Standard zabezpečení WordPressu

Je nutné předcházet útokům na Váš WordPress, proto budete potřeboval následující pluginy pro ochranu webové stránky

Všechny pluginy jsou zvoleny tak, aby byla maximální účinnost a minimum nastavení pro uživatele a byli dostupné zdarma

 

Potřebné pluginy:

1. Jetpack od WordPress.com

• https://cs.wordpress.org/plugins/jetpack/

2. Limit Login Attempts Reloaded

• https://cs.wordpress.org/plugins/limit-login-attempts-reloaded/

3. Wordfence Security

• https://cs.wordpress.org/plugins/wordfence/

4. Advanced Automatic Updates

• https://cs.wordpress.org/plugins/automatic-updater/

5. Disable XML-RPC

• https://cs.wordpress.org/plugins/disable-xml-rpc/

6. Advanced noCaptcha

• https://cs.wordpress.org/plugins/advanced-nocaptcha-recaptcha/

 

 

 

Jetpack

1. Po instalaci je nutné spárovat s Vašim účtem v Jetpack/WordPress.com
2. Po přihlášení potvrdit Váš účet u WordPress.com

• Nebo založit nový účet a následně spárovat

3. Další krok je nutné si vybrat Váš plán odběru Jetpacku, samozřejmě je tam i verze FREE/ZDARMA

Limit Login Attempts

• Prvek zabezpečení proti Brute-Force útokům, tento útok má za-úkol prolomit heslo uživatele velkým množstvím pokusů
• Nastaví omezený počet užití špatného hesla – základní počet jsou 4 pokusy
• Instalace je bez nastavení, stačí mít aktivní v přehledu pluginů

 

Wordfence Security

Firewall, Malware scan a jiné bezpečnostní prvky

1. Nainstalujete plugin v administraci WordPress
2. Po instalaci Wordfence vyžaduje následující údaje

• Váš email pro aktivaci
• Vybrat zda chcete odebírat emailové zprávy/varování nebo ne
• Potvrdit podmínky Wordfence

3. Wordfence se automaticky nastaví na základní režim, který je pro běžného uživatele plně postačující

 

Advanced Automatic Updates

Zajistí automatické aktualizace vašeho WordPressu, funkce se velice doporučuje všem co to nemají čas dělat ručně. Plugin je bezúdržbový.

Provedete instalaci, aktivaci a nastavíte funkci aktualizací MENU>NASTAVENÍ>Advanced Automatic Updates

 

Disable XML-RPC

Funkci XML-RPC není potřeba rozebírat, důležité je že ji zneužívají útočníci a Váš web se pak může podílet třeba na DDOS útoku, proto je dobré funkci odstavit tímto pluginem který jen nainstalujete a aktivujete

 

Advanced noCaptcha

CAPTCHA plugin proti spamu, robotům a jiným scriptům zneužívající formuláře k automatické akci

1. Nainstalujete a aktivujete
2. V menu nastavení WordPressu najdete nastavení pluginu
3. Potřebujete Site Key a Secret Key od Googlu, ten naleznete pod odkazem(nastavení pluginu) v názvu Google
4. V Google Captcha administraci najedete na Register a new site – tlačítko v pravém rohu +/Create
5. A vyplníte následující formulář (obrázek je vzor) a potvrdíte tlačítkem SUBMIT na konci formuláře
6. Zkopírujete SITE KEY a SECRET KEY
7. Vložíte klíče v administraci pluginu do prázdných polí
8. Odfajfkujete všechny dostupné forms a uložíte změny

Základní tipy bezpečnosti systému WordPress

• Vždy a pravidelně provádějte aktualizace jak jádra WordPressu tak všech pluginů
• Základní uživatel/administrátor by neměl mít přihlašovací jméno/login v základním stavu „admin“ nebo „administrátor“ aby útočník nemohl zkoušet prolomit základní účet
• Doporučené administrátorské jméno je třeba „adminXYZ“
• U všech formulářů používejte Captchu, nejlépe Google
• Kontrolujte Wordfence malware scan, zda se neobjevilo něco negativního