WordPress je definitivno jedna od najpopularnijih CMS (Content Management System) platformi koju ljudi upotrebljavaju kako za svakodnevno blogovanje, tako i za vođenje internet prodavnica i kompanijskih prezentacija. WordPress, svoju popularnost duguje lakom održavanju, unapred pripremljenim i lako izmenjivim temama (vizuelni šabloni) i priključcima uz čiju pomoć se može obaviti najveći deo zadataka dok sajt postaje bogatiji mogućnostima uz samo nekoliko klikova. Upravo zbog saznanja da će ljudi sigurno koristiti ove pogodnosti, u teme kao i u priključke, često može da bude ugrađen zlonamerni-maliciozni kod. O namerama i motivima ljudi koji to rade ne vredi puno pisati, ali treba napomenuti da takvi softverski kodovi imaju zadatak da prate i beleže aktivnosti, adrese e-pošte, lozinke i imena za prijavu, kao i podatke kreditnih kartica. Neki kodovi napravljeni su i postavljeni čak iz čiste zabave pa njihova svrha može biti da obore vaš sajt ili prikazuju sadržaje koje vi niste postavili.
Da ne biste morali da rizikujete sastavili smo listu proverenih dodataka koji će vam pomoći pri otkrivanju malicioznog i bilo kakvog softvera kojem nije mesto na vašem sajtu.
BulletProof Security
Ovaj priključak preuziman je preko 1,1 miliona puta, ocenjen je ocenom 4,8 od mogućih 5. Koristi .htacces datoteku da bi obezbedio zaštitu bitnih direktorijuma samog jezgra WordPress sajta gde spadaju wp-config.php i php.ini. BulletProof Security štiti od pokušaja hakera da izvedu code i SQL injection (ubacivanje malicioznog koda) akcije koje se koriste za dodavanje sadržaja na sajt bez vašeg dopuštenja. Postoji i opcija za obaveštenja e-poštom ukoliko sumnjivo ponašanje bude detektovano. Svaka aktivnost se beleži detaljno pa lako možete pratiti sva dešavanja, pa čak i pokušaje logovanja na administratorski nalog.
Ovaj priključak je besplatan i može se preuzeti i instalirati direktno iz kontrolne table sa administratorskim nalogom na vašem WordPress sajtu.
Preuzimanje: BulletProof Security (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Acunetix WP Security Scan
Ovo je takođe besplatan dodatak preuziman od velikog broja korisnika i ocenjen sa 3,4 od najviše ocene 5. Priključak je dobar za skeniranje sajta, utvrđivanje trenutnog stanja sigurnosti i pronalaženja pravog načina za popravku obezbeđenja. Sve što je sumnjivo zavodi po važnosti i po unapred definisanim filterima. Za svaku zabeleženu i prijavljenu opasnost nudi detaljno objašnjenje sa vezom do rešenja. Važnost svake zabeleške izražena je u bojama, a opis i rešenje možete dobiti ako kliknete na oznaku “+” koju vidite ispred svakog unosa.
Preuzimanje: Acunetix WP Security Scan (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Theme Authenticity Checker
TAC je WordPress priključak koji skenira datoteke svake instalirane teme u potrazi za malicioznim softverom, skrivenim linkovima i BASE64 kodovima. Jednom kada detektuje opasnost prikazuje lokaciju teme, datoteku, broj linije koda i zlonamerni deo koda. Na taj način administratoru sajta postaje jednostavno da analizira deo koji je sumnjiv i ukloni ga ako se ispostavi da je uzbuna opravdana.
Preuzimanje: Theme Authenticity Checker (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Exploit Scanner
Ovaj priključak pretražuje datoteke i baze podataka vašeg sajta dok utvrđuje da li se negde skriva sumnjivi softver. Bitno je znati da Exploit Scanner ne štiti od napada hakera i ne uklanja opasne delove koda. Njegova uloga je pronalaženje, dok je na administratoru da opasnost ukloni ručno, kao i kod prethodnog priključka.
Preuzimanje: Exploit Scanner (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Sucuri Security
Sucuri je sigurnosti priključak za WordPress koji iza sebe ostavlja dobru reputaciju. I njegova svrha je skeniranje i pronalaženje malvera na vašem sajtu. U osnovne mogućnosti spada monitoring (praćenje) datoteka koje bivaju podignute na prostor sajta. Pored toga poseduje i crnu listu (blacklist) praćenja, sigurnosna obaveštenja i udaljeno skeniranje. Plaćena verzija ovog priključka poseduje i moćni vebsajt firewall dodatak koji može dodatno uvećati sigurnost na mreži.
Preuzimanje: Sucuri Security (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Anti Malware and Brute-Force Security
Služi za skeniranje i uklanjanje virusa i svih malver problema koji mogu biti detektovani na sajtu. Neke od važnih mogućnosti ovog priključka su prilagođeno skeniranje, kompletno ili brzo skeniranje uz automatsko uklanjenje poznatih problema.
Preuzimanje: Anti Malware and Brute-Force Security (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
WP Antivirus Site Protection
WASP je sigurnosni priključak za skeniranje WordPress teme kao i svih drugih datoteka podignutih na sajt. Pored toga, najznačajnije mogućnosti čine i automatsko ažuriranje baze podataka poznatih virusa, uklanjanje malvera, automatsko slanje upozorenja i obaveštenja e-poštom.
