U ovom tekstu ćemo Vam otkriti neke od najboljih bezbednosnih praksi za vaš WordPress veb sajt.
Ne samo da je ovaj članak prilagođen početnicima, već su stavke ovog članka vrlo pristupačne, ako ne i potpuno besplatne.
Na kraju ovog članka imaćete akcioni plan za zaštitu veb lokacije od svih vrsta sajber pretnji. Dakle, počinjemo!
Da li je Vaš WordPress sajt siguran?
Iako se WordPress danas smatra najpopularnijim CMS-om, ova titula dolazi uz određene posledice. WordPress koristi preko 35% veb lokacija na Internetu, te se velika količina tih sajtova pretvara u omiljenu metu za napade malvera.
Da li to znači da VordPress ima užasan sigurnosni sistem?
Nimalo! Suprotno tome, glavni uzrok kršenja bezbednosti veb stranica je nedostatak svesti korisnika o bezbednosti.
Kao renomirani CMS, WordPress uvek radi na bezbednosti redovnim objavljivanjem bezbednosnih zakrpa i ažuriranja softvera. Uprkos tome, te nadogradnje neće imati velike razlike ukoliko ne znate šta ćete s njima učiniti.
Ukratko, igrate značajnu ulogu u zaštiti Vašeg veb sajta.
Sada kada znate svoju ulogu i odgovornost, vreme je da istražite šta možete učiniti da poboljšate bezbednost veb lokacije. U nastavku pogledajte najbolje bezbednosne prakse i pokušajte da ih primenite na svom veb sajtu.
Mi u Ivapix-u bezbednost nas i naših klijenata smatramo jednom od najozbiljnijih stavki veb sajta te ćemo sa Vama podeliti spisak stavki koje možete primeniti kako bi zaštitili Vaš veb sajt od potencijalnih napada i osigurali sebi miran san.
1. Koristite jake i kompleksne kombinacije korisničkih imena i lozinki.
Kreiranje jakih podataka za prijavljivanje moglo bi biti najlakša bezbednosna praksa koju bilo ko može da izvede, ali mnogi korisnici to i dalje ne uspevaju. Verovali ili ne, 23,2 miliona naloga i dalje koristi „123456“ kao lozinku. Isti problem odnosi se na korisnička imena, gde mnogi korisnici koriste standardna korisnička imena poput „admin“ ili „administrator“.
Ako vam je potrebna pomoć oko osmišljanja kompleksnih lozinki, postoji mnogo generatora lozinki koje možete besplatno koristiti. Što se tiče korisničkih imena, u ključne reči možete da uvrstite brojeve i posebne znakove kako biste ih učinili jedinstvenijim.
Korišćenje slabih podataka za prijavljivanje učiniće Vašu veb stranicu ranjivom na bruteforce (grube) napade. Ova vrsta sajber napada koristi pristup pokušaja i grešaka da bi pogodio vaše podatke za prijavljivanje. Stoga je najbolje da izbegavate upotrebu uobičajenih ključnih reči za informacije o prijavljivanju.
Prosečan korisnik još uvek kreiranje svoje lozinke veže za nešto što je njemu blisko, kao što su ime drage osobe, bitan datum, mesto rođenja itd. što je svakako loša praksa i čini prosečnog korisnika odličnom metom napada na njegovu sigurnost.
Ako imate naviku da zaboravite lozinku, možete razmisliti o korišćenju softvera za pamćenje lozinki da biste lozinku zapamtili i koristili jednim klikom. Što se tiče korisničkih imena, u ključne reči možete da uvrstite brojeve i posebne znakove (!#%$&/) kako biste ih učinili jedinstvenijim a samim tim i težom metom za napad.
2. Hide WordPress login plugin
Ovaj jednostavan trik može zaštititi Vaše WP stranice od napadača koji ciljaju Vaš sajt bruteforce napadima. Koristite „WPS Hide Login“ besplatni plugin da biste promenili URL sa pretpostavljene za prijavu (/wp-admin, tj. /wp-login.php) u nešto jedinstveno (npr: /prijava).
3. Omogućite dvofaktorsku autentifikaciju (Two-Factor Authentication)
Kada osigurate svoje kredencijale za prijavljivanje, možete još više poboljšati postupak prijavljivanja omogućivanjem dvostepene potvrde identiteta. Ovaj sigurnosni postupak stvara dodatni nivo zaštite koji zahteva da korisnici dobiju jedinstveni kod iz aplikacije za potvrdu identiteta. Primenom ovoga na Vaš veb sajt, samo korisnici sa ispravnim podacima za prijavljivanje i kodom mogu se prijaviti na svoj nalog.
WordPress na svom repozitorijumu dodataka tj. pluginova ima na raspolaganju par odličnih besplatnih solucija koje koriste OAuth sistem autorizacije podataka sa Google Authenticator platforme i sličnih.
Ovo je jedna od ekstremnijih mera zaštite WP sajta ali sasvim validna ukoliko smatrate da ste na meti sajber napada.
4. Promena WordPress prefiksa tabela u bazi podataka
Baza podataka veb sajtova je možemo slobodno reći omiljena meta napada, pogotovo SQL Injection napada na veb sajtove. Ova vrsta napada, ako prođe zaštitu veb sajta i servera na kom se nalazi, će naterati bazu podataka da izvrši maliciozni kod, koji će u velikom broju slučajeva ići u korist hakerima, tj. omogućiti im da menjaju ili brišu podatke sa servera na kom se nalazi Vaš veb sajt.
Kako SQL Injection napadi čine oko 80% pokušanih hakovanja na mesečnom nivou, ovu pretnju ne biste trebali shvatiti olako.
Jedan od faktora zbog kojih je Vaša baza podataka sklona SQL Inject napadima je upotreba defaultnog prefiksa na kom se bazira svaka nova instalacija WordPressa – wp_. Koristeći predvidljivu bazu podataka, prefiks dozvoljava napadačima da pogađaju imena Vaših tabela u bazi podataka: Stoga Vam toplom preporučujemo da promenite wp_ prefiks u bilo šta drugo ako već to do sada niste uradili.
Korisnici Ivapix hosting usluga o ovome ne moraju brinuti jer mi u Ivapix-u ovo, kao i mnoge druge stvari radimo pri samoj instalaciji WordPressa na Vaš hosting prostor..
5. Onemogućite izveštavanje o PHP greškama – WP DEBUG
WP Debug funkcija izveštavanja o greškama u PHP fajlovima Vam može biti od velike koristi da brzo i jednostavno nađete lokaciju greške koja se dešava na Vašem veb sajtu. Međutim, ona takođe omogućava drugim ljudima da vide „ranjivost“ Vašeg WordPress veb sajta. Zbog toga je strogo preporučeno isključivanje WP Debug funkcije osim u slučajevima testiranja, što svakako ne savetujemo da radite na produkcionom sajtu.
WordPress podrazumevano onemogućava funkciju izveštavanja o greškama (WP DEBUG). Ako je iz nekog razloga omogućeno, trebalo bi da ga onemogućite ručno modifikovanjem datoteke wp-config.php. U zavisnosti od usluge veb hostinga, nekoliko dobavljača hostinga takođe vam omogućava da upravljate ovom postavkom sa svoje kontrolne table.
6. Redovno ažurirajte VordPress
Da bi išao u korak sa sve većim vrstama sajber napada, WordPress periodično objavljuje ispravke zajedno sa najnovijim bezbednosnim zakrpama. Ovo poboljšanje se ne odnosi samo na jezgro WordPressa (WP Core), već i na dodatke i teme. Blago rečeno, korišćenje zastarelog softvera u današnje vreme je recept za katastrofu.
Iako WordPress automatski primenjuje manja ažuriranja softvera, ipak morate ručno izvršiti glavna ažuriranja. Dakle, budite sigurni da redovno tražite nova ažuriranja u odeljku „Ažuriranja“ na WordPress kontrolnoj tabli kako biste izbegli sigurnosne propuste na svom veb sajtu.
Siguran i stabilan treba biti cilj svakog WordPress sajta
7. Onemogući pregledanje fajlova iz kontrolne table
Pregledavanje direktorija vam može pružiti brz pristup strukturi veb sajta i pojedinačnim direktorijumima. Međutim, vrlo lako se može pretvoriti u mač sa dve oštrice ako mu i drugi ljudi mogu pristupiti. Hakeri ga često koriste za pronalaženje ranjivih datoteka, pluginova i tema, a zatim ih koriste za pristup Vašem veb sajtu.
Ako hostujete svoju WP stranicu na premium WordPress hostingu, možda nećete morati da brinete jer će se oni pobrinuti za ove optimizacije. Međutim, ako hostujete svoj sajt na nekom neoptimizovanom hostingu ili ga trebate onemogućiti, moraćete to ručno da uradite.
8. Uklonite verziju WordPressa
WordPress kontinuirano objavljuje ispravke da bi popravio sigurnosne ranjivosti prethodne verzije. Starije verzije obično imaju više ranjivosti. Stoga objavljivanje verzije WordPress-a za javnost nije najbolja ideja za Vaš sistem veb zaštite.
Podrazumevano je Vaša verzija VordPress-a vidljiva u donjem desnom uglu administratorske table i izvora stranice. Takođe se pojavljuje na manje očiglednim mestima kao što su RSS, CSS i skripte na tom veb sajtu. Postoji sjajan članak koji sadrži detaljni vodič o tome kako ukloniti WordPress verziju sa ovih mesta.
