Ažurirano, April, 2023.
WordPress sajtovi su česta meta hakerskih napada i ako imate sajt potrebno je da preduzmete preventivne bezbednosne korake, kako bi sebi uštedeli novac i spasli se glavobolje. Ovih 9 saveta da zaštite sajt će vam u tome pomoći.
Gubljenje sadržaja na blogu ili sajtu može da vam uništi posao i online ugled.
Nemojte misliti kako se ovo dešava nekim drugim sajtovima i da priču završite sa pitanjem: „Pa zašto bi neko uopšte hakovao moj sajt“?
Razlozi za napad su mnogobrojni: od želje da vam preotmu server i odatle napadaju druge sisteme i šalju spam, do ubacivanja virusa kako bi zarazili posetioce sajta i preuzeli kontrolu.
Zatim su to dobijanje ličnih i informacija o kreditnim karticama, postavljanje skrivenih linkova ka drugim sajtovima da bi prevarili pretraživače i stekli korist do potpunog uništenja sajta.
Možda će vas motivisati podatak da se dnevno dešava od 50 – 180 hiljada hakerskih brute force napada na sajtove.
Brute force napad je pokušaj da se sazna lozinka korisnika sajta kroz isprobavanje mogućih kombinacija u kratkom vremenskom periodu.
Ono što je dobra vest je to da možete mnogo da učinite za bezbednost bloga ili sajta, primenjujući savete koje sam ja primenila i koje ću sa vama podeliti u ovom članku.
Nemojte koristiti „admin“ kao korisničko ime
Prilikom instaliranja WordPress sajta većina odabere „admin“ kao korisničko ime.
Upravo ovo korisničko ime koriste hakeri, tako da su već pola ulogovani na vaš sajt. Potrebno je ovo da promenite i odaberete ime koje nema veze sa vašim ili imenom bloga.
Kako bi obrisali staro korisničko ime, jedan od načina je da dodate još jednog administratora sajta sa novim korisničkim imenom preko opcije Users-Add New i tek onda obrišete staro korisničko ime.
Drugi način je da to možete uraditi koristeći dodatak Easy Username Updater ili u okviru nekog dodatka za bezbednost koji već koristite.
Još jedan način je da to možete uraditi direktno u cpanelu preko opcije wp_users.
Koristite jaku lozinku i korisničko ime
Lozinke koje koristite su od suštinskog značaja, jer mogućnost napada na sajt svode na minimum.
Kad formirate lozinku, koristite brojeve, mala i velika slova, specijalne znakove (!“@?…).Poželjno je da lozinka ima najmanje 10 karaktera.
Gledajte da ne sadržai vaše ime, datum rođenja i sve one informacije do kojih napadači mogu lako doći. Nešto kao: SeCuRe15!@“ bi mogao da bude primer jake lozinke.
Ograničite broj pokušaja logovanja
Da bi ograničili broj puta koji neko pokuša da se prijavi na Vaš sajt, potrebno je da instalirate i aktivirate dodatak Login LockDown.
Ovaj dodatak će vam pomoći da podesite (broj pokušaja, vreme trajanja pokušaja…) i sprečite da neko beskonačno puta pokušava da se uloguje na sajt korišćenjem kombinacija lozinke i korisničkog imena.
Pored toga dobijate email obaveštenje o svakom pokušaju.
Radite redovno Backup sajta
Ovo je jedan od najvažnijih koraka koji Vam omogućava da imate rezervnu kopiju svog sajta u svakom trenutku.
- Backup možete raditi ručno preko cpanela ili putem nekog od besplatnih WordPress dodataka za backup BuckUpWordPress
- WP-DB-BuckUp
- WordPress BackUp to Dropbox
Pored svega ovoga, mudro rešenje bi bilo da rezervnu kopiju sajta pravite na nekom cloud serveru u slučaju da vaš server bude hakovan.
Jedno od najboljih plaćenih rešenja za WordPress je Defender Pro od kompanije WPMU DEV, kao i Backup Buddy koji je proizvod firme iThemes.
Kod Defende Pro dodatka imate besplatni period pa ga možete isprobati.
Backup Buddy je rešenje sve u jednom, što znači da pored kopije baze podataka imate i kopiju svih ostalih datoteka (slika, tabela i sl.) Najmanji paket košta 80 dolara, što uključuje backup za dva sajta.
Redovno ažurirajte verziju WordPress-a, dodatke i teme
Neažuriran WordPress, teme i dodaci, mogu biti glavni uzrok napada na sajt.
Svaka prethodna verzija ima neko ranjivo mesto. Ažuriranjem ne samo da zatvarate nebezbedne rupe, nego i poboljšavate mogućnosti sajta.
Proverite sada da li koristite najnoviju verziju WordPress-a, najnovije verzije svih dodataka i tema. Izbrišite sve teme i dodatke koje ne koristite.
Ukoliko koristite bespatnu temu, gledajte da iza nje stoji pouzdana kompanija ili koristite neku iz WordPress direktorijuma.
Promenite URL adrese za logovanje na sajt
Promenom standardne URL adrese (www.imesajta.com/wp-admin) gde ćete wp-admin promeniti u bilo koje druge reči, možete uspešno onemogućiti logovanje na sajt, čak i ako neko dođe do vaših podataka.
Ovo možete jednostavno uraditi pomoću dodataka:
Takođe neki od bezbedonosnih dodataka kao što je iThemes Security ( bivši Better WP Security) Vam nudi opciju da ovo lako rešite.
Upotrebite dvofaktorsku proveru (Two-Factor Authentication)
Uvek postoji rizik da neko otkrije vašu lozinku, bez obzira na to koliko je jaka. Autentifikacija sa dva faktora je proces u dva koraka u kome se pored lozinke koristi i dodatni metod.
To je SMS poruka, poziv putem telefona ili jednokratna lozinka.
Ovaj metod je u najvećem broju slučajeva 100% efikasan, zato što je realno nemoguće da napadač ima vaš telefon i vašu lozinku u isto vreme.
Na ovaj način se samo vi možete prijaviti na sajt, jer samo vi imate svoj telefon.
U ovom procesu možete koristiti sledeće WordPress dodatke:
Kada instalirate i podesite neki od ovih dodataka, obično se kod prijave na WordPress dodaje još jedno polje za unos sigurnosnog koda.
Ova metoda je odlična u kombinaciji sa promenom URL-a za prijavu. Zašto? Zato što samo vi znate vaš URL na koji je dodata dvostruka provera kod prijavljivanja na WordPress.
Sakrijte listu dodataka i tema
Skrivanjem liste dodataka (pluginova) i tema koje koristite smanjićete rizik od lakog napada na vaš sajt.
Po tom pitanju, prvo ćete kreirati prazan word dokument pod nazivom index.html.
U okviru svog cPane-la je potrebno da ovaj prazan fajl unesete u foldere: wp-content/plugins i wp-content/themes.
Za ovu svrhu možete koristiti program FileZilla. Kada ovo uradite umesto liste vaših tema i pluginova prikazaće se prazna stranica.
Koristite HTTPS link i SSL sertifikat
Ovo je jedna od najvažnijih stvari kada je jačanje sigurnosti WordPress-a u pitanju. HTTPS omogućava browser-u sigurno povezivanje sa vašim sajtom.
Nemojte misliti da vam je SSL sertifikat potreban samo ako primate kreditne kartice preko svog sajta.
Najveći razlog za HTTPS jeste sigurnost i to posebno ako se bavite prodajom preko svog sajta.
Google je HTTPS uvrstio u faktor za rangiranje. To znači da to utiče na SEO vašeg sajta.
Pored toga kada kupci vide zeleni katančić kod vaše URL adrese biće sigurniji, imaće više poverenja.
Od 2018. godine Google Chrome je počeo da obeležava stranice koje nisu sigurne.
Veći broj hosting provajdera kao što je Siteground nude besplatne SSL sertifikate, kao što je Let’s Encrypt.
Vrlo jednostavno možete omogućiti SSL na vašem sajtu instaliranjem dodatka Really Simple SSL. Ne traži nikakva dodatna podešavanja.
Poboljšajte sigurnost baze podataka
Za bolju sigurnost baze podataka možete za početak promeniti ime baze.
U slučaju da vaš sajt nosi naziv video igrice, onda će se podrazumevana baza podataka najverovatnije zvati wp_videoigrice.
Ako promenite ime baze u nešto kreativnije, automatski ste otežali pristup bazi i njenu identifikaciju.
Čitav ovaj proces promena imena baze, po koracima, opisali su stručnjaci iz WPMUDEV-a.
Drugi način je da promenite prefiks baze podataka. Po instalaciji WordPress-a koristi se prefiks wp-table.
Umesto wp možete upotrebiti nešto jedinstveno, kao na primer mojawp i slično.
Za ovu namenu možete koristiti i neke od WordPress dodataka. Pre upotrebe dodataka, kao što su iThemes Security ili WP-DBManager prvo napravite backup sajta.
Instalirajte besplatne dodatke za bezbednost
Ovaj korak je neophodan i jedan od najvažnijih kojim štitite svoj sajt od napada i neka ranjiva mesta na sajtu, ukoliko postoje.
Među najkorisnijim dodacima pomenuću samo neke:
- iThemes Security (formerly Better WP Security) pruža preko 30 načina da obezbedite i zaštitite svoj sajt. Ima dosta funkcija koje se aktiviraju jednim klikom, kao i razna podešavanja za naprednije korisnike.
- BulletProof Security svojom funkcijom dodatno štiti sajt, vrši backup, štiti logovanje, omogućava promenu wp prefiksa i mnogo toga.
- Wordfence Security skenira vaš sajt radi provere da nije već prisutan virus, zatim uključuje zaštitni zid, automatski blokira napadače u realnom vremenu i još mnogo toga.
DMCA je pečat zaštite koji možete da koristite na svom sajtu, kako bi sprečili krađu sadržaja.
Sa registrovanim pečatom imate pristup alatima, resursima i podršci, da bi brzo reagovali i ukolnili stranice koje kopiraju vaš sadržaj. Servis je besplatan.
Sve nebezbedne rupe koje se nalazi van WordPress-a, na primer na serveru gde hostujete sajt, takođe mogu da utiču na bezbednost vašeg sajta.
Kad birate hosting kompaniju, nemojte gledati da bude samo najjeftinija, nego istražite i kakve su joj bezbednosne mere.
Evo detaljnog vodiča za odabir hosting kompanije. Takođe preporučujem hosting kompaniju WPMU DEV, kao i da pročitate Siteground Pregled.
Ja ne mogu lično garantovati da vam se neće desiti hakerski napad i ovde ne pominjem sve metode bezbednosti.
Ovi saveti će svakako podići nivo bezbednosti vašeg sajta (čak iako samo uklonite “admin” korisničko ime i pojačate lozinku) i minimizirati rizik od hakerskog napada u odnosu na mnoge druge sajtove na internetu.
Lajkujte i podelite ovaj članak sa prijateljima na društvenim mrežama, kako bi i njima pomogao.
Dobrodošli su svi komentari i sugestije.
Hvala što ste odvojili vreme i pročitali ovaj članak!