Zaštita administrativnog panela – WordPress

WordPress je jedan od najkorišćenijih CMS-ova sadašnjice. Po istraživanjima iz 2017. godine na WordPress platformi izrađeno je čak 26.4% veb stranica u svetu (što dođe oko 75 miliona veb stranica!).

U jednu ruku to je sjajno:

  • preveden je na više od 56 jezika
  • ima kreiranih više od 44.000 dodataka (plaginova)
  • jedan je od najkorišćenijih CMS-ova današnjice
  • održava kampove za druženje i učenje širom sveta
  • i jedna od najbitnijih stvari – lak je za korišćenje

Međutim, on je i najčešća meta napada (hakovanja).

Zaštita WordPress admina

Samim tim, odlučili smo da vam pojasnimo, može se reći i olakšamo, kako da zaštitite vašu WordPress stranicu od hakerskih napada u par jednostavnih koraka.

Korišćenje firewall aplikacija za vašu veb stranicu

Jedna od najjednostavnijih stvari, koju možete da uradite, je da instalirate dodatak (plagin) za “Website Application Firewall” (u daljem tekstu WAF). WAF prati saobraćaj na vašoj veb stranici i blokira svaki sumnjivi zahtev za pristup vašoj veb sranici.

Naravno da postoji gomila WAF plaginova. Jedan od plaginova koji bismo vam mi prepouručili je “Wordfence Security”.

Prvenstveno zato što ima više od 2 miliona aktivnih instalacija, redovna ažuriranja, besplatan je i open-source je. Jedna od njegovih najpouzdanijih opcija je to što čuva i prikazuje pokušaje napada na vašu veb stranicu.

Postavljanje dodatne šifre na vaš WordPress admin direktorijum

Pretpostavljamo da se pitate “pa zar wp-admin već nije zaštićen šifrom!?”. Jeste, zaštićen je šifrom za cPanel prilikom ulaska na isti, ali što ne bismo postavili dodatnu šifru, kao npr. još jedan nivo zaštite.

Postavljanje dodatne šifre možete odraditi putem vašeg cPanela, pod tabom FILES→ Directory Privacy.

 

Nakon toga odaberete vaš folder wp-admin, koji se, uglavnom, nalazi unutar public_html direktorijuma i u sledećem prozoru obavezno otkačite “password protect this directory” opciju i dodelite ime za željeni folder.

Nakon toga pritisnite dugme “save” i podesite dopuštenja.

 

Sledeći korak je da treba da pritisnete dugme “back” i da kreirate korisnika. Bićete pitani da potvrdite korisničko ime (username) i šifru (password).

P.S. Najbolje bi bilo da za korisničko ime postavite npr. vaš nadimak koji se ne spominje na vašoj veb stranici, kako biste osobi koja napada vašu veb stranicu dodatno otežali posao.

Ubuduće, kad neko bude želeo da pristupi vašoj veb stranici, dobiće sledeće obaveštenje:

Tek nakon toga, dobija pristup wp-admin stranici gde ponovo mora da se unese drugo korisničko ime i važeća šifra za tog korisnika.

Uvek postavite jaku (tešku) šifru

Kao što već možete da pretpostavite, jedna od bitnijih stavki je i postavljanje jake šifre. Postoje generatori lozinki koje možete koristiti i otprilike svi izgledaju isto. (slika ispod)

Naravno, preporuka je da koristite više od 16 karaktera i da sadrže velika i mala slova, brojeve i znakove interpunkcije.

Na primer uzmite vaše ime i prezime (neka bude Pera Petrović), i možete vama srećan broj ili datum rođenja (npr 21.06.1978). Iskombinovaćemo ove dve stavke, i umesto slova “a” postaviti “@” , takođe umesto slova “i” postaviti “!” (uzvičnik), rezultat je sledeći:

Per@2106Petrov!c’78

Ok, tu smo dobili već solidno tešku sifru, imamo velika i mala slova, brojeve i znakove interpunkcije.

Naravno, ukoliko smatrate da ćete zaboraviti šifru, preporučujemo vam da koristite neki od “password manager applications”. “Password manager applications” su aplikacije (programčići) koje možete instalirati na vaš računar, kao i na vaš telefon, i ona će čuvati šifre umesto vas.

Još jedna napomena bi bila da ne koristite iste šifre za pristup raznim delovima vašeg WordPress vebsajta. Već da za svaki deo imate zasebnu šifru, iako je to naporno za pamćenje, razmislite da li će haker probati da kopira šifru koju ste vi postavili i isproba na više mesta.

Koristite verifikaciju u dva koraka za ulazak na vaš WordPress

Umesto da koristite samo korisničko ime i šifru, ova verifikacija vam dodaje još jedno prozorče ispod vaše šifre, koja se, takođe, generiše na određeno vreme(~1min). Za ovu vrstu verifikacije je neophodno da imate “pametan telefon” i na njemu instaliranu aplikaciju “Google Authenticator”. (tzv. Two step Verification)

Što znači, ako bi neko želeo da se uloguje u vaš wp-admin deo, neophodan mu je, pored korisničkog imena i šifre, i Authenticator kod sa vašeg telefona iz aplikacije koja nasumično kreira kod.

      

 

Ograničite broj pokušaja ulaženja na veb stranicu

Takođe jedna od moćnijih stvari je limitiranje pokušaja za ulaz na vaš wp-admin deo. Po redovnim standardima wp-admin panela, imate neograničen broj pokušaja za ulaz na vašu veb stranicu. Što je u redu, ali takođe i nepotrebno. Pretpostavićemo da znate vašu šifru i samim tim postaviti limit ulaska na 3 pokušaja (takođe ćemo pretpostaviti da će se ponekad desiti neka slovna greška, pa smo zbog toga limitirali na 3 pokušaja). Takođe, ukoliko limitiramo broj pokušaja ulaska na vašu veb stranicu, znači i da ćemo onemogućiti hakerima da koriste automatizovane skripte za probijanje vaše šifre.

Limitiranje ulaska na vašu veb stranicu možete odraditi sa plaginom po imenu “Ligin LockDown”, koja trenutno ima više od 200.000 aktivnih instalacija.

 

Limitirajte ulaženja na veb stranicu sa IP adrese

Da biste ovo odradili, potrebno je da imate pristup vašem .htaccess fajlu (što podrazumeva i pristup Cpanelu), kako biste dodali isključivo IP adrese kojima je dozvoljeno da pristupe vašem wp-admin delu.

Takođe neophodno je da dodate ovaj kod u vaš .htaccess fajl:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „WordPress Admin Access Control“
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Miloševa IP address
allow from xx.xx.xx.xxx
# whitelist Zlatkova IP address
allow from xx.xx.xx.xxx
</LIMIT>

P.S. Naravno umesto xx.xx.xx.xxx zatražite IP adresu od osobe kojoj želite da date pristup vašem wp-admin delu. (IP adresu možete dobiti na sajtu https://www.whatismyip.com/)

Ugasite nagoveštenja prilikom prijave

Još jedna stvarčica oko koje morate da se pozabavite u samom kodu jeste gašenje nagoveštenja prilikom prijave na vaš admin panel. Gašenjem nagoveštenja, onemogućavate svima da vide gde je problem, u smislu da li su promašili šifru ili korisničko ime.

Kod koji treba da unesete u functions.php fajl je:

function no_wordpress_errors(){
return ‘Pozdravite mamu Vašu!‘;
}
add_filter( ‘login_errors’, ‘no_wordpress_errors’ );

Rezultat će izgledati ovako:

 

WordPress korisničke “uloge” i dopuštenja

Verovatno niste znali, ali WordPress dolazi sa jednim veoma veoma snažnim “korisničkim menadžment sistemom”, sa različitim korisničkim “ulogama” i mogućnostima.

To znači da, svakog novog korisnika kojeg dodate na vaš WordPress sajt, možete da mu odredite njegovu “ulogu”. Ulogu u smislu, da ga ograničite koliko i šta će sve moći da radi na vašoj veb stranici.

