Krátká prezentace z WordPress Meetups 22.1.2014 věnovaná základnímu zabezpečení WordPressu. Zdroj informací zde: http://wordpress.bigdrobek.com/bezpecnost/
3. Umístění wp-config.php
Do této složky instalujete WordPress
O úroveň výš nahrajte wp-config.php
WordPress si sem umí sáhnout
nastavte práva 444
4. Přihlašovací údaje
● Nepoužívejte admin
● admin, 123456, password, 12345678, 666666, 111111, 1234567,
qwerty, 23321, 12345, 123123 jsou nejčastěji tipovaná hesla
● Nepoužívejte stejné heslo jako do emailu!!!
● Pro heslo kombinujte více znaků například AAbb11--
5. Omezení práv souborů a složek
● CHMOD hodnota 755 pro složky
● CHMOD hodnota 644 pro soubory
● wp-config.php a .htaccess nastavte 440
nebo 444 (na úpravy musíte přes ftp zvýšit
práva na 644 a po dokončení zase zpět na
444)
7. Zabezpečení přihlašovací stránky
Nastavte max množství chybných přihlášení v
určitém časovém úseku. Zde jsou tipy na
pluginy:
● Better WP Security – je to jedna funkcí
● Limit login attemps – jednoúčelový plugin
8. Aktivujte https (SSL) pro přihlášení
● Nastavte SSL šifrování tedy https pro
přihlášení do administrace
● Vložte do wp-config.php
9. Zamkněte WordPress administraci
Díky jednoduchému zápisu do .htaccess ve
složce wp-admin máte možnost omezit přístup
pouze na konkrétní IP adresu
10. Vypněte editaci šablon a pluginů
Vypnutí editace souborů z administrace
WordPressu je jednoduchá věc. Stačí tento
zápis do wp-config.php
11. Zakažte přístup k nechtěných souborům
přes prohlížeč
níže uvedený kód vložte do .htaccess
12. Další bezpečnostní tipy
●
●
●
●
●
●
●
●
●
●
Nepoužívejte nejlevnější nebo free hosting
Přihlašujte se pouze ze svého PC
Aktualizujte
Zálohujte
Smažte nepoužívané účty
Smažte nepoužívané pluginy a šablony
Dejte vždy (zákazníkovi, editorovy) co nejnižší možné práva
Méně pluginů znamená více
Secret keys - zkontrolujte si jestli se vygenerovali secret keys
Použijte SFTP/FTPeS namísto FTP
13. Dotazy
Zdroj kde najdete více informací: http:
//wordpress.bigdrobek.com/bezpecnost/
Děkuji za pozornost,
Radek Kučera