Wordfence je zdarma plugin na WordPress, který se vám postará o to, aby byly vaše webové stránky chráněné proti hackerům, robotům a řadě dalších “útočných” nástrojů. Wordfence je bezpečnostní plugin, je to firewall a malware scanner, jehož úkolem je chránit váš redakční systém WordPress před napadaním.
Během těch 12 let provozu různých webových stránek na WordPressu jsem zažil několik (bohužel) úspěšných útoků na web. Končily různě, ale jedno měly společné. Strávil jsem mnoho hodin obnovou do původního stavu.
Naučil jsem se nepodceňovat prevenci. Bezpečnost je dnes na internetu důležitější než kdykoli v historii. Pokud provozujete webové stránky, vřele doporučuji podívat se, jak je máte zabezpečené proti útočníkům, malwaru a další nebezpečné internetové havěti.
WordPress je nejrozšířenější redakční systém a to je v tomto případě jeho nevýhodou – existuje více útočníků a robotů, kteří jsou zaměřené právě na webové stránky, které běží na WordPressu.
Nemusíte se však bát. Pokud budete zachovávat určité postupy a procesy, je velmi nízká pravděpodobnost, že vaše webové stránky budou napadené či hacknuté.
Plugin Wordfence Security
Wordfence Security považuji za nejlepší bezpečnostní plugin na WordPress. Doporučuji jej mít nainstalovaný na každé webové stránky, kde běží redakční systém WordPress.
Wordfence je zdarma a při základním nastavení nevyžaduje zvýšené nároky na hosting, takže nemusíte platit ani nic extra za webhostingový tarif. Pokud zakládáte nové webové stránky, pak mám otestováno, že plugin Wordfence lze bez problémů provozovat také na Wedos hostingu.
Wordfence plugin má přes 4 miliony stažení, jedná se o jeden z nejstahovanějších pluginů v celé knihovně WordPress.
Funkce Wordfence
- 2FA: 2 fázová autentifikace
- Ověřování Captcha
- Filtrování dle IP (zamezení přístupu dle IP, z různých zemí, atp.)
- Testování na napadení webu malwarem
- Firewall 24/7
Nastavení Wordfence
Po nainstalování pluginu Wordfence a jeho aktivaci doporučuji i drobné přenastavení. V základním nastavení je plugin také funkční, ale s drobnými úpravami dosáhnete lepší bezpečnosti.
Nastavení je v angličtině, ale vše zvládnete, není to nijak složité.
Přejděte v levém menu Wordfence do nastavení All Options.
Můžete si nastavit individuálně dle vlastních potřeb, jak chcete aby vám byly zasílány e-maily o různých aktivitách. Vhodné např. i pro redakční weby, kde dokážete monitorovat, zda se nějaký uživatel (redaktor) přihlásil do WordPressu. Já mám nastaveno u různých webů různé notifikace. Níže zobrazené nastavení ilustruje možnou variantu.
Další nastavení je ochrana proti strojovému a robotickému prolamování hesel, tzv. brute force attack. Oproti původnímu nastavení jsem zvolil přísnější režim, tedy 10 možných pokusů a následné 4 hodinové zablokování. Z praxe mohu potvrdit, že se používá ještě přísnější varianty, a to např. 3 pokusy a 1 hodinové zablokování.
Další část, kterou často upravuji je Rate limit. Opět se jedná o přísnější hodnoty, které jsem zvolil. Můžete nastavit ještě více přísněji (tj. bezpečněji), např. 120 per minute.
Nastavení skenování Wordfence doporučuji na hodnotu Custom Scan, zejména pro ty, kteří se technicky příliš neorientují v nastavení svého webhostingu a aktuální zátěže webových stránek.
Dále upravuji Performance Options na zaškrtlou hodnotu Use low resource scanning, abych nepřetěžoval webhosting.
A to je vše!
Po prvních dnech a týdnech se neděste stavu, který uvidíte. Procenta Firewall a Scan zřejmě nebudou 100%, ale to nevadí. Zjistíte, že na váš web útočí desítky zlounů týdně a stovky až tisíce měsíčně. To je normální!
Každý den se vám snaží někdo napadnout webové stránky. Internet je v tomto smyslu poněkud zlé místo. Wordfence vám jednak reportuje tyto útoky a jednak chrání váš web, aby tyto útoky nepronikly do jádra vašich webových stránek. Drtivou většinu běžných internetových útoků plugin Wordfence odvrátí a váš web ubrání.
Placená verze Wordfence vám nabídne rozšířené možnosti funkcí, nastavení, reportingu i ochrany.
Zabezpečení webových stránek
Nejsem expertem na bezpečnost, veškeré informace a sdílené poznatky vychází z mých zkušeností. Je možné, že jsou zkreslené právě tím, co jsem s weby prožil. Osobně nedoporučuji webhostingy zdarma také právě z důvodu bezpečnosti. Když jsem je před lety používal, stávalo se častěji, že jsem na těchto webech měl (úspěšné) útoky a malware (někdy jsem ho dokázal odstranit ručně, jindy jsem musel přeinstalovat celý WordPress a nastavit web znovu).
Vezměte prosím na vědomí, že plugin Wordfence vám nezajistí 100% bezpečnost vašeho webu, stejně tak to nezajistí žádný jiný jediný nástroj. Bezpečnost je komplexní záležitost a vždy záleží na více faktorech.
Za prioritní bezpečností faktory pro WordPress weby považuji:
- Aktualizace WordPressu.
- Používání ověřených a dobře hodnocených šablon a pluginů.
- Aktualizace šablony.
- Aktualizace pluginů.
- Používání unikátního uživatelského jména a hesla pro přihlášení (napoužívat “admin”).
- Neukládání hesel kamkoli do PC ani do internetových prohlížečů (typicky Chorme nabízí uložení). Používejte Password manager (např. LostPass.com).
- Přihlašování do WordPressu z bezpečných WiFi. V kavárnách atp. používejte minimálně VPN.
- Používejte službu Cloudflare (vyžaduje trochu více technických znalostí při nastavování).
- Nainstalujte, aktivujte a používejte plugin Wordfence Security.
A především, pravidelně zálohujte webové stránky.
Martin Rosulek je digitální nomád, který spojil podnikání na internetu s cestováním. Začínal jako backpacker a první velké zkušenosti nasbíral při ročním pobytu v Austrálii, odkud cestoval do Jihovýchodní Asie. V Kanadě strávil rok na Working Holiday a následovala několikaměsíční cesta do Centrální a Jižní Ameriky. Od té doby pracuje na dálku, nezávisle cestuje, investuje, přednáší a konzultuje. Životní přístup minimalismu, budování finanční svobody a vnitřního klidu je pro Martina esencí života.
