{"id":5976,"date":"2021-07-06T16:07:05","date_gmt":"2021-07-06T16:07:05","guid":{"rendered":"https:\/\/musilda.cz\/?p=5976"},"modified":"2021-07-06T16:07:05","modified_gmt":"2021-07-06T16:07:05","slug":"velky-pruvodce-bezpecnosti-wordpressu","status":"publish","type":"post","link":"https:\/\/affinite.io\/cs\/velky-pruvodce-bezpecnosti-wordpressu\/","title":{"rendered":"Velk\u00fd pr\u016fvodce bezpe\u010dnost\u00ed WordPressu"},"content":{"rendered":"\n
Jako ka\u017ed\u00fd open source, se WordPress pot\u00fdk\u00e1 s \u00fatoky a bezpe\u010dnost nen\u00ed radno podce\u0148ovat<\/strong>. Doby, kdy byl internet dom\u00e9nou nad\u0161enc\u016f jsou d\u00e1vno pry\u010d a z \u201conlinu\u201d se stal regul\u00e9rn\u00ed podnikatelsk\u00fd obor. <\/p>\n\n\n\n A stejn\u011b tak, jako si na sklad zbo\u017e\u00ed d\u00e1te m\u0159\u00ed\u017ee a bezpe\u010dnostn\u00ed dve\u0159e, mus\u00edte si ochr\u00e1nit sv\u016fj virtu\u00e1ln\u00ed majetek.<\/p>\n\n\n\n Zabezpe\u010den\u00ed WordPressu se d\u00e1 rozd\u011blit do n\u011bkolika t\u00e9matick\u00fdch skupin a my se jim budeme v\u0161em v\u011bnovat. <\/strong><\/p>\n\n\n\n Proto\u017ee ka\u017ed\u00fd web, nebo e-shop mus\u00ed b\u00fdt n\u011bkde um\u00edst\u011bn, hosting je nezbytnou sou\u010d\u00e1st\u00ed provozov\u00e1n\u00ed str\u00e1nek<\/strong>. Hostingov\u00e9 spole\u010dnosti maj\u00ed vlastn\u00ed postupy, jak zabezpe\u010dit jejich servery p\u0159ed napaden\u00edm a t\u011bm se v\u011bnovat nebudeme. V \u010dem se nab\u00eddky hostingov\u00fdch spole\u010dnost\u00ed li\u0161\u00ed m\u016f\u017eete zjistit v magaz\u00ednu https:\/\/vseohostingu.cz\/<\/a>.<\/p>\n\n\n\n O WordPressu koluje \u0159ada m\u00fdt\u016f a jedn\u00edm z nich je to, \u017ee je \u0161patn\u011b zabezpe\u010den\u00fd. To nen\u00ed pravda. J\u00e1dro je pravideln\u011b aktualizov\u00e1no<\/strong> a jakmile je nalezena n\u011bjak\u00e1 chyba, velmi rychle je vyd\u00e1na z\u00e1plata. Za dobu, co se WordPressu v\u011bnuji, jsem je\u0161t\u011b nesly\u0161el o webu, kter\u00fd by byl napaden, pomoc\u00ed chyby v j\u00e1dru. <\/p>\n\n\n\n V\u017edy, kdy\u017e dojde na hacknut\u00ed webu, jsou na vin\u011b slab\u00e1 hesla, pou\u017e\u00edv\u00e1n\u00ed jednoho hesla pro r\u016fzn\u00e9 slu\u017eby, chyby v pluginech a \u0161ablon\u00e1ch, neodborn\u00e9 pou\u017e\u00edv\u00e1n\u00ed. Jak p\u0159\u00edklad m\u016f\u017ee slou\u017eit mnoho napaden\u00fdch web\u016f, kter\u00e9 m\u011bly nainstalov\u00e1ny Revolution Slider<\/strong>.<\/p>\n\n\n\n I kdy\u017e budete v\u011bnovat pozornost tomu, aby jste pou\u017e\u00edvali ty nejnov\u011bj\u0161\u00ed pluginy<\/strong> a posledn\u00ed verzi WordPressu, tak cel\u00e9 va\u0161e sna\u017een\u00ed m\u016f\u017ee zma\u0159it pou\u017eit\u00ed slab\u00fdch hesel.<\/p>\n\n\n\n Rychlost, s jakou je dnes mo\u017en\u00e9 prov\u00e1d\u011bt slovn\u00edkov\u00e9 \u00fatoky<\/strong> je neuv\u011b\u0159iteln\u00e1 a prolomen\u00ed jednoduch\u00e9ho hesla je ot\u00e1zkou n\u011bkolika minut. <\/p>\n\n\n\n Bohu\u017eel, u\u017eivatel\u00e9 jsou pohodln\u00ed a nechce se jim pou\u017e\u00edvat siln\u00e1, ale obt\u00ed\u017en\u011b zapamatovateln\u00e1 hesla. Co\u017e vede k tomu, \u017ee si st\u011b\u017euj\u00ed a provozovatel\u00e9 e-shop\u016f \u010dasto po\u017eaduj\u00ed, nastavit mo\u017enost pou\u017eit\u00ed slab\u00e9ho hesla. <\/p>\n\n\n\n I kdyby v\u00e1s l\u00e1kalo vyj\u00edt klientovi, nebo u\u017eivatel\u016fm vst\u0159\u00edc, tak to ned\u011blejte. Chr\u00e1n\u00edte svoje podnik\u00e1n\u00ed a proto nikdy nepovolujte pou\u017eit\u00ed slab\u00e9ho hesla. Existuje na to filtr woocommerce_min_password_strenght<\/strong>, ale zmi\u0148uji jen pro \u00faplnost a pokud jej najdete v k\u00f3du webu, kter\u00fd p\u0159eb\u00edr\u00e1te do spr\u00e1vy, tak to sma\u017ete. Sice budou m\u00edt u\u017eivatele nepohodl\u00ed, ale vy o dost klidn\u011bj\u0161\u00ed sp\u00e1nek.