WordPress je v súčasnosti snáď tým najlepším a najrozšírenejším CMS – systémom na manažment obsahu webstránok, blogov a e-shopov. Pracujú s ním veľké spoločnosti, no vďaka jeho jednoduchej manipulácii s obsahom ho využívajú aj začínajúce startupy, či študenti na svoje študentské projekty. 

Často však o WordPresse kolujú informácie, že nie je bezpečný. Je bezpečnosť skutočným problémom WordPressu, alebo ide o hoaxy, ktoré šíria laici? V tomto článku si povieme, aké problémy s bezpečnosťou v spojitosti s inštaláciou WordPressu môžu vzniknúť, čo je ich príčinou a ako sa im vyhnúť.

 

Útoky na webové stránky

Je problémom WordPressu jeho bezpečnosť ? Odpoveď je nie, ale aj áno. Denne totiž celosvetovo prebiehajú útoky na webové stránky. Nie je to však výhradný problém WordPressu. Práve kvôli tomu, že WordPress tvorí viac než 30webstránok na celom svete, sa stal dobrým terčom pre hackerov – čo však neznamená, že je nebezpečný. Útoky vás môžu postihnúť aj ak máte web postavený na inom systéme. Kedy teda k útokom môže dôjsť a ako proti nim bojovať? 

 

5 najčastejších spôsobov útokov

  1. Zadávanie prihlasovacieho mena a hesla na spôsob pokusomyl (takzvaný brute force)
  2. Využitie zraniteľností v PHP kóde
  3. SQL Injekcie
  4. Vloženie skriptov na napadnutú stránku (XSS)
  5. Malvér

 

Čo môže spôsobovať tieto bezpečnostné problémy a zraniteľnosti? Za problémy s bezpečnosťou WordPress webstránok väčšinou zodpovedajú dodávatelia webov a eshopov, majitelia stránok, ale aj IT oddelenia či externí dodávatelia platformy.

Majitelia stránok si nedávajú pozor na aktualizovanie WordPressu a jeho komponentov na najnovšiu verziu, a práve to je najčastejším dôvodom ohrozenia bezpečnosti stránky. Bezpečnostné pluginy, ktoré boli nesprávne implementované, zastarané pluginytémy alebo jadro WordPressu samotného – to všetko vedie k už spomínaným problémom s bezpečnosťou a k zraniteľnosti webstránky hackermi. V neposlednom rade je to používanie pluginov a tém z nedôveryhodných zdrojov a slabé heslá.

V súčastnosti existuje viacero spôsobov, ako môžu hackeri ohroziť stránku alebo e-shop vytvorený pomocou WordPressu. Podľa prieskumu stránky wpscan.org je percentuálne zastúpenie zraniteľnosti a bezpečnosti nasledovné:

  • 11% z grafických šablón / tém,
  • 37% z jadra WordPressu,
  • 52% z pluginov.

 

Spôsoby a ciele útokov na WordPress stránky sú rôzne. Cieľom hacknutia je získať za bežných okolností nepovolený prístup na vašu WordPress stránku a použiť ju na šírenie spamu, získanie osobných alebo iných citlivých údajov, získanie výpočtového výkonu na dolovanie kryptomien a podobne.

Ako sa vyhnúť problémom s bezpečnosťou WordPressu a ako web udržiavať bezpečný?

Dôležitá je najmä prevencia a dôkladné opatrenia, ako však na to? Dobrou správou je, že voči spomínaným problémom existujú preventívne opatrenia. Niektoré su jednorazové, na iné musíte myslieť a vykonávať ich pravidelne. Ponúkame vám niekoľko tipov, ako zamedziť zraniteľnosti vašej WordPress stránky. Ochranu webu alebo e-shopu tiež zvyšujú niektoré pluginy.

 

8 tipov, ako zamedziť zraniteľnosti vašej WordPress stránky:

  1. Klaďte dôraz na to, aby verzia CMS a jej komponenty na webe alebo e-shope boli aktualizované na najnovšiu verziu
  2. Voľte si čo najsilnejšie heslo na prístup do administrácie, databázy a FTP
  3. Povoľte dvojstupňovú ochranu (t.j. heslo a kód z iného zariadenia, ako je napríklad mobilný telefón)
  4. Nainštalujte a správne nastavte bezpečnostné WordPress pluginy
  5. Zbavte sa pre vás nepotrebných pluginov a tém
  6. Pravidelne zálohujte web a e-shop a ujistite sa, že daná záloha je spoľahlivá
  7. Nastavte vhodné prístupové oprávnenia na serveri
  8. Priebežne spúštajte naplánované malware skeny

Komponenty používané na zvýšenie ochrany webu alebo e-shopu

  1. iThemes security
  2. WordFence
  3. Quaterra
  4. Anti-Malware Security and Brute Force Firewall
  5. Quttera Web Malware Scanner

 

Uviedli sme niektoré základné pluginy, ktoré sa inštalujú a nastavujú z dvoch dôvodov. Aktívnou ochranou je, že pomáhajú ochrániť inštaláciu aplikácie od hromadných útokov a zmien v súboroch. Zabezpečujú aj pasívnu ochranu, teda scan súborov inštalácie na zístenie prípadných hrozieb, napadnutí a slabých miest. Pokiaľ sa vám naše vysvetlenia zdajú nezrozumiteľné, prípadne si neviete s niektorým bodom ochrany poradiť, radi vám poradíme a pomôžeme. Stačí, ak nám vašu otázku napíšete do kontaktného formulára umiestneného vpravo.