WordPress je jedan od najrasprostranjenijih sistema na internetu za kreiranje veb-sajtova. To ga, naravno, pretvara i u predmet interesovanja zlonamernih osoba i njihovih aktivnosti.
Uprkos dobrom nivou sigurnosti koji pruža WordPress sistem, postoji i malo više metoda zaštite, koje svaki korisnik može primeniti i na taj način dodatno povećati sigurnost veb-sajta.
U WordPress Manager by SuperHosting meniju možete pronaći i omogućiti neke osnovne zaštite putem opcije “Sigurnosne provere“.
Korisničko ime administratora
U meniju “Sigurnosne provere” prva i osnovna zaštita vezana je za korisničko ime naloga za pristup WordPress administraciji. Ukoliko za pristup administraciji Vašeg sajta koristite neko jednostavno korisničko ime (kao na slici), savetujemo Vas da ga brzo promenite. Ukoliko imate nekoliko administratora, promenite sva korisnička imena.
Jedno od najpopularnijih korisničkih imena je “admin”. Nažalost, ovu informaciju znaju i zlonamerne osobe i na ovaj način će prvo pokušati da pristupe administraciji sajta.
U novoj WordPress instalaciji takođe možete podesiti korisničko ime administratora. Koristite složenije korisničko ime koje se sastoji od slova, brojeva i specijalnih karaktera
Bezbednost administratorske lozinke
Druga osnovna zaštita u meniju “Sigurnosne provere” vezana ja za lozinku koja se koristi za pristup WordPress administraciji. Lozinka koju je lako provaliti može dovesti do neželjenih posledica. Treća lica mogu lako da upadnu u administraciju Vašeg sajta i kompromituju sadržaj.
Nekoliko saveta za izbor snažne lozinke:
1. Nemojte koristiti uzastopne brojeve ili slova. Na primer: 123456, abcdef ili slične.
2. Nemojte koristiti lično ime, prezime, broj telefona, broj lične karte, nadimak ili druge lične informacije.
3. Nemojte koristiti uobičajene kombinacije. Na primer: 13579, asdasd, 1q2w3e4r, qwertyuiop, admin, password, administrator itd.
Preporučujemo da koristite generator lozinki kako biste kreirali snažnu lozinku koristeći nasumične karaktere.
Bezbednost wp-config.php fajla
Meni “Sigurnosne provere” ne proverava samo pristupne podatke Vašeg WordPress sajta, već i njegove fajlove. Konfiguracioni fajl svake WordPress instalacije je wp-config.php. On čuva podatke o sistemu koji ne bi trebali biti dostupni na internetu. Sadrži detalje o osnovnim WordPress podešavanjima kao i podatke za povezivanje sa bazom podataka. Ovi podaci su potrebni samo WordPress sistemu.
Ako ste omogućili dodatnu zaštitu, sistem će blokirati pokušaje neovlašćenog pristupa ili promene konfiguracionog fajla.
Prikazivanje sadržaja direktorijuma na veb-sajtu
Kada se učita određeni domen, učitