Вероватно је до сада добар део корисника упознато са чињеницом да је Вордпрес један од најкоришћенијих блог софтвера на интернету. Он је чак отишао и изван сфере блога па је одлична основа да се се креира било који тип вебсајта. Међутим интернет као мрежа у себи садржи низ опасности које остављају корисника доступног за нападе од стране безобзирних хакера.

Да се одмах разумемо, немогуће је да спречите све облике напада на ваш сајт, али постоји низ корака које можете предузети да спречите кориснике Вордпреса и њихове сајтове. Корисници Вордпреса су се одомаћили на тој платформи сматрајући да је доста пријатна за коришћење и поприлично флексибилна, а такође има и јако добру подршку. Баш због свих ових опција корисник би могао да очекује и одређени ниво безбедности који се могу постићи уз помоћ пар препорука наведених у наставку.

У каквој опасности је ваш Вордпрес блог ?

У прошлости циљ хакера је био једноставно да оборе неки веб сајт. Ови криминалци су међутим схватили да обарање сајта не доноси никакву корист. Данас је актуелно преузимање сајта у своју корист. Вордпрес хакери ово постижу кроз “link injection”. Упадну у хостинг налог корисника где он држи своје фајлове које Вордпрес користи, убаце одређене линије кода које се надовежу на практично све стране на сајту. Два основна негативна ефекта овог упада су:

• Време и ресурси потребни да се очисте последице напада
• Смањење rank-а код великих интернет претраживача

Корисници Вордпреса улажу значајну количину времена, енергије и финансијских средстава да подесе и одржавају свој блог. Блог такође може бити коришћен да свом власнику донесе и одређену добит. “Page rank” је угрожен када претраживачи на странама које су нападнуте примете сумњиве линкове и означе сајт као несигуран. Када је “page rank” угрожен од стране напада, корисник тог сајта може изгубити посету, а самим тим и приходе.

Како да заштитите свој Вордпрес блог?

Циљ заштите Вордпрес блога јесте да се спречи приступ спољашњих корисника фајловима који чине Вордпрес. Предузимањем наредних мера власник блога може активно да учествује у борби против хакера.

Стандардно одржавање блога

Врло важна компонента доброг одржавања блога јесте уверење да плагинови и теме долазе од проверених извора. Најбољи начин да будете сигурни да су ови чиниоци проверени јесте да их скидате са wordpress.org сајта и проверених директоријума тема.

Сем тога регуларни update плагинова, тема и Вордпрес инсталације је такође битан део одржавања. Сваки update исправља одређене грешке и рањивости које су откривене у оквиру програма. Најбоље је update плагинова и тема урадити пре update-а инсталације, на други начин би дошло до проблема компатибилности.

Корисници Вордпреса такође морају да знају да је врло важно да имају регуларни бекап целе инсталације, али и базе. Такође морају бити упознати са процесом враћања комплетног бекапа уколико је то потребно. Идеални бекап би био онај који се ради на серверу, а не кроз администраторски део Вордпреса.

Сигурност Password-а

Јак password је прва линија одбране од хакера. Најбоље је да буде комбинација бројева и слова, али тако да се та комбинација веома тешко може погодити. Наравно ова комбинација би требало да буде рандом, што захтева да корисник сачува ову шифру на локацији која је сигурна. Постоје сајтови који бесплатно могу да генеришу једну такву шифру.

Да бисте додатно ојачали сигурност шифре Вордпрес у себи има и могућност коришћења тајних кључева. Тајни кључ (secret key) је hash који додаје рандом елементе password-у. Укључење тајних кључева можете пронаћи на WordPress API сајту. Копирајте информације које пронађете на овом сајту и замените одговарајући део кода у фајлу wp-config.php кодом који сте копирали. За постојеће инсталације ово ће обрисати кукије који су снимљени у прегледачу на рачунару и натерати кориснике да се улогују поново.

Креирање сигурног username-а

Подразумевани администраторски налог за Вордпрес је “админ.” Већина хакера ово зна, а самим тим и половину информација које су потребне да се приступи корисниковим подацима. Друга половина је password за овај налог. Да заштитите овај налог, username би морао да буде промењен у нешто јединствено. Ово се може постићи на два начина у зависности од тога колико корисник познаје MySQL.

Корисници који су упознати са MySQL командама могу да користе нпр. phpMyAdmin и следећу комaнду: UPDATE wp_user_login='new user' WHERE user_login='admin'.

За оне који не познају довољно добро MySQL, постоји следећи начин:

1. Направите корисника са јединственим username-ом
2. Ставите га за админа
3. Излогујте се и улогујте поново користећи тај креиран налог
4. Избришите админ налог

Препоручљиви безбедносни плугинови

Постоји неколико плагинова доступних корисницима Вордпреса који могу да асистирају при безбедности блога. Ево пар њих које вам препоручујемо:

WP Security Scan

Овај плагин тражи слабости инсталације које могу да дозволе хакерима да дођу до фајлова. Такође вам предлаже како да исправите те слабости. WP Security Scan може се повремено укључити и није потребно да буде стално укључен.

WordPress Exploit Scanner

Скенирање фајлова, тражећи доказ хакерског упада, WordPress Exploit Scanner може да упозори корисника на неке проблематичне делове. Слично као WP Security Scan, овај плагин се може повремено укључити.

WordPress File Monitor

Овај плагин константно прати фајлове и шаље упозорење кориснику уколико дође до одређених промена. На основу тога корисник би лако могао да идентификује промене које су последица напада од стране хакера. Како би био ефикасан WordPress File Monitor би требало да буде стално укључен.

Login Lockdown

Лимитирањем броја покушаја при login-у овај плагин онемогућује хакере да погађају password корисника тако што гађају више пута login форму. Број покушаја се може подесити по жељи корисника. Login Lockdown би требало да буде активан увек.

Пермисије на фолдерима и фајловима

Још једна метода онемогућавања хакерског упада је да се постарате да су пермисије на фолдерима и фајловима постављене како треба. Већина хостинг компанија кроз контролни панел  дозвољава промену пермисија. Ако то није случај онда обични ftp програми пружају могућност да корисник промени пермисије. Добра пракса је да се фајловима постави пермисија 644, а фолдерима 755. Ово ће плaгиновима и темама дати приступ који им је потребан. Ако се појави проблем који проузрокује одређена пермисија, она се она може променити.

Промена префикса на табели

WордПресс табелама које користи у бази ставља префикс wp_. Ово је још једна информација коју хакери одлично знају. Фајлови у бази могу бити сакривени уколико се префикс промени са подразумевано на неки јединствени. Та промена се може извршити у оквиру фајла wp-config.php. Ове промене је најбоље урадити пре инсталације Вордпреса. Промена већ постојећих табела које се користе може бити доста компликовано.

Померање wp-config.php фајла

Након изласка Вордпрес верзије 2.6 корисници добијају могућност да помере wp-config.php фајл. Померање фајла може да онемогући хакере да нађу тај фајл и да направе нежељене промене. Фајл се може померити само у parent директоријум Вордпрес инсталације. На пример ако је фајл инсталиран у:

public_html/wordpress/wp-config.php

може се померити у:

public_html/wp-config.php

Вордпрес је програмиран тако да претражује само parent директоријум. Ако се конфигурациони фајл помери на неко друго место доћи ће до грешке.

Закључавање кроз .htaccess

Ова метода може бити мало тежа за подешавање, али је врло ефикасна при сузбијању напада хакера. Циљ је да се специфицира ИП адреса или опсег ИП адреса које могу да приступе администрацији сајта. Да бисте ово постигли направите .htaccess фајл у wp-admin директоријуму. Овај фајл би требало да садржи следеће информације:

AuthUserFile/dev/null
AuthGroupFile/dev/null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx

Можете дефинисати колико год хоћете ИП адреса и наравно може се лако променити ИП адреса. Постоји једна лоша страна ове методе. Ако више рачунара са више различитих локација приступају админ делу сајта како би нешто урадили постојаће много ИП адреса које треба испратити. За кориснике којима је потребан приступ админ делу са више локација ово може да представља проблем.

SSL енкрипција

Корисници Вордпреса могу да укључе SSL енкрипцију при логину на администрациони део њиховог сајта. Ово се може постићи изменом фајла wp-config.php. У фајл треба додати следеће линије кода:

• Front end login – define('FORCE_SSL_LOGIN', true);
• Логин на админ део – define('FORCE_SSL_ADMIN', true);

Уколико корисник жели да користи ову опцију потребно је да се пре укључења исте увери да сервер на којем се сајт налази подржава SSL енкрипцију.

Можете се заштитити од напада

Опасности хакерских напада на блог су реалност, али постоје начини како да се спрече такве ситуације. Уз редовно одржавање и превентивне мере корисник може да спречи већину ових напад. Праћењем наведених мера постиже се високи ниво сигурности Вордпрес система.