Warning: Constant ABSPATH already defined in /data/web/virtuals/1904/virtual/www/domains/blog.web-future.cz/wp-config.php on line 29

Warning: Trying to access array offset on value of type null in /data/web/virtuals/1904/virtual/www/domains/blog.web-future.cz/wp-content/themes/sweet-dreams/themetoolkit.php on line 156
Tipy, jak si zabezpečit svou WordPress instalaci | Budík
Přeskočit na obsah Klávesové zkratky na tomto webu

Tipy, jak si zabezpečit svou WordPress instalaci

Můj WordPress, můj hrad! V rámci tohoto hesla si ukážeme, jak zajistit základní bezpečnostní úpravy instalace WordPressu.

Omezit přístup do administrace pro vybrané IP adresy

Pokud se připojujete pouze z několika míst (např. doma a v práci), určitě si povolte pouze své IP adresy.

V adresáři wp-admin vytvořte konfigurační soubor .htaccess s tímto obsahem:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# povolene IP - doma
allow from xxx.xxx.xxx.xxx
# povolene IP - prace
allow from xxx.xxx.xxx.xxx

Na každém řádku začínajícím na „allow from" je uvedena jedna povolená adresa. Místo xxx.xxx.xxx.xxx tedy vyplňte svou IP. Vaši momentální adresu zjistíte např. na MojeIP.cz.

Tento soubor zajistí, že při přihlášení z jiných než uvedených IP adres Apache opoví chybovou hlavičkou hlavičkou 403 Forbidden.

Kdybyste někdy v budoucnu přešli k jinému providerovi, stačí přes FTP upravit .htaccess a IP adresy změnit.

Sledujte aktualizace pro WordPress

Toto je velmi důležité, pokud používáte českou verzi, která není zrovna příliš aktuální. Na blogu se nejlépe přes RSS dozvíte o nových aktualizacích, které je potřeba co nejdříve nainstalovat.

Zamčít přístup do administrace při zadání špatného hesla

Nainstalujte plugin Login LockDown, který zablokuje IP adresu, ze které se opakovaně zadávají chybná hesla. Zamezíte tak útoku brutální silou, kdy by útočník mohl použít aplikaci/skript pro automatické zadávání hesel ze slovníku. Ve výchozím nastavení jsou povoleny maximálně tři chybná hesla z jedné IP adresy během pěti minut. Paranoici si samozřejmě můžou nastavit přísnější limit.

Security through obscurity aneb Nikomu nic neřeknu

Není důvod, proč do světa hlásat, jakou verzi WordPressu máte nainstalovanou. Zbytečně tak můžete potencionální útočníky upozornit na starší děravou verzi.

HTML hlavičku lze editovat dvěma způsoby:

  • přes FTP editujte soubor /wp-content/themes/nazev-tematu/header.php
  • přes administraci: Vzhled – Editor motivů vzhledu – Záhlaví

Odstraňte řádek
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

RSS:

Soubor /wp-admin/export.php:

<!-- generator="wordpress/<?php bloginfo_rss('version') ?>" created="<?php echo date('Y-m-d H:i'); ?>"-->

upravte na

<!-- generator="wordpress" created="<?php echo date('Y-m-d H:i'); ?>"--> (v současnosti je to řádek 184).

Nezapomeňte při upgradech na novější verzi WordPressu znovu provést úpravy souborů.

Sitemap:

Máte-li aktivní plugin „Google XML Sitemaps", je v něm také uvedená verze WordPressu. Editujte soubor /wp-content/plugins/google-sitemap-generator/sitemap.php

Řádek $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generator=\"wordpress/" . get_bloginfo('version') . "\""));
změňte na $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generator=\"wordpress\"")); (v současnosti je to řádek 2037)

Použité zdroje: Three tips to protect your WordPress installation

Komentáře

  1. Carl114:

    Díky! Takové informace se hodí :)