Plánoval jsem napsat článek Jak zabezpečit WordPress před viry, ale zjistil jsem, že už mě předběhli jiní specialisté na WordPress (seznam článků přikládám níže). Abych se tedy alespoň podělil se svými zkušenostmi a tipy, co v případě napadení stránek dělat a čeho se vyvarovat. U několika stránek se mi v minulosti stalo, že byla napadena šablona a obsahovala pak různé iframe skripty, které se schovávaly za PHP funkcí eval(). Pročištění šablony často nepomáhalo a musel jsem přistoupit ke změně hesel (do administrace WP, FTP, databáze), smazání pluginů a jejich opětovného nainstalování. Za tyto problémy podle mého mohla buď zastaralá verze WordPress jádra a nebo některý z pluginů, který dovoloval XSS útoky. Aktualizace jádra a pluginů často pomůže, ale nemusí to platit vždy.
Doporučená knížka
Co dělat pro prevenci před hacknutím či napadením virů vám poradí skvělá knížka Locking Down WordPress (.pdf, 2,3Mb). Zkušení WordPress programátoři zde sdílejí své zkušenosti a tipy, co udělat pro maximálně bezpečný WordPress. Uvedou příklady konfigurace .htaccess, uživatelských práv, SSL certifikátu, nastavení práv souborů a složek, tipy na pluginy (například Login Lockdown) a online služby (Sucuri.net). Také je zde kapitola, která se věnuje situaci, kdy vaše stránky již byly napadeny a vy je potřebujete dostat do původního stavu. Co nikdy nedělat:
- nepoužívejte slabá hesla v kombinaci s výchozím účtem administrátora (admin),
- neposílejte hesla (na FTP, WP a další) emailem,
- nepřistupujte na FTP či do administrace webu bez použití SSL,
- neinstalujte pochybné pluginy a vzhledy,
- nechlubte se před odborníky na bezpečnost, že právě váš WordPress je neprůstřelný.
Co dělat pravidelně:
- aktualizujte jádro WordPressu (od věci není aktualizovat také pluginy a šablony),
- zálohujte WordPress, soubory, databázi, nastavení (na FTP, disk, online úložiště),
- obměňte jednou za rok heslo,
- občasné proskenování webu není na škodu,
- instalujte pouze prověřené pluginy a šablony.
Co dělat ve chvíli kdy byly stránky hacknuty nebo napadeny viry se dozvíte na codex.wordpress.org/FAQ_My_site_was_hacked nebo v knížce Locking Down WordPress (v kapitole You?ve been hacked. Now what?). Pluginy pro scan webu:
Články od jiných autorů