Zašto je bezbednost WordPress-a važna
U prvoj polovini 2021. godine bilo je blokirano više od 86 milijardi pokušaja napada lozinkom, a procenjuje se da je u proseku svaki dan hakovano 30.000 novih web sajtova. Hakeri i razne vrste malvera su nemilosrdni u svojim pokušajima da dobiju pristup web sajtovima i njihovim osetljivim podacima.
Trenutno vidimo neviđenu količinu napada na sajber bezbednost. Ovaj problem utiče na preduzeća svih veličina, uključujući i vaše. U stvari, 43% onlajn napada sada je usmereno na mala preduzeća, a samo 14% tih preduzeća je spremno da se brani.
Mnogi hakeri ciljaju velike kompanije za veću isplatu. Međutim, mala i srednja preduzeća predstavljaju lakšu metu za hakere, zbog nedostatka resursa i bezbednosne ekspertize. Da li je vaš WordPress hakovan?
Srećom, postoji mnogo koraka koje možete preduzeti da zaštitite svoj WordPress web sajt.
Počnite sa ovim lakim osnovama bezbednosti
Postoje neke osnovne stvari koje možete da uradite da biste poboljšali zaštitu svog WordPress sajta.
Evo nekih od prvih stvari koje treba da primenite da biste zaštitili svoj web sajt
1. Instalirajte SSL sertifikat
SSL sertifikati (Secure Sockets Layer) su industrijski standard koji koriste milioni web sajtova za zaštitu svojih onlajn transakcija sa svojim klijentima.
Korišćenje SSL-a bi trebalo da bude jedan od prvih koraka koje ćete preduzeti da biste zaštitili svoj web sajt.
Možete kupiti SSL sertifikat, ali većina hosting provajdera ih nudi besplatno. Tako i svi naši korisnici dobijaju besplatan SSL za sve svoje sajtove i u startu su pokriveni sa te strane.
Potrebno je da aktivirate HTTPS preusmeravanje, kako bi svi posetioci vašeg sajta pristupali preko bezbedne HTTPS veze uz pomoć SSL-a.
HTTPS protokol uspostavlja šifrovanu vezu između web servera (host) i web browsera (klijent). Time se obezbeđuje da svi podaci koji se prosleđuju između njih ostaju privatni.
2. Obavezno koristite jake lozinke
Uz dobijanje SSL sertifikata, jedna od prvih stvari koje možete da uradite da zaštitite svoj web sajt je da koristite i forsirate jake lozinke za sve vaše prijave. Možda je primamljivo da ponovo koristite poznatu ili lako pamtljivu lozinku, ali to dovodi vas, vaše korisnike i vaš web sajt u opasnost.
Poboljšanje težine i bezbednosti vaše lozinke smanjuje vaše šanse da budete hakovani. Što je vaša lozinka jača, manja je verovatnoća da ćete biti žrtva sajber napada.
Kada kreirate lozinku, postoje neke opšte smernice za sigurnost lozinki koje treba da pratite. Ako niste sigurni koliko je jaka vaša lozink, proverite jačinu lozinke pomoću ovog besplatnog alata.
3. Instalirajte bezbednosni dodatak (plugin)
WordPress dodaci su odličan način da brzo dodate korisne funkcije vašem web sajtu, a dostupno je i nekoliko sjajnih sigurnosnih dodataka. Instaliranje bezbednosnog dodatka može dodati neke dodatne slojeve zaštite vašem web sajtu bez mnogo truda.
Da biste započeli, pogledajte listu preporučenih WordPress sigurnosnih dodataka. Izaberite jedan, nemojte instalirati više sličnih dodataka da ne bi došli u konflikt jedan sa drugim.
4. Redovno ažurirajte WordPress
Održavanje vašeg WordPress-a uvek ažurnim je ključno za bezbednost i stabilnost web sajta.
Svaki put kada se prijavi bezbednosna ranjivost WordPress-a, glavni tim počinje da radi na izdavanju ažuriranja koje rešava problem. Ako ne ažurirate svoj WordPress web sajt, verovatno koristite verziju WordPress-a koja ima poznate ranjivosti.
Od 2021. godine, procenjuje se da ima ukupno 1,3 milijarde web sajtova na internetu, od toga više od 455 miliona tih sajtova koriste WordPress. Pošto je toliko popularan, WordPress je glavna meta za hakere, distributere malvera i kradljivce podataka.
Ne ostavljajte sebe otvorenim za napade koristeći staru verziju WordPress-a. Uključite automatska ažuriranja i redovno proveravajte svoj sajt.
5. Obratite pažnju na teme i dodatke
Ažuriranje WordPress-a osigurava da su vaše ključne datoteke pod kontrolom, ali postoje i druge oblasti u kojima je WordPress ranjiv koje ažuriranja ključnih datoteka možda ne štite – kao što su vaše teme i dodaci.
Za početak, instalirajte samo dodatke i teme od pouzdanih programera. Teme preuzete sa piratskih sajtova, skoro uvek sadrže malvare. Možda ste uštedeli u startu nešto para, ali verujte nam neće vam se isplatiti.
Ako dodatak ili temu nije razvio provereni progamer ili kompanija, bolje je da ga preskočite. Proverite recenzije i ocene drugih korisnika pre instaliranja.
Obavezno ažurirajte svoje WordPress dodatke i teme. Baš kao i zastarela verzija WordPress-a, korišćenje zastarelih dodataka i tema čini vaš web sajt ranjivijim na napade.
6. Redovno pravite rezervne kopije
Jedan od načina da zaštitite svoju WordPress web sajt je da uvek imate trenutnu rezervnu kopiju svog web sajta i važnih datoteka.
Poslednja stvar koju želite je da se nešto desi vašem sajtu, a vi nemate rezervnu kopiju.
Napravite rezervnu kopiju svog web sajta i to pre i posle neke izmene na sajtu.
Na taj način, ako se nešto desi vašem web sajtu, možete brzo da vratite prethodnu verziju istog i da se vratite regularnom radu sajta brže.
I ako Skyhosting pravi redovne backupove svih hosting naloga, ohrabrujemo svoje korisnike da i sami čuvaju rezervne kopije svojih sajtova kod sebe.
Srednje bezbednosne mere za dodatnu zaštitu
Ako ste završili sve osnove, ali i dalje želite da učinite više da zaštitite svoj web sajt, postoje neki napredniji koraci koje možete preduzeti da biste poboljšali svoju bezbednost.
7. Nikada ne koristite korisničko ime "Admin"
Pošto je “admin” tako uobičajeno korisničko ime, lako se pogađa i hakerima je mnogo lakše da prevare ljude da odaju svoje podatke za prijavu na sajt.
Nikada ne koristite korisničko ime “admin”.
Na taj način postajete podložni brute-force napadima grubom silom i prevarama socijalnog inženjeringa.
Slično kao da imate jaku lozinku, korišćenje jedinstvenog korisničkog imena za vaše prijave je dobra ideja jer hakerima mnogo otežava probijanje vaših podataka za prijavu.
Ako trenutno koristite “admin” korisničko ime za WordPress administratora, promenite ga.
8. Sakrijte svoju WP-Admin stranicu za prijavu
Podrazumevano, većini stranica za prijavu na WordPress može se pristupiti dodavanjem “/wp-admin“ ili “/wp-login.php” na kraj URL-a.
Ovo olakšava hakerima da počnu da pokušavaju da provale na vaš web sajt.
Jednom kada haker ili prevarant identifikuje vašu stranicu za prijavu, oni mogu pokušati da pogode vaše korisničko ime i lozinku kako bi pristupili vašem administratorskom panelu.
Sakrivanje stranice za prijavu na WordPress je dobar način da postanete teža meta.
Zaštitite se sakrivanjem stranice za prijavu administratora WordPress-a pomoću dodatka kao što je WPS Hide Login.
9. Onemogućite XML-RPC
WordPress koristi implementaciju XML-RPC protokola da proširi funkcionalnost na softverske klijente. Ovaj protokol za daljinsko pozivanje procedura omogućava pokretanje komandi, sa povretni rezultatima formatiranim u XML-u.
Većini korisnika nije potrebna WordPress XML-RPC funkcionalnost, a to je jedna od najčešćih ranjivosti koja otvara korisnike za eksploatacije. Zato je dobra ideja da ga onemogućite.
Zahvaljujući već pomenutom dodatku Wordfence Security, to je zaista lako učiniti.
Drugi način je dodavanje sledećeg koda u function.php:
add_filter('xmlrpc_enabled', '__return_false');
Treći način je da onemogućite XML-RPC kroz .htaccess datoteku:
# Blokada WordPress xmlrpc.php zahteva
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
10. Obezbedite datoteku wp-config.php
WordPress wp-config.php datoteka sadrži veoma osetljive informacije o vašoj instalaciji WordPress-a, uključujući vaše WordPress bezbednosne ključeve i detalje o povezivanju sa WordPress bazom podataka, zbog čega ne želite da joj se može lako pristupiti.
