Je WordPress dostatečně bezpečný CMS?
Jednou z věcí, která se u diskuzí týkajících se WordPressu hodně skloňuje, je bezpečnost tohoto redakčního systému. Někteří se nebojí jej ve srovnání s jinými CMS označit jako „cedník“, tedy s velkým množstvím zranitelností.
Kde je pravda? Skutečně je WordPress nezabezpečený a je lepší zvolit nějaký jiný redakční systém, který nemá tak rozsáhlý ekosystém doplňků, ale poskytne větší míru bezpečí? Nebo jsou nakonec nejlepší statické stránky? Tvorba webových stránek Praha už samozřejmě zabezpečené stránky má, ale na co si dát tedy pozor jinde?
Aktualizace jsou základ
Z pohledu bezpečnosti jsou aktualizace základ. Nejen jádra WordPressu, ale i pluginů a šablon. Ty obvykle opravují objevené zranitelnosti a zamezují jejich zneužití k napadení webových stránek.
WordPress pravidelně vydává minoritní verze, které zvyšují zabezpečení. Instalovány jsou automaticky, pokud to nezakážete. V takovém případě je vhodné jejich vydání hlídat a aktualizovat co nejdříve.
Oproti tomu pluginy/šablony se často automaticky neaktualizují. Je tedy vhodné dostupnost aktualizací kontrolovat a pravidelně instalovat, případně mít někoho na správu stránek. U placených pluginů/šablon je častou chybou neprodloužení předplatného, kdy neztratíte pouze nové funkce, ale i aktualizace týkající se bezpečnosti a kompatibility.
Základní pravidla pro bezpečnost
Bez ohledu na to, o jakém systému se bavíme, je vhodné držet se základních pravidel. Pro WordPress to pak budou (nejen) tato:
- Používat silné heslo
- Heslo nepoužívat nikde jinde
- Zapnout dvoufaktorové ověření (např. ve Wordfence Premium)
- Nepoužívat výchozí jména účtů „admin“ či „administrator“
- Pravidelně zálohovat soubory i databázi
To nejsou žádné „speciality“, ale i dnes řada lidí používá jedno heslo do všech služeb a správce hesel je neznámý pojem. Nelze očekávat, že jakýkoliv systém vyřeší bezpečnost za uživatele. Proto je u WordPressu vhodné mazat nepoužívané pluginy, šablony a účty.
Bezpečnostní plugin nutností?
Nemusí být nezbytné mít nainstalován některý z bezpečnostních pluginů, neboť řada hostingových společností dnes dokáže filtrovat útoky, které jsou cílené na redakční systémy. Ovšem já osobně se na toto nespoléhám.
Doporučuji si dříve či později nainstalovat bezpečnostní plugin a správně jej nastavit. Já používám výhradně Wordfence, který mi vyhovuje jak funkcemi, tak především ovládáním. Základní (přesto dobře vybavená) verze je dostupná zdarma a dokáže filtrovat provoz, blokovat známé útoky i skenovat na přítomnost malware.
Nejsou lepší statické stránky?
Vrátit se jen k HTML a CSS jistě dramaticky sníží riziko problémů se zabezpečením, ale zároveň zásadním způsobem limituje provoz stránek. Úprava čehokoliv nebude otázka kliknutí, žádné komentáře, formuláře apod.
Žádný redakční systém nebude 100% bezpečný, to je fakt. WordPress má velkou komunitu a je aktivně vyvíjen, to je jeho velká výhoda. Přidáním zmiňovaného firewallu a dodržováním zásad bezpečnosti je možné riziko nějakého napadení výrazně snížit.