WordPress je open-source, to nesie výhody aj nevýhody

WordPress má licenciu open source, rovnako ako operačný systém Android, prehliadač Mozilla Firefox alebo prehrávač VLC media player. To znamená, že sú voľne stiahnuteľné, môžete ich upravovať a zdieľať. Výhoda je, že zdrojový kód vie programátor prečítať a upraviť si ho. Nevýhodou ale je, že sa dá jednoduchšie prelomiť, nájsť chybu, a tým ohroziť bezpečnosť. Chyby sa pravidelne nahlasujú na stránku a vedia o nich v podstate všetci.

To znamená, že ak sa nahlási chyba verejne, vedia o nej programátori a v najbližšej verzii túto chybu opravia. Každou jednou verziou sa opravujú tieto chyby. Problém nastáva v momente, keď WordPress neaktualizujete. Pravidelné aktualizácie by sa mali robiť aspoň raz za mesiac, postačí aj raz za 3 mesiace. WordPress neaktualizovaný viac ako rok dozadu je risk a dlhšie ako 3 roky už očakáva, že bude napadnutý každú chvíľu.

Aktualizovať, jednoznačne aktualizovať

Pravidelnými aktualizáciami dosiahnete to, že Váš web bude zabezpečený a pravdepodobne aj rýchlejší. Vývojári totiž nerobia iba zabezpečenia, ale taktiež aj zrýchlenie vďaka použitiu nových funkcií v PHP. Nezabudnite si totiž meniť na webstránke aj hodnotu PHP. PHP je programovací jazyk, na ktorom beží aj WordPress. Preto je dôležité, aby Váš webhosting podporoval aktuálnu verziu 7.4.

Stáva sa aj to, že môžete mať tému, ktorá ešte nie je kompatibilná s novým WordPressom a po aktualizácií môže nastať chybová hláška. Pokiaľ ale máte webový hosting, akým je WebSupport, tak si viete za pár minút stránku obnoviť a vrátiť do pôvodného stavu. Aktualizáciu stránky tak môžete zveriť expertovi na WordPress.

Pluginy sú riziko, čím menej tým lepšie

Každým jedným pluginom rastie riziko zraniteľnosti stránky. Snažte sa aktualizovať pluginy, pokiaľ sa dajú. Pluginy, pri ktorých ukazuje, že už dlho neboli aktualizované, majú určite nejakú zraniteľnosť. Existuje množstvo podobných pluginov.

Ako sa teda vie dostať malware na stránku

Najväčší podiel na napadnutí stránky, majú následovné veci, na ktoré treba dbať.

1. Neaktualizovaný WordPress – riziko možnosti exploitu
2. Neaktualizovaný plugin – riziko možnosti exploitu
3. Používanie pluginu bez licencií – možnosť zadných dvierok, nakoľko nemajú aktualizáciu aj exploit
4. Nedostatočne chránené heslo – ľahké použitie word attacku
5. Administrátor má názov Admin – chyba, ktorá uľahčuje útočníkovi, že web nemusí byť ťažké prekonať
6. Nevymazané nepoužívané staré témy – treba ich vymazať (najmä pred-nainštalované WP témy)
7. Žiadny firewall – žiadna ochrana proti pokusom o využitie exploitu

Nainštalujte si aspoň WordFence

Na Vašom webe by určite nemal chýbať plugin WordFence. Jeho úlohou je pravidelne skenovať súbory a upozorňuje na neaktualizované pluginy, kontroluje každý súbor, ak je v ňom malware, tak Vám to oznámi. Jeho verzia zdarma má aj niekoľko ďalších výhod :

• Upozorňuje na prihlásenie administrátorov stránky
• Limituje počet zadaní chybných hesiel
• Blokuje spamové a adresy zo zahraničia, ktoré sa snažia prihlásiť na Váš web
• Blokuje zadávanie zraniteľných parametrov, vďaka ktorým by sa vedeli útočníci dostať na web

Čo už s napadnutou stránkou

Pokiaľ máte “zavirenú stránku”, tak správne, máte teda malware na stránke. S veľkou pravdepodobnosťou pozmenil pôvodné súbory WordPressu, rozšíril sa aj do subdomeny a v priečinku wp-content/uploads/, ktorý slúži na obrázky, nahrávanie obrázkov z rôznych dátumov ukryl viacero súborov. V najlepšom prípade Vám web funguje, ale dostali ste hlásenie od webhostingu, že sa tam nachádza.

