Ochrana pred zobrazením a spúšťaním citlivého a škodlivého obsahu

Väčšina škodlivého kódu sa do WordPress stránky dostane cez neoficiálne pluginy. Tieto kódy sa v bežnom nastavení webhostingu dajú spúšťať, preto je veľmi dôležité zabezpečiť, aby sa tieto škodlivé súbory spustiť nedali.

Okrem škodlivého kódu z pluginov je dobré zabezpečiť WordPress aj pred skenovaním, spúšťaním uploadnutých súborov, botmi, atď...

Zapnutie ochrany

Pre zapnutie a nastavenie ochrany si otvorte buď "Nastavenia webu" (ak ide o samotnú doménu) alebo kliknite na editáciu subdomény (v prípade ak chceme nastaviť subdoménu). Následne kliknite na tlačidlo "Upraviť" v časti WordPress Security:

Nastavenia ochrany

Všetky inštalácie WordPressu v HostCreators majú štandardne zapnuté všetky ochrany. Na nasledovnom obrázku je viedieť ktoré sú to.

  • Zakázať spúšťanie .php vo /wp-includes - Za normálnych okolností nie je dôvod spúšťať php v tomto adresári.
  • Zakázať spúštanie .php vo /wp-content/uploads - vo /wp-content/uploads sa ukladajú multimediálne súbory ako obrázky, videá, ikonky, ... Štandardne nie je dôvod, aby bolo v tomto priečinku spúšatné php.
  • Blokovať prístup k súboru wp-config.php - V súbore wp-config.php sa nachádzajú okrem iného prístupové údaje k databáze. Je nežiadúce, aby sa k nim dostal niekto zvonka, preto týmto nastavením blokujeme prístup k wp-config.php.
  • Zakázať spúštanie externých skriptov cez load-styles.php a load-scripts.php
  • Vypnúť pingback odkazy - Pingbacky sú iba upozornenia, ktoré pošle CMS WordPress autorovi tej webstránky (vytvorenej vo WordPresse), na ktorú ste použili odkaz na Vašej webstránke.
  • Zakázať nepoužívané skriptovacie jazyky - Blokovanie psd, log, cmd, exe, ...
  • Zakázať PHP v medzipamäti - V medzipamäti (cache) sú súbory, ktoré sa do nej uložili pri predošlom načítaní webstránky akýmkoľvek návštevníkom webu. Nie je žiadúce, aby do nej boli pridané akékoľvek iné súbory.
  • Zapnúť ochranu pred crawlermi - Toto nastavenie sa nevzťahuje na google bota a iných crawlerov od vyhľadávačov.
  • Zablokovať prístup k citlivým súborom - Blokovaný prístup k .bak, .php, changelog, license, readme, .swp, ... súborom.
  • Blokovať skeny autora -Ide o zablokovanie URL adresy jedlotlivých používateľov (wp-users).