<\/p>\n\n\n\n V z\u00e1kladn\u00edm nastaven\u00ed WordPress generuje p\u0159i vytvo\u0159en\u00ed u\u017eivatele siln\u00e9 heslo:<\/p>\n\n\n\n Bohu\u017eel v\u00e1m dovol\u00ed pou\u017e\u00edt i slab\u00e9 heslo, ale mus\u00edte jej povolit:<\/p>\n\n\n\n Nep\u0159\u00edjemn\u00e9 je, \u017ee v k\u00f3du editace u\u017eivatelsk\u00e9ho \u00fa\u010dtu nen\u00ed mo\u017enost, jak checkbox odebrat, m\u016f\u017eete jej pouze skr\u00fdt, pomoc\u00ed css, nebo odstranit pomoc\u00ed javascriptu.<\/p>\n\n\n\n Pro v\u011bt\u0161\u00ed jistotu, m\u016f\u017eete pou\u017e\u00edt plugin No weak password<\/strong>, kter\u00fd ne\u0159e\u0161\u00ed povolen\u00ed slab\u00e9ho hesla, ale kontroluje pou\u017eit\u00e9 heslo, proti seznamu slab\u00fdch hesel, ulo\u017een\u00fdch v souboru, kter\u00fd plugin obsahuje. Bohu\u017eel, plugin neumo\u017e\u0148uje soubor roz\u0161i\u0159ovat, po aktualizaci se v\u017edy p\u0159ema\u017ee.<\/p>\n\n\n\n Pluginy, jako jsou WooCommerce<\/strong>, vytv\u00e1\u0159\u00ed vlastn\u00ed p\u0159ihla\u0161ovac\u00ed formul\u00e1\u0159e a nepou\u017e\u00edvaj\u00ed v\u00fdchoz\u00ed formul\u00e1\u0159 WordPressu. Pro jistotu, \u017ee u\u017eivatel\u00e9 nemohou zad\u00e1vat jednoduch\u00e1 hesla, m\u016f\u017eete pou\u017e\u00edt tento plugin, jen\u017e v\u00e1m umo\u017en\u00ed nastavit \u00farove\u0148 obt\u00ed\u017enosti hesla a hl\u00e1\u0161ky kter\u00e9 se u registra\u010dn\u00edho WooCommerce formul\u00e1\u0159e budou zobrazovat.<\/p>\n\n\n\n Poka\u017ed\u00e9, kdy\u017e se p\u0159ihl\u00e1s\u00edte do WordPressu, vytvo\u0159\u00ed se cookie, kter\u00e1 m\u00e1 nastavenou platnost na dva dny. Pot\u00e9 vypr\u0161\u00ed. V p\u0159\u00edpad\u011b, \u017ee p\u0159i p\u0159ihl\u00e1\u0161en\u00ed za\u0161krtnete volbu \u201cPamatuj si m\u011b\u201d<\/strong>, je cookie platn\u00e1 dva t\u00fddny. <\/p>\n\n\n\n \u010c\u00edm d\u00e9le je u\u017eivatel p\u0159ihl\u00e1\u0161en, t\u00edm v\u011bt\u0161\u00ed je bezpe\u010dnostn\u00ed riziko. P\u0159esto\u017ee nen\u00ed nijak velk\u00e9, je re\u00e1ln\u00e9. Po\u010dtem u\u017eivatel\u016f, kte\u0159\u00ed se do va\u0161eho webu p\u0159ihla\u0161uj\u00ed, riziko roste. Proto je vhodn\u00e9, nastavit pro neaktivn\u00ed u\u017eivatele expiraci p\u0159ihl\u00e1\u0161en\u00ed. Sice to bude men\u0161\u00ed nepohodl\u00ed, ale bezpe\u010dnost je d\u016fle\u017eit\u00e1. <\/p>\n\n\n\n A proto\u017ee ve WordPressu na v\u0161echno existuje plugin i pro odhl\u00e1\u0161en\u00ed neaktivn\u00edch u\u017eivatel\u016f<\/strong> takov\u00fd m\u00e1me. Samoz\u0159ejm\u011b, dalo by se to vy\u0159e\u0161it pomoc\u00ed k\u00f3du, ale to nen\u00ed \u00fapln\u011b c\u00edlem tohoto \u010dl\u00e1nku.<\/p>\n\n\n\n Pom\u011brn\u011b jednoduch\u00e9 nastaven\u00ed v\u00e1m nab\u00eddne vlo\u017een\u00ed textu, jen\u017e se bude zobrazovat jako upozorn\u011bn\u00ed p\u0159ed odhl\u00e1\u0161en\u00edm a mo\u017enost nastaven\u00ed doby, po jak\u00e9 bude u\u017eivatel odhl\u00e1\u0161en.<\/p>\n\n\n\n <\/p>\n\n\n\n V\u00fdborn\u00fdm prvkem je mo\u017enost nastavit dobu pro odhl\u00e1\u0161en\u00ed pro r\u016fzn\u00e9 role<\/strong>. Dokonce si m\u016f\u017eete nastavit, kam je po odhl\u00e1\u0161en\u00ed p\u0159esm\u011brujete, co\u017e nap\u0159\u00edklad u z\u00e1kazn\u00edk\u016f e-shopu m\u016f\u017ee b\u00fdt vcelku d\u016fle\u017eit\u00e9.<\/p>\n\n\n\n Sou\u010d\u00e1st\u00ed zabezpe\u010den\u00ed p\u0159ihla\u0161ovac\u00edho formul\u00e1\u0159e, m\u016f\u017ee b\u00fdt jeho roz\u0161\u00ed\u0159en\u00ed o bezpe\u010dnostn\u00ed prvek. B\u011b\u017en\u011b to b\u00fdv\u00e1 ReCaptcha<\/strong>, p\u0159id\u00e1n\u00ed kontroln\u00ed ot\u00e1zky, nebo HoneyPot<\/strong>. V podstat\u011b v\u0161echny tyto postupy maj\u00ed za \u00fakol, odfiltrovat strojov\u00e9 \u00fatoky na p\u0159ihla\u0161ovac\u00ed, nebo registra\u010dn\u00ed formul\u00e1\u0159 a zabr\u00e1nit tak uhodnut\u00ed hesla u\u017eivatele.