Zavirovaný wordpress, nefunkční web
Vir ve wordpressu je stále aktuální téma, protože jde o stále populárější redakční systém. Jak tomu předcházet a jakou zahájit první pomoc při napadení?
Vir ve wordpressu sice funguje jinak, než vir v počítači. Umí z webové prezentace vyrobit „rozsypaný čaj“, „white screen of death“ či zablokovat celou doménu.
Prevence především!
Desatero bezpečného používání internetu určitě znáte. Co z něj využijete ve wordpressu a co je pro wordpress specifické?
Silná hesla
WordPress vám nabízí vestavěnou nápovědu na sílu hesla. Při registraci nového uživatele díky němu i bezpečná hesla vygenerujete a odešlete novému editorovi na e-mail.
Pusťte do administrace jen tolik lidí, kolik potřebujete
Pokud editor webu spolupráci s vámi ukončí, vymažte jeho účet a převeďte jeho příspěvky pod jiného uživatele. Je to opět jednoduché, průvodce vám nabídne několik možností co s příspěvky chcete udělat.
Vypněte komentáře nebo je moderujte
Komentáře ve wordpressu najdete na začátku vždy zapnuté. Doporučuji otevírat komentáře jen tam, kde mají pro vás význam. Pro váš systém sice nepředstavují riziko, ale pro návštěvníky ano. Pokud kliknou na odkaz, který tyto komentáře obsahují, mohou se potýkat s phisingem nebo s různými formami spywaru.
Pečlivě vybírejte doplňky a šablony
WordPress má svůj vlastní repozitář, ve kterém doplňky vyhledejte. Projděte si jejich hodnocení, podívejte se na kompatibilitu se svým systémem a poté instalujte. V oficiálním repozitáři jsou většinou doplňky o částečné funkčnosti, jejich plné verze stahujete z webu autora doplňku nebo ze serveru themeforest.com. Přebytečné šablony a doplňky smažte. Kromě bezpečnosti Vám ubírají i rychlost odezvy serveru.
Aktualizujte
Aktualizaci doplňků povolte automaticky, to samé lze zařídit i u celého systému. V případě šablon/doplňků z Themeforestu lze aktualizovat na jedno kliknutí po instalaci doplňku Envato Market WordPress Plugin.
Zálohujte
Ideálně si stáhněte manuálně databázi (poraďte se zákaznickou podporou hostingu) a pak složku wp-content. Dobré je znát „přístup na FTP“ a do „databáze“.
Pomocný „software“
Mezi mé oblíbené univerzální doplňky patří Wordfence Security. Kromě prevence ve formě dvoufázového ověření přihlášení do WordPressu a firewallu nabízí například i skenování systému při napadení a pomůže Vám najít „nemocné“ soubory.
Na zabezpečení komentářů můžete použít předinstalovaný Akismet (ceník zde), můj oblíbený je jakýkoliv honeypot – třeba Honeypot for WP comment. Představa, jak útočník padá do „hrnce s medem“ je moje oblíbená forma odvety :).
Trošku složitější na zpracování je zabezpečení pomocí Google reCaptchy. Budete potřebovat registraci do Google API, ale můžete ji použít na zabezpečení více druhů formulářů (přihlášení, kontaktní formuláře, komentáře). Ve verzi 3 už probíhá ve většině případů na pozadí. Takže už není třeba potvrzovat „Nejsem robot“ nebo hledat na obrázku semafory :).
Web je napadený
Všechny druhy ochrany selhaly, a váš web nefunguje. Místo WordPressu se objeví pouze bílá stránka. „WordPress white screen of death“ je to samé jako „Windows blue screen of death“. To znamená, že je váš web nefunkční, ale nemusí být nutně napadený!
Pokud se dostanete do administrace (někdy funguje), zkuste nejdříve vypnout všechny doplňky (pluginy) a pak se ještě přepnout na výchozí šablonu (jmenuje se Twenty-„něco“). Pokud změníte šablonu nejspíše přijdete o nastavení z menu „Přizpůsobit“ – to je nastavení barev, menu apod. Při návratu k původní šabloně se nastavení obvykle opět načte. U vypínání doplňků nastává podobná situace. Zde se při nefunkčním doplňku objevují znaky v hranatých závorkách. Většina řešení těchto situací je však o zkušenějších postupech, to co jsem popsala je spíše náhradní řešení, jak fungovat ve stavu nouze a zobrazit na webu základní obsah.
Líbí se Vám tento článek a pomohl Vám?
Pozvěte mě na dortík virtuálně přes paypal.me/MartinaZap .
Potřebujete pomoci s Vaším problémem?
Použijte kontaktní formulář.