Nevystavujte svůj web a svá data zbytečnému nebepečí. Rychlý přehled základních chyb, kterých útočníci využívají, včetně typických následků, co se vám může stát.

1. Aktualizujte

Mějte vždy zapnuté automatické aktualizace WordPressu, nebo je aktualizujte manuálně spolu s veškerými pluginy, které na webu máte (pozor i na ty deaktivované). Jen tak eliminujete velké množství bezpěčnostních rizik.

2. Nenahrávejte na FTP neznámé kódy pluginů, ani šablon

Líbí se vám placená (premium) šablona nebo plugin a chcete ho stáhnout, bez placení, z free sharingových serverů? Dejte pozor, co si nahráváte na web. Přestože bude šablona funkční a vizuálně bude vypadat jako originál, každý 2-3 free plugin a šablona ke stažení zdarma obsahuje i škodlivý kód.

3. Používejte složitější hesla

Při vytváření hesel do FTP, MySQL i administrace dbejte na složitost hesel. Složte heslo minimálně z číslice, malých a velkých písmen, přičemž by neměly být navzájem stejné.

4. Přihlašovací údaje a wp-admin

Nevytvářejte ani při samotné instalaci účet s přihlašovacím jménem “Admin”. Právě díky tomu, že většina webů na WordPressu má URL pro přihlášení www.domena.cz/wp-admin a přihlašovací jméno “Admin”.

Právě přihlašovací stránka je poměrně snadno napadnutelná i primitivním softwarem, který je dostupný na internetu a lze s ním provádět tzv. dictionary attack (slovníkový útok). Většina uživatelů na internetu používá hesla v podobě jmen a názvů. Budete-li mít databázi slov, které by mohly být onom heslem k přihlášení do systému, software to ve spojení s vaší databází vyzkouší za vás. Druhým a neméně složitým řešením je brute force attack (útok hrubou silou), který zkouší veškeré kombinace hesel bez nutnosti vytvoření databáze slov.

Řešení: Nemějte účet s přihlašovacím jménem “Admin” a změňte defaultní URL (www.domena.cz/wp-admin), určenou pro přihlašování do administrace na jinou, originální. Nebudete tak muset řešit jiné ochranné a zároveň otravné prvky na webu, jakým je například opisování CAPTCHA obrázků.

Plugin, pomocí kterého změníte přihlašovací URL do administrace během 5 minut: https://wordpress.org/plugins/better-wp-security/

5. Neukládejte hesla do FTP klienta

Přestože uděláte pro zabezpečení webu maximum, pomyslná vrátka k webu můžete nechat otevřená přímo ve vašem počítači, respektive FTP klientovi. Používáním nejrozšířenějších FTP klientů a ukládáním hesel pro možnost rychlého přihlášení se opět vystavujete nebezpečí. V případě nalezení tzv. bezpečnostní díry je poté snadné uložená hesla získat a přístup k datům je rázem na světě.

6. Zálohujte, zálohujte, zálohujte

Ať už vám někdo napadne a smaže web, nedopatřením si upravíte nebo smažete soubor, pro tyto případy byste měli mít k dispozici pravidelně aktualizované zálohy a to nejen u vašeho poskytovatele hostingu.

5 typických následků webů infikovaných škodlivým kódem

  • Vložené odkazy na webu
  • Znefunkčnění webu
  • Využití vašeho hostingu/serveru k hromadnému rozesílání spamu
  • Krádež dat
  • Smazání dat
21. 9. 2015 | autor: Patrik Fingr