9 jednostavnih saveta da svoj WordPress sajt učinite bezbednijim
Kada je u pitanju sigurnost vašeg veb-sajta, onda tu ne može biti kompromisa. Ako ste pritom i vlasnik nekog online biznisa, onda sigurnost mora biti na najvišem mogućem nivou.
U današnjem tesktu ćemo dati 9 jednostavnih saveta kako da svoj WordPress veb-sajt učinite što bezbednijim, prateći samo nekoliko jednostavnih koraka.
Pre svega treba da obratite pažnju na sledeće:
1. Redovno ažurirajte WordPress
WordPress je softver otvorenog koda koji se stalno nadograđuje novim verzijama. One su nekada manje i sadrže neznatne izmene, a nekada su velike i donose veće izmene u okviru instalacije. Važno je da u svakom trenutku na vašem veb sajtu bude instalirana poslednja dostupna verzija.
WordPress će vas u Dashboard-u upozoriti na postojanje nove verzije i preporučiti da pokrenete ažuriranje. Iako je ovo preporučeno, nije na odmet biti oprezan sa novim verzijama, pogotovo ukoliko su u pitanju takozvane core verzije.
Naša je preporuka da pre svake veće izmene uradite rezervnu kopiju svog veb-sajta, kako biste osigurali da u slučaju da ažuriranje krene po zlu, možete lako da povratite svoj sajt u stanje pre ažuriranja.
Može se desiti da vaša WordPress tema ili plugin koji koristite nisu kompatibilni sa novom verzijom WordPress-a, pa zato nije na odmet biti oprezan.
2. Redovno ažurirajte plugin-ove
Za početak preporučujemo da broj plugin-ova smanjite na najmanju moguću meru. Plugin je najčešće softver koji je prozvela treća strana i kao takav može da bude nekompatibilan sa vašom verzijom WordPress-a ili sa nekim drugim plugin-om. Takva kombinacije može dovesti do obaranja vašeg veb-sajta. Da biste izbegli takav scenario, smanjite broj plugin-a na one koji su vam zaista neophodni.
Plugin-e koji vam nisu potrebni u potpunosti uklonite sa vašeg sajta (nije dovoljno da ih samo deaktivirate, jer zlonamerni napadač može i propuste u njima iskoristiti za preuzimanje vašeg sajta).
Potrudite se da već instalirani plugin-ovi budu uvek ažurirani na najnoviju verziju.
WordPress vas u Dashboard-u redovno obaveštava ukoliko postoji nova verzija plugin-a, pa je ovo zgodna funkcionalnost koju preporučujemo da koristite redovno. Kao i kod ažuriranja WordPress-a i ovde važi preporuka da pre svakog ažuriranja uradite rezervnu kopiju veb-sajta.
3. Redovno ažurirajte WordPress temu koju koristite
Možemo reći da WordPress za svoju popularnost u dobroj meri može da zahvali razvoju WordPress tema. One značajno olakšavaju izradu veb-sajta i zbog toga su i same doživele ekspanziju na tržištu. Ozbiljniji proizvođači redovno izdaju nove verzije, kojim poboljšavaju funkcionalnost ili sigurnost teme. Zato je važno da vaša tema uvek bude ažurirana na najnoviju dostupnu verziju.
Sve rečeno u prethodna poglavlja važi i ovde – pre svakog ažuriranja pokrenite izradu rezervne kopije sajta, kako biste u slučaju problema mogli lako da vratite sve u prethodno stanje.
4. Podesite jake lozinke
Jaka loznika je preduslov da vaš veb-sajt bude bezbedan od zlonamernog upada. Zato preporučujemo da to uradite već prilikom instalacije vašeg WordPress-a. Ukoliko koristite naš Cpanel, onda to možete jednostavno uraditi u Installatron-u, odmah na početku instalacije. Više o tome možete pročitati u ovom tesktu.
