11 hlavních důvodů, proč jsou weby WordPress hackovány (a jak tomu zabránit)

Nedávno se nás jeden z našich čtenářů zeptal, proč jsou weby WordPress hackovány? Zjištění, že vaše stránky WordPress byly hacknuty, je frustrující. V tomto článku se s vámi podělíme o hlavní důvody, proč jsou stránky WordPress hackovány, abyste se mohli těmto chybám vyhnout a své stránky ochránit.

Proč jsou weby WordPress hackovány?

Proč se na WordPress zaměřují hackeři?“

Předně to není jen WordPress. Všechny webové stránky na internetu jsou zranitelné vůči pokusům o hackerské útoky.

Důvodem, proč jsou weby WordPress častým cílem, je to, že WordPress je celosvětově nejoblíbenějším tvůrcem webových stránek. Pohání více než 31 % všech webových stránek, což znamená stovky milionů webových stránek po celém světě.

Tato obrovská popularita dává hackerům snadný způsob, jak najít méně zabezpečené webové stránky, aby je mohli zneužít.

Hackeři mají k hacknutí webových stránek různé druhy motivů. Někteří jsou začátečníci, kteří se teprve učí zneužívat méně zabezpečené weby.

Někteří hackeři mají zlovolné úmysly, například šířit malware, používat web k útokům na jiné weby nebo rozesílat internetový spam.

Podívejme se tedy na některé z hlavních příčin napadení webů WordPress a na to, jak zabránit napadení vašeho webu.

1. Nezabezpečený webhosting

Stejně jako všechny webové stránky jsou i stránky WordPress hostovány na webovém serveru. Některé hostingové společnosti svou hostingovou platformu řádně nezabezpečují. Díky tomu jsou všechny webové stránky hostované na jejich serverech zranitelné vůči pokusům o hackerské útoky.

Tomu lze snadno předejít výběrem nejlepšího poskytovatele hostingu pro WordPress pro vaše webové stránky. Ten zajistí, že vaše stránky budou hostovány na bezpečné platformě. Správně zabezpečené servery mohou zablokovat mnoho nejčastějších útoků na weby WordPress.

Pokud chcete dbát zvýšené předběžné opatrnosti, doporučujeme použít poskytovatele spravovaného hostingu WordPress.

2. Používání slabých hesel

Používání slabých hesel

Hesla jsou klíčem k vašemu webu WordPress. Musíte se ujistit, že používáte silné jedinečné heslo pro každý z následujících účtů, protože všechny mohou hackerovi poskytnout úplný přístup k vašemu webu.

  • Váš účet správce WordPressu
  • Účet v ovládacím panelu webhostingu
  • Účty FTP
  • Databáze MySQL používaná pro váš web WordPress
  • Emailové účty používané pro správu WordPressu nebo hostingový účet

Všechny tyto účty jsou chráněny hesly. Používání slabých hesel usnadňuje hackerům prolomení hesel pomocí některých základních hackerských nástrojů.

Tomu se můžete snadno vyhnout tím, že budete pro každý účet používat jedinečná a silná hesla. Podívejte se na našeho průvodce nejlepším způsobem správy hesel pro začátečníky ve WordPressu, kde se dozvíte, jak všechna tato silná hesla spravovat.

3. Nechráněný přístup do administrace WordPressu (adresář wp-admin)

Administrátorská oblast WordPressu poskytuje uživateli přístup k provádění různých akcí na vašem webu WordPress. Je to také nejčastěji napadaná oblast webu WordPress.

Ponechání této oblasti nechráněné umožňuje hackerům zkoušet různé přístupy k prolomení vašeho webu. Můžete jim to ztížit přidáním vrstev ověřování do adresáře správce WordPressu.

Nejprve byste měli oblast administrace WordPressu chránit heslem. Tím přidáte další vrstvu zabezpečení a každý, kdo se pokusí získat přístup do správce WordPressu, bude muset zadat další heslo.

Provozujete-li web WordPress s více autory nebo více uživateli, můžete pro všechny uživatele na webu vynutit silná hesla. Můžete také přidat dvoufaktorové ověřování, abyste hackerům ještě více ztížili vstup do oblasti administrace WordPressu.

4. Nesprávná oprávnění k souborům

Oprávnění k souborům

Oprávnění k souborům je soubor pravidel, která používá váš webový server. Tato oprávnění pomáhají webovému serveru řídit přístup k souborům na webu. Nesprávná oprávnění k souborům mohou hackerovi umožnit přístup k zápisu a změně těchto souborů.

Všechny vaše soubory ve WordPressu by měly mít jako oprávnění k souboru hodnotu 644. Všechny složky na vašem webu WordPress by měly mít jako oprávnění k souborům hodnotu 755.

Podívejte se na našeho průvodce, jak vyřešit problém s nahráváním obrázků ve WordPressu, kde se dozvíte, jak tato oprávnění k souborům použít.

5. Neaktualizace WordPressu

Někteří uživatelé WordPressu se bojí aktualizovat své stránky. Obávají se, že by tím rozbili své webové stránky.

Každá nová verze WordPressu opravuje chyby a bezpečnostní zranitelnosti. Pokud WordPress neaktualizujete, necháváte své stránky záměrně zranitelné.

Pokud se obáváte, že aktualizace rozbije váš web, pak můžete před spuštěním aktualizace vytvořit kompletní zálohu WordPressu. Pokud tak něco nebude fungovat, můžete se snadno vrátit k předchozí verzi.

