Předcházení hacknutí WordPress webu

Předcházení hacknutí WordPress webu 1Často lidi řeší, jak ochránit svůj WordPress a používají různé bezpečnostní pluginy typu Wordfence a jemu podobné. Pluginy splňují svůj účel, i když jsem se několikrát setkal i tak s hacknutými weby, naposledy včera, a to i přesto, že na webu byl zmíněný Wordfence.
 

Je potřeba si uvědomit, jakým způsobem nejčastěji dochází k hacknutí webu. 

Nejrozšířenější způsob je zjištění, na jaké platformě web běží. To se dá zjistit snadno ze zdrojového kódu stránky. V tomto případě útočník hledá oblíbené fráze, například meta generátor případně konkrétní obsah URL, například hledá, zda ve zdrojovém kódu je cokoliv ve tvaru „/wp-contents/“. Pokud takový text ve zdrojovém kódu nalezne, spouští útok. Není tajností, že existuje mnoho databází s pluginy či šablonami, které jsou zranitelné a tyto seznamy se stále rozšiřují. Ale nejen to, existuje spousta webů, kde si premium pluginy můžete pořídit doslova za pár šupů. O kvalitě, spolehlivosti a originalitě se dá bohužel spekulovat. I tyto jsou mnohdy upravovány a jsou do nich přidávána takzvaná zadní vrátka a tyto zadní vrátka se také objevují ve zmíněných seznamech.

 

Takže poté, co útočník zjistí, že web běží na WordPressu, spouští útok, který hledá cesty ke konkrétním souborům, které mají bezpečnostní chybu či vytvořená zadní vrátka. A hledá tak dlouho, dokud něco nenajde.  Přestože by bezpečnostní pluginy měly takovéto procházení zastavit, po včerejší zkušenosti vím, že to není pravda. A nebylo to bohužel poprvé, co byl web hacknut i když byl nasazen bezpečnostní plugin.

 

Opomíjeným způsobem zabezpečení WordPressu je to, co jsem zmínil výše: neukázat útočníkovi, že váš web jede na WordPressu. V repositáři naleznete několik pluginů, které váš WordPress skryjí, rovnou říkám, že jsou nevalné kvality a nebo jsou pro verzi zdarma hodně omezeny. Jsou tedy pro správný účel nepoužitelné. Osobně hojně využívám levný placený plugin Hide My WP a věřte mi, že za tu cenu a ušetřené starosti opravdu stojí. Má nespočetno nastavení, upravit si můžete nejen URL vypisovaná ve zdrojovém kódu, ale také názvy důležitých souborů a cest k nim.

 
Předcházení hacknutí WordPress webu 2
 

Jak vidíte, ve zdrojovém textu není uvedena žádná skutečná URL běžné struktury WordPressu. Útočník tedy nevidí, na jakém CMS jedete. Je dobré podotknout, že na drtivou většinu útoků jsou používáni roboti, kteří nevidí kompletní HTML. Ano, například z komentářových značek lze vyčíst, že třeba používáte Yoast SEO plugin, ale skutečná URL k němu neexistuje. Běžnou cestou se nedá dostat k souborům.

 
Hide My WP je bezpečnostní plugin pro WordPress. Skrývá vaše WordPress stránky před útočníky, spammery a detektory šablon. Skrývá také vaši přihlašovací URL a přejmenuje admin URL. Detekuje a blokuje XSS a útoky typu SQL Injection na vaše webové stránky WordPress. Jeho omezenou verzi můžete také stáhnout z repositáře přímo ve vašem WordPressu, ale je opravdu hodně okleštěna a spíše pro malou ukázku, co plugin umí.

 

Když už máte WordPress skrytý, je otázkou, zda je nutné používat monstrózní bezpečnostní pluginy, které zatěžují váš hosting a nemáte u nich jistotu, že opravdu fungují. Na druhou stranu je dobré říct, že ve spojení s tímto pluginem je vhodné použít nějaký plugin, který by dal ban těm IP, které se pokouší přistoupit k souborům, jejichž cesta neexistuje, protože v tom případě jde zpravidla o útočníka. Vhodný je třeba plugin WP Cerber, ale je jich opravdu hodně.

Odvirování WordPressu je složité a zdlouhavé, mnohdy je to i běh na několik dní, pokud je napadena i databáze. Proto bývá tento krok jednou z nejdražších položek při správě a údržbě webu.  Je důležité předcházet všem možnostem, kudy by váš web byl útočník schopen napadnout.

Jaku máte zkušenost vy s bezpečnostními pluginy? Používáte nějaký plugin na skrytí WordPressu?

Hodnocení: 10.0/10. hodnotili 3 lidé
Please wait...

4 komentáře u „Předcházení hacknutí WordPress webu“

  1. Zdravím,
    díky za krátké shrnutí. Osobně používám All In One WP Security & Firewall. Má monoho nastavení a možností, jak zabezpečit instalaci WordPressu. Včetně toho, co popisujete 🙂 Máte s ním nějaké zkušenosti? Co si myslíte o bezpečnostním pluginu, který je zdarma?

    Odpovědět
    • Každý bezpečnostní plugin má své výhody i nevýhody. Napravoval jsem i weby s vámi zmíněným pluginem. A dovolím si klidně tvrdit, že tento je z bezpečnostních pluginů asi nejslabší. Vycházím ze statistiky, kdy jsem odvirovával weby a právě tento byl nasazen na nejvíce z nich. Samozřejmě za to nemůže plugin sám o sobě, v drtivé většině případů byl web hacknut díky „levným“ premium pluginům. Mimochodem, tento plugin neumí skrýt WordPress tak jak mnou uváděný plugin. A to je asi to nejdůležitější. také je potřeba vzít v úvahu, že všechny bezpečnostní pluginy vytrvale při své bezpečnosti vytěžují web a databázi, mají tedy vliv na jeho rychlost, někdy více, někdy méně.

      Odpovědět

Napsat komentář