Ukoliko niste sigurni kako da napravite jaku lozinku, posetite https://strongpasswordgenerator.com gde ćete moći da besplatno generišete jaku lozinku i ujedno pročitate neke korisne savete u vezi sa njihovim kreiranjem i čuvanjem.
Nikako ne koristite lozinke koje mogu biti lako pogođene ili koje se na bilo koji način mogu povezati sa vama (nadimak, ime deteta, datum rođenja… i sl).
Najveći broj nedozvoljenih upada na sajtove se dešava ili zato što su korisnici koristili previše jednostavne kombinacije korisničkih imena i lozinki (npr. korisničko ime: admin, lozinka: 1234), ili zato što su one na neki način mogle biti povezane sa njima.
Sve navedeno važi i ukoliko omogućavate pristup za više korisnika sa različitim ulogama (admistrator, subscriber).
5. Omogućite dvofaktorsku autentifikaciju za logovanje na vaš veb-sajt
Dvofaktorska autentifikacija je veoma moćan sistem zaštite koji je danas u primeni u različitim sistemima koji zahtevaju visok nivo bezbednosti. Podrazumeva da pored loznike zahteva da unesete i dodatni kod koji će vam biti poslat na uređaj koji je u tom trenutku samo u vašem posedu – najčešće je to mobilni telefon. Na sreću ovaj sistem može biti jednostavno primenjen i na vaš veb-sajt uz pomoć plugin-a pod nazivom miniOrange 2-Factor i android aplikacije Google Authenticator.
Za naprednije korisnike preporučujemo da preuzmu i aktiviraju pomenuti plugin, a zatim u njegovom intuitivnom interfejsu aktiviraju dvofaktorsku autentifikaciju. Istovremeno je potrebno da na svom android telefonu preuzmete Google Authenticator aplikaciju.
Za manje napredne korisnike pripremili smo poseban tekst na ovu temu koji ćemo uskoro objaviti na našem blogu. Tu ćemo detaljno objasniti korak po korak kako da instalirate ovaj moćni sistem zaštite i tako dodatno zaštitite pristup svom veb-sajtu.
6. Zaštitite svoju login stranu
Ako ste vlasnik wordPress veb-sajta onda već znate da se logovanje na sajt vrši tako što nakon naziva domena kucate /wp-login.php ili /wp-admin. Nažalost, ovo je dobro poznato i svakome ko bi želeo da nedozvoljeno pristupi vašem sajtu. Ukoliko može da vidi stranicu za logovanje, onda će moći da proba i da se uloguje.
Najjednostavniji način da ovo sprečite jeste da sakrijete stranicu za logovanje, tako da ona bude nevidljiva za sve osim za vas. Ovo ćete moći da uradite uz malo editovanja wp-login.php fajla.
Na tržištu postoji dosta plugin-ova koji će ovo uraditi umesto vas, ali je naša preporuka da , kada je god to moguće, podešavanja radite ručno i plugin-ove izbegavate koliko je god to moguće.
Pre editovanja naš savet je da OBAVEZNO sačuvate kopiju ovog fajla na sigurno mestu. Možete uraditi i preuzimanje originalnog fajla na svoj računar. Ako nešto pođe naopako, uvek ćete moći da vratite stari fajl. Sada ste spremni za editovanje wp-login.php fajla.
1. ulogujte se na svoj cPanel nalog i uđite u File Manager
2. uđite u public_html folder
3. pronađite wp-login.php fajl (ako do sada niste uradili njegovu rezervnu kopiju uradite to odmah sada pre editovanja)
Editovanje možete raditi u bilo kom tekst editoru za koji se odlučite.
4. desnim klikom obeležite navedeni fajl i izaberite opciju Download.
5. preuzmite fajl na svoj računar i otvorite ga u omiljenom tekst editoru.
5. promenite ime fajla u bilo koje drugo ime (npr. wp-mojtajnilogin.php).
