WordPress Security: základní příručka dle přednášky Jana Drábka

První středu v měsíci jsme se sešli v útulném prostředí Živo u Palečka v srdci Brna na přednášce Jana Drábka: WordPress security. 

Pojďme se podívat na krátký souhrn toho hlavního.

Jak poznat, že váš WordPress web byl napaden?

Příznaky napadení jsou různé, a řada z nich nemusí jít na první pohled ani vizuálně poznat.

Mezi ty hlavní patří: 

• Web se neotevírá správně nebo vůbec;
• Nové stránky a uživatele v administraci; 
• Přesměrování na cizí stránky při návštěvě webu;
• Divné soubory na FTP;
• Obsah, co na web nepatří (různé skripty a podobně);
• a mnoho podobně… 

Co tedy dělat, když je web napadený?

Odvirování webu jednoduše – Jak na to?

Na začátek je dobré říct, že i když uděláte všechny níže zmíněné kroky, virus může být stále někde ve webu “usazený”. Abyste měli jistotu, že web je opravdu čistý, neobejdete se bez kontaktování bezpečnostního experta, který to prověří. 

Nicméně základní odvirování můžete zkusit i sami. 

Jak na to?

Jak se zbavit virů, když už se to stane?

1. Využít zálohu: Obnovit web ze zálohy je asi nejjednodušší řešení, ale pozor některé viry jsou na webu dlouho “usazené”, než se projeví, je tedy možné, že i záloha bude již preinfikovaná.
2. Odvirování: Najděte soubory, co tam nemají co dělat a smažte je! To můžete udělat přes FTP nebo pluginem, přičemž plugin WordFence nabízí asi nejlepší poměr jednoduchost/výkon.

💡Složky na FTP wp-admin a wp-includes můžete celé přepsat novými, jen pozor, aby šlo o složky ze stejné verze WordPress! 💡 

3. Znovuspuštění: Pokud jste měli web zavirovaný, tak po odvirování nezapomeňte změnit všechna hesla, vše zaktualizovat a celkově se na bezpečnost trochu zaměřit.

Co dělat, abyste předešli problémům s bezpečností?

Honza doporučuje několik kroků v rámci prevence napadení:

• Držte vše aktuální: pravidelně aktualizujte verzi WordPressu i pluginy.
• 💡K aktualizacím doporučuje Honza využít plugin Main WP 💡 
• “Admin” ne!: nezakládejte uživatelské jméno “admin”.
• Kvalitní webhosting: volte spolehlivý hosting s dobrým hodnocením (do hostování svépomocí se pusťte jen na vlastní nebezpečí)
• Změňte prefix tabulek: je to drobnost ale změňte “wp_” prefix tabulek.
• XML-RPC → REST API: XML-RPC je častým vektorem útoků, proto jej klidně zrovna zakažte (obzvlášť pokud ani netušíte, o co jde a k čemu to slouží).
• Jiná adresa pro přihlášení: změňte standardní wp-login.php na něco originálního (třeba /prihlaseni)
• Monitoring: sledujte, co se na webu děje.

Co si odnést z přednášky?

• Wordfence je skvělý, ale bere hodně zdrojů serveru: je to plugin, který za vás udělá spoustu práce a pokud máte na hostingu jeden web, určitě jej použijte.
• Solid Security: další užitečný plugin, co může pomoci s ochranou (obzvlášť pokud nepoužíváte child theme a nechcete si přidávat vlastní funkce)
• CloudFlare: online služba, která umí mimo jiné i velice dobrý firewall zdarma a valné většině webů by Honza doporučil její nasazení a využití.
• Buďte v obraze: čtěte newslettery od Pagestack a Wordfence pro tipy a novinky z oblasti bezpečnosti. 
• Aktualizujte pravidelně a najednou: použijte třeba plugin Main WP a zjednodušte si tento proces.
• Zálohování je MUST: nezapomeňte váš web pravidelně zálohovat.

Doporučené zdroje

• Quettera (Scenner)
• WordFence (Bezpečnostní plugin)
• Cloudflare (Firewall zdarma – mimo jiné) 

Závěr

I když uděláte vše správně, může se stát, že Vám web někdo napadne. Prevence je základ. Nicméně když už se to stane je důležité rychle jednat a snažit se objevit vektor, přes který útočník útok provedl, abyste mu v tom příště mohli efektivněji zamezit. V neposlední řadě pak nemusíte být žádný bezpečnostní expert/ka, abyste dodržovali základní pravidla a bezpečnostní tipy, které napadení vašeho webu zásadně ztíží.