Kako zaštititi WordPress stranicu od neželjenih napada
WordPress je najpopularniji sustav za upravljanje sadržajem (CMS- engl. Content Management System), s 43,2% svih web stranica koje rade na njegovom softveru. WordPress je siguran CMS, ali budući da je otvorenog koda (engl. Open Source), podložan je raznim kritičnim ranjivostima. Sigurno ste se nekada zapitali kako zaštititi WordPress stranicu od neželjenih napada?! Srećom, postizanje sigurnosti WordPressa jednostavno je kada poduzmete prave korake.
Zašto vam je potrebna WordPress sigurnost.
Hakirana WordPress stranica može uzrokovati ozbiljnu štetu vašem poslovnom prihodu i ugledu. Hakeri mogu ukrasti korisničke podatke, lozinke, instalirati zlonamjerni softver, pa čak mogu distribuirati zlonamjerni softver vašim korisnicima.
Kada pričamo o početku izrade stranice u WordPressu vjerujemo da sigurnost nije samo eliminacija rizika od hakerskih napada. Kao vlasnik web stranice, možete učiniti mnogo da poboljšate sigurnost vaše WordPress stranice (čak i ako niste tehnički potkovani).
Kada niste sigurni kako podesiti zaštitu WordPressa uvijek možete kontaktirati tehničku podršku i raspitati se o mogućnostima podešavanja ili jednostavno zakupiti Podešavanje WordPress zaštite ako ste Plusov korisnik.
Opći primjeri iz prakse za poboljšanje sigurnosti WordPress web stranice
Redovito ažurirajte verziju WordPressa
WordPress objavljuje redovita ažuriranja softvera radi poboljšanja performansi i sigurnosti. Ova ažuriranja također štite vašu stranicu od prijetnji.
Ažuriranje vaše WordPress verzije jedan je od najjednostavnijih načina za poboljšanje sigurnosti WordPressa. Međutim, gotovo 50% WordPress stranica radi na starijoj verziji, što ih čini ranjivijim.
Također savjetujemo ažuriranje tema i dodataka instaliranih na vašoj WordPress stranici.
Koristite sigurne podatke za login u WP-Administrativno sučelje
Jedna od najčešćih pogrešaka korisnika je korištenje korisničkih imena koje je lako pogoditi, kao što su “admin”, “administrator” ili “test”. Navedeno izlaže vašu web stranicu većem riziku od napada .
Stoga preporučamo da svoje korisničko ime i lozinku učinite jedinstvenim i složenijim.
Koristite pouzdane WordPress teme
Nulled WP teme – U većini slučajeva ove se teme prodaju po nižoj cijeni kako bi privukle korisnike. Međutim, obično imaju mnogo sigurnosnih problema. Pružatelji Nulled teme često su hakeri koji su hakirali izvornu premium temu i umetnuli zlonamjerni kod.
Kako ne biste postali meta hakera, preporučamo da odaberete WordPress temu iz njegovog službenog repozitorija ili od pouzdanih programera.
Instalirajte SSL certifikat
Secure Sockets Layer (SSL) je protokol za prijenos podataka koji šifrira podatke koji se razmjenjuju između web stranice i posjetitelja, što otežava napadačima krađu važnih informacija.
Web stranice s instaliranim SSL certifikatom koristit će HTTPS umjesto HTTP-a, tako da ih je lako identificirati.
Većina hosting tvrtki uključuje besplatni SSL u svoje pakete ili nude naplatni SSL certifikat.
Nakon što instalirate SSL certifikat na svoj hosting račun, aktivirajte ga na svojoj WordPress web stranici.
Dodaci poput Really Simple SSL ili SSL Insecure Content Fixer omgučuju s tehničke strane aktivaciju SSL-a u nekoliko klikova.
Zaštite WP-CONFIG.PHP datoteku
Za primjer recimo da se wp-config.php datoteka nalazi u folderu “/home/username/public_html”
Potrebno ju je samo premjestiti jedan folder iznad tj. u “/home/username/” kako bi zaštitili datoteku.
Blokirajte editiranje wp-config.php datoteke
U wp-config.php datoteku dodati sljedeću liniju:
define(‘DISALLOW_FILE_EDIT’, true);
Blokirajte “SCRIPT INJECTION” u .HTACCESS datoteci
Dodati u .htaccess niže navedene linije:
# protect from sql injection Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]
Blokirajte izvršavanje php skripti u određenim folderima
U folderu “/wp-content/uploads/” kreirati .htaccess datoteku i u nju dodati:
<Files *.php> deny from all </Files>
Blokirajte učitavanje vanjskih slika – hotlinking
Ako na svojoj stranici učitavate/povlačite slike s vanjskih linkova to je također veliki sigurnosni propust, sigurnije je da slike postavite na vaš web hosting kako bi se iste direktno učitavale s izvorne lokacije.
Deaktivirajte “XML-RPC“ u WordPressu ukoliko koristite navedenu funkciju
- Za komunikaciju s drugim sustavima WordPress koristi XML-RPC . Posljednjih godina, ova se funkcija sve manje koristi..
- Danas je XML-RPC postao popularan “alat” za hakere, iako je njegova upotreba svedena na minimum ali omogućuje testiranje stotina kombinacija lozinki s jednom naredbom.
Možete onemogućiti XML-RPC pomoću plugina ili dodavanjem koda u datoteku php od teme:
Funnkciju možete deaktivirati i uz pomoć dodatka “All in One WP Security and Firewall“
Podesite jak password za mysql korisnika i promijenite ga u wp-config.php datoteci
Omogućite dvofaktornu autentifikaciju za WP-Admin – 2FA
Aktivirajte dvofaktorsku autentifikaciju (2FA) kako biste pojačali proces prijave na svoju web stranicu. Ova metoda provjere autentičnosti dodaje dodatni sloj WordPress sigurnosti na stranicu za prijavu, jer zahtijeva da unesete jedinstveni kod kako biste dovršili proces prijave.
Kôd je dostupan samo vama putem tekstualne poruke ili aplikacije za autentifikaciju treće strane.
Ograničite pokušaje prijave
WordPress svojim korisnicima omogućuje neograničen broj pokušaja prijave na stranicu. Nažalost, hakeri se vrlo jednostavno mogu priključiti u vaše administratorsko sučelje WordPressa korištenjem raznih kombinacija lozinki.
Stoga biste trebali ograničiti pokušaje prijave kako biste spriječili takve napade na web stranicu.
Promijenite URL stranice za prijavu na WordPress
Sve WordPress web stranice imaju isti zadani URL za prijavu – vašadomena.com/wp-admin. Korištenje zadanog URL-a za prijavu hakerima olakšava prijavu na vašu web stranicu.
Sakrijte verziju WordPressa
Hakeri mogu lakše “upasti” u vašu stranicu ako znaju koju verziju WordPressa koristite. Mogu koristiti ranjivosti te verzije za napad na vašu web-lokaciju, osobito ako je riječ o starijoj verziji WordPressa.
Verziju možete sakriti vrlo jednostavno u functions.php datoteku je potrebno dodati sljedeće 4 linije:
function wpbeginner_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpbeginner_remove_version’);
Postrožite dopuštenja datotekama
Spriječite napadače da dobiju pristup vašem administratorskom računu tako što ćete odrediti koji korisnici mogu čitati, pisati ili izvršavati vaše WordPress datoteke ili mape.
Općenito, dopuštenja su postavljena prema zadanim postavkama, što može varirati ovisno o različitim datotekama ili mapama. Posebno za wp-admin mapu i wp-config datoteku, pobrinite se samo da dopustite vlasniku sva dopuštenja.
Ograničite pristup pomoću datoteke .htaccess
Datoteka .htaccess osigurava ispravan rad WordPress stranice. Bez ove datoteke koja deklarira ispravna pravila, dobit ćete mnoge pogreške 404 Not Found na vašoj web stranici.
Nadalje, .htaccess datoteka može blokirati pristup s određenih IP-ova, ograničiti pristup samo jednom IP-u i onemogućiti izvršavanje PHP-a na određenim mapama.
Cyber napadi mogu doći u različitim oblicima, od unosa zlonamjernog softvera do DDoS napada.
Stoga vlasnici WordPress web stranica moraju znati kako osigurati svoje stranice. Da ponovimo, evo načina da učinite svoju WordPress web stranicu sigurnijom:
- Redovito ažurirajte verziju WordPressa
- Koristite sigurne podatake za login u WP-Administrativno sučelje
- Koristite pouzdane WordPress teme
- Instalirajte SSL certifikat
- Zaštite WP-CONFIG.PHP datoteku
- Blokirajte editiranje wp-config.php datoteke
- Blokirajte “SCRIPT INJECTION” u .HTACCESS datoteci
- Blokirajte izvršavanje php skripti u određenim folderima
- Blokirajte učitavanje vanjskih slika – hotlinking
- Deaktivirajte “XML-RPC“ u WordPressu ukoliko koristite navedenu funkciju.
- Podesite jak password za mysql usera i promijenite ga u wp-config.php datoteci.
- Omogućite dvofaktornu autentifikaciju za WP-Admin – 2FA
- Ograničite pokušaje prijave
- Promijenite URL stranice za prijavu na WordPress
- Sakrijte verziju WordPressa
- Postrožite dopuštenja datotekama
- Ograničite pristup pomoću datoteke .htaccess
Međutim, ove radnje za održavanje sigurnosti WordPress stranice nisu jednokratni zadatak. Morate ga kontinuirano obavljati budući da se cyber napadi neprestano razvijaju. Rizik će uvijek postojati, ali možete primijeniti WordPress sigurnosne mjere kako biste smanjili te rizike.
Nadamo se da vam je ovaj članak pomogao razumjeti važnost WordPress sigurnosnih mjera i kako ih implementirati.