O napadených instalacích WordPress slýcháme pravidelně. Většinou je na vině zanedbaná aktualizace samotného jádra WordPress anebo některého z pluginů. Ovšem není výjimkou ani používání slabého hesla některým z uživatelů. Přeci jen na rozdíl od administrátora většinou nemají uživatelé moc znalostí o bezpečnosti. Vyskytují se však i případy zneužití čerstvé zranitelnosti, která ještě nebyla opravena. Ty se nazývají zero day neboli zranitelnosti nultého dne. U těch už je ochrana WordPress náročnější záležitostí. Jde s tím něco dělat?
Samozřejmě že dá! Existují bezpečnostní pluginy, které váš WordPress pořádně opevní. Zavedou některá opatření a v případě útoků zablokují útočníka.
All In One WP Security & Firewall
Jeden z oblíbených pluginů na zvýšení ochrany kompletní instalace se jmenuje All In One WP Security & Firewall. Dohlédne na to, aby uživatelé nepoužívali stejná jména jako mají login a zajistí pro ně kvalitní hesla. Také se postará, aby uživatelé byli v případě neaktivity po stanovené době odhlášeni.
Největší problém v současnosti jsou brute force útoky. Roboti zkouší různá hesla, většinou podle slovníku někdy i náhodné. Za normálních okolností je jedinou obranou opravdu silné heslo, které nemají možnost trefit. Ovšem i když jim to nevyjde, tak poměrně silně přetěžují server a spotřebovávají systémové zdroje. Je to jako by se tisíce uživatelů v jeden okamžik snažili přihlásit. Váš web může být zpomalený a dokonce začít zobrazovat chybu 503. Naštěstí si s těmito útoky bezpečnostní pluginy poradí. Po několika neúspěšných pokusech prostě IP adresu zablokují.
Proti robotům se také dá nasadit captcha. Tedy obrázek s textem, který musí uživatel při nalogování opsat.
K dispozici je i whitelist či blacklist IP adres. Můžete tedy povolit přihlášení jen určitým uživatelům anebo zablokovat celé rozsahy problémových IP adres. V některých případech je to spolehlivá ochrana WordPress instalace, zvláště pokud právě probíhá intenzivní útok.
All In One WP Security & Firewall s vámi také projde jednotlivé bezpečnostní doporučení k WordPress. Přejmenuje účet admin, upraví anebo doporučí úpravu pravidel pro složky a soubory, přejmenuje prefixy databáze a zakáže editovat soubory z WordPress.
All In One WP Security & Firewall se také postará o monitoring podezřelých aktivit a dá vám vědět v případě problémů a to včetně chyb 404, které většinou ukáží pokusy o hledání bezpečnostních děr.
Velkou silou tohoto pluginu je aplikační Firewall. Ten předejde některým druhům útoku. Získáte totiž další linii obrany, které funguje proti některým XSS, Pingback zranitelnostem a ochrání soubor xmlrpc.php.
All In One WP Security & Firewall v sobě má i skener souborů. V případě, že dojde k prolomení ochrany a některé soubory budou napadeny, tak tento plugin je dokáže identifikovat. Náprava pak může být otázkou aktualizace a nahráním souboru ze zálohy. Ušetří to opravdu velké množství času.
Skenovat jde i databázi na podezřelé řetězce. Pokud by útočník zanechal zadní vrátka přímo v MySQL můžete je pomocí tohoto pluginu vypátrat. Zaměřuje se na podezřelé řetězce a javascript.
Tento plugin pomůže i s komentářovým spamem. Má hned několik nástrojů, které dokáží zastavit nepříjemný příval komentářů od robotů. Zvláště primitivní metody jako je odesílání komentářů z jiné domény odhalí velice snadno. V případě velkého náporů umožní i přidání captcha k formuláři.
All In One WP Security & Firewall patří mezi nejlepší alternativy bezpečnostního pluginu zdarma pro ochranu WordPress. Asi největší nevýhodou je absence českého rozhraní a nutnost alespoň základních znalostí z bezpečnostní problematiky. S nekompatibilností jsem se prozatím nesetkal. Většinou u bezpečnostních pluginů bývají problémy s cachovacími pluginy. Tady všechny známé cachovací fungovaly bez problémů.
Tento článek byl byl přečten 3336 krát