Zabezpečení WordPressu: nejčastější problémy a jak je řešit

WordPress teď pohání přes 40 % všech webů, takže není divu, že ho automatizované útoky neustále bombardují. Roboti většinou nenapadají konkrétní web, prostě prohledávají internet a zkoušejí každý WordPress, který najdou. To zní děsivě, ale hodně hrozeb zvládnete odbourat pár jednoduchými kroky.

Aktualizace jádra, pluginů a šablon

Největší slabina? Zastaralý software. Útočníci čekají na zveřejnění nových bezpečnostních záplat a okamžitě testují, kde je ještě stará verze. Takže minimálně zapněte automatické aktualizace jádra WordPressu pro bezpečnostní opravy.

Pluginy a šablony aktualizujte ručně, nejlépe jednou týdně, nebo zapněte automaticke aktualizace. Nepoužívané pluginy raději rovnou smažte - i když nejsou aktivní, pořád můžou být zdrojem průniku na Váš web.

XML-RPC: zastaralé, a přesto nebezpečné

XML-RPC kdysi sloužil k vzdálenému publikování, třeba z mobilu. Dnes ho skoro nikdo nepotřebuje, ale na spoustě webů je stále aktivní. Útočníci skrz něj dělají brute-force útoky (jedním požadavkem prověří stovky hesel) a DDoS amplifikace. I když se tento soubor již běžně nepoužívá, Wordpress ho stále zachovává pro zpětnou kompatibilitu.

Jak ho vypnout

1. Přes `.htaccess`

Do souboru .htaccesss v kořenovém adresáři WordPressu přidejte:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Tím XML-RPC zablokujete už před spuštěním PHP, což je nejúčinnější.

2. Pomocí pluginu

Nechcete editovat soubor? Najdete řadu pluginů, třeba Disable XML-RPC. Je to jednoduché, ale přidáváte další závislost na pluginu.

Ověření vypnutí

Zkuste jít na https://vasweb.cz/xmlrpc.php. Správná odpověď bude 403 nebo 404.

REST API: kdy ho blokovat

WordPress REST API (/wp-json/) je v zákulisí klíčové pro spoustu pluginů i šablon. Nelze ho bezhlavě vypnout všem. Nicméně pro běžné prezentace nebo blogy není nutné mít REST API povolené, spíš zbytečně ukazuje strukturu webu, pluginy a přihlašovací jména.

Pomůže plugin Disable WP REST API - stačí ho zapnout a REST API pro nepřihlášené návštěvníky je vypnuté.

Kdy ho použít

Firemní stránky, blogy, portfolia - kde není e-shop ani interaktivní prvky.

Kdy ho radši neblokovat nebo nejdřív otestovat

WooCommerce - REST API potřebuje.
Kontaktní formuláře nebo vyhledávání přes AJAX.
Weby na page builderech (Elementor, Divi) - REST API bývá nutné.
Členské weby s veřejným přihlášením.

Pokud si nejste jistí, zkuste plugin aktivovat, ale projděte všechny funkce - formuláře, vyhledávání, košík. Jestli vše funguje jak má, můžete ho nechat aktivaný. V situaci, kdy narazíte na problém, plugin deaktivujte a odinstalujte.

Ochrana přihlašovací stránky

Přihlašovací URL /wp-admin a /wp-login.php jsou pod neustálým útokem. Roboti tam každý den zkouší tisíce kombinací.

Co dělat

Používejte silná hesla a použijte unikátní přihlašovací jméno (opravdu ne admin).
Aktivujte dvoufaktorové ověření - třeba přes plugin WP 2FA.
Zvažte přesun login stránky na jinou adresu (třeba plugin WPS Hide Login) - bruteforce roboti tím odpadnou, i když cílený útočník to přejde.

Maximální zabezpečení WordPress s CrowdSec

Jak CrowdSec funguje, se dozvíte zde: Chytřejší ochrana: CrowdSec. Základní kroky zabezpečení WordPress jsou užitečné, ale neodhalí všechny hrozby – zejména útočníky, kteří mění IP adresy a rozdělují útoky na menší části. CrowdSec pracuje odlišně a poskytuje pokročilou, dynamickou ochranu.

Bezpečnost webu není jednorázová akce, je to průběžná práce. S CrowdSec a naším API klíčem budete mít monitoring a blokování hrozeb vyřešené automaticky, takže se můžete soustředit na svůj obsah a rozvoj webu.

Klíčová slova

redakční systém WordPress bezpečný hosting

Související otázky, které by Vás mohly zajímat

< zpět na nápovědu