Verovatno je do sada dobar deo korisnika upoznato sa činjenicom da je WordPress jedan od najkorišćenijih blog softvera na internetu. On je čak otišao i izvan sfere bloga pa je odlična osnova da se se kreira bilo koji tip websajta. Međutim internet kao mreža u sebi sadrži niz opasnosti koje ostavljaju korisnika dostupnog za napade od strane bezobzirnih hakera.
Da se odmah razumemo, nemoguće je da sprečite sve oblike napada na vaš sajt, ali postoji niz koraka koje možete preduzeti da sprečite korisnike WordPress-a i njihove sajtove. Korisnici WordPress-a su se odomaćili na toj platformi smatrajući da je dosta prijatna za korišćenje i poprilično fleksibilna, a takođe ima i jako dobru podršku. Baš zbog svih ovih opcija korisnik bi mogao da očekuje i određeni nivo bezbednosti koji se mogu postići uz pomoć par preporuka navedenih u nastavku.
U kakvoj opasnosti je vaš WordPress blog ?
U prošlosti cilj hakera je bio jednostavno da obore neki web sajt. Ovi kriminalci su međutim shvatili da obaranje sajta ne donosi nikakvu korist. Danas je aktuelno preuzimanje sajta u svoju korist. WordPress hakeri ovo postižu kroz “link injection”. Upadnu u hosting nalog korisnika gde on drži svoje fajlove koje WordPress koristi, ubace određene linije koda koje se nadovežu na praktično sve strane na sajtu. Dva osnovna negativna efekta ovog upada su:
- Vreme i resursi potrebni da se očiste posledice napada
- Smanjenje rank-a kod velikih internet pretraživača
Korisnici WordPress-a ulažu značajnu količinu vremena, energije i finansijskih sredstava da podese i održavaju svoj blog. Blog takođe može biti korišćen da svom vlasniku donese i određenu dobit. “Page rank” je ugrožen kada pretraživači na stranama koje su napadnute primete sumnjive linkove i označe sajt kao nesiguran. Kada je “page rank” ugrožen od strane napada, korisnik tog sajta može izgubiti posetu, a samim tim i prihode.
Kako da zaštitite svoj WordPress blog?
Cilj zaštite WordPress bloga jeste da se spreči pristup spoljašnjih korisnika fajlovima koji čine WordPress. Preduzimanjem narednih mera vlasnik bloga može aktivno da učestvuje u borbi protiv hakera.
Standardno održavanje bloga
Vrlo važna komponenta dobrog održavanja bloga jeste uverenje da plugin-ovi i teme dolaze od proverenih izvora. Najbolji način da budete sigurni da su ovi činioci provereni jeste da ih skidate sa WordPress.org sajta i proverenih direktorijuma tema.
Sem toga regularni update plugin-ova, tema i WordPress instalacije je takođe bitan deo održavanja. Svaki update ispravlja određene greške i ranjivosti koje su otkrivene u okviru programa. Najbolje je update plugin-ova i tema uraditi pre update-a instalacije, na drugi način bi došlo do problema kompatibilnosti.
Korisnici WordPress-a takođe moraju da znaju da je vrlo važno da imaju regularni bekap cele instalacije, ali i baze. Takođe moraju biti upoznati sa procesom vraćanja kompletnog bekapa ukoliko je to potrebno. Idealni bekap bi bio onaj koji se radi na serveru, a ne kroz administratorski deo WordPress-a.
Sigurnost Password-a
Jak password je prva linija odbrane od hakera. Najbolje je da bude kombinacija brojeva i slova, ali tako da se ta kombinacija veoma teško može pogoditi. Naravno ova kombinacija bi trebalo da bude random, što zahteva da korisnik sačuva ovu šifru na lokaciji koja je sigurna. Postoje sajtovi koji besplatno mogu da generišu jednu takvu šifru.
Da biste dodatno ojačali sigurnost šifre WordPress u sebi ima i mogućnost korišćenja tajnih ključeva. Tajni ključ (secret key) je hash koji dodaje random elemente password-u. Uključenje tajnih ključeva možete pronaći na WordPress API sajtu. Kopirajte informacije koje pronađete na ovom sajtu i zamenite odgovarajući deo koda u fajlu wp-config.php kodom koji ste kopirali. Za postojeće instalacije ovo će obrisati kukije koji su snimljeni u browseru na računaru i naterati korisnike da se uloguju ponovo.
Kreiranje sigurnog username-a
Default administratorski nalog za WordPress je “admin.” Većina hakera ovo zna, a samim tim i polovinu informacija koje su potrebne da se pristupi korisnikovim podacima. Druga polovina je password za ovaj nalog. Da zaštitite ovaj nalog, username bi morao da bude promenjen u nešto jedinstveno. Ovo se može postići na dva načina u zavisnosti od toga koliko korisnik poznaje MySQL.
Korisnici koji su upoznati sa MySQL komandama mogu da koriste npr. phpMyAdmin i sledeću komnadu: UPDATE wp_user_login='new user' WHERE user_login='admin'.
Za one koji ne poznaju dovoljno dobro MySQL, postoji sledeći način:
- Napravite korisnika sa jedinstvenim username-om
- Stavite ga za admina
- Izlogujte se i ulogujte ponovo koristeći taj kreiran nalog
- Izbrišite admin nalog
Preporučljivi bezbednosni pluginovi
Postoji nekoliko pluginova dostupnih korisnicima WordPress-a koji mogu da asistiraju pri bezbednosti bloga. Evo par njih koje vam preporučujemo:
WP Security Scan
Ovaj plugin traži slabosti instalacije koje mogu da dozvole hakerima da dođu do fajlova. Takođe vam predlaže kako da ispravite te slabosti. WP Security Scan može se povremeno uključiti i nije potrebno da bude stalno uključen.
WordPress Exploit Scanner
Skeniranje fajlova, tražeći dokaz hakerskog upada, WordPress Exploit Scanner može da upozori korisnika na neke problematične delove. Slično kao WP Security Scan, ovaj plugin se može povremeno uključiti.
WordPress File Monitor
Ovaj plugin konstantno prati fajlove i šalje upozorenje korisniku ukoliko dođe do određenih promena. Na osnovu toga korisnik bi lako mogao da identifikuje promene koje su posledica napada od strane hakera. Kako bi bio efikasan WordPress File Monitor bi trebalo da bude stalno uključen.
Login Lockdown
Limitiranjem broja pokušaja pri login-u ovaj plugin onemogućuje hakere da pogađaju password korisnika tako što gađaju više puta login formu. Broj pokušaja se može podesiti po želji korisnika. Login Lockdown bi trebalo da bude aktivan uvek.
Permisije na folderima i fajlovima
Još jedna metoda onemogućavanja hakerskog upada je da se postarate da su permisije na folderima i fajlovima postavljene kako treba. Većina hosting kompanija kroz kontrolni panel dozvoljava promenu permisija. Ako to nije slučaj onda obični ftp programi pružaju mogućnost da korisnik promeni permisije. Dobra praksa je da se fajlovima postavi permisija 644, a folderima 755. Ovo će pluginovima i temama dati pristup koji im je potreban. Ako se pojavi problem koji prouzrokuje određena permisija, ona se ona može promeniti.
Promena prefiksa na tabeli
WordPress tabelama koje koristi u bazi stavlja prefix wp_. Ovo je još jedna informacija koju hakeri odlično znaju. Fajlovi u bazi mogu biti sakriveni ukoliko se prefix promeni sa defaultnog na neki jedinstveni. Ta promena se može izvršiti u okviru fajla wp-config.php. Ove promene je najbolje uraditi pre instalacije WordPress-a. Promena već postojećih tabela koje se koriste može biti dosta komplikovano.
Pomeranje wp-config.php fajla
Nakon izlaska WordPress verzije 2.6 korisnici dobijaju mogućnost da pomere wp-config.php fajl. Pomeranje fajla može da onemogući hakere da nađu taj fajl i da naprave neželjene promene. Fajl se može pomeriti samo u parent direktorijum WordPress instalacije. Na primer ako je fajl instaliran u:
public_html/wordpress/wp-config.php
može se pomeriti u:
public_html/wp-config.php
WordPress je programiran tako da pretražuje samo parent direktorijum. Ako se konfiguracioni fajl pomeri na neko drugo mesto doći će do greške.
Zaključavanje kroz .htaccess
Ova metoda može biti malo teža za podešavanje, ali je vrlo efikasna pri suzbijanju napada hakera. Cilj je da se specificira IP adresa ili opseg IP adresa koje mogu da pristupe administraciji sajta. Da biste ovo postigli napravite .htaccess fajl u wp-admin direktorijumu. Ovaj fajl bi trebalo da sadrži sledeće informacije:
AuthUserFile/dev/null
AuthGroupFile/dev/null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx
Možete definisati koliko god hoćete IP adresa i naravno može se lako promeniti IP adresa. Postoji jedna loša strana ove metode. Ako više računara sa više različitih lokacija pristupaju admin delu sajta kako bi nešto uradili postojaće mnogo IP adresa koje treba ispratiti. Za korisnike kojima je potreban pristup admin delu sa više lokacija ovo može da predstavlja problem.
SSL enkripcija
Korisnici WordPress-a mogu da uključe SSL enkripciju pri loginu na administracioni deo njihovog sajta. Ovo se može postići izmenom fajla wp-config.php. U fajl treba dodati sledeće linije koda:
- Front end login –
define('FORCE_SSL_LOGIN', true); - Login na admin deo –
define('FORCE_SSL_ADMIN', true);
Ukoliko korisnik želi da koristi ovu opciju potrebno je da se pre uključenja iste uveri da server na kojem se sajt nalazi podržava SSL enkripciju.
Možete se zaštititi od napada
Opasnosti hakerskih napada na blog su realnost, ali postoje načini kako da se spreče takve situacije. Uz redovno održavanje i preventivne mere korisnik može da spreči većinu ovih napad. Praćenjem navedenih mera postiže se visoki nivo sigurnosti WordPress sistema.
Lepi i korisni saveti.Nazalost nas kosnike ne moze niko zastititi od onih koji bi trebali da nas i zastite,naime od vas,hosting davaoca,imao sam takvih iskustava,naravno ne od vas,vec od vase konkurencije.Tu ne pomaze zastita sajta i uzaludan je trud.