WordPress je nejpoužívanější CMS na světě – a tím i nejčastěji napadané. Automatizovaní boti skenují nonstop zastaralé pluginy, slabá hesla a známé bezpečnostní mezery. Kdo svůj WordPress web aktivně nechrání, je snadným cílem.
Nejčastější vektory útoků
Zastaralé pluginy a šablony
Převážná většina úspěšných WordPress hacků jde na vrub zastaralých rozšíření. Bezpečnostní mezery v pluginech jsou často aktivně zneužívány během hodin po jejich zveřejnění. Pravidelné aktualizace tedy nejsou volba, ale povinnost.
Slabé přihlašovací údaje
Brute-force útoky na wp-login.php jsou stále velmi rozšířené. Jednoduchá hesla a standardní uživatelské jméno "admin" jsou automatizovaně zkoušena.
Zneužití XML-RPC
Rozhraní XML-RPC mnoho webů nepotřebuje, ale je standardně aktivní. Útočníci jej využívají pro brute-force útoky a DDoS amplifikaci. Kdo jej nepotřebuje, měl by jej deaktivovat.
Nezabezpečené nahrávání souborů
Chyby ve validaci nahrávacích formulářů umožňují útočníkům nahrát škodlivé soubory na server a tam je spouštět.
Opatření, která skutečně pomáhají
1. Dvoufaktorová autentizace (2FA)
2FA je jedno z nejefektivnějších opatření proti zneužití účtu. I když jsou hesla ukradena, druhý faktor (např. TOTP aplikace) spolehlivě chrání přihlášení. Pluginy jako "Two Factor" nebo "WP 2FA" jsou rychle nastaveny.
2. Změna URL pro přihlášení a omezení přístupu
Standardní URL pro přihlášení /wp-login.php je botům známa. Změna URL nebo omezení přístupu na základě IP výrazně snižuje objem útoků.
3. Web Application Firewall (WAF)
WAF filtruje škodlivé požadavky, než se dostanou k WordPressu. Služby jako Cloudflare nebo pluginy jako Wordfence nabízejí filtrování založené na pravidlech pro známé vzory útoků.
4. Pravidelné zálohy s offsite ukládáním
Žádný bezpečnostní koncept není kompletní bez záloh. V nouzovém případě – například po úspěšném útoku – je aktuální záloha nejrychlejší cestou zpět k fungujícímu webu. Zálohy by měly být uloženy mimo server.
5. Zabezpečení práv souborů a wp-config.php
wp-config.php obsahuje přístupové údaje k databázi a měla by být odpovídajícím způsobem restriktivně konfigurována (oprávnění souborů 400 nebo 440). Práva zápisu na důležité adresáře by měla být snížena na minimum.
Managed Hosting jako bezpečnostní síť
U našich Managed-Hosting balíčků se staráme o serverová bezpečnostní opatření: konfigurace firewallu, automatické aktualizace, malware-scanning a denní zálohy. To vám jako provozovateli webu ulevuje a zajišťuje solidní základní zabezpečení.
Bezpečnost WordPressu není jednorázový úkol. Kdo průběžně aktualizuje, používá silné přístupové údaje a realizuje základní zabezpečovací opatření, výrazně ztěžuje práci útočníkům.