Bezpečnost WordPress webu s online kurzy

misab Aktualizováno dne Obecné

U WordPress webů s online kurzy je bezpečnost webu o něco zásadnější otázkou než u statické webové prezentace. Na webu s online kurzy se registrují zákazníci, probíhají tam nákupy, někteří přidávají komentáře či fotky. Všichni zákazníci mají svá uživatelská data uložená v databázi webu. Při kompromitaci webu může dojít k úniku těchto dat a jejich zneužití.

Nebudu zde rozebírat nutnost používat silná hesla (všichni tento požadavek milují) jak ze strany administrátorů webu, tak ze strany registrujících se zákazníků, změnu prefixu databáze či změnu přihlašovací URL. Těchto rad najdete mraky po celém internetu. Podíváme se na to, co by měl zajišťovat váš hosting, o co požádat odborníka a co může udělat vy – administrátoři svého webu.

Co můžete udělat vy jako administrátorky/administrátoři webu s online kurzy

Aktualizace a zálohy

Nejdůležitější věc, kterou můžete jako uživatel WordPressu udělat, je pravidelně aktualizovat všechny pluginy a udržovat si neustále funkční zálohu. Pravidelně rozhodně neznamená 4x ročně. Záleží samozřejmě na tom, jak často máte aktualizace na webu dostupné, obecně však lze říci, že pro web s online kurzy je vhodný interval jednou týdně. Ne všechny pluginy je však dobré aktualizovat okamžitě. Jedná se o větší pluginy zajišťující základní funkce, jako např. LMS plugin nebo e-shop. Tam je třeba zvážit, jak „velká“ je to aktualizace a pokud je to jedna z těch hlavních „větších“, která přidává nové funkce nebo zásadně mění ty stávající, tak je lepší počkat pár dní, kdy jsou většinou vydány opravné aktualizace k této hlavní.

Zálohu byste si měli dělat každý den a v ideálním případě občas vyzkoušet její obnovu např. na subdoménu, abyste měli jistotu, že jsou zálohy funkční. Zálohy většinou zajišťuje i hosting, otázka je, jak často. Vždy je nejlepší mít alespoň nějakou zálohu vlastní. Je třeba však nezapomínat na to, že obnova zálohy je závislá na pluginu, který byl pro její vytvoření použit., proto i zálohy prováděné hostingem jsou velmi důležité.

V rámci svých technických služeb pro weby s online kurzy zálohuji data každý den na tři místa, jednak na server, na kterém web běží, a pak do dvou geograficky oddělených lokalit.

Bezpečnostní plugin

Pokud váš webhosting nezajišťuje dostatečnou bezpečnost pro váš web, je možné si nainstalovat bezpečnostní plugin. Vždy je však lepší eliminovat rizika před tím, než se dostanou k webu, nejlépe na úrovni DNS nebo serveru, na kterém web běží.

Dobrou volbou je nainstalovat plugin, který omezí počet pokusů o přihlášení, např. Limit Login Attempts. Dále pak plugin, který nahradí funkce firewallu, např. BBQ Firewall případně NinjaFirewall. Myslete na to, že některé funkce se mohou překrývat, proto je vždy třeba si dobře přečíst, co vše daný plugin zajišťuje.

Limit na pokusy o přihlášení a firewall je dobré doplnit ještě změnou adresy přihlašovací stránky do WordPressu. Přihlašovací stránka, která je na adrese https://vasedomena.cz/wp-login.php (za vasedomena.cz dosaďte svou doménu) by měla směrovat na chybovou stránku 404 a nová přihlašovací stránka být na jiné adrese, kterou si sami zvolíte. Toho můžete dosáhnout např. pluginem WPS Hide Login.

Přihlašování do svého webu a případně i další formuláře na webu je vhodné zabezpečit také nějakou formou Captcha nebo alespoň honeypotu. Doporučuji použít službu Cloudflare Turnstile, která je zdarma a neporušuje soukromí návštěvníků webu jako některé jiné Captcha služby. Turnstile získáte založením účtu u Cloudflare, nastavíte si úroveň ochrany (např. Non-interactive – nevyžaduje žádnou interakci ze strany uživatele, uživatel uvidí pouze widget Cloudflare s aktivní ochranou, nebo Invisible – uživatel neuvidí nic) a zkopírujete si údaje pro propojení s webem. Poté nainstalujte plugin Simple Cloudflare Turnstile a postupujte podle jeho instrukcí.

Cloudflare

Tato služba se stala mezinárodním standardem pro bezpečnost webů. Je známa především jako CDN (Content Delivery Network). Cloudflare je síť serverů po celém světě, která umožňuje zabezpečení webu na úrovni DNS a rychlé zobrazování webu po celém světě. Umí toho mnohem víc, ale my se zaměříme na tyto dvě funkce. (Článek není kompletní, bude doplněn…)

Co chtít po svém poskytovateli webhostingu a/nebo požádat o pomoc odborníka

Některé z následujících doporučení lze aplikovat přidáním pravidel do souboru .htaccess, pokud je tento způsob podporován webovým serverem. Úpravu .htaccess souboru raději přenechte odborníkům.

  • oddělování webů na serveru – většina sdílených hostingů weby na jednom serveru bezpečnostně neodděluje, proto když je napaden jeden web, hrozí to samé i všem dalším na stejném serveru,
  • SSL certifikát (HTTPS),
  • nastavení bezpečných práv pro složky a soubory,
  • deaktivace provádění PHP v některých adresářích,
  • zakázání procházení adresářů,
  • zakázání výčtu uživatelů (user enumeration),
  • deaktivace XML-RPC (pokud není používán),
  • přesunutí wp-config souboru mimo hlavní složku s WordPressem,
  • chrana proti DDOS útokům,
  • GeoIP restrikce – blokace přístupu z některých zemí,
  • nastavení bezpečnostních hlaviček pro web,
  • nastavení Content Security Policy.
misab