V horšom prípade, napadol aj wp-config, ktorý nebol správne chmodnuty, a tak sa dostal aj do nastavení a mohol Váš web presmerovať, ukradnúť dáta z databázy, či infikovať ďalšie stránky na zdieľanom webhostingu. V takom prípade je najideálnejšie, aby Vám s vyčistením stránky niekto pomohol. Za svoju prax čo tvorím webové stránky, upravujem existujúce webstránky atď. som vyčistil vyše 45 webových stránok a zabezpečil web tak, aby sa to nikdy neopakovalo. Je ale dôležité aktualizovať web, pretože bez aktualizácií, tam stále bude malé riziko. Dôraz je potrebný aj na kvalitný a zabezpečený webhosting s najnovšími web technológiami.

Prispevok Ako sa môže dostať vírus (malware) na WordPress stránku appeared first on IT Blog Michaela Šubáka | BestRanger.eu.

S WordPressom pracujem už od roku 2012, kedy som založil tento blog, naučil som sa vďaka nemu veľa, aktuálne moje skúsenosti využívam ako WordPress developer. Tu je niekoľko najdôležitejších rád, ktoré by ste mali dodržiavať.

1. Aktualizácie sú veľmi dôležité

WordPress je v licencií open source, podobne ako operačný systém Android, prehliadač Mozilla Firefox alebo prehrávač VLC media player. To znamená, že sú voľne stiahnuteľné, môžete ich upravovať a zdieľať. Výhoda je, že zdrojový kód vie programátor prečítať a upraviť si ho. Nevýhodou ale je, že sa dá jednoduchšie prelomiť, nájsť chybu a tým ohroziť bezpečnosť.

Preto je najdôležitejšie aktualizovať vždy systém WordPress ako aj pluginy, ktoré dotvárajú funkcie samotnému webu. Pokiaľ používate starý plugin, starší WordPress je práve teraz váš web zraniteľný aspoň jedným z exploitov. Mnohokrát už som musel riešiť problém s malwarom na stránke, preto je najlepší krok aktualizovať, aby ste predišli následnému znefunkčneniu stránky, strate údajov alebo ukradnutí údajov.

2. WordPress má svoje požiadavky

Aby Váš web bežal tak ako má, je potrebné splniť najprv tie najzákladnejšie podmienky – verzia PHP, verzia MySQL databázy a pod. Väčšina podmienok závisí od serveru, teda web hostingu, ktorý využívate. V podstate ale na bezproblémový web s najnovšiou WordPress verziou by ste mali mať na web hostingu nastavené :

• PHP aspoň 5.6 ale najlepšie 7.2 ale vyššia
• MySQL 5.6 alebo MariaDB 10.0
• Nginx alebo Apache s mod_rewrite modulom (spĺňa väčšina webhostingov)
• HTTPS podpora

Môžem s určitosťou povedať, že na WordPress web je najvhodnejší WordPress webhosting od Websupportu.

3. Témy zdarma sú risk

WordPress je zadarmo, viete si stiahnuť pluginy zdarma, ktoré Vám umožnia pridávať funkcionality. Často-krát sú ale niektoré pluginy spravené tak, aby ak chcete viac rozšíriteľnosti museli zaplatiť. Takto sú robené aj niektoré témy, autor teda svoju tému stále aktualizuje, nakoľko si niekto zakúpi plnú verziu témy. Čo ale s témami, ktoré nemajú žiadnu možnosť rozšírenia na plnú verziu ? Často-krát sa stáva, že tieto témy zostanú neaktualizované niekoľko rokov a potom stačí už len naozaj málo a vaša stránka je zraniteľná.