<\/p>\n\n\n\n HoneyPot je v zjednodu\u0161en\u011b \u0159e\u010deno pasti\u010dka na roboty<\/strong>.<\/p>\n\n\n\n Roz\u0161\u00ed\u0159\u00ed v\u00e1m registra\u010dn\u00ed a p\u0159ihla\u0161ovac\u00ed formul\u00e1\u0159 o pole, kter\u00e9 je pro n\u00e1v\u0161t\u011bvn\u00edka skryt\u00e9, ale je pojmenov\u00e1no tak, \u017ee ho robot pova\u017euje za vy\u017eadovanou sou\u010d\u00e1st formul\u00e1\u0159e. T\u00edm, \u017ee ho vypln\u00ed, dojde k zablokov\u00e1n\u00ed registrace, nebo p\u0159ihl\u00e1\u0161en\u00ed. P\u0159esto\u017ee se jedn\u00e1 o pom\u011brn\u011b trivi\u00e1ln\u00ed ochranu, dok\u00e1\u017ee odfiltrovat <\/strong>ty nejb\u011b\u017en\u011bj\u0161\u00ed a m\u00e9n\u011b sofistikovan\u00e9 boty.<\/p>\n\n\n\n S t\u00edm se asi setkal ka\u017ed\u00fd, kdo si n\u011bkde zakl\u00e1dal e-mail, nebo se registroval do n\u011bjak\u00e9 slu\u017eby – bezpe\u010dnostn\u00ed ot\u00e1zka<\/strong>. <\/p>\n\n\n\n Vybrali jste si ze seznamu mo\u017en\u00fdch ot\u00e1zek a k nim jste vyplnili p\u0159\u00edslu\u0161nou odpov\u011b\u010f. Stejn\u011b jako u HoneyPotu, jde o zt\u00ed\u017een\u00ed mo\u017enosti prolomen\u00ed u\u017eivatelova hesla, tentokr\u00e1t pomoc\u00ed odpov\u011bdi na ot\u00e1zku. Zvy\u0161uje se tak po\u010det kombinac\u00ed, kter\u00e9 mus\u00ed robot vyzkou\u0161et, ne\u017e se u poda\u0159\u00ed usp\u011bt.<\/p>\n\n\n\n Jedna z nejzn\u00e1m\u011bj\u0161\u00edch ochran<\/strong> jak\u00e9hokoliv formul\u00e1\u0159e je ReCaptcha. A\u0165 to je ji\u017e checkbox . Nejsem robot, nebo v\u00fdb\u011br obr\u00e1zk\u016f z nab\u00eddky, Google n\u00e1m umo\u017e\u0148uje vyu\u017e\u00edvat jeho technologii na ochranu p\u0159ed spammery a \u00fato\u010dn\u00edky. Pro implementaci reCaptcha do WordPressu je k dispozici \u0159ada free plugin\u016f, jen si mus\u00edte vybrat ten, kter\u00fd v\u00e1m bude vyhovovat. Syst\u00e9m pak bude vyhodnocovat, zda jde o p\u0159ihl\u00e1\u0161en\u00ed re\u00e1ln\u00e9ho u\u017eivatele, nebo o automatick\u00fd \u00fatok. <\/p>\n\n\n\n Nic nen\u00ed absolutn\u011b dokonal\u00e9 a jak HoneyPot i ReCaptcha<\/strong> jsou prolomiteln\u00e9, ale st\u00e1le jste ve v\u011bt\u0161\u00edm bezpe\u010d\u00ed, kdy\u017e jeden z t\u011bchto prvk\u016f budete pou\u017e\u00edvat, ne\u017e kdy\u017e nebudete. <\/p>\n\n\n\n V\u0161echny \u00fatoky na p\u0159ihla\u0161ovac\u00ed formul\u00e1\u0159<\/strong>, maj\u00ed jedno spole\u010dn\u00e9. \u00dato\u010dn\u00edk se sna\u017e\u00ed opakovan\u011b dos\u00e1hnout v\u00fdsledku. Proto by jedn\u00edm ze z\u00e1kladn\u00edch prvk\u016f zabezpe\u010den\u00ed WordPressu, m\u011blo b\u00fdt omezen\u00ed po\u010dtu opakovan\u00fdch p\u0159ihl\u00e1\u0161en\u00ed. N\u011bkdy to m\u016f\u017ee b\u00fdt pro u\u017eivatele nep\u0159\u00edjemn\u00e9, ale ned\u00e1 se nic d\u011blat, je to jedna z nejlep\u0161\u00edch ochran. Poka\u017ed\u00e9, kdy\u017e se n\u011bkdo pokus\u00ed v\u00edcekr\u00e1t ne\u00fasp\u011b\u0161n\u011b p\u0159ihl\u00e1sit, plugin jej na n\u011bjakou dobu zablokuje. <\/p>\n\n\n\n Samoz\u0159ejm\u011b, \u017ee blokaci lze obej\u00edt pomoc\u00ed proxy a zm\u011bnou IP adresy, ale omezen\u00ed po\u010dtu p\u0159ihl\u00e1\u0161en\u00ed odfiltruje v\u011bt\u0161inu automatizovan\u00fdch \u00fatok\u016f<\/strong>. V\u011bt\u0161ina bezpe\u010dnostn\u00edch plugin\u016f ji\u017e tuto mo\u017enost obsahuje, tak\u017ee nen\u00ed v\u017edy nutn\u00e9 instalovat samostatn\u00fd plugin.