8 tipů pro zabezpečení vašeho webu

8 tipů pro zabezpečení vašeho webu

Zabezpečení se v dnešní době řeší v mnoha oblastech a jinak tomu není ani u webových stránek. V době moderních redakčních systémů, které umožňují tvořit opravdu efektní, funkční a propracované weby, se totiž stále častěji setkáváme s nejrůznějšími druhy útoků směřujících právě na tuto oblast. Pokud i Vy máte své webové stránky, e-shop nebo třeba blog, a nebo se na jejich tvorbu teprve chystáte, určitě jejich zabezpečení nepodceňujte.

V dnešním článku se s Vámi podělím o několik tipů pro zajištění vyšší bezpečnosti Vašeho webu, e-shopu nebo blogu pracujícím pod redakčním systémem WordPress.

Tip 1 – Přihlašovací údaje

Pro přihlášení do administrace webových stránek se standardně využívá uživatelské jméno a heslo. Na tom samozřejmě není nic špatného. Problém ale nastává ve chvíli, kdy jako uživatelské jméno používáte příliš obecná slova jako například admin, administrator, uzivatel apod. Tato slova jsou nejčastěji využívána při útocích nejrůznějších robotů, kteří se snaží prolomit přístup k Vašemu webu. Snažte se proto u uživatelského jména použít taková slova, která nebudou snadno zjistitelná. Pokud už u svého webu používáte nevhodné uživatelské jméno, doporučuji provést jeho změnu. Postup změny je ale trochu komplikovaný, protože uživatelské jméno standardně změnit nelze.
Nejprve si tedy budete muset založit nového uživatele s novým uživatelským jménem, nastavit mu plný administrátorský přístup, následně se pod novým uživatelem přihlásit a původního uživatele smazat. Před tímto krokem doporučuji pro jistotu provést zálohu databáze.

Stejně jako v případě uživatelského jména si dejte pozor i na heslo. Vyvarujte se používání hesel jako jsou například 123, 123456, heslo, pass, password, admin, qwertzuiop, novak apod. Pro heslo nepoužívejte ani obecná slova, jména a názvy, které se vyskytují na Vašem webu. I v takovém případě mohou roboti heslo odhalit testováním kombinací textů, které na webu používáte. Nastavte si proto heslo takové, které bude složeno ze znaků (malých i velkých), číslic a ideálně také speciálních znaků (*&+;! …). Čas od času je také dobré heslo změnit.

Tip 2 – Dvoufázové přihlašování

Znáte to, chcete se přihlásit ke svému bankovnímu účtu, vyplníte přihlašovací jméno, heslo a následně musíte počkat, než Vám dorazí SMS s ověřovacím kódem, bez kterého se dál prostě nedostanete. Podobné zabezpečení si můžete nastavit i u svého webu. Pomůže Vám s tím plugin Google for WordPress. Ten si jednoduše nainstalujete a aktivujete v něm modul Google Authenticator.
Následně přejděte do nastavení svého profilu uživatele, ve kterém přibyla sekce Google Authenticator. Kliknutím na tlačítko Create new code vytvoříte unikátní kód, který za chvíli budete potřebovat. Vezměte si svůj mobilní telefon s operačním systémem Android nebo iOS a stáhněte si aplikaci Google Authenticator. Po jejím spuštění bude třeba vytvořit nový profil, který libovolně pojmenujte, opište do něj vygenerovaný kód z administrace WordPressu a nastavení uložte. Nakonec ve WordPressu nad vygenerovaným kódem aktivujte volbu Activea nastavení uložte. Jakmile se z administrace odhlásíte a budete se chtít znovu přihlásit, kromě standardního přihlašovacího jména a hesla bude nutné vyplnit také bezpečnostní kód, který si vždy vygenerujete prostřednictvím aplikace Google Authenticator ve svém mobilním telefonu.