Najhorší variant, ktorý môžete spraviť je, že si stiahnete alebo Vám nejaký “programátor” dodá tému, ktorá bola stiahnutá z internetu, tzv. nulled. Tie sú zväčša s nejakým malým skriptom, ktorý buď niečo zachytáva, má v sebe nejaký exploit, alebo máte šťastie a nemá nič. Ale aj to je potom problém aktualizovať a tu sa potom dostávame k bodu č.1 znova. Určite by som nezačínal e-shop na téme zdarma, nakoľko samotný WooCommerce má pravidelné aktualizácie a pokiaľ téma zostane a WooCommerce budete aktualizovať, môže dochádzať k nefunkčnostiam.

4. SSL Certifikát by ste už mali mať nainštalovaný

Pokiaľ váš web stále beží na http:// namiesto https:// tak by ste to mali do júla 2018 napraviť. Ak používate webhosting ako WebSupport, tak máte možnosť využiť zadarmo SSL Certifikát nazývaný ako Let’s Encrypt. V júli už webstránky bez https a taktiež Váš web budú označené ako nezabezpečené výstrahou pri adrese stránky v prehliadači. SSL Certifikát tak už nie je nutnosť len každého jedného e-shopu a každej jednej spoločnosti, ktorá má web stránku. Ale týka sa aj bežných stránok, blogov. SSL certifikát ma niekoľko výhod:

1. Váš web bude označený zámkom a bude pri ňom zobrazené bezpečne
2. Váš web bude vyššie vo vyhľadávaní v záznamoch Google
3. Váš web sa nebude môcť zneužiť na útok pomocou Man-in-the-middle a tak budete chrániť seba ale aj svojich zákazníkov, ktorí sa na web prihlasujú.

Pokiaľ máte problém s nasadením https protokolu, kľudne ma kontaktujte

5. Web treba chrániť

Je pravda, ako som písal vyššie, že je potrebné aktualizovať WordPress, stále ak je to možné. Ale myslím, že by na Vašom webe určite nemal chýbať plugin WordFence, ten je veľmi nápomocný pri hľadaní malwaru. Pravidelne skenuje súbory a upozorňuje na neaktualizované pluginy, kontroluje každý súbor, ak je v ňom malware, tak Vám to oznámi. Jeho verzia zdarma má aj niekoľko ďalších výhod :

• Upozorňuje na prihlásenie administrátorov stránky
• Limituje počet zadaní chybných hesiel
• Blokuje spamove a adresy zo zahraničia, ktoré sa snažia prihlásiť na Váš web
• Blokuje zadávanie zraniteľných parametrov, vďaka ktorým by sa vedeli útočníci dostať na web

Wordfence Security – Firewall, Malware Scan, and Login Security (Free, WordPress) →

Je ale treba WordFence veľmi dobre nastaviť, pretože niekedy to môže byť pre web veľká zátaž, nakoľko môže využívať plný max_memory_limit a tak spomaľovať web.

6. Úpravy treba robiť v child téme

Často-krát sa stretávam s tým, že klientovi bol robený web a úpravy boli robené priamo v téme. To znamená len dve riešenia, nechať to tak a čakať pokiaľ sa aktualizuje WordPress a iné pluginy a prídu chyby, vymažú sa úpravy alebo vytvoriť child tému. Čiže v podstate odvodenú tému, ktorá využíva svoje upravené php súbory ,a ktoré nie sú upravené načíta z originálnej témy. Tento krok je určený skôr pokročilým užívateľom, no pokiaľ chcete zasahovať do naprogramovanej témy, určite by ste mali vytvárať odvodenú tému pre bezproblémovosť a aktualizovanosť. Najmä pri aktualizácií WordPressu.

Ďalšie odporúčania

Samozrejme, je ešte veľa vecí, ktoré by ste mali vedieť pokiaľ máte samotný web, či už beží na WordPresse alebo nie. Napr. zaškrtnutie súhlasu so spracovaním osobných údajov vo formulári, nastavenie SEO, site mapy, nezobrazovať errory, mať správne zabezpečené chmod nastavenia, cachovanie a pod. To je ale na užívateľa a správcu WordPress webstránky náročnejšie. Svoju WordPress web-stránku si ale viete dať skontrolovať profesionálom a vyhnúť sa tak problémom s webstránkou.

Prispevok 6 vecí, ktoré by ste mali vedieť, pokiaľ máte WordPress web appeared first on IT Blog Michaela Šubáka | BestRanger.eu.