V poslední době sleduji větší míru napadení nezabezpečených webů na redakčním systému WordPress (ale i Joomla) hackery. Obrací se na mně pak majitelé těchto webů se žádostí o vyléčení a uvedení zpět do původního stavu. Protože je vždy prevence lepší než náprava, rozhodl jsem se popsat několik základních pravidel a tipů pro bezpečný web a jednoduchý návod jak postupovat při léčení napadeného webu.

Tým vytvářející redakční systém WordPress sice věnuje velkou pozornost bezpečnostním otázkám, ale musíme mít stále na paměti, že se jedná o open-source systém, tedy zdrojový kód je přístupný komukoliv a odhalení možných slabých stránek je tak jednodušší než u webů programovaných kompletně na míru. Proto je vhodné zabezpečení stránek věnovat větší pozornost.

Jakým způsobem může být web napadený?

  • Mezi nejčastější případy v mé praxi patří vložení cizího kódu do klíčových souborů webu. Zpravidla se na určitá místa načítá obsah z jiného webu. Tento kód může být buď klasické HTML, PHP skript nebo ve formátu Base64.
  • Také se setkávám s napadením souboru .htaccess – to je dle mého názoru mnohem záludnější forma napadení. Setkal jsem se s případy, kdy na PC fungoval web normálně, ovšem na mobilních zařízeních – telefonech a tabletech byl návštěvník přesměrován na pornostránky, nebo byla navrhována instalace aplikace do telefonu apod.

Čím může být napadení způsobené?

1. Problém je ve Vašem PC – Virus – trojský kůň, nebo malware
Přítomnost antivirového programu na PC by měla být samozřejmostí, i tak je ale reálná šance odněkud získat trojského koně, který umí získat například FTP přístupy, nebo hesla do administrace webu a tam nadělá paseku. Stejně tak je důležité si správně vybírat FTP klienta, kterému svěříte heslo ke svému hostingu – ne všechny ukládají hesla bezpečně!

2. Problém zvenčí – Brute-force útoky
Brute force attack (útok hrubou silou) je napadení formou automatického generování požadavků na přihlášení  bez znalosti hesla – prostě automat zkouší uživatelská jména a hesla buď podle tabulky nejčastějších jmen (admin, administrator….) a hesel (Pro zajímavost: Seznam padesáti nejčastějších hesel), ze slovníku obsahujícího tisíce slov a výrazů, nebo náhodné či postupné řetězce znaků.

3. Problém zabezpečení na straně hostingu
Sem spadá kromě bezpečnostních děr na straně serveru také chybné nastavování práv souborů a adresářů, používání standardních prefixů v databázi atp.

Co dělat když už mám web napadený?

1. Zjistit rozsah a způsob napadení a posoudit situaci zda zvládnu obnovu a nápravu sám nebo zda kontaktuji odborníka.
2. Vytvořit zálohu napadeného webu (soubory i databáze) – může se stát, že jiná záloha neexistuje a oprava se nepovede – ať nepříjdete o data.
3. Ideálně obnova zdravých stránek ze zálohy – v případě že vy, nebo poskytovatel hostingu pravidelně zálohujete a přijdete na napadení včas. Toto je asi nejpříjemnější varianta – poté následují kroky 5 a 6.
4. Vyčistit soubory od škodlivého kódu – pokud je útok jen jeden, bývá nezřídka stejný kód navkládán do více souborů – stačí jej tedy vhodným programem v souborech vyhledat. Mezi nejčastější napadené soubory patří soubory šablony, soubory index.php a soubory pluginů. Občas také po útoku nějaké soubory přibudou – je potřeba je najít a smazat. 🙂
5. Změnit hesla do administrace, FTP, MySQL jako prevenci dalších útoků, pokud se hesla dostala ven.
6. Bezpečnostní pluginy – existuje široká nabídka pluginů, které Vám pomohou lépe zabezpečit WordPress. A to jak placených, tak těch volně dostupných. Kromě prevence existují také pluginy sloužící k detekci přítomnosti cizího škodlivého kódu na webu.

Jak mohu web zabezpečit?

  • Nepoužívat standardní názvy v databázových prefixech
  • Nepoužívat jako přihlašovací jméno “admin”, používat silná hesla (máme velká i malá písmena, číslice i třeba interpunkční znaménka… 😉 )
  • Správně nastavit práva souborů a adresářů (CHMOD)
  • Používat vhodné bezpečnostní pluginy
  • Udržovat aktuální verzi WordPressu a pluginů
  • Zálohovat pravidelně a čas od času měnit hesla
  • A samozřejmě udržovat v dobrém stavu svůj PC – neinstalovat vyhledávací a jiné lišty do prohlížečů, nenavštěvovat rizikové weby, používat legální software.

Přeji Vám zdravé weby bez hackerských útoků! Pokud však stejně byl váš web napaden, budu rád, když vám tento článek přinese užitečné informace. Máte další tipy, nebo zkušenosti? Napište je do komentářů pod článek – třeba pomohou dalším.

Jan Barbořík

Jan Barbořík

Pomáhám živnostníkům, malým a středním firmám s online i offline marketingem.
Jsem tu pro vás, když nestíháte udržovat firemní web a sociální sítě.
Pomohu, když je vaše firma málo vidět a nevíte si rady s propagací.
Umím vytvořit firemní grafiku, propagační materiály nebo webové stránky.
Podnikám pod značkou Devenio.
Jan Barbořík