WordPress: základní kroky k bezpečnosti

Stránky používající WordPress jsou častým terčem internetových útoků. Jaká základní bezpečnostní pravidla je proto nutné dodržovat?

WordPress je oblíbený publikační systém, s nímž se dá vybudovat firemní prezentace, webový magazín i osobní blog. Jeho značná rozšířenost však dělá z webových stránek, které využívají ke svému chodu právě WordPress, časté cíle záškodníků všeho druhu. Od komentářových spammerů po hackery šířící malware.

Jednou z nejzákladnějších chyb správců a provozovatelů webových prezentací je podcenění důležitosti ochrany. „Proč by někdo napadal zrovna můj web, není zase tak zajímavý,“ říká si mnoho správců a provozovatelů. Adresných útoků je skutečně minimum. Jenže většina útoků je automatizovaných a roboti rozhodně nejsou příliš vybíraví. Najdou zranitelný web, napadnou ho.

Převážně jim při útoku nejde o odstavení webu resp. narušení jeho chodu. Zlomyslné útoky tvoří menšinu a spíš jsou vedeny adresně proti větším rybám ve webovém rybníku. Mnohem častěji chce internetové robotické podsvětí napadený web jen zneužít, ideálně by si toho správce či provozovatel všiml co nejpozději.

Typickým příkladem je vložení kódu, který slouží k distribuci malwaru a číhá na návštěvníky s nedostatečně zabezpečeným počítačem (neaktualizovaný systém, zastaralá verze prohlížeče či některého z doplňků, absentující webový štít antivirového programu). Správce či provozovatel webu se o něm může dozvědět, když už vzniklo mnoho škod, které nemusí být snadné zlikvidovat.

Jedním z dopadů takového útoku může být zařazení webu na různé černé listiny, což může vést k blokování přístupu ze strany webového prohlížeče a perzekuci ze strany vyhledávačů. Dostat se z černé listiny je podstatně těžší, než se na ní objevit. Od webů, které byly kompromitovány, se velmi často distancují i provozovatelé nejrůznějších reklamních systémů, což může znamenat ztrátu zisků z reklamy.

Nemilá je samozřejmě i škoda, kterou kompromitovaný web způsobí svým návštěvníkům. Samozřejmě může velmi výrazně utrpět i reputace celého webu a vás jako provozovatele, na které se šrámy již nemusí zahojit nikdy.

Aktualizace je základ, neodkládejte ji

Základy zabezpečení webové prezentace využívající WordPress se neliší od neustále omílaných elementárních základů počítačové bezpečnosti. Opakování je však údajně matka moudrosti, takže si můžeme základy trochu oprášit.

Aktualizovat, aktualizovat, aktualizovat. Je velmi důležité udržovat instalaci samotného WordPressu aktuální a stejně tak všechny používané doplňky. Nové verze totiž velmi často řeší právě objevená slabá místa v zabezpečení. Problém je, že mnoha provozovatelům webů se nechce sahat do funkční instalace a proto se třeba vyhýbají automatické aktualizaci.

S novými verzemi mohou přijít i problémy s kompatibilitou, nemluvě třeba o nutnosti zvykat si na nové uživatelské rozhraní. Proto je aktualizace často odkládána, což je ovšem z bezpečnostního hlediska chyba. Správce webu by si měl najít čas na řádnou instalaci bezpečnostních aktualizací i na hledání a řešení potenciálních problémů s kompatibilitou, které se mohou vyskytnout.

Velkým problémem, o kterém se však příliš nemluví, jsou „mrtvé“ doplňky. Tedy takové, kterým už autor nevěnuje pozornost a neřeší tak třeba nově objevené bezpečnostní nedostatky. Většina doplňků je k dispozici zdarma, takže se jim nedostává transparentního životního cyklu a garantované podpory ze strany tvůrců.

Je tedy čistě na provozovateli či správci webu, aby si ohlídal, že jím používané doplňky jsou pořád „živé“ projekty, kde lze čekat vydávání aktualizací řešících nejen bezpečnost, ale třeba i u zmiňovanou kompatibilitou. Každý samozřejmě není programátor, aby si případné problémy mohl opravit sám. To ostatně ani nemusí být dost dobře možné bez porušení licence daného produktu.

Nepodceňujte význam hesel

Kromě řádné aktualizace lze k elementárním krokům pro zajištění bezpečného a hladkého provozu webové prezentace přiřadit ještě používání silných hesel pro uživatelský účet ve WordPressu, ale také pro účty pro přístup k souborům přes FTP klienta nebo přístup do MySQL databáze. Zde opravdu volba jednoduchého hesla nemá smysl ani pro notorické zapomnětlivce a lenochy.