<\/p>\n\n\n\n Kdy\u017e u\u017e se prob\u00edr\u00e1me pluginy, kter\u00e9 maj\u00ed p\u0159\u00edpadn\u00e9mu \u00fato\u010dn\u00edkovi zt\u00ed\u017eit \u017eivot, nem\u016f\u017eeme zapomenout na plugin, jen\u017e vynucuje p\u0159ihl\u00e1\u0161en\u00ed pomoc\u00ed e-mailu<\/strong> u\u017eivatele. <\/p>\n\n\n\n P\u0159i b\u011b\u017en\u00e9m p\u0159ihl\u00e1\u0161en\u00ed se m\u016f\u017eete p\u0159ihl\u00e1sit sv\u00fdm u\u017eivatelsk\u00fdm jm\u00e9nem, nebo heslem<\/strong>. Jedn\u00edm z postup\u016f p\u0159i \u00fatoku je pokus o z\u00edsk\u00e1n\u00ed u\u017eivatelsk\u00e9ho jm\u00e9na – kdy\u017e v\u00edte, \u017ee u\u017eivatel existuje, m\u016f\u017eete se zam\u011b\u0159it na prolomen\u00ed hesla. Jakmile vynut\u00edte p\u0159ihl\u00e1\u0161en\u00ed pomoc\u00ed e-mailu, tak zase o kousek zv\u00fd\u0161\u00edte pravd\u011bpodobnost, \u017ee k prolomen\u00ed nedojde.<\/p>\n\n\n\n To co vid\u00edte na screenu je p\u0159ihla\u0161ovac\u00ed formul\u00e1\u0159, pokud zad\u00e1te \u0161patn\u00e9 \u00fadaje. T\u00e9 \u010derven\u00e9 hl\u00e1\u0161ce naho\u0159e se \u0159\u00edk\u00e1 login hints<\/strong> a vypisuje p\u0159\u00edpadn\u00e9 chyby p\u0159i p\u0159ihl\u00e1\u0161en\u00ed. V tomto p\u0159\u00edpad\u011b je v po\u0159\u00e1dku, proto\u017ee \u0159\u00edk\u00e1, \u017ee jeden z \u00fadaj\u016f je \u0161patn\u00fd. Nejsem si jist, zda to je ji\u017e sou\u010d\u00e1st\u00ed WordPressu<\/strong>, ale na n\u011bkter\u00fdch webech se mi po zad\u00e1n\u00ed \u0161patn\u00e9ho hesla, zobrazila hl\u00e1\u0161ka – zadan\u00e9 heslo nen\u00ed spr\u00e1vn\u00e9. To napov\u00ed p\u0159\u00edpadn\u00e9mu \u00fato\u010dn\u00edkovi, \u017ee na\u0161el u\u017eivatele a usnadn\u00ed mu to pr\u00e1ci. <\/p>\n\n\n\n Proto si zkontrolujte, \u017ee se v\u00e1\u0161 p\u0159ihla\u0161ovac\u00ed formul\u00e1\u0159 chov\u00e1 spr\u00e1vn\u011b a p\u0159\u00edpadn\u011b pou\u017eijte snippet, kter\u00fd hl\u00e1\u0161ku uprav\u00ed – https:\/\/gist.github.com\/Musilda\/3c907412948dbd079d1b1cc5ebe4482e<\/a><\/p>\n\n\n\n Jeden z nej\u00fa\u010dinn\u011bj\u0161\u00edch zp\u016fsob\u016f ochrany<\/strong>, vzhledem k pom\u011bru n\u00e1ro\u010dnost\/v\u00fdkon. Jednoduch\u00fd plugin, kter\u00fd zm\u011bn\u00ed p\u0159ihla\u0161ovac\u00ed url, v podstat\u011b znemo\u017en\u00ed v\u011bt\u0161inu pokus\u00ed o prolomen\u00ed p\u0159ihl\u00e1\u0161en\u00ed a podobn\u00fdch \u00fatok\u016f. Nav\u00edc, m\u00e1me v\u00fdhodu v tom, \u017ee \u010de\u0161tina nen\u00ed dominantn\u00ed jazyk a pokud pou\u017eijeme pro ozna\u010den\u00ed url n\u011bjak\u00e9 \u010desk\u00e9 slovo v kombinaci s \u010d\u00edsly, bude velmi t\u011b\u017ek\u00e9 p\u0159ihla\u0161ovac\u00ed url v\u016fbec naj\u00edt. Ne\u0159\u00edk\u00e1m, \u017ee to je nemo\u017en\u00e9, ale valn\u00e1 v\u011bt\u0161ina \u00fatok\u016f nec\u00edl\u00ed na konkr\u00e9tn\u00ed web<\/strong>, ale brouzdaj\u00ed internetem a hledaj\u00ed otev\u0159en\u00e1 vr\u00e1tka. A kdy\u017e ta vr\u00e1tka nenajdou, nemohou za\u00fato\u010dit. Velmi efektivn\u00ed zp\u016fsob ochrany.<\/p>\n\n\n\n Vy\u0161\u0161\u00ed \u00farovn\u00ed ochrany p\u0159ihl\u00e1\u0161en\u00ed u\u017eivatele do WordPressu je dvoufaktorov\u00e9 p\u0159ihl\u00e1\u0161en\u00ed<\/strong>. D\u00e1 se \u0159\u00edci, \u017ee ka\u017ed\u00fd administr\u00e1tor na webu, s kter\u00fdm to mysl\u00edte v\u00e1\u017en\u011b, by m\u011bl m\u00edt nastaven\u00e9 dvoufaktorov\u00e9 p\u0159ihl\u00e1\u0161en\u00ed. Funguje to tak, \u017ee se do mobiln\u00edho telefonu st\u00e1hnete aplikaci – j\u00e1 pou\u017e\u00edv\u00e1m Google Authenticator<\/strong> a p\u0159i ka\u017ed\u00e9m p\u0159ihl\u00e1\u0161en\u00ed mus\u00edte zadat k\u00f3d, kter\u00fd se v\u00e1m v aplikaci vytvo\u0159\u00ed. P\u0159esto\u017ee existuje n\u011bkolik plugin\u016f, kter\u00e9 to ve WordPressu umo\u017en\u00ed, vzhledem k tomu, \u017ee pou\u017e\u00edv\u00e1m WordFence, nastavuji si dvoufaktor tam. <\/p>\n\n\n\n Nev\u00fdhodou je, \u017ee ka\u017ed\u00fd admin mus\u00ed m\u00edt sv\u016fj \u00fa\u010det a p\u0159\u00edstup se ned\u00e1 sd\u00edlet. V ka\u017ed\u00e9m p\u0159\u00edpad\u011b je dvoufaktorov\u00e9 p\u0159ihl\u00e1\u0161en\u00ed dobrou volbou v zabezpe\u010den\u00ed webu.