Možete “ojačati” svoj web sajt tako što ćete zaštititi svoju wp-config.php datoteku preko .htaccess datoteke. Možete dodati sledeći kod u svojoj .htaccess datoteci:
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>
11. Skenirajte i proverite WordPress
Ponekad vaš WordPress web sajt može imati ranjivost za koju niste znali da postoji.
Mudro je koristiti alate koji mogu pronaći ranjivosti i popraviti ih umesto vas.
Dodaci Jetpack Protect i Sucuri Security skeniraju WordPress datoteke, dodatke i teme.
Proverite bezbednost svog servera
Do sada ste preduzeli sve gore navedene mere da zaštitite svoj web sajt. Međutim, možda i dalje želite da znate da li možete više da uradite da biste to učinili što sigurnijim.
Preostale radnje koje možete preduzeti da biste poboljšali svoju bezbednost moraće da se urade na strani servera vašeg web sajta.
12. Izaberite dobru hosting kompaniju
Kada tražite kompaniju za hosting, želite da pronađete onu koja je brza, pouzdana, sigurna i koja će vas podržati odličnom tehničkom podrškom korisnike.
To znači da bi trebalo da imaju dobre, moćne resurse, da održavaju vreme neprekidnog rada od najmanje 99,5% i da redovno primenjuju bezbednosna rešenja na nivou servera.
Ako hosting ne može da ponudi te osnovne stavke, oni nisu vredni vašeg vremena ili novca.
Jedna od najboljih stvari koje možete da uradite da zaštitite svoj web sajt od samog starta je da odaberete pravu hosting kompaniju za hostovanje vašeg WordPress web sajta.
Migrirajte vaš web sajt na SkyHosting besplatno i brzo, bez prekida u radu.
13. Koristite najnoviju verziju PHP-a
Kao i stare verzije WordPress-a, zastarele verzije PHP-a više nisu bezbedne za korišćenje.
Ako ne koristite najnoviju verziju PHP-a, izmenite PHP verziju na cPanel-u na najvišu koju podržava WordPress.
14. Iznajmite namenski server
Namenski (dedicated) serveri imaju mnogo prednosti. Jedna od tih prednosti je što povećava vašu sigurnost.
Namenski server je fizička mašina samo za vaš web sajt. Njene resurse kao i bezbednost ne delite sa drugim korisnicima.
Tražite savršeni namenski server za svoj WordPress web sajt? Ne tražite dalje.
Sa Skyhosting WordPress Hosting uslugom dobijate migraciju sajta sa servera na server, sigurnosnu nadogradnju, bezbednosne zakrpe i podešavanje servera, sve u jednom.
15. Koristite zaštitni zid (firewall) web aplikacije
Jedna od poslednjih stvari koje možete da uradite da dodate dodatne bezbednosne mere vašem WordPress web sajtu je da koristite zaštitni zid web aplikacije (WAF).
WAF je obično bezbednosni sistem zasnovan na oblaku koji nudi još jedan sloj zaštite oko vašeg web sajta.
Zamislite to kao kapiju za svoj web sajt.
On blokira sve pokušaje hakovanja i filtrira druge zlonamerne tipove saobraćaja, kao što su distribuirani napadi uskraćivanja usluge (DDoS) ili spameri.
WAF-ovi obično zahtevaju mesečne naknade za pretplatu, ali dodavanje jedne je vredno troškova ako vam je prvenstveno bitna bezbednost svog WordPress web sajta.
Budite sigurni da su vaš web sajt i poslovanje bezbedni
Ako vaš web sajt nije bezbedan, mogli bi ostaviti otvorena vrata hakerima.
Srećom, zaštita WordPress sajta ne zahteva previše tehničkog znanja sve dok imate prave alate i plan hostinga koji odgovara vašim potrebama.
Umesto da čekate da odgovorite na pretnje tek kada se dogode, trebalo bi da proaktivno obezbedite svoj web sajt kako biste sprečili bezbednosne probleme. Proverite da li je vaš WordPress hakovan.
Na taj način, ako neko cilja vaš web sajt, spremni ste da ublažite rizik i da se bavite svojim poslom kao i obično umesto da pokušavate da locirate nedavnu rezervnu kopiju.
Izaberite WordPress hosting koji je bezbedan sa besplatnim SSL-om, redovnim rezervnim kopijama, automatskim ažuriranjima WordPress-a, firewal zaštitom i ljubaznom tehničkom podrškom.
