Zabezpečené stránky by na měly být standardem. Týká se to jak přístupu k obsahu, tak zabezpečení proti napadení viry. Asi není nikdo, kdo by rád ztrácel reputaci nefungujícími stránkami a vítal finanční ztráty.
Na co se zaměřit?
- Aktualizovat, aktualizovat a ještě jednou aktualizovat. Ideální je mít testovací prostředí, kde si předem vyzkoušíte aktualizace, alespoň ty větší.
- Nasadit a používat bezpečnostní plugin.
- Výběru kvalitního webhostingu, kde https není (drahý) nadstandard. Minimálně předejdete úniku dat zadávaných do formulářů a internetové prohlížeče nebudou návštěvníka upozorňovat na nezabezpečené stránky. Šifrované přenosy jsou jedním z kroků zabezpečení osobních údajů (GDPR).
- Správné nastavení
.htaccess, který znesnadní zkoumání souborů potenciálnímu útočníkovi. Společně se souboremrobots.txtje to i jedna z cest, jak pomoci vyhledávačům k dobré indexaci stránek. - Nepoužívat opuštěné (abandoned) pluginy (rozšíření) a šablony, jež autor neudržuje. Stejné pravidlo platí i pro používání komerčních pluginů, pro něž vám vypršela licence a nemáte přístup k aktualizacím.
- Nepoužívat pluginy a šablony s placenou funkčností získané z pochybných zdrojů.
- Nemít instalovány pluginy a šablony, které nepotřebujete. Nepoužívejte více rozšíření pro stejnou funkčnost, jako benefit budete mít „živější“ web.
- Skrýt použitou verzi WordPressu, skriptů i stylů. Neusnadňujte to útočníkovi.
- Je důležité mít zálohovací a monitorovací mechanismy.
Většinu bodů by měl splnit dodavatel webu.
Pokud web máte, používáte WordPress, nemáte čas řešit jeho technickou správu, můžete mě kontaktovat pro případné navázání spolupráce.
Poznámka
Podrobněji, s odkazy i na další zdroje informací, jsem rozebral téma oprav nezabezpečených a neudržovaných WordPressů na svém blogu.