9. Uklonite mogućnost editovanja datoteka
Ugrađeni uređivač datoteka WordPressa omogućava Vam da mnogo lakše izmenite skripte dodataka i tema. Uprkos tome, ova funkcija može ugroziti Vašu veb stranicu ako padne u pogrešne ruke. Iz tog razloga je najbolje da potpuno onemogućite uređivanje datoteka. To možete učiniti dodavanjem sledećeg koda u datoteku wp-config.php.
define('DISALLOW_FILE_EDIT', true);
10. Pravljenje redovnog bekapa sajta
Pravljenje rezervnih kopija tj. bekapova je jednako važno kao i obezbeđivanje veb sajta. U najgorem slučaju, bekapovi Vas mogu spasiti od potrebe da ponovo pravite Vaš veb sajt od početka.
Ovo Vam može izgledati dosadno, ponekad i bespotrebno, ali verujte nam na reč da je nama, a verujemo i velikom delu ljudi koji se bave web-om bekap spasio glavu u više navrata.
Naravno, ako Vam sam proces pravljenja bekapa na „starinski“ način dosađuje, tu su dodaci sa WordPress repozitorijuma koji Vam mogu olakšati u mnogome. Neki od tih dodataka su: VaultPress, Updraft Plus, Blog Vault kao i mnogi drugi.
Ako ste korisnici premium WP hostinga, pretpostavljamo da već u okviru svog hosting plana imate redovan bekap koji možete vratiti na zahtev.
11. Stanite na put spam-u i negativnom SEO-u
Spam je svugde i niko ga ne voli!
Ako imate popularnu veb lokaciju i nemate odgovarajući sistem za sprečavanje neželjene pošte i spam komentara, možda svakodnevno privlačite hiljade spam komentara ili neželjene pošte. Imati previše neželjene pošte je loše za SEO i korisničko iskustvo. Zamislite da imate stotine irelevantnih komentara na objavi na blogu, kako bi to izgledalo prosečnom posetiocu?
Iz gore navedenih razloga ali i mnogih drugih, mi Vam preporučujemo spam zaštitu na serverskom i straničnom nivou. Velike korporacije poput Gugla, Mikrosofta i drugih velikana nude svoje „profesionalne“ e-mail usluge u vidu G-Suite ili Office365 rešenja. Ali šta uraditi ako su ta rešenja nekada preskupa? Svakako je jako bitno početi od hostinga koji ima čiste zapise, čije IP adrese nikada nisu bile na „listama zabrana“ ili sličnim.
Takođe je jako bitna filtracija e-mailova sa sajta. Mi Vam preporučujemo implementiranje nivoa zaštite na Vašim kontakt formama koje su danas sastavni deo jednog veb sajta. Kada kažemo zaštita na kontakt formama u tome mislimo na jedno od sledećih: Google ReCaptcha v2, Google ReCaptcha v3, Honeycomb zaštita itd.
12. Korišćenje Website Application Firewall-a
Jedna od najboljih investicija koje možete učiniti da biste zaštitili svoju veb lokaciju je korišćenje WAF-a (website application firewall-a, zaštitnog zida veb aplikacija). On pomaže u zaštiti Vašeg veb sajta od poznatih i nepoznatih sigurnosnih nedostataka, zlonamernog koda, DDoS napada i još mnogo toga.
13. Upravljanje i ažuriranje WordPress tema i dodataka
Jedna od najvećih pogodnosti korišćenja WordPress-a je velika kolekcija dodataka i tema. Ironično, WordPress dodaci i teme predstavljaju najveći izvor ranjivosti koji bi mogao da ugrozi Vašu veb lokaciju. Dakle, pametno birajte i pažljivo upravljajte onima koje ste instalirali.
Naša preporuka je da uvek birate temu ili dodatak sa puno instalaicija i dobrim ocenama korisnika. Nemojte implementirati nepouzdan plugin po cenu dobijanja rezultata jer Vas to sutra može koštati celog veb sajta na kome ste verovatno dosta radili.
Takođe, jedna od najbitnijih preporuka svima je da ne koriste nulovane tj. krekovane dodatke i teme. Znamo da WordPress dodaci nekada umeju da koštaju i previše, ali verujte nam na reč, ne isplati se koristiti krekovane dodatke i teme. Više puta smo bili svedoci kako jedan nelegalni dodatak može da dovede do pada celog WordPress web sajta.
Zaključak
Budući da se sajber pretnje širom sveta ne planiraju povući vrlo brzo, neophodno je da svoj veb sajt koji je baziran na WordPress-u zaštitite od potencijalne opasnosti. Srećom, postoji mnoštvo lakih, ali efikasnih bezbednosnih praksi koje možete da uradite i primenite da biste poboljšali ukupnu bezbednost svog veb sajta.
Ovaj članak dokazuje da Vam nije potreban veliki budžet ili napredno tehničko znanje za primenu nekih od najboljih bezbednosnih praksi.