<\/p>\n\n\n\n Mo\u017en\u00e1 se v\u00e1m to bude zd\u00e1t jako automatick\u00e9, ale odstran\u011bn\u00ed u\u017eivatele admin<\/strong>, nen\u00ed a\u017e tak automatick\u00e9. Celkem b\u011b\u017en\u011b dost\u00e1v\u00e1m p\u0159\u00edstupy do WordPressu pro admina. Ono to nen\u00ed nic proti ni\u010demu, ale ka\u017ed\u00fd robot automaticky zkou\u0161\u00ed login admina. T\u00edm \u017ee jej odstran\u00edte, zt\u00ed\u017e\u00edte mo\u017enost prolomen\u00ed hesla<\/strong>. Jednoduch\u00e1 z\u00e1le\u017eitost, kter\u00e1 by se m\u011bla d\u011blat po ka\u017ed\u00e9 instalaci, nebo p\u0159evzet\u00ed webu do spr\u00e1vy. Zabere to chvilku a m\u00e1te klid.<\/p>\n\n\n\n Co se t\u00fdk\u00e1 bezpe\u010dnosti obecn\u011b, plat\u00ed, \u017ee slab\u00fdm m\u00edstem jsou va\u0161i u\u017eivatel\u00e9. Ka\u017ed\u00fd administr\u00e1tor by m\u011bl m\u00edt p\u0159edstavu, jak\u00e1 opr\u00e1vn\u011bn\u00ed maj\u00ed ur\u010dit\u00e9 u\u017eivatelsk\u00e9 role a jak je m\u00e1 p\u0159\u00edpadn\u011b upravit. Nen\u00ed nic hor\u0161\u00edho, kdy\u017e z neznalosti, nebo zl\u00e9ho \u00famyslu, v\u00e1m n\u011bjak\u00fd u\u017eivatel web po\u0161kod\u00ed. V\u017edy je t\u0159eba zv\u00e1\u017eit, kam m\u00e1 m\u00edt p\u0159\u00edstup nap\u0159\u00edklad manager obchodu, kam redaktor a kam \u0161\u00e9fredaktor.<\/p>\n\n\n\n Kdy\u017e se dostanete do situace, \u017ee budete pot\u0159ebovat \u0159e\u0161it opr\u00e1vn\u011bn\u00ed podrobn\u011bji, je nejlep\u0161\u00ed pou\u017e\u00edt n\u011bkter\u00fd z plugin\u016f, kter\u00e9 jsou k dispozici. Na to, abyste nastavovali opr\u00e1vn\u011bn\u00ed pomoc\u00ed k\u00f3du, mus\u00edte m\u00edt opravdu velk\u00fd p\u0159ehled. <\/p>\n\n\n\n User role editor<\/strong> v\u00e1m umo\u017en\u00ed upravovat opr\u00e1vn\u011bn\u00ed pro st\u00e1vaj\u00edc\u00ed role, nebo pro role, kter\u00e9 vytvo\u0159\u00edte.<\/p>\n\n\n\n V p\u0159edchoz\u00ed \u010d\u00e1sti jsem se v\u011bnoval p\u0159edev\u0161\u00edm bezpe\u010dnosti p\u0159ihl\u00e1\u0161en\u00ed do WordPressu, co\u017e je jedno z \u010dasto prop\u00edran\u00fdch t\u00e9mat, ale je\u0161t\u011b v\u011bt\u0161\u00ed diskuzi vyvol\u00e1v\u00e1 bezpe\u010dnost WordPressu obecn\u011b. <\/p>\n\n\n\n Vyd\u00e1vaj\u00ed se \u010dl\u00e1nky, e-booky, n\u00e1vody na t\u00e9ma bezpe\u010dnost, v diskuz\u00edch se p\u00ed\u0161e, \u017ee n\u011bkdo m\u00e1 hacknut\u00fd WordPress web<\/strong> a v\u017edy se kolem toho objev\u00ed koment\u00e1\u0159e typu:<\/p>\n\n\n\n J\u00e1 samoz\u0159ejm\u011b budu WordPress h\u00e1jit, z n\u011bkolika d\u016fvod\u016f:<\/p>\n\n\n\n P\u0159esto si mus\u00edme b\u00fdt v\u011bdomi rizik<\/strong>, jak\u00e9 p\u0159i pou\u017e\u00edv\u00e1n\u00ed vznikaj\u00ed a na z\u00e1kladn\u00ed v\u011bci se chci zam\u011b\u0159it v t\u00e9to \u010d\u00e1sti. <\/p>\n\n\n\n J\u00e1dro WordPressu je neust\u00e1le udr\u017eov\u00e1no a bezpe\u010dnostn\u00ed aktualizace<\/strong> jsou vyd\u00e1v\u00e1ny pom\u011brn\u011b rychle. Zde najdete seznam aktualizac\u00ed od roku 2003 – https:\/\/codex.wordpress.org\/WordPress_Versions<\/a><\/p>\n\n\n\n Zaj\u00edmav\u00e9 na seznamu je to, \u017ee nap\u0159\u00edklad 30. \u0159\u00edjna 2020 byly vyd\u00e1ny aktualizace pro verze 5.5.3, 5.4.4, 5.3.6 a dal\u0161\u00ed. Jednalo se o bezpe\u010dnostn\u00ed aktualizaci a opravy byly vyd\u00e1ny i pro star\u0161\u00ed verze<\/strong>, aby se mohly aktualizovat i weby, kter\u00e9 nejedou na nejnov\u011bj\u0161\u00edm WordPressu.