Heslo pro přístup do MySQL databáze se u mnoha prezentací potřebuje pouze při prvotní instalaci publikačního systému. Totéž platí o heslu k FTP účtu, které si navíc může pamatovat za vás FTP klient. Uživatelské heslo pro přístup do webové administrace si zase může zapamatovat webový prohlížeč. Ani pohodlnost tedy není důvodem k používání slabých hesel.

K nejpoužívanějším heslům – navzdory veškeré osvětě a velmi dobře použitelným správcům hesel – stále patří: 12345, 54321, heslo / password, QWERTY a další bezpečnostní zvěrstva. Těch deset až dvacet nejčastěji používaných hesel zkusí při útoku i zlomyslné osmileté dítě. Pro roboty využívající výpočetní kapacitu miliónů infikovaných počítačů, to teprve není žádná překážka.

Silné heslo by se samozřejmě nemělo dát dobře uhodnout a ideálně by nemělo jít ani o existující slovo, přes které by se tzv. slovníkový útok mohl dostat. Ideální jsou náhodné kombinace malých a velkých písmen, číslic a případně i speciálních znaků. Uživatelé prohlížeče Mozilla Firefox mohou ke generování vhodných hesel použít rozšíření Password Generator. Rozšíření shodného názvu a obdobné funkcionality je k dispozici i pro Google Chrome. Mít je po ruce není na škodu. Hodí se nejenom při instalaci WordPressu, ale prakticky vždy, když chcete zvolit dobré heslo.

Bezpečnostní dohled včas upozorní

Velmi šikovným pomocníkem každého správce či provozovatele webu využívajícího WordPress je služba Website Defender. Jejích možností a schopností je možné (prozatím) v rámci veřejného betatestování využívat zdarma. Stačí se zaregistrovat a nainstalovat si do WordPressu potřebný doplněk.

Bezprostředně po jeho instalaci se můžete podívat na rychlý audit bezpečnosti. Website Defender poradí se změnou oprávnění k jednotlivým složkám s instalací WordPressu a upozorní na jeho zastaralou verzi nebo další potenciální nedostatky (používání účtu admin, používání prefixu wp_ v databázi). Praktickou součástí je mimochodem i generátor hesel a zálohování databáze.

Pro náročnější uživatele Website Defender doporučuje několik kroků k zabezpečení přístupu do administrace (do složky wp-admin), kdy lze používat dvoustupňové přihlášení nebo whitelist pro přístup jen z vybraných IP adres. Není to vyloženě nutnost pro zabezpečení stránek, ale úroveň ochrany to nepochybně zvyšuje.

Po jednoduché instalaci Website Defender bdí na bezpečností vašich stránek. V případě potřeby posílá e-mailem upozornění na potenciální problém. Občas vám může přijít jako přehnaně opatrný, ale je dobré vědět o všem, co se šustne. Ohlídá třeba aktuálnost instalace WordPressu, aktuálnost používaných doplňků, upozorní na nově vytvořené soubory nebo soubory pozměněné, změny v oprávnění atd.

Zkrátka, pokud se s prezentací cokoliv děje, Website Defender o tom pošle hlášení na zvolený e-mail. Správce či provozovatel stránek si pak jednoduše může ověřit jestli například změny v souborech šablony vzhledu dělal on, nebo jestli se někomu podařilo stránky kompromitovat a vpašovat na něco nežádoucího.

Na blacklist vás dostane i cizí spam

Užitečnou funkcí služby Website Defender je i monitorování některých využívanějších a respektovanějších černých listin obsahující nebezpečné nebo nevhodné weby. Snadno a rychle tak lze ověřit, že přístup na web nebude jakkoliv omezován. Pamatujte, že cestou na blacklist může být i přemíra komentářového spamu. Před těmito novodobými „cenzory“ s dobrými úmysly vás nezachrání ani výslovné distancování od obsahu komentářů.

Mít na webu povolené diskuse a nepoužívat antispamový nástroj Akismet je dnes takřka nemyslitelné. Pro osobní stránky resp. stránky nekomerčního charakteru je Akismet stále poskytován zdarma. Stačí rychlá registrace. Pro komerční prezentace je momentálně již Akismet zpoplatněn.

Pokud potřebujete ochránit jen jednu prezentaci, zaplatíte poplatek pět dolarů měsíčně. Za služby Akismetu je to opravdu marginální poplatek. Uhradit jej lze platební kartou s povolenými internetový platbami nebo přes populární mikroplatební systém PayPal.

Sečteno a podtrženo

Zrekapitulujme si stručně předešlé odstavce. Záškodničtí roboti útočí na prakticky libovolné stránky, které nejsou vhodně chráněny. Základem je udržovat WordPress v aktualizovaném stavu včetně doplňků (rozšíření a šablon), které rovněž používáte. Nevyplatí se podceňovat důležitost přístupových hesel. O komentářový spam se za vás postará nepostradatelný doplněk Akismet. Dohled nad děním okolo vaší webové prezentace zajistí služba Website Defender.