WordPress je populární CMS, ale právě kvůli jeho rozšířenosti je častým cílem útoků. Proto je důležité dbát na jeho zabezpečení. V tomto článku si ukážeme několik klíčových kroků, jak ochránit WordPress na našem hostingu.

1) Aktualizace WordPressu, pluginů a šablon

Nejdůležitější je pravidelně aktualizovat WordPress, všechny pluginy a šablony. Starší verze mohou obsahovat zranitelnosti, které hackeři aktivně využívají.

Na co si dát pozor:

  • Zálohování: Než provedete jakoukoli aktualizaci, doporučujeme provést zálohu. Pokud se něco nepovede a zálohu nemáte, můžete využít naše zálohovací servery, které uchovávají denní zálohy až 30 dní dozadu. Více informací zde: Zálohování serverů.
  • Pokud máte velmi starou verzi WordPressu (např. běžící na PHP 5.6), nemusí jít přímo aktualizovat na poslední verzi. Je nutné postupovat postupně, protože nová verze WordPressu nebo některých pluginů může vyžadovat vyšší verzi PHP, kterou stará verze nepodporuje.
  • Verzi PHP lze změnit v administraci hostingu podle tohoto návodu: Volba verze PHP.
  • Při aktualizaci je nutné mít dostatek volného místa. Instalátor si stahuje novou verzi, proto doporučujeme, aby bylo volných alespoň 100 MB pro menší weby a 200 MB pro větší weby.
  • Postup pro kontrolu a nastavení místa naleznete zde: Nastavení prostoru webhostingu.

2) Základní bezpečnostní opatření

  • Používejte silná a unikátní hesla – kombinace velkých a malých písmen, číslic a speciálních znaků.
  • Omezte počet pokusů o přihlášení – plugin Limit Login Attempts Reloaded umožňuje nastavit limit přihlášení a blokovat IP adresy při opakovaných pokusech.
  • Zapněte dvoufaktorovou autentizaci (2FA) – například pomocí pluginu WP 2FA.
  • Omezte přístup k administraci podle IP adresy – pokud máte pevnou IP, nastavte omezení v .htaccess nebo pomocí bezpečnostních pluginů.
  • Používejte bezpečnostní pluginy – například Wordfence Security nebo iThemes Security, které poskytují ochranu proti různým typům útoků.

3) Automatické aktualizace

WordPress podporuje vestavěné automatické aktualizace pro jádro, pluginy i šablony. Doporučujeme je zapnout, aby se minimalizovalo riziko zneužití zranitelností.

Jak zapnout automatické aktualizace:

  1. V administraci WordPressu jděte do Nástěnka -> Aktualizace.
  2. Zkontrolujte, zda jsou povolené automatické aktualizace.
  3. Pokud nejsou, zapněte je kliknutím na tlačítko Povolit automatické aktualizace pro WordPress.

Pro větší kontrolu nad aktualizacemi doporučujeme nainstalovat plugin Easy Updates Manager, který umožňuje detailní nastavení aktualizací a výjimek. Díky tomu lze zabránit nechtěné aktualizaci upravené šablony nebo pluginu.

4) Kontrola v sekci Nástroje -> Zdraví webu

V administraci WordPressu je dostupná sekce Nástroje -> Zdraví webu, která pomůže zjistit, zda web neobsahuje nějaké problémy nebo bezpečnostní rizika. WordPress zde poskytuje užitečná doporučení ke zlepšení výkonu a bezpečnosti webu. Doporučujeme pravidelně tuto sekci kontrolovat a řídit se doporučeními.

5) Skrytí adresy administrace

Hackeři a boti často zkoušejí uhádnout heslo nebo hledají zranitelnosti na administrativní adrese /wp-admin. Proto je dobré použít plugin WPS Hide Login, který adresu změní na jinou.

Jak nastavit plugin:

  1. Nainstalujte a aktivujte plugin WPS Hide Login.
  2. V administraci WordPressu jděte do Nastavení -> WPS Hide Login.
  3. V poli URL přihlašovací stránky nastavte novou adresu (např. /administrace).
  4. V poli URL přesměrování nastavte, kam mají být návštěvníci přesměrováni, pokud se pokusí přistoupit k původní přihlašovací stránce (např. /404).
  5. Uložte změny.

6) Odstranění neaktivních pluginů a šablon

Všechny neaktivní pluginy a šablony, které na webu nepotřebujete, je dobré odinstalovat. Každý neaktualizovaný plugin nebo šablona může být potenciálním cílem útoku a to i když není aktivní. Pokud tedy něco nepoužíváte, odstraňte to přímo v administraci v sekci Pluginy nebo Vzhled -> Šablony.

7) Zakázání úprav souborů z administrace

Pokud na webu neprovádíte časté změny, je vhodné zakázat úpravy souborů šablon a pluginů přímo z administrace. Tím se sníží riziko neoprávněných zásahů v případě napadení webu.

Toto nastavení lze provést přidáním následujícího řádku do souboru wp-config.php:

Tato změna pomáhá zvýšit bezpečnost, ale pokud potřebujete provádět úpravy, bude nutné hodnotu dočasně změnit nebo soubory upravovat přes FTP.

8) Omezení instalací a mazání pluginů a šablon

Pro pokročilé uživatele, kteří chtějí ještě vyšší zabezpečení, lze v wp-config.php nastavit také:

Tento parametr zcela zakáže instalaci, aktualizaci a mazání pluginů a šablon.

9) Pomoc s aktualizací

Pokud si s aktualizací nejste jisti nebo narazíte na problém, obraťte se na naši podporu, rádi vám pomůžeme.

© Copyright 2006–2025 Zserver s.r.o. RSS Staň se fanouškem Ceny jsou uvedeny bez 21% DPH