Tip 3 – Omezení maximálního počtu pokusů o přihlášení

Dalším zajímavým pluginem je plugin Limit Attempts by BestWebSoft.blog_0703
Ten Vám umožní nastavit maximální počet možných pokusů o přihlášení. Roboty snažící se prolomit Vaše přístupové údaje dokáže během krátké doby dočasně nebo úplně zablokovat. V praxi si můžete například nastavit 3 pokusy o přihlášení během jedné hodiny, kdy jakmile se kdokoliv pokusí během jedné hodiny třikrát přihlásit a nepodaří se mu to, je automaticky zablokován po dobu třeba další hodiny. Jakmile se poté znovu pokusí přihlásit, bude přidán na tzv. blacklist a zablokován trvale. Aby toho nebylo málo, dokáže Vás tento plugin o blokaci uživatelů informovat pomocí notifikačních e-mailů. Pokud tento plugin nepoužíváte, určitě doporučuji ho vyzkoušet. Sami časem uvidíte, kolik pokusů o neoprávněné přihlášení k Vašemu webu bude plugin registrovat.

Tip 4 – Přesunutí souboru wp-config.php o úroveň výše

blog_0706

Soubor wp-config.php obsahuje důležité informace jako jsou název databáze, název serveru, na kterém je provozována, přihlašovací údaje a další. Standardně se nachází v instalačním adresáři redakčního systému WordPress na FTP serveru. Ten je přitom pojmenován například jako www. Pro zvýšení zabezpečení můžete soubor wp-config.php přesunout o úroveň výše, tedy ho vyjmout z adresáře www. Bude pak na stejné úrovni jako instalační adresář www WordPressu.

 Tip 5 – Omezení práv souborů a složek

blog_0707Když už budete přihlášeni k FTP serveru, můžete rovnou nastavit doporučená práva pro složky a soubory, tedy jejichCHMOD hodnotu. Pro složky se používá obecně hodnota 750nebo 755, pro soubory pak 640 nebo 644. Speciálně pak u zmíněného souboru wp-config.php se doporučují ještě nižší práva s hodnotou CHMOD 600, a u souboru .htaccessdokonce 440 nebo 444. Po těchto změnách si ale ověřte správnou funkčnost webu a jeho součástí. Je totiž možné, že některé pluginy budou vyžadovat vyšší práva a nebudou se poté chovat správně, dokud práva prostřednictvím hodnoty CHMOD zase nezvýšíte.

Tip 6 – Vypnutí editace šablon a pluginů v administraci

blog_0708Díky následujícímu jednoduchému zápisu (řádek si můžete zkopírovat) do souboru wp-config.php můžete vypnout možnost editace souborů šablon a pluginů v administraci WordPressu.
define('DISALLOW_FILE_EDIT', true);

Tip 7 – Aktivace https zabezpečeného přihlašování

V souboru wp-config.php můžete také s pomocí zápisu níže aktivovat zabezpečené přihlašovánípomocí https protokolu. Ověřte si ale, zda to podporuje také Váš webhosting.
define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);

Tip 8 – Změna prefixu databázových tabulek

blog_0709Při instalaci redakčního systému WordPress je možné nastavit jiný prefix databázových tabulek, než přednastavený prefix wp_. Později lze tuto operaci provést pomocí různých pluginů. Pokud to však budete chtít vyzkoušet, zálohujte si předtím pro jistotu databázi.

V tomto článku jsem se několikrát zmínil o provádění zálohy. Tu lze provést hned několika způsoby. Příště Vám ukážu řešení, které je jednoduché, rychlé a elegantní.

Na závěr chci přidat ještě jedno malé upozornění. Pokud si s některým z uvedených tipů nebudete vědět rady, raději se zeptejte. Můžete mi napsat dotaz do komentářů, nebo e-mailem na lukas@umimeudelatweb.cz, moc rád Vám pomohu. Tento článek je informačním produktem a za případné úspěchy či neúspěchy z jeho informací plynoucí nenese autor žádnou odpovědnost.

A to je pro dnešek už opravdu vše, budu se na Vás těšit zase příště 🙂

Lukáš pomáhá podnikatelům tvořit moderní weby, které budují vztah s návštěvníky a díky tomu snadno prodávají. Krásné moderní weby, marketing a strategie online prodeje jsou jeho každodenním šálkem kávy.

CHCETE VĚDĚT O NOVINKÁCH NA BLOGU?

Vložte svůj e-mail a jakmile tady bude něco nového, budete o tom vědět mezi prvními.

Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *