Již v prvním díle tohoto seriálu jsem se zaobíral problematikou, jak zabezpečit redakční systém WordPress, který je hojně využívaný a proto je také na něj často cíleno. Proto píši již druhou část tohoto seriálu, abychom si ukázaly další způsoby, jak zabezpečit web.
Pravidelné aktualizace
Tvůrci WordPressu vydávají pravidelné aktualizace, které opravují nalezené chyby v systému. Z tohoto důvodu je dobré aktualizovat co nejdříve, i když máte českou verzi. Tvůrci české verze se totiž postarali, aby i po aktualizaci byl WordPress stále v češtině.
Pravidelně aktualizovat je potřeba i případné pluginy, které jste si doinstalovali, abyste získali něco co WordPress v základu neobsahuje. Pokud ovšem plugin již delší dobu není aktualizován, je velmi vhodné najít buď alternativu za tento plugin a nebo jej odinstalovat. Žádný plugin totiž není bez chyby a může tedy vytvořit zadní vrátka pro útočníka.
Pluginy
Pluginy ve WordPressu dokáží úplně všechno na, co si vzpomenete. Je ovšem otázkou, zdali danou věc opravdu potřebujete a zdali je vámi zvolený plugin nejvhodnější. Proto si před instalací jakéhokoliv pluginu zjistěte pár věcí.
- Potřebuji to co plugin dokáže
- Kolik lidí si tento plugin stáhlo
- Zjistit si, zdali je kompatibilní s mojí verzí WordPress
- Jak často je plugin aktualizovaný a jak se o něj autor stará
- Najít si, zdali plugin nezavinil nějaké bezpečnostní riziko
Nejlepší je instalovat opravdu jen minimum pluginů a především nepotřebné pluginy a nebo zastaralé ihned odinstalovat.
Verze WordPress
Již v minulém díle jsme si říkali, že není dobré útočníkovi sdělovat verzi WordPress, podle verze si totiž poté dohledá, jaké díry tato verze obsahovala a zneužije je. Většina šablon pro WordPress má bohužel generátor verze. Proto, když si dáte zobrazit zdrojový kód, tak se nejspíše naleznete toto (jen verze v popisu bude jiná).
<meta name=“generator“ content=“WordPress 3.6″ />
Tento řádek odstraníme snadno a to vožením jednoho řádku do souboru functions.php .
remove_action("wp_head", "wp_generator");
Tento kód klidně vložte až na konec souboru nebo na začátek, výsledek bude stejný. Další tipy a rady jak udělat svůj web bezpečnější si ukážeme v třetí části tohoto seriálu.
Ahoj.
To poslední o verzi WP je zajímavé, má to ale háček – často je verze WP obsažena v src javascriptu.
Těší mě, že tě článek zaujal. Samozřejmě sice může být verze uvedena i někde jinde, ale to by musel za prvé bot vědět, kde ji hledat a za druhé, ne vždy ta musí být. Jde o to jaké pluginy každý využívá a také jde i u javascriptu odstranit verzi wordpress.