<\/p>\n\n\n\n A v tuto chv\u00edli za\u010dnu opakovat mantru, kter\u00e1 se ponese celou touto \u010d\u00e1st\u00ed – aktualizace. <\/p>\n\n\n\n Aktu\u00e1ln\u00ed WordPress<\/strong> je nezbytn\u00fd k tomu, aby v\u00e1\u0161 web n\u011bkdo nenapadl. Mimo to ale jsou odstra\u0148ov\u00e1ny r\u016fzn\u00e9 nalezen\u00e9 chyby a p\u0159id\u00e1v\u00e1ny nov\u00e9 funkce. Z\u00e1rove\u0148 v\u00fdvoj\u00e1\u0159i plugin\u016f a \u0161ablon upravuj\u00ed sv\u00e9 produkty a respektuj\u00ed v\u00fdvoj j\u00e1dra. <\/p>\n\n\n\n Pom\u011brn\u011b b\u011b\u017en\u00e1 praxe \u00fato\u010dn\u00edk\u016f<\/strong> je scanov\u00e1n\u00ed web\u016f nap\u0159\u00ed\u010d internetem a vyhled\u00e1v\u00e1n\u00ed instalac\u00ed se zn\u00e1m\u00fdmi zranitelnostmi. A pokud takovou pou\u017e\u00edv\u00e1te, je to jak otev\u0159en\u00e9 dve\u0159e s pozv\u00e1n\u00edm. D\u0159\u00edv nebo pozd\u011bji si na va\u0161em webu n\u011bkdo smlsne.<\/p>\n\n\n\n Nejprve si odbudeme \u010d\u00e1st s aktualizacemi. Stejn\u011b jako u j\u00e1dra, je nezbytn\u00e9 \u0161ablony pravideln\u011b aktualizova<\/strong>t. Bez aktualizace hroz\u00ed, \u017ee ji\u017e opraven\u00e9 bezpe\u010dnostn\u00ed chyby, vy bude m\u00edt st\u00e1le na webu. <\/p>\n\n\n\n \u010cast\u00fdm d\u016fvodem pro neaktualizov\u00e1n\u00ed \u0161ablony, b\u00fdvaj\u00ed \u00fapravy, kter\u00e9 v n\u00ed n\u011bkdo ud\u011blal. WordPress proto obsahuje mechanismus child theme<\/strong>, kdy \u00fapravy m\u016f\u017eete d\u011blat v n\u00ed a rodi\u010dovsk\u00e1 \u0161ablona je nedot\u010den\u00e1 a m\u016f\u017ee se pravideln\u011b a bezpe\u010dn\u011b aktualizovat. <\/p>\n\n\n\n Co je child theme se m\u016f\u017eete do\u010d\u00edst v \u010dl\u00e1nku https:\/\/musilda.cz\/child-theme-ve-wordpress\/. <\/p>\n\n\n\n Sta\u010d\u00ed dodr\u017eet n\u011bkolik v\u011bc\u00ed:<\/p>\n\n\n\n Zdroje \u0161ablony – ov\u011b\u0159en\u00fd zdroj je takov\u00fd v\u00e1gn\u00ed pojem, ale nap\u0159\u00edklad WordPress.org je spolehliv\u00fd zdroj, proto\u017ee, ne\u017e je \u0161ablona do reposit\u00e1\u0159e vlo\u017eena, projde kontrolou, kter\u00e1 se na bezpe\u010dnost tak\u00e9 zam\u011b\u0159uje. Ka\u017ed\u00e1 \u0161ablona z tohoto zdroje mus\u00ed spl\u0148ovat p\u0159edem stanoven\u00e9 podm\u00ednky, viz. nap\u0159\u00edklad Theme developer handbook – https:\/\/developer.wordpress.org\/themes\/theme-security\/data-sanitization-escaping\/<\/a><\/p>\n\n\n\n U jin\u00fdch zdroj\u016f je to ji\u017e tro\u0161ku slo\u017eit\u011bj\u0161\u00ed, proto\u017ee co developer, to jin\u00e9 postupy, jin\u00e1 kvalita. Je t\u0159eba rozli\u0161ovat marketplaces a konkr\u00e9tn\u00ed developery. Kdy\u017e v\u00e1m n\u011bkdo \u0159ekne, \u017ee na ThemeForest <\/strong>najdete kvalitn\u00ed \u0161ablony, tak je to pravda, proto\u017ee schvalovac\u00ed proces si vzal postupy z WordPress.org<\/strong>, ale nejsou tak pe\u010dliv\u00ed, jak by bylo pot\u0159eba. Tak\u00e9 si mus\u00edte uv\u011bdomit, \u017ee se to \u0161ablonu od \u0161ablony li\u0161\u00ed, proto\u017ee na ThemeForest prod\u00e1v\u00e1 \u0159ada v\u00fdvoj\u00e1\u0159\u016f. <\/p>\n\n\n\n Konkr\u00e9tn\u011b tam v\u011bnujte pozornost tomu, jak developer reaguje a kdy vy\u0161la posledn\u00ed aktualizace. <\/strong><\/p>\n\n\n\n V tomto sm\u011bru je lep\u0161\u00ed m\u00edt vybranou firmu, s kterou jste spokojeni a pou\u017e\u00edvat jejich \u0161ablony. Pak se pravd\u011bpodobn\u011b nedo\u010dk\u00e1te p\u0159ekvapen\u00ed. <\/p>\n\n\n\n Zjednodu\u0161en\u011b \u0159e\u010deno, \u017ee pokud pou\u017eijete na v\u00e1\u0161 web \u0161ablonu, jako je Astra, GeneratePress<\/strong> a podobn\u011b, vedle ne\u0161l\u00e1pnete. St\u00e1le ale plat\u00ed – sledovat aktualizace. Nebo si na to n\u011bkoho najmout<\/strong> – s t\u00edm v\u00e1m mohu