Kako Zaštititi WordPress Sajt?


Kako Zaštititi WordPress Sajt?

WordPress je jedan od najboljih i najpopularnijih sistema za upravljanje sadržajem na svetu i pored toga open source. Međutim, činjenica da se radi o otvorenom kodu, čini WordPress sajtove primamljivim za hakere.

Sa jedne strane imamo ogroman broj dizajnera i developera koji se trude da naprave web lepšim, ali postoji i ta druga strana koja na sve načine pokušava da to pokvari. Ako uzmemo u obzir činjenicu da se kod pojedinih firmi ili pojedinaca kompletan biznis zasniva na web sajtu onda shvatamo važnost dobre zaštite.

Međutim, ako se zaštita WordPress sajta uradi na pravi način, možemo svesti na minimum šanse da sajt bude uhakovan i podići sigurnost na veoma visok nivo.

Ovaj post ima za cilj da predstavi najbolje savete i preporuke za povećanje sigurnosti WordPress-a.

Važno je da napomenemo da ove mere ne garantuju potpunu zaštitu protiv pokušaja hakovanja, najviše zbog toga što 100% siguran web sajt ne postoji, ali će vas zaštititi od većine napada.

Ovo su neki praktični saveti i aktivnosti koje treba preduzeti.

Odabir pouzdanog hosting provajdera

Pre započinjanja projekta izrade web sajta i planiranja online nastupa, prvi korak je odabir hosting provajdera. Pronađite hosting provajdere, koji nude dobru podršku i posvećuju veliku pažnju sigurnosti i nude najbolje performanse za vaš sajt.

Redovan bekap podataka

Bekap je osnovna mera predostrožnosti koju svaki web sajt treba da praktikuje, a naročito kada su u pitanju dinamički, CMS sajtovi. Za WordPress možete da koristite ili određeni dodatak za bekap koji ćete podesiti da to radi automatizovano, npr. 1 nedeljno ili to možete raditi ručno, direktnim pristupom preko hosting naloga.

Za WordPress je neophodno bekapovati fajlove koji dolaze sa instalacijom i bazu podataka sa kojom je sajt povezan.

Najsigurnije rešenje je da sve podatke za vaš sajt čuvate na svome računaru u posebnom folderu sa nazivom i datumom bekapa.

Redovno ažuriranje verzija

Često se dešava da WordPress izbacuje nove verzije – nikako nemojte ovo ignorisati! Od vitalnog značaja je da sajt bude ažuran u pogledu verzija, plugin-a i tema koje sa novim verzijama podižu sigurnost na veći nivo. WordPress će vas obavestiti o novim verzijama i lako možete izvršiti ažuriranje.

Da bi omogućili automatsko ažuriranje verzije WordPress-a u wp-config.php fajlu dodajte sledeću liniju koda:

# Omogućiti automatski update verzije WordPress-a
define( 'WP_AUTO_UPDATE_CORE', true );

Postoji i opcija da se podesi automatsko ažuriranje tema i plugin-ova, ali naš savet je da to radite ručno.

Testirajte teme i plugin-ove

Teme i plugin-ovi mogu da sadrže određene sigurnosne propuste koje hakeri mogu da iskoriste. Koristite samo proverene teme i plugin-ove koji zadovoljavaju sva pravila WordPress kodeksa.

Predlažemo ova dva plugina za testiranje tema i plugin-a:

Izbrišite neaktivne/stare teme i plugine

WordPress teme i plugini koji su instalirani, a ne koriste se mogu biti potencijalni sigurnosni rizik i u slučaju da nisu ažurirane mogu imati sigurnosne propuste koje hakeri mogu iskoristiti.

Najbolje bi bilo da uklonite sve teme i plugine koji nisu u upotrebi i zadržati samo one koji su potrebni.

Isključite editor tema/plugina

Ukoliko se desi neželjeni upad u admin deo sajta, treba zaštititi pristup fajlovima teme i plugina da bi sprečili dodavanje malicioznog koda. Na primer, hakeri mogu da urade izmene na fajlovima templejta ili da promene sigurnosne permisije bez vašeg znanja. Na ovaj način sprečavate da napadači vrše bilo kakve izmene na fajlovima.

Da bi to postigli potrebno je da u direktorijumu instalacije WordPress-a, pronađite wp-config.php fajl i dodajte sledeći kod:

/* isključivanje editora tema i plugina */
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );

Instalacija i podešavanja WordPress-a

Ovo su praktični saveti koji mogu doprineti većoj sigurnosti:

  • promenite prefiks baze sa wp_ na neku drugu kombinaciju slova i brojeva  (npr. $table_prefix = ‘eofofe56k6’;)
  • nemojte koristiti admin za korisničko ime
  • uklonite korisnika čiji je ID = 1
  • kreirajte dugačku i jaku lozinku, nikako ne koristiti ime kompanije, ime sajta i slično.
  • sakrijte meta tag koji prikazuje verziju WordPress-a, dodavanjem sledeće linije koda u functions.php fajl teme – remove_action(‘wp_head’, ‘wp_generator’);
  • promenite putanju za pristup wp-admin delu (iThemes Security)
  • ograničite broj logovanja preko wp-admin dela

Zaštitite .htaccess fajl

.htaccess fajl se ponaša kao čuvar kapije vašeg sajta u figurativnom smislu. Omogućava vam kontrolu nad dozvolama fajlova, što znači da možete definisati prava pristupa pojedinim fajlovima i tipovima fajlova. Ovo je skriveni fajl koji se nalazi u root direktorijumu vašeg sajta i da bi ga videli treba da aktivirate opciju prikaza skrivenih fajlova.

Kada ga otvorite u editoru, dodajte sledeći kod:

# zaštita .htaccess fajla
<Files ~ "^.*\.([Hh][Tt][Aa])">
 order allow,deny
 deny from all
 satisfy all
</Files>

Ovo će omogućiti da niko osim vas ne može pristupiti .htaccess fajlu i tako se zaštititi od uljeza koji pokušavaju da promene dozvole pristupa vašeg sajta.

Deaktiviranje listinga direktorijuma

Još jedna korisna stvar koju možete dodati u .htaccess fajl je linija koda koja će onemogućiti pristup listingu fajlova unutar vaše WordPress istalacije.

Listing direktorijuma omogućava drugima da vide kompletnu strukturu fajlova vašega sajta i pronađu potencijalne sigurnosne propuste. Da bi ovo sprećili dodajte sledeću liniju koda u .htaccess fajl koji se nalazi u root folderu WordPress instalacije.

Options -Indexes

Ovo će u velikoj meri otežati posao potencijalnim napadačima.

Zaštitite wp-config.php fajl

S obzirom da wp-config.php sadrži mnogo osetljivih informacija o vašem sajtu, morate se dobro obezbediti da neko ne dođe do njih. Stvari poput korisničkog imena i lozinke za bazu podataka su neprocenjljive za vaš sajt.

WordPress baza podataka može se zaštititi tako što ćete obezbediti da wp-config.php fajl zaključate i osigurate. Dodajte sledeći kod u .htaccess fajl:

# zastita wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Ovaj kod sprećava javni pristup wp-config.php fajlu čuvajući vaše poverljive podatke na sigurnom.

Onemogućite wp-login.php pristup nepoznatim IP adresama

Ovo je još jedan trik koji možete postići izmenom .htaccess fajla. Fajl wp-login.php služi za pristup WordPress admin delu i dostupan je sa bilo koje lokacije, što je veoma zgodna opcija, ali i veliki sigurnosni rizik.

Koristeći .htaccess možete zabraniti pristup ovom fajlu sa svih IP adresa i definisati IP adrese koje će moći da pristupe.

U .htaccess fajlu treba dodati sledeći kod. Umesto x, treba da dodate IP adrese koje će imati pristup.

<files wp-login.php>
order deny,allow
deny from all
# static IP
allow from xxx.xxx.xxx.xxx
# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8
</files>

Ako znate koja je vaša sadašnja IP, koristite static, ili koristite dynamic, ako treba da dozvolite pristup širem opsegu IP adresa.

Zaštitite pristup wp-admin folderu

Nivo zaštite koji postižete sa listom IP adresa koje mogu pristupiti wp-login.php fajlu, može biti udvostručen tako što ćete to isto uraditi sa wp-admin folderom. Dodajte ovu liniju koda u .htaccess fajl da bi ste sprečili pristup nepoznatim IP adresama wp-admin folderu sajta.

<LIMIT GET>
order deny,allow
deny from all
# static IP
allow from xxx.xxx.xxx.xxx
# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8
</LIMIT>

Sprečite pristup fajlovima sa .exe ekstenzijom

Izvršni fajlovi mogu stvoriti probleme, jer često sadrže maliciozne kodove koji mogu da instaliraju viruse na korisnički računar. Oni se mogu blokirati, naravno, upotrebom .htaccess-a.

Dodajte sledeći kod u vaš .htaccess fajl:

# deny all .exe files
<files "*.exe">
order deny,allow
deny from all
</files>

Ovo sprečava bilo kakvim .exe fajlovima da pristupe serveru tako podižući sigurnost na veći nivo.

iThemes Security – trenutno najbolje sigurnosno rešenje

ithemes-security

Gotovo sve stavke koje smo iznad naveli možete rešiti uz pomoć iThemes Security plugin-a. Ovaj plugin zaista objedinjuje sve najvažnije segmente zaštite WordPress-a sa preko 30 različitih načina za zaštitu od hakera. Sva podešavanja se rade direktno iz WP kontrolne table, tako da i korisnici sa manje iskustva mogu lakše da se snađu.

Zaključak

Sigurnost web sajta je obično zadnja stvar o kojoj razmišljaju vlasnici sajtova, ali da bi obezbedili stabilnost poslovanja, ovome delu treba posvetiti dosta veću pažnju.

Jovan Ivezic

E-business and internet marketing specialist.

Latest posts by Jovan Ivezic (see all)

facebook
twitter
google
pinterest