Zabezpečenie WordPressu časť.1

Toto nie je vyčerpávajúci návod, ako si web zabezpečiť vlastnými silami, aj ak nie sme programátori. Ak chcete svoj WordPress web podobne zabezpečiť, kontaktujte ma.

WordPress je úžasný redakčný systém, a používa jej celý svet. To má ale také jednu nevýhodu – webové stránky, ktoré poháňa, sú často Cieľom automatizovaných útokov Rôzne robotov. To preto, že ich je toľko, a je tak väčšia šanca, že niektoré z nich bude Hure zaistená. Roboti sa snaží uhádnuť vaše prihlasovacie meno a heslo, “jakože” sa prihlásil do administrácie, a potom do webových stránok vložiť škodlivý kód. Nesnaží sa vás teda nijako okradnúť, ale váš web využijú k ďalšiemu šíreniu neplechy, a vy to ani nemusíte vedela.

V tomto článku vám chcem opísať, ako svoje weby chrániť ja.

1. Plugin Limit Login Attempts
Toto rozšírenie WordPress doslova “obmedzuje Prihlasovacie pokusy”, pretože WordPress samotný nijako nestráži, či niekto neskúšal heslo za heslom. Po inštalácii pluginu máte v predvolenom nastavení na prihlásenie do administrácie iba 4 pokusy. AK sa 4x pomýlite, budete na dvadsať minút zablokovaný. Nebo ktokoľvek iný, kto sa o to pokúsi. A prečo sa drzé pri zemi? Ja sa nebojím si nastaviť dva pokusy a dobu blokovanie na 9999 hodín ?

Plugin také vie poslať e-mail, ak niekoho zablokoval. Lenže keď ráno vstanete, a v pošte nájdete 50 emailu o päťdesiat pokusoch o vlámanie sa do Vašej administrácie, tak vám to na pokoji nepridá.

2. Obmedzenie prístupu na prihlasovaciu stránku cez .htaccess a .htpasswd
.htaccess súbor je špeciálny súbor s informáciami pre webový server. Vie toho veľa, ale ja chcel jednu vec – zaheslovať prístup k Prihlasovacie stránke. Roboti sú naprogramovaná, aby sa pokúsili prihlásil do WordPress – lenže keď im do cesty vložíte ešte inú – pokojne úplne triviálne – Prihlasovacie metódu, tak budú nahranie.

Do .htaccess súbore je tak potrebné umiestniť Približne nasledujúce:

<Files wp-login.php>
AuthUserFile … / www / .htpasswd
AuthName “FCUKOFF”
AuthType Basic
require user login
</ Files>

Od toho okamihu po mne web vyžadoval jednoduché heslo ešte pred tým, než som mohol zadať reálne heslo do administrácie.

Lenže e-maily so zablokovanými pokusy o prihlásenie chodili ďalej … že by si roboti poradili s týmto prihlásením, kde som si nastavil neškodné heslo “login”?

3. Obmedzenie prístupu na prihlasovaciu stránku na IP adresy
A prečo nechávať vrátka otvorená, keď môžem prístup na prihlasovaciu stránku povoliť iba z mojich domácich IP adries? A tak som do .htaccess pridal ešte nasledujúce:

<Files wp-login.php>
order deny, allow
allow from 12.34.56.78
allow from 98.76.54.32
deny from all
</ Files>

To už žiaden robot Nemôže prekonať, z mojej IP adresy na web príjmu Nemôže. Lenže ouha! Aj tak mi ďalej chodili e-maily o zablokovaných pokusoch. To už som začal tušiť zradu. Prihlasovacie stránku už mám zabezpečenú Lepšie ako Česká národná banka svoje účty, a napriek tomu to všetko roboti prekonajú, a snaží sa prihlásil PRIAMO do administrácie. Existuje jediná možnosť – do webu je možné sa prihlásiť i “inokade”.

A vskutku. WordPress totiž obsahuje ešte XML-RPC rozhranie pre vzdialenú komunikáciu, vďaka ktorému Môžete svoj web urobiť napríklad aj z chytrého telefónu. Ale aj ten sa musí Najskôr prihlásiť, aby váš web vedel, že ste to naozaj vy, oprávnený používateľ. A túto Prihlasovacie cestičku roboti skúšajú také.

Riešenie je jednoduché …

4. Zablokovanie XML-RPC rozhranie
AK nepotrebujete web spravovať z mobilu, potom stačí do .htaccess pridať nasledujúci riadok:

Redirect 403 /xmlrpc.php

Tím úplne vypnete možnosť vzdialené komunikácie, a teda aj posledné miesto, kde sa roboti MÔŽU pokúšať prihlasovať do vášho webu.

Od okamihu, keď som nasadil Všetky vyššie zmienených zabezpečenia, mi už neprišiel ani jeden e-mail ohlasujúci zablokovaného robota. Proste a jednoducho to doposiaľ nemajú kadiaľ skúšať. A to je dobre.

zdroj:https://www.mklusak.cz/ preklad Odin27