pomoci, pokud pot\u0159ebujete n\u011bkoho na pravidelnou spr\u00e1vu, napi\u0161te mi – musilda@musilda.cz<\/a>. <\/p>\n\n\n\n U \u0161ablon na m\u00edru je to daleko sna\u017e\u0161\u00ed, pokud v n\u00ed nen\u00ed n\u011bjak\u00fd opravdu \u0161patn\u011b napsan\u00fd a neo\u0161et\u0159en\u00fd script, v\u011bt\u0161inou si takov\u00e9 \u0161ablony \u00fato\u010dn\u00edk ani nev\u0161\u00edm\u00e1, respektive s n\u00ed neztr\u00e1c\u00ed \u010das. Je jednodu\u0161\u0161\u00ed proskenovat internet<\/strong> a hledat \u0161ablony, kter\u00e9 obsahuj\u00ed zranitelnou verzi n\u011bjak\u00e9ho scriptu<\/strong>, ne\u017e hledat d\u00edru v custom k\u00f3du. <\/p>\n\n\n\n Co ale d\u011blat, pokud chcete m\u00edt opravdu jistotu? <\/strong><\/p>\n\n\n\n Prvn\u00ed dva body jsou pom\u011brn\u011b finan\u010dn\u011b n\u00e1ro\u010dn\u00e9<\/strong> a pro men\u0161\u00ed weby nemaj\u00ed smysl. Tam bych opravdu vybral ov\u011b\u0159enou \u0161ablonu a d\u00e1l to ne\u0159e\u0161il. Pro ty co se r\u00e1di ve webu hrabou tady je plugin Theme Check<\/strong><\/p>\n\n\n\n Tento plugin se pou\u017e\u00edv\u00e1, pokud vytv\u00e1\u0159\u00edte \u0161ablony pro WordPress.org<\/strong>. Kontroluje, zda \u0161ablona obsahuje v\u0161echny n\u00e1le\u017eitosti a zda nepou\u017e\u00edv\u00e1 potencion\u00e1ln\u011b nebezpe\u010dn\u00e9 postupy. <\/p>\n\n\n\n Detaily najdete zde https:\/\/make.wordpress.org\/themes\/handbook\/review\/required\/theme-check-plugin\/<\/a><\/p>\n\n\n\n P\u0159esto\u017ee plugin vyjede report s chybami<\/strong>, neberte to jako dogma a ne v\u0161e mus\u00edte m\u00edt na sto procent opraveno. \u0158ada v\u011bc\u00ed je tak\u00e9 jen upozorn\u011bn\u00edm. <\/p>\n\n\n\n Pro uk\u00e1zku jsem jej nainstaloval na e-shop, kde je rodi\u010dovsk\u00e1 \u0161ablona Astra – https:\/\/wpastra.com\/<\/a> a k n\u00ed ud\u011blan\u00e1 child \u0161ablona.<\/p>\n\n\n\n Na prvn\u00ed pokus \u0161ablona pro\u0161la<\/strong>, proto\u017ee Astra je kvalitn\u00ed a bezprobl\u00e9mov\u00e1. Pokud by v \u0161ablon\u011b byly n\u011bjak\u00e9 probl\u00e9my, plugin by to p\u0159ehledn\u011b vypsal.<\/p>\n\n\n\n Pluginy, mo\u017en\u00e1 je\u0161t\u011b v\u00edce, ne\u017e \u0161ablony, ovliv\u0148uj\u00ed fungov\u00e1n\u00ed a bezpe\u010dnost<\/strong> WordPressu. <\/p>\n\n\n\n Na rozd\u00edl od \u0161ablon, mohou ovliv\u0148ovat nejen vzhled webu, ale i jeho chov\u00e1n\u00ed a chov\u00e1n\u00ed administrace. Co\u017e znamen\u00e1, \u017ee \u0161patn\u011b napsan\u00fd plugin, s bezpe\u010dnostn\u00ed chybu, bude otev\u0159en\u00fdmi dve\u0159mi do va\u0161eho webu. <\/p>\n\n\n\n Obecn\u011b plat\u00ed, \u017ee v\u00edce pou\u017e\u00edvan\u00e9 pluginy<\/strong>, jsou l\u00e9pe udr\u017eovan\u00e9<\/strong> a p\u0159\u00edpadn\u00e9 z\u00e1platy se objevuj\u00ed celkem rychle.<\/p>\n\n\n\n Aktualizace plugin\u016f<\/strong> je takov\u00e9 schizofrenn\u00ed t\u00e9ma, proto\u017ee je n\u011bkdy t\u011b\u017ek\u00e9 naj\u00edt spr\u00e1vn\u00e9 vyv\u00e1\u017een\u00ed mezi bezpe\u010dnost\u00ed webu a udr\u017een\u00edm funk\u010dnosti. <\/p>\n\n\n\n Mantra v\u0161ech \u010dl\u00e1nk\u016f o zabezpe\u010den\u00ed WordPressu<\/strong> je – aktualizujte, aktualizujte a aktualizujte<\/strong>. Jen\u017ee, pokud aktualizujete okam\u017eit\u011b po vyd\u00e1n\u00ed nov\u00e9 verze pluginu, tak u obs\u00e1hlej\u0161\u00edch produkt\u016f, jako je nap\u0159\u00edklad WooCommerce, se m\u016f\u017ee st\u00e1t, \u017ee v\u00e1m n\u011bco p\u0159estane fungovat. Proto j\u00e1 nap\u0159\u00edklad po vyd\u00e1n\u00ed nov\u00e9 aktualizace \u010dek\u00e1m n\u011bkolik dn\u00ed<\/strong>, zda se v rychl\u00e9m sledu neobjev\u00ed dal\u0161\u00ed, men\u0161\u00ed aktualizace. Tak\u017ee aktualizovat ano, ale s rozumem.