Uloge koje možete da im dodelite su sledeće (ako ste ikada igrali šah biće Vam lakše ovako):

  1. Administrator (Kralj)
  2. Editor (Kraljica)
  3. Author (Konj)
  4. Contributor (Top)
  5. Subscriber (Pijun)

Takođe, moguće je da i vi, kao administrator, kreirate vaše posebne “uloge” koje možete kasnije da dodelite korisnicima.

Jedna od stvari koje možete da odradite, je da promenite uobičajenog korisnika “admin”.

To će te uraditi tako sto će te kreirati novog korisnika i dodeliti mu ulogu administratora, a uobičajenom (default-nom) korisniku “admin” dodeliti ulogu “none”, što u prevodu znači da nema pristup ničemu na vašoj veb stranici. Samim tim ste i hakerima otežali postupak pristupa vašem wp-admin delu, jer iako probiju default-nog korisnika (admin), neće imati pristup izmenama i pristupu postavljanja članaka na vašu veb stranicu.

Kreiranje zesebne adrese (URL-a) za pristup vašem wp-admin delu

Da probamo da vam pojasnimo kako to otprilike funkcioniše iz ugla hakera:

“Hoću ovu veb stranicu da hakujem, sigurno nisu menjali uobičajeni URL za wp-admin deo, a sumnjam da su promenili i uobičajenog korisnika admin.”

Samim tim haker već ima 2 od 3 stavke koje su mu neophodne za pristup vašoj veb stranici (ima uobičajenog korisnika i uobičajenu URL adresu vašeg wp-admin dela), sve što mu preostaje je da provali šifru.

Kreiranje zasebne adrese (URL-a) za pristup vašem wp-admin delu, dobijate sličan efekat kao izmenu uobičajenog korisnika (admin-a), samo što u ovom slučaju menjate uobičajenu adresu (URL, npr. imevasegsajta.tld/wp-admin) u neku totalno drugu (npr.imevasegsajta.tld/ovo_sigurno_nije_wp_admin). Samim tim, vašem wp-admin delu će moći da priđu samo osobe sa validnim URL-om za vaš novonapravljeni URL za pristup wp-admin delu.

Takođe, ukoliko ovo odradite, zaštićeni ste od većeg dela automatizovanih napada na vašu veb stranicu.

Plugin koji bismo vam preporučili za izmenu uobičajenih (bitnih) URL-ova je “iThemes Security”. On je takođe redovno ažuriran, sa preko 800.000 aktivnih instalacija.

Instalacija SSL sertifikata

Implementiranje, odnosno instaliranje SSL sertifikata, jedan je od veoma dobrih poteza koje možete da odradite, kako biste zaštitili vaš administrativni panel.

SSL obezbeđuje siguran prenos podataka između internet pretraživača (npr. GoogleChrom-a) i servera, što otežava hakerima da prekinu tu vezu ili da dohvate vaše bitne informacije.

Olakšica je što SSL sertifikat postaje standard početkom 2018. godine, a uz naše hosting pakete dobijate besplatan SSL sertifikat.

Redovno ažuriranje vaše WordPress stranice

“Šta uopste znači ažuriranje WordPress stranice, i čemu to služi?” jedno je od čestih pitanja naših korisnika.

Ažuriranje ili up-to-date, znači da vodite računa o novim verzijama dodataka (plaginova) ili samog WordPress-a.

Ako uđemo malo dublje u tu tematiku Ažuriranja → programeri koji rade na dodacima (plaginovima) često vrše neke dodatne sigurnosne postavke za dodatke (plaginove) koje su napravili kako bi otežali hakerima da dođu do podataka sa vaše veb stranice. Samim tim ukoliko odradite ažuriranje, vi ste poboljšali sigurnost na vašoj veb stranici.

To je, svakako, jedna od jednostavnijih stavki koje možete odraditi u svega par minuta.

Nešto za kraj:

Ukoliko ste početnik, ovo je mnogo informacija odjednom. No sve što je pomenuto u ovom članku veliki je korak napred.

Što više vodite pažnju o sigurnosti na vašoj WordPress stranici, to otežavate hakerima da dođu do vama bitnih informacija.

Povezani članci

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *