Krátká prezentace z WordPress Meetups 22.1.2014 věnovaná základnímu zabezpečení WordPressu. Zdroj informací zde: http://wordpress.bigdrobek.com/bezpecnost/

1. Zabezpečení
WordPressu
Radek Kučera

2. Obsah
1.
2.
3.
4.
5.
6.
7.
8.
9.
Umístění wp-config.php
Přihlašovací údaje
Omezení práv souborů a složek
Změna prefixu databáze
Zabezpečení přihlašovací stránky
Aktivujte https (SSL) pro přihlášení
Zamkněte WordPress administraci
Vypněte editaci šablon a pluginů
Další bezpečnostní tipy

3. Umístění wp-config.php
Do této složky instalujete WordPress
O úroveň výš nahrajte wp-config.php
WordPress si sem umí sáhnout
nastavte práva 444

4. Přihlašovací údaje
● Nepoužívejte admin
● admin, 123456, password, 12345678, 666666, 111111, 1234567,
qwerty, 23321, 12345, 123123 jsou nejčastěji tipovaná hesla
● Nepoužívejte stejné heslo jako do emailu!!!
● Pro heslo kombinujte více znaků například AAbb11--

5. Omezení práv souborů a složek
● CHMOD hodnota 755 pro složky
● CHMOD hodnota 644 pro soubory
● wp-config.php a .htaccess nastavte 440
nebo 444 (na úpravy musíte přes ftp zvýšit
práva na 644 a po dokončení zase zpět na
444)

6. Změna prefixu databáze
WordPress při instalaci umožňuje změnit prefix
z wp_ na cokoli jiného například gta_

7. Zabezpečení přihlašovací stránky
Nastavte max množství chybných přihlášení v
určitém časovém úseku. Zde jsou tipy na
pluginy:
● Better WP Security – je to jedna funkcí
● Limit login attemps – jednoúčelový plugin

8. Aktivujte https (SSL) pro přihlášení
● Nastavte SSL šifrování tedy https pro
přihlášení do administrace
● Vložte do wp-config.php

9. Zamkněte WordPress administraci
Díky jednoduchému zápisu do .htaccess ve
složce wp-admin máte možnost omezit přístup
pouze na konkrétní IP adresu

10. Vypněte editaci šablon a pluginů
Vypnutí editace souborů z administrace
WordPressu je jednoduchá věc. Stačí tento
zápis do wp-config.php

11. Zakažte přístup k nechtěných souborům
přes prohlížeč
níže uvedený kód vložte do .htaccess

12. Další bezpečnostní tipy
●
●
●
●
●
●
●
●
●
●
Nepoužívejte nejlevnější nebo free hosting
Přihlašujte se pouze ze svého PC
Aktualizujte
Zálohujte
Smažte nepoužívané účty
Smažte nepoužívané pluginy a šablony
Dejte vždy (zákazníkovi, editorovy) co nejnižší možné práva
Méně pluginů znamená více
Secret keys - zkontrolujte si jestli se vygenerovali secret keys
Použijte SFTP/FTPeS namísto FTP

13. Dotazy
Zdroj kde najdete více informací: http:
//wordpress.bigdrobek.com/bezpecnost/
Děkuji za pozornost,
Radek Kučera