<\/p>\n\n\n\n Pro\u010d\u00edtejte si informace o aktualizaci<\/strong>. V p\u0159\u00edpad\u011b, \u017ee je ozna\u010dena, jako bezpe\u010dnostn\u00ed, nev\u00e1hejte. <\/p>\n\n\n\n A z\u00e1rove\u0148 aktualizujte pravideln\u011b<\/strong>. Ono se v\u00e1m to vyplat\u00ed. m\u00e1m ve spr\u00e1v\u011b \u0159adu web\u016f, kter\u00e9 funguj\u00ed bez v\u011bt\u0161\u00edch probl\u00e9m\u016f n\u011bkolik let, proto\u017ee p\u0159\u00edpadn\u00e9 probl\u00e9my jsou minim\u00e1ln\u00ed. Kdy\u017e na web rok nes\u00e1hnete, nebo nem\u00e1te n\u011bkoho, kdo jej pravideln\u011b udr\u017euje, p\u0159\u00edpadn\u00e1 obnova\/oprava v\u00e1s bude st\u00e1t v\u00edce, ne\u017e zaplat\u00edte za pravidelnou spr\u00e1vu<\/p>\n\n\n\n Krom\u011b aktualizace plugin\u016f z va\u0161\u00ed strany, je dobr\u00e9 se p\u0159ed instalac\u00ed, nebo po n\u011bjak\u00e9 dob\u011b pou\u017e\u00edv\u00e1n\u00ed, pod\u00edvat se, jak je na tom s aktualizacemi v\u00fdvoj\u00e1\u0159. Na obr\u00e1zku je plugin, kter\u00fd nebyl aktualizov\u00e1n \u0161est let<\/strong> a to je v onlinu opravdu dlouh\u00e1 doba. <\/p>\n\n\n\n Mo\u017en\u00e1, \u017ee ten plugin funguje dob\u0159e a nen\u00ed na n\u011bm co aktualizovat, ale pravd\u011bpodobnost toho, \u017ee tam bude n\u011bjak\u00e1 bezpe\u010dnostn\u00ed d\u00edra<\/strong> je nezanedbateln\u00e1. Pokud nejste program\u00e1tor, nem\u016f\u017eete posoudit, zda je plugin bezpe\u010dn\u00fd<\/strong>. <\/p>\n\n\n\n Proto se v\u017edy d\u00edvejte na tyto informace, mohou v\u00e1m pomoci v rozhodov\u00e1n\u00ed, zda plugin pou\u017e\u00edt, \u010di ne.<\/p>\n\n\n\n <\/p>\n\n\n\nObsah \u010dl\u00e1nku<\/h2>\n\n\n\n
U\u017eivatel\u00e9 a p\u0159ihl\u00e1\u0161en\u00ed<\/h2>\n\n\n\n
Bezpe\u010dn\u00e1 hesla<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
<\/a><\/figure>\n\n\n\n
No Weak Passwords<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
WC Password Strength Settings<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Odhl\u00e1\u0161en\u00ed neaktivn\u00edch u\u017eivatel\u016f<\/h2>\n\n\n\n
Inactive Logout<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
<\/a><\/figure>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Roz\u0161\u00ed\u0159en\u00ed p\u0159ihla\u0161ovac\u00edho formul\u00e1\u0159e<\/h2>\n\n\n\n
HoneyPot<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Bezpe\u010dnostn\u00ed ot\u00e1zka<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
ReCaptcha<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Omezen\u00ed po\u010dtu nespr\u00e1vn\u00e9ho p\u0159ihl\u00e1\u0161en\u00ed<\/h2>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Omezen\u00ed p\u0159ihl\u00e1\u0161en\u00ed na e-mailovou adresu<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Korektn\u00ed info u nespr\u00e1vn\u00e9ho p\u0159ihl\u00e1\u0161en\u00ed<\/h3>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n
Zm\u011bna p\u0159ihla\u0161ovac\u00ed url<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Dvoufaktorov\u00e9 p\u0159ihl\u00e1\u0161en\u00ed<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Odstran\u011bn\u00ed u\u017eivatele admin<\/h3>\n\n\n\n
Nastaven\u00ed odpov\u00eddaj\u00edc\u00edch rol\u00ed<\/h3>\n\n\n\n
User role editor<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
WordPress, pluginy a \u0161ablony<\/h2>\n\n\n\n
WordPress a jeho aktualizace<\/h3>\n\n\n\n
\u0160ablony<\/h3>\n\n\n\n
Jak si ale vybrat \u0161ablonu, kter\u00e1 je bezpe\u010dn\u00e1? <\/h4>\n\n\n\n
Theme Check plugin<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
V\u00fdsledek testu:<\/h4>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n
Pluginy<\/h3>\n\n\n\n
Aktualizace plugin\u016f<\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n
<\/a><\/figure>\n\n\n\n
Nepou\u017e\u00edvat Nulled pluginy a \u0161ablony<\/h3>\n\n\n\n