6. otvorite sada taj preimenovani fajl i kliknite ctrl+F da biste aktivirali opciju Find. U polju sa desne strane će se otvoriti polje za pretragu. Sada treba da zamenite sve instance gde se pominje wp-login.php novim nazivom vašeg fajla.
7. U polje Find unesite naziv wp-login.php, a u polje Replace novi naziv ovog fajla (u našem primeru wp-mojtajnilogin.php).
8. Kliknite na All kako biste zamenili sve instance wp-login.php sa novim nazivom fajla.
9. Sačuvajte izmene
10. Komresujte fajl u ZIP format i upload-ujte ga u public_html folder u File Manager-u
11. Raspakujte taj fajl u istom folderu
12. Obrišite originalni wp-login.php fajl
Sada pokušajte logovanje na vašu novu login stranu unosom u address bar vašeg pretraživača novog naziva fajla iza naziva vašeg sajta (www.nazivvašegsajta.rs/wp-mojtajnilogin.php).
Trebalo bi da vam je sada omogućen prsitup sa nove adrese, a unosom adrese sa starim putanjama /wp-login.php ili /wp-admin bi trebalo da vam javlja da tražena strana ne postoji.
7. Ograničite broj dozvoljenih pokušaja logovanja
Zlonamerni napadač će pokušati da pristupi vašem sajtu prvo preko login strane. Ukoliko ste je uklonili na preporučeni način, vaš sajt je već mnogo bezbedniji.
Ukoliko napadač ipak nekako pogodi lokaciju vaše login strane, on će opet moći da pokuša logovanje uz pogađanje odgovorajuće kombinacije korisničkog imena i lozinke.
Napadači za ovu namenu koriste takozvani Brute Force Attack, gde koriste softver koji u kratkom vremenskom roku generiše veliki broj kombinacija i ujedno pokušava da se sa njima uloguje na vaš veb-sajt.
Na sreću postoji način da sprečite ovu vrstu napada, tako što ćete ograničiti broj mogućih pokušaja logovanja. Ukoliko ovaj broj ipak bude prekoračen, sistem će se zaključati na određeno vreme i tako odrvratiti napadača od daljih pokušaja.
Za ovu namenu takođe možete koristiti neki od plugin-ova sa tržišta, mada je naša topla preporuka da to uradite ručno. U nekom od narednih tekstova napisaćemo vam detaljno upustvo.
U međuvremenu ako zelite, mozete koristiti plugin pod nazivom Loginizer.
Odmah po instalaciji bice sve podešeno tako da vaš veb-sajt odmah bude zaštićen od pomenute vrste napada. Dovoljno je da instalirate i aktivirate plugin i odmah ćete biti zaštićeni. Ukoliko želite možete izvršiti podešavanja u skladu sa svojim potrebama ili upgrade-ovati na pro verziju koja nudi još dodatnih opcija.
8. Onemogučite editovanje fajlova u temama i plugin-ovima
WordPress podržava editovanje fajlova u instaliranim temama i plugin-ovima kroz ugrađene opcije Themes Editor (Dashboard→Themes→ThemeEditor) i Plugin Editor (Dashboard→Plugins→Plugin Editor) . Ovo je vrlo korisna opcija koja u mnogome olakšava izmenu koda u njima, jer vam daje pristup celokupnom kodu vašeg veb-sajta.
Takođe, može da bude i opasno oružje u rukama nekoga ko bi se nedozvoljeno ulogovao uz pomoć vašeg admin naloga na vaš sajt. U tom slučaju napadač bi imao potpun pristup svim podacima na vašem veb-sajtu, i što je još gore mogao bi da iskoristi takav pristup da sa vašeg veb-sajta lansira neki malware ili DDOS napad.
Zato je naša preporuka da ovaj editor u potpunosti uklonite sa Dashboard-a. To ćete najjednostavnije uraditi tako što ćete u vaš wp-config.php file dodati sledeći PHP kod (više o editovanju wp-config.php fajla možete pročitati u ovom tekstu):
define( 'DISALLOW_FILE_EDIT', true ); Kod ćete dodati na kraju fajla, odmah pre linije ‘That’s all, stop editing! Happy publishing’.