6. Neaktualizace zásuvných modulů nebo tématu

Stejně jako základní software WordPressu je stejně důležitá i aktualizace tématu a zásuvných modulů. Používání zastaralého zásuvného modulu nebo tématu může způsobit zranitelnost vašeho webu.

V pluginech a tématech WordPressu jsou často objevovány bezpečnostní chyby a nedostatky. Autoři témat a zásuvných modulů je obvykle rychle opraví. Pokud však uživatel své téma nebo zásuvný modul neaktualizuje, nemůže s tím nic dělat.

Ujistěte se, že své téma a zásuvné moduly WordPress udržujete aktuální.

7. Používání obyčejného FTP místo SFTP/SSH

SFTP místo FTP

Účty FTP slouží k nahrávání souborů na webový server pomocí klienta FTP. Většina poskytovatelů hostingu podporuje připojení FTP pomocí různých protokolů. Můžete se připojit pomocí obyčejného FTP, SFTP nebo SSH.

Při připojení k webu pomocí prostého protokolu FTP je vaše heslo odesláno na server nezašifrované. Může být špehováno a snadno odcizeno. Místo protokolu FTP byste měli vždy používat protokol SFTP nebo SSH.

Nemuseli byste měnit klienta FTP. Většina klientů FTP se dokáže připojit k vašemu webu na SFTP i SSH. Stačí, když při připojování k webu změníte protokol na ‚SFTP – SSH‘.

8. Používání administrátora jako uživatelského jména WordPressu

Používání „admin“ jako uživatelského jména WordPressu se nedoporučuje. Pokud je vaše uživatelské jméno správce admin, měli byste jej okamžitě změnit na jiné uživatelské jméno.

Podrobné pokyny najdete v našem návodu, jak změnit uživatelské jméno WordPressu.

9. Zrušená témata a zásuvné moduly

Malware

Na internetu existuje mnoho webových stránek, které zdarma distribuují placené zásuvné moduly a témata pro WordPress. Někdy je snadné nechat se zlákat k použití těchto znehodnocených zásuvných modulů a témat na svých stránkách.

Stahování témat a zásuvných modulů WordPress z nespolehlivých zdrojů je velmi nebezpečné. Nejenže mohou ohrozit zabezpečení vašeho webu, ale mohou být také použity ke krádeži citlivých informací.

Zásuvné moduly a témata WordPressu byste měli vždy stahovat ze spolehlivých zdrojů, jako jsou webové stránky vývojářů zásuvných modulů/témat nebo oficiální úložiště WordPressu.

Pokud si nemůžete dovolit nebo nechcete koupit prémiový zásuvný modul nebo téma, vždy jsou k dispozici bezplatné alternativy těchto produktů. Tyto bezplatné pluginy nemusí být tak dobré jako jejich placené protějšky, ale svou práci odvedou a hlavně zajistí bezpečnost vašich webových stránek.

Slevy na mnoho oblíbených produktů WordPress najdete také v sekci nabídky na našich webových stránkách.

10. Nezabezpečení konfiguračního souboru WordPress wp-config.php

Konfigurační soubor WordPressu wp-config.php obsahuje přihlašovací údaje do databáze WordPress. Pokud je kompromitován, pak odhalí informace, které mohou hackerovi poskytnout úplný přístup k vašemu webu.

Další vrstvu ochrany můžete přidat tím, že zakážete přístup k souboru wp-config pomocí souboru .htaccess. Stačí do souboru .htaccess přidat tento malý kód.

<files wp-config.php>order allow,denydeny from all</files>

11. Neměnit předponu tabulky WordPress

Mnoho odborníků doporučuje, abyste změnili výchozí předponu tabulky WordPress. Ve výchozím nastavení používá WordPress jako předponu pro tabulky, které vytváří ve vaší databázi, wp_. Během instalace získáte možnost ji změnit.

Doporučuje se používat předponu, která je o něco složitější. Díky tomu bude pro hackery obtížnější uhodnout názvy vašich databázových tabulek.

Podrobný návod najdete v našem průvodci, jak změnit prefix databáze WordPressu pro zvýšení bezpečnosti.

Odstranění hacknutého webu WordPress

Odstranění hacknutého webu WordPress může být opravdu bolestivé. Lze to však zvládnout.

Níže uvádíme několik zdrojů, které vám pomohou začít s čištěním hacknutého webu WordPress:

  • Průvodce začátečníka opravou hacknutého webu WordPress
  • Jak skenovat web WordPress na potenciálně škodlivý kód
  • Jak najít zadní vrátka v hacknutém webu WordPress a opravit je
  • Co dělat, když jste zablokováni v administraci WordPressu (wp-admin)
  • Průvodce začátečníka: Jak obnovit WordPress ze zálohy

Bonusový tip

Pro skálopevné zabezpečení používáme na všech našich webech WordPress řešení Sucuri. Sucuri poskytuje služby detekce a odstraňování malwaru a také webovou bránu firewall, která ochrání vaše webové stránky před nejčastějšími hrozbami.

Podívejte se, jak nám Sucuri pomohla zablokovat 450 000 útoků na WordPress za 3 měsíce

Doufáme, že vám tento článek pomohl poznat hlavní důvody, proč je web WordPress napadán hackery. Možná se také budete chtít podívat na našeho dokonalého průvodce zabezpečením WordPressu, který vám pomůže ochránit váš web WordPress.

Pokud se vám tento článek líbil, přihlaste se k odběru našeho kanálu YouTube, kde najdete videonávody pro WordPress. Najdete nás také na Twitteru a Facebooku.

Leave a Reply

Vaše e-mailová adresa nebude zveřejněna.