Kako zaštititi WordPress od hakera
Ako ste vlasnik nekog WordPress web sajta onda ste se sigurno već pitali šta je sve potrebno da uradite kako bi vaš sajt bio što sigurniji.
Kao što znate WordPress je jedan od najpopularnijih i ubedljivo najzastupljenijih CMS-ova na svetu. Popularan je pre svega zbog svoje jednostavnosti, kao i zbog velikog broja tema i plugin-ova pomoću kojih brzo i lako možete napraviti lep i funkcionalan sajt. Ta popularnost sa sobom nosi i onu lošu stranu, a to je veća ranjivost na online napade jer napadač lako pronalazi slabe tačke.
Već je poznato da kao vlasnik WordPress sajta treba redovno da ažurirate WordPress, ali i teme i plugine instalirane na vašem sajtu. Ipak, pored ažuriranja potrebno je primeniti i neke dodatne mere zaštite.
Mi ćemo u ovom tekstu dati nekoliko saveta na temu kako zaštititi WordPress od hakera:
- Sakrijte login stranu i ograničite broj pokušaja logovanja
- Sakrijte verziju i oznake WordPress-a koju koristite
- Promenite prefiks tabela u bazi
- Isključite izlistavanje datoteka i mapa na vašem hosting paketu
- Redovno menjajte svoje lozinke
- Redovno ažurirajte WordPress, teme i plugin-e
- Uklonite sve plugin-e i teme koji vam nisu potrebni
Sakrijte login stranu i ograničite broj pokušaja logovanja
Svako backend rešenje ima svoju stranicu za logovanje. Vrlo često su to stranice koje imaju standardne nazive poput admin, root i sl. Ovo u velikoj meri olakšava pristup, ali istovremeno ostavlja prostor za eventualne zloupotrebe.
Ako koristite WordPress i niste sakrili login stranu, opšte je poznato da joj se može pristupiti dodavanjem /wp-admin iza naziva vašeg domena. Još ukoliko za logovanje na takvu stranu koristite neku jednostavnu user/pass kombinaciju koju je lako pogoditi, onda je time dodatno olakšan posao napadačima da pristupe vašem sajtu.
Naš predlog je da pre svega sakrijete login stranu. To možete učiniti prateći naše uputstvo sa savetima za povećanje bezbednosti vašeg WordPress sajta.
Ukoliko vaš sajt nije već preopterećen plugin-ima, možete instalirati i onaj pod nazivom Login lockdown. Njime ćete ograničiti broj dozoljenih pokušaja logovanja i time onemogućiti da neko beskonačno dugo pokušava da provali kombinaciju vašeg korisničkog imena i lozinke.
Sakrijte verziju i oznake WordPress-a koju koristite
Ovo preporučujemo jer se lako možete desiti da napadač želi da zloupotrebi neki već poznati propust / ranjivost vaše verzije WordPress-a. Postoji nekoliko alata pomoću kojih se lako može otkriti vaša verzija. Da biste je sakrili to možete uraditi pomoću funkcije koju ćete smestiti u vaš functions.php fajl u okviru vaše teme:
remove_action('wp_head', 'wp_generator');.
Proverite ujedno i sve stringove u okviru vašeg footer.php fajla koji se nalaze u okviru core fajlova vaše teme.
Promenite prefiks tabela u bazi
Podrazumevana vrednost prefiksa u WordPress bazi je wp_. Ukoliko je ne promenite rizikujete da napadač pokuša pristup vašoj bazi koristeći se ovim prefiksom. Slobodno promenite ovaj prefiks unutar vašeg wp-config.php fajla u neki drugi. Na primer umesto postojećeg wp_ možete ga promeniti u wp_a123456
Da biste promenili na svim mestima, potrebno je da isto uradite i preko phpMyAdmin aplikacije u okviru vašeg cPanel-a. Dovoljno je da pokrenete sledeći query unutar phpMyAdmin-a:
RENAME table wp_commentmeta TO wp_a123456_commentmeta;
RENAME table wp_comments TO wp_a123456_comments;
RENAME table wp_links TO wp_a123456_links;
RENAME table wp_options TO wp_a123456_options;
RENAME table wp_postmeta TO wp_a123456_postmeta;
RENAME table wp_posts TO wp_a123456_posts;
RENAME table wp_terms TO wp_a123456_terms;
RENAME table wp_termmeta TO wp_a123456_termmeta;
RENAME table wp_term_relationships TO wp_a123456_term_relationships;
RENAME table wp_term_taxonomy TO wp_a123456_term_taxonomy;
RENAME table wp_usermeta TO wp_a123456_usermeta;
RENAME table wp_users TO wp_a123456_users;
Nakon toga treba da proverite da li postoji još neki stari prefiks unutar Options i UserMeta tabela.
Za Options pokrenite sledeći query:
SELECT * FROM wp_a123456_options WHERE option_name LIKE '%wp_%
Ovo će vratiti dosta rezultata, pa će biti potrebno da promenite jednu po jednu liniju.
Isto važi i za UserMeta tabelu. Kucajte sledeći query:
SELECT * FROM `wp_a123456_usermeta` WHERE `meta_key` LIKE '%wp_%'
Kao i kod Options tabele i ovde treba da promenite liniju po liniju koja se pojavi u rezultatima.
Isključite izlistavanje fajlova i mapa na vašem hosting paketu
Ako je na vašem sajtu uključena opcija Indexes koja služi za izlistavanje fajlova i mapa obavezno je isključite tako što ćete dodati Options -Indexes na vrhu vašeg htaccess fajla.
Redovno menjajte svoje lozinke
Potrudite se da periodično promenite sve vaše lozinke na sajtu i brišite naloge koji više nisu potrebni (pravljeni za testiranje, bivše saradnike i sl). Tu spadaju loznike za pristup sajtu, bazi, kao i korisničkih naloga za pristup bazi. Podrazumeva se, koristite uvek jake lozinke.
Redovno ažurirajte WordPress, teme i plugin-e
Ovo ne treba posebno naglašavati jer smo o važnosti ovih ažuriranja do sada pisali već mnogo puta. Potrudite se da vaša verzija WordPress-a uvek bude poslednja stabilna verzija. Pored toga potrebno je da redovno ažurirate vašu temu / teme kao i sve plugin-e koje imate na sajtu.
Nakon ažuriranja WordPress-a ili teme može se desiti da ponovo bude vidljiva verzija koju koristite. U tom slučaju primenite funkciju koju smo vam već prikazali u delu koji govori o sakrivanju verzije.
Uklonite sve plugin-e i teme koji vam nisu potrebni
Svi plugin-i ili teme koji su instalirani na vašem sajtu mogu da predstavljaju potencijalnu metu napadača koji zna kako da iskoristi eventualne propuste u njima. Zato je dobra praksa da sve neaktivne teme i plugins jednostavno deinstalirate sa sajta. Ostavite samo one koji su vam potrebni i njih redovno ažurirajte. Tako ćete obezbediti da vaš sajt ostane bezbedan od takvih napada.
U ovom tekstu smo vam dali nekoliko saveta kako zaštititi WordPress sajt. Kako vi štitite vaš sajt? Da li biste nešto dodali na ovu našu listu?
U ovom tekstu smo objasnili kako zaštitite WordPress od hakera. Ukoliko želte da saznate više o tome kako da zaštitite svoj web sajt, možete pogledati i naše druge tekstove na ovu temu:
- Dvofaktorska autentifikacija za vaš WordPress veb-sajt
- 9 jednostavnih saveta da svoj WordPress sajt učinite bezbednijim
- Kako da očistite malware sa WordPress sajta
- Kako očistiti inficiran WordPress sajt
- Anti-malware plugini za WordPress
- Kako da se zaštitite da vaš sajt/account ne bude hakovan i šta da preduzmete da to sprečite
Nenad Mihajlović