Sačuvajte tako izmenjen fajl, nakon čega će oba editora nestati sa Dashboard-a.
Na ovaj način ste vaš veb-sajt učinili bezbednim od pokušaja izmene koda putem ugrađenog editora.
Ukoliko budete želeli da ponovo omogućite editovanje fajlova, jednostavno izmenite vrednost ovog koda u iz true u false.
9. Deaktivirajte XML-RPC
XML-RPC je funkcionalnost ugrađena u WordPress sa ciljem da omogući prenos podataka. Koristi HTTP za prenos podataka i XML kao mehanizam enkodiranja. WordPress za tu namenu sadrži xmlrpc.php fajl koji omogućava pristup vašem sajtu putem namenskog admin softvera i mobilnih aplikacija.
Ova opcija je automatski omogućena u WordPress-u.
S obzirom da ova opcija omogućava alternativni pristup vašem veb-sajtu, ona sa sobom nosi i određeni rizik od neovlašćenog pristupa. Napadač može zloupotrebiti XML-RPC funkcionalnost za neovlašćeni pristup vašem sajtu.
Iako ste ograničili pokušaj logovanja na vašu login stranu, time niste ograničili i pokušaj logovanja kroz XML-RPC. Zato je dobro da onemogućite XML-RPC i tako zatvorite mogućnost napadaču da na taj način pristupi vašem sajtu.
Pre toga treba da imate u vidu da ukoliko koristite logovanje na vaš sajt putem mobilnih aplikacija ili aplikacije za udaljeno logovanje, ono neće biti moguće nakon deaktivacije XML-RPC-a.
Iako postoji nekoliko plugin-ova, preporučujemo da ovu deaktivaciju obavite putem .htaccess fajla. Ukoliko do sada niste radili editovanje .htaccess fajla ovde ćemo ukratko objasniti kako to da uradite.
Napomena: Ukoliko korisite mobilne aplikacije kojim recimo uređujete komentare na vašem veb-sajtu, onda ne preporučujemo da blokirate XML-RPC jer ćete u tom slučaju izgubiti navedenu mogućnost.
1. ulogujte se na vaš cPanel
2. uđite u File Manager
3. uđite u public_html folder
4. u gornjem desnom uglu odaberite opciju Settings
5. u prozoru Preferences čekirajte opciju Show Hidden Files
6. u public.html folderu pronađite .htaccess fajl
7. desnim klikom na fajl odaberite opciju edit (otvoriće vam se fajl)
8. potražite kraj koda u .htaccess fajlu
9. odmah ispod </IfModule> taga zalepite sledeći kod:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from
</Files>
Napomena: ukoliko treba da omogućite pristup za neku određenu IP adresu, onda ćete tu adresu uneti iza komande allow from. Ako ne treba, onda jednostavno možete izostaviti tu konkretnu liniju koda.
Sačuvajte .htaccess fajl i zatvorite ga. Ovim ste ujedno i zaštiti svoj veb-sajt od zloupotrebe putem XML-RPC-a.
Nadamo se da su vam ovi saveti bili korisni i da su pomogli da vaš veb-sajt učinite bezbednijim, a vaše poslovanje na taj način sigurnijim.
U ovom tekstu smo objasnili kako da svoj web sajt učinite bezbednijim. Ukoliko želte da saznate više o tome kako da zaštitite svoj web sajt, možete pogledati i naše druge tekstove na ovu temu:
- Dvofaktorska autentifikacija za vaš WordPress veb-sajt
- Kako da očistite malware sa WordPress veb-sajta
- Kako zaštititi WordPress od hakera
- Kako očistiti inficiran WordPress sajt
- Anti-malware plugini za WordPress
- Kako da se zaštitite da vaš sajt/account ne bude hakovan i šta da preduzmete da to sprečite
Nenad Mihajlović