WordPress se stala nejoblíbenější CMS na světě. Vzhledem k tomu, že je tak populární, je to ještě důvod, proč můžete zvýšit zabezpečení aplikace WordPress, pokud ji používáte pro své webové stránky. Většina lidí si uvědomuje, jak zajistit, aby jejich stránka byla bezpečná, ale pokud se nezaměřujete na zabezpečení vašeho webu WordPress tím, že omezíte přístup k důležitým souborům a složkám, pak jste stále v nebezpečí. Chcete-li to udělat, nebudete provádět žádné změny ve WordPress sám, ale spíše měníte, jak WordPress běží na serveru a jak velký přístup má uživatel k jeho souborům.
Stránky WordPress se skládají ze série souborů a složek, z nichž každá má své vlastní jedinečné adresy URL, což znamená, že pokud by někdo zadal správnou adresu URL, mohly by přistupovat nebo měnit citlivé soubory, které spouštějí váš web. Jedním z nejobvyklejších cílů pro tento typ hackingu je složka wp-includes, takže do konfiguračního souboru serveru přidáme další kód, který zvýší bezpečnost a zabrání takovýmto hrozbám. Až skončíme s tím, každý, kdo se pokusí získat přístup k těmto souborům, bude přesměrován zpět.
Chcete-li spustit, budete chtít otevřít soubor .htaccess pro vaše stránky. Můžete to udělat pomocí jakéhokoli textového editoru, nezáleží na tom, protože vše, co děláme, je přidání fragmentu kódu do souboru. Všimnete si, že soubor již obsahuje kód, generovaný programem WordPress. V jedné z prvních řádků kódu najdete řádek, který říká # BEGIN WordPress
. Přímo nad tímto kódem přidáme další řádky kódu, které zpevní obranu webu omezením přístupu do složky wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Poté jednoduše potřebujete znovu nahrajte soubor na server a jste hotovi. Zatímco zde se zdá, že změny jsou malé, může mít velký vliv na obranu vašeho webu. Protože mnoho pokročilých funkcí aplikace WordPress se nachází ve složce wp-includes, jsou hlavním cílem hackerů. S těmito změnami se uživatelé pokusí o přístup k této složce, ale místo toho budou automaticky přesměrováni na přední stránku vašeho webu.
Dalším krokem, jak posilovat zabezpečení aplikace WordPress, je omezit přístup k souboru wp-config.php. Když jste poprvé vytvořili stránku WordPress, bylo nutné vytvořit název databáze, uživatelské jméno, heslo a předponu tabulky, které jsou obsaženy v souboru wp-config.php. Důvod, proč chcete tento soubor chránit, je, že obsahuje informace, které WordPress potřebuje k promluvě s databází, a z dlouhodobého hlediska řídí vaše stránky.
Chcete-li chránit soubor wp-config.php, stačí udělat několik jednoduchých kroků. Za prvé, budeme chtít znovu otevřít soubor .htaccess. Dále budeme chtít zkopírovat fragment kódu níže a vložit jej do našeho souboru .htaccess stejně jako v kroku 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Nakonec uložte a znovu nahrajte soubor.
Jak můžete vidět v krocích 1 a 2, soubor .htaccess může být přirozeným ochraně vašeho webu WordPress před nebezpečnými externími hrozbami. Proto v tomto kroku ochráníme samotný soubor .htaccess a zabráníme hackerům, aby odstranili ochranu, kterou jsme již zavedli.
Chcete-li to provést, znovu otevřete soubor .htaccess. Dále vložte kód do stávajícího kódu.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
A díky tomuto jednoduchému přidání je váš soubor .htaccess chráněn před vnějšími hrozbami.
Konečným krokem bude popření hackerů přístup k jednomu z nejvíce destruktivních nástrojů, kterým by se mohli dostat do rukou: Editor uvnitř panelu WordPress. Umožňuje upravit soubory témat, které jsou užitečné, ale mohou být nebezpečné. Pokud by k této věci přistupoval jiný člověk než vy, mohli by změnit váš kód a zlomit váš web.
Tímto projektem odstraníme Editor z panelu WordPress. Spíše než přistupovat k souboru přes WordPress, doporučuji vám, abyste jej měli přístup prostřednictvím ftp klienta, jako je FileZilla, což je lepší pro integritu webu.
Takže pro tento projekt budeme nejprve chtít otevřít soubor wp-config.php. Jakmile to budeme mít otevřené, půjdeme na konec kódu, zde najdete text "To je vše, zastavte úpravy! Happy blogging . Těsně před tímto textem přidáme níže uvedený kód, abychom úplně odstranili úpravu souborů z aplikace WordPress.
define('DISALLOW_FILE_EDIT', true);
Po přidání kódu uložte soubor a znovu jej nahrajte na server. Nyní je vaše stránky WordPress bezpečné od kohokoliv, kdo získá přístup na vaše stránky a snaží se manipulovat s kódem.
Pokud budete postupovat podle těchto kroků, vaše stránky by měly být mnohem bezpečnější. Tím, že snížíte množství přístupových hackerů k souborům důležitým pro spouštění vašeho webu, zvýšili jste celkovou bezpečnost stránek ve službě WordPress.