Preuzimanje: WP Antivirus Site Protection (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Quttera Web Malware Scanner
Ovaj priključak pomaže u skeniranju veb mesta, štiti od ubrizgavanja malicioznog koda, virusa, crva, malvera, Trojanskih konja i td. Nudi opcije kao što su: skeniranje i detektovanje malvera, blacklist status, skener mašina sa veštačkom inteligencijom, detekcija spoljnih linkova i dr. Na ovaj način svoj sajt možete skenirati besplatno, dok se druge opcije plaćaju 60$ godišnje.
Preuzimanje: Quttera Web Malware Scanner (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Antivirus For WordPress
Predstavlja jednostavan sigurnosni priključak čija je osnovna svrha skeniranje WordPress tema korišćenih na vašem sajtu. Zadatak ovog priključka je da vas obavesti o virusu prikazivanjem obaveštenja u administrativnom panelu. Postoji i opcija dnevnog skeniranja gde ćete u slučaju sumnjivih rezulata dobiti obaveštenje e-poštom.
Preuzimanje: Antivirus For WordPress (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Wordfence
Ako tražite način da zaštitite svoj sajt od sajber napada, slobodno možete isprobati ovaj priključak. U realnom vremenu obezbeđuje zaštitu od poznatih napada, dvostruku autorizaciju, blokiranje cele maliciozne mreže, skeniranje poznatih backdoor slabosti. Dodatak je besplatan, ali ima i svoju verziju koja se plaća i koja nudi nešto bogatije opcije.
Preuzimanje: Wordfence (ovaj priključak dostupan je za instalaciju i direktno iz WordPress kontrolne table).
Bezbedno ponašanje i održavanje veb sajta sigurnim
Postoje dva, nazovimo ih osnovnim, načina da sajt bude inficiran softverom koji se ponaša drugačije od planiranog.
- Prvi način je instalacija teme-šablona, priključka ili čak kompletne WordPress platforme koja već sadrži maliciozni softver.
- Drugi način je direktan napad i probijanje kroz WordPressove slabosti i postavljanje softverskog koda na sajt (verovatno i sigurno) bez znanja održavaoca sajta.
Na oba načina uticaj ima ponašanje i navike koje se smatraju (ne)bezbednim. Konkretno, bezbedno ponašanja obuhvata sledeće:
- Instalacionu verziju WordPressa preuzimajte obavezno i samo sa proverene lokacije. Zaobiđite torente i raznorazne hosting servise koji vam nude preuzimanje.
- Priključke i teme za WordPress takođe preuzimajte samo direktno od proverenih izvora i proverenih autora.
- Redovno ažurirajte WordPress uz dogovor i konsultaciju sa administratorom. Jedna od najvećih ranjivosti je zastarela verzija softvera.
- Osigurajte svoj sajt od najčešćih zabeleženih scenarija napada (Wordfence i BulletProof Security priključci)
- [sajtovi sa više autora] Svedite broj administratora na minimum. Često je dovoljan samo jedan administratorski nalog. Svim drugim autorima (i sebi) dodelite naloge sa nižim privilegijama od administratorskog naloga. Administratorski nalog koristite samo u slučaju ažuriranja i instalacije softvera, prepravki softverskog koda i drugih upravljanja gde se zahtevaju administratorske privilegije.
- [sajt sa jednim autorom] Napravite jedan administratorski i jedan urednički nalog. Administratorski nalog koristite samo povremeno i u slučaju ažuriranja i instalacije softvera, prepravki softverskog koda i svih drugih upravljanja. Urednični nalog koristite svakodnevno za pisanje i vođenje bloga.
- Redovno pravite bekap sajta i baze podataka. Dobro bi bilo da čuvate dve odvojene kopije bekapa. Jednu lokalno na računaru i jednu udaljeno na nekom sigurnom onlajn servisu (Dropbox, Mega…).
Sigurnosti nikada dosta, ali ne treba preterivati i ići u krajnost. Trošiti više nego dovoljno vremena na sumnju i iščekivanje može da vas dovede do zapostavljanja prvenstvenih obaveza koje imate u vođenju i aranžiranju sadržaja na sajtu. Ako redovno pravite bekap sajta, ispoštujete savete za bezbedno ponašanje i povremeno pokrenete skeniranje uz pomoć nekog od opisanih priključaka, biće sasvim dovoljno. Međutim, ako vaš posao, a samim tim i podaci koje skladištite na sajtu zahtevaju mnogo više sigurnosti, razmislite o angažovanju profesionalne zaštite i stručnjaka za onlajn bezbednost.
BPS u besplatnoj verziji inače nudi, rekao bih promil onoga što nudi u pro verziji
Kao i većina priključaka čuva najbolje detalje za Premium korisnike, ali se ne može poreći da se dobra osnovna kontrola može postići i sa besplatnom verzijom.
Daleko od toga da je besplatna verzija bezveze, samo velim da besplatna verzija koja je takođe odlična ima promil funkcionalnosti koliko ima pro.
Besplatnu verziju imam na dva sajta, baš hostovana na Adiahostu i nikad ni jedan problem koji su sajtovi imali u prošlosti sa drugarima iz Albanije i južne Srbije (doduše, tad su sem nikakve zaštite bili i na drugom hosting provajderu) 🙂
Dok sam pisao ovaj članak, isprobavao sam redom sve priključke i mogu reći da upravo ovaj ima najviše opcija i mogućih akcija u slučaju poznatih scenarija. Naravno, tu su i ostali priključci za korisnike koji traže minimalniji pristup.
Hvala na potvrdi ponuđenog rešenja! 🙂