Zabezpečení WordPress pro běžné uživatele aneb nastavení Wordfence

Jak si jako běžný uživatel WordPress zabezpečit web a neztratit se přitom v záplavě technikálií? Existuje jedno řešení, které s oblibou používám: bezpečnostní plugin Wordfence. Pojďme se podívat na jeho nastavení.

Hned z kraje tě uklidním: článek není pro WP administrátory, ale běžné uživatele webu, kteří se vyhýbají přístupu na FTP, a otevření htaccess, jako kosmonaut černé díře.

Datum poslední změny: 11. 12. 2023

Proč se pouštět do instalace a nastavení Wordfence?

Protože chceš mít zabezpečený web. Až plugin nainstaluješ, pravděpodobně tě dost překvapí, kolik útoků týdně se i na tvůj (klidně i malý) web děje. Tahle čísla ti budou v defaultním nastavení chodit v týdenním reportu e-mailem.

Klíčové vlastnosti Wordfence

• Automatické skenování napadení webu malwarem a kontrola změn souborů
• 2FA: 2 fázová autentifikace
• Ověřování přihlášení Captcha v3
• Zabezpečení přihlášení
• Filtrování dle IP (zamezení přístupu dle IP, z různých zemí, atp.)

Další užitečné funkcionality Wordfence

• Zakázání přístupu k XLM-RPC
• Výpis informací o WordPress a webhostingu

Instalace Wordfence

Takhle vypadá plugin po jeho vyhledání.

Po instalaci chce Wordfence e-mail na notifikace a současně ti udělí licenci free verze pluginu. Nastavení pluginu po instalaci je dobré ještě trochu “dotáhnout”.

Nastavení pluginu

Zabezpečení přihlášení

Dvoufázové ověřování - k ověřování používám appku Google Authenticator. V dalším nastavení Wordfence jde nastavit, aby si Wordfence zařízení pamatoval po dobu 30 dní (kód z ověřovací aplikace tedy budeš reálně psát jednou za 30 dní).

Určitě doporučuju využít možnosti vygenerování záložních kódů!

Dále karta Nastavení: zde tedy nastav Povolit zapamatování zařízení po dobu 30 dnů.

Dále doporučuji vypnout XML-RPC (pokud ho teda nepoužíváš - pokud nevíš, pak nepoužíváš): Zakažte ověřování XML-RPC - zaškrtnout.

reCaptcha - zadej klíč k reCaptcha, která bude používána během přihlášení.

Všechny možnosti - předvolby upozornění e-mailem

Je to na tobě, ale mě časem začalo vadit, že mi Wordfence posílá zbytečně moc e-mailů, jejichž informativní hodnota nebyla zase tak velká. Já tedy nastavil následující:

• Upozornit na výsledky skenování této úrovně závažnosti nebo vyšší: vysoký
• Upozornit, když je IP adresa blokována - vypnuto
• Upozornit, když je někdo uzamčen pro přihlášení - vypnuto
• Upozornit, když se přihlásí někdo s přístupem správce - vypnuto

Ochrana před Brute Force

Nastavení viz obrázek.

Omezení rychlosti

Původní hodnoty jsou celkem benevolentní. Zde se vyplatí počet požadavků za minutu snížit a toho, kdo je překročí, omezit. Nastavení viz obrázek.

Pokročilé možnosti brány firewalll

Zde se dají nastavit IP adresy služeb, které nemají být nijak omezovány. Já si tady například přidal seznam IP adres pro ahrefs.

Další nastavení

Pro snížení zátěže serveru se vyplatí použít skenování s nízkými zdroji.

Diagnostika WP a hostingu

V nástrojích pluginu Wordfence se skrývá záložka diagnostika. Jsou zde vypsané nastavení WP, ale také informace o hostingu (například verze php, cURL, atd.). Pro nastavení WP tedy nemusíš lézt na FTP do wp-config.php.

Celý výpis stavu WP lze odeslat e-mailem, což se hodí ve chvíli, kdy řešíš nějaké trable. V e-mailu vývojář (nebo prostě někdo, kdo se ti snaží poradit) vidí kromě již zmíněného také seznam aktivních pluginů, nainstalované šablony a mnohem víc.

Úplně dole je také možnost nechat si poslat zkušební e-mail, čímž můžeš jednoduše ověřit, zda z tvého WP odchází e-maily. Pokud ne, je třeba nastavit SMTP (o tom zase jindy).

Dostupná paměť hostingu

Na stejné stránce úplně dole se skrývá nenápadný odkaz Vyzkoušejte dostupnou paměť hostitele WordPress.

Mě se líbí především to, že zjistíš, kolik aktuálně paměti instalace WP používá.

A jsme u konce. V brzké době se podíváme na základní zabezpečení webu (běžícího na WP) přes htaccess.

Nedaří-li se něco, můžeme se na to podívat v rámci digitálního koučinku.