o Firewall Plugins, který udrží REST API aktivní, ale umožní přístup pouze uživatelům s výhradními oprávněními.

Udržujte bezpečnou instalaci WordPress

16) Vyberte si renomované pluginy a šablony

Pluginy a motivy jsou výkonné zdroje třetích stran, které vám mohou pomoci zvýšit funkčnost vašeho webu WordPress. Stovky tisíc z nich jsou k dispozici jak v oficiálním úložišti WordPress, tak i jinde online. Protože ne všechny jsou prověřeny, představuje to vážný bezpečnostní problém. Většina z nás před instalací pluginu neprovádí vyčerpávající kontroly kódu a funkčnosti, ale pochybný plugin může způsobit narušení bezpečnosti a konflikty.

Stahujte pouze pluginy a šablony z úložiště WordPress a renomovaných webů. Před výběrem dalšího pluginu nebo tématu vám doporučuji:

  • Podívejte se na recenze, počet stažení a komentáře.
  • Podívejte se na nejnovější aktualizaci a zjistěte, zda je software aktivně udržován.
  • Prozkoumejte autora a podívejte se na další témata, která v úložišti vytvořili.
  • Zkontrolujte problémy s kompatibilitou softwaru a aktuální instalace.

Před instalací nového pluginu nebo šablony vždy proveďte úplnou zálohu webu.

17) Odstraňte informace o verzi WordPress

Tento bezpečnostní tip skryje informace o vaší verzi WordPress z kódu HTML na vašem webu. To zabrání útočníkům využívat jakékoli známé chyby zabezpečení spojené s konkrétní verzí WordPressu.

Informace můžete odstranit ze záhlaví HTML a ze statických souborů přidáním následujícího kódu do souboru functions.php vašeho motivu nebo do utilit vašeho pluginu:

/*
Hide scripts and style version
*/
function SG_remove_wp_version_strings( $src ) { global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‚ver‘]) && $query[‚ver‘] === $wp_version ) { $src = remove_query_arg(‚ver‘, $src);
}
return $src;
}
add_filter( ‚script_loader_src‘, ‚SG_remove_wp_version_strings‘ ); add_filter( ‚style_loader_src‘, ‚SG_remove_wp_version_strings‘ ); /*
Hide generator tag from the header */
function SG_remove_wp_generator() { return “;
}
add_filter(‚the_generator‘, ‚SG_remove_wp_generator‘);

Můžete také skrýt informace o aktuální verzi WordPress přidáním následujícího řádku kódu do souboru .htaccess uvnitř kořenového adresáře WordPress.

#Block WP info
<files readme.html>
Order allow,deny
Deny from all
</Files>
<files license.txt>
Order allow,deny
Deny from all
</files>

Poznámka: Ačkoli někteří průvodci zabezpečením WordPress doporučují tyto soubory úplně smazat, doporučuji zablokovat jejich přístup, protože nová aktualizace WordPress nebo opětovná instalace může vygenerovat nový.

18) Skrýt varování a oznámení PHP

Spolu s dalšími strategiemi pro omezení informací poskytovaných útočníkům je dobré skrýt chybové zprávy. Chybové zprávy mohou útočníkům poskytnout cenné informace, jako jsou verze PHP a WordPress vašeho webu, cesta k vašim složkám nebo informace o serveru.

Ve vývojových prostředích jsou chybové zprávy užitečné k ověření vaší práce a hledání potenciálních chyb, ale na živém webu byste měli tyto záznamy deaktivovat, abyste skryli informace, jako jsou cesty, názvy, verze a další.

Chcete-li zakázat chybové zprávy na WordPressu, jednoduše přidejte následující řádky kódu do souboru wp-config.php:

error_reporting( 0 );
ini_set( ‚display_errors‘, 0 );

19) Skrýt informace o Apache a PHP

Posledním tipem na skrytí informací je konfigurace hlaviček odeslaných servery. Ty často obsahují informace o softwaru nainstalovaném na serveru a prováděné verzi PHP.

V závislosti na instalaci byste měli skrýt nebo omezit sdílení informací o webovém serveru přidáním následujícího řádku kódu do souboru .htaccess v kořenovém adresáři:

ServerSignature Off

Existují dva způsoby, jak skrýt informace o verzi PHP vašeho webu, které některé servery odesílají v záhlaví HTTP. Nejprve přidejte následující kód do souboru .htaccess:

Header unset X-Powered-By

Nebo použijte následující direktivu v php.ini:

expose_php = Off

Poznámka: obvykle můžete tento řádek kódu přidat do aktivního souboru php.ini prostřednictvím panelu pro správu serveru, ale to se může lišit v závislosti na poskytovateli hostingu.

20) Udržujte svůj WordPress aktualizovaný

Chcete-li chránit svůj web před známými chybami zabezpečení, měli byste používat nejnovější verzi základního softwaru WordPress, aktualizovat všechny nainstalované pluginy a aktualizovat své šablony.

Osobně dávám přednost ruční údržbě svých stránek, i když to vyžaduje více pozornosti a času, protože mi to umožňuje být si vědom funkcí obsažených v každé aktualizaci a jejich důvodu. Pokud jde o pořadí aktualizací, vždy doporučuji nejprve aktualizovat základní software WordPress a poté, bez konkrétního pořadí, aktualizovat pluginy a šablony.

Pokud však chcete, aby se jádro WordPress aktualizovalo automaticky, jednoduše přidejte do souboru wp-config.php následující řádek kódu:

define( ‚WP_AUTO_UPDATE_CORE‘, true );

Poznámka: Pokud jste deaktivovali cron WordPress, automatická aktualizace se nespustí.

Po každé aktualizaci obdržíte e-mail na adresu, kterou používá účet správce platformy.

Aktualizace jádra WordPress je pouze jednou částí rovnice. Na základě zprávy z wpscan.org je 52% zranitelností nalezených v instalacích WordPress kvůli pluginům, 11% kvůli šablonám a 37% kvůli základnímu softwaru WordPress.

Pokud chcete automaticky aktualizovat pluginy, přidejte následující řádek kódu do souboru functions.php ve vaší aktivní šabloně nebo do pluginu funkcí:

add_filter (‚auto_update_plugin‘, ‚__return_true‘);

Před přidáním tohoto kódu odstraňte všechny nepoužívané pluginy na vašem webu. Jejich deaktivace nestačí k odstranění potenciálních zranitelností. Smažte je!

Přidáním následujícího řádku kódu se šablony automaticky aktualizují:

add_filter (‚auto_update_theme‘, ‚__return_true‘);

A konečně, nezapomeňte, že udržování zabezpečení vašeho webu WordPress je skvělé, ale počítač, který používáte, by měl být také chráněn před škodlivým softwarem a viry. Ujistěte se, že používáte renomovaný antivirus a váš operační systém je aktuální.

21) Vyberte důvěryhodnou hostitelskou společnost

Posledním bezpečnostním tipem, i když by měl být první z hlediska důležitosti, je vybrat zabezpečený server pro hostování vašeho webového projektu.

Váš poskytovatel hostingu by vám měl nabídnout zabezpečenou platformu a aktivně udržovat zabezpečení jejich infrastruktury. Buďte opatrní, pokud váš hostitel používá zastaralý software, nezajištěný přístup a pokud má jeho technická podpora malou znalost WordPressu.

Výběr správného poskytovatele hostingu ve velkém ovlivní úspěch a bezpečnost vašeho projektu WordPress.

Závěr

Říkají, že zdravý rozum není tak běžný, ale z hlediska bezpečnosti je to váš nejlepší spojenec. Používejte silná hesla, odstraňujte neaktivní uživatele, přiřaďte každému uživateli správné role, neukládejte aktivní relace na veřejných počítačích, aktualizujte čas serveru, povolte pouze zabezpečený přístup a aktivně sledujte svůj web.

Samozřejmě neexistuje nic jako 100% zabezpečený web, ale doufám, že vám tento průvodce pomůže udržet bezpečný web po dlouhou dobu. Při uplatňování těchto doporučení použijte svůj úsudek a používejte pouze tipy, které potřebujete a které jsou kompatibilní s vaším projektem. Udržet si přehled o nejnovějších zprávách a trendech ve WordPressu a zabezpečení webu vám může také pomoci.

Tato příručka je založena na mých zkušenostech s více než 12 lety práce s WordPress. Znalosti shromážděné a sdílené v této příručce existují převážně kvůli profesionálům v komunitě, kterým jsem velmi vděčný. Tyto tipy pocházejí také z mnoha online zdrojů o zabezpečení webu WordPress, jejichž obsah se generuje téměř denně, takže v době, kdy si přečtete tuto příručku, existuje velká šance, že některé tipy již budou zastaralé a jiné nebudou nutné, kvůli jádrovým aktualizacím WordPress.

Pomohl Vám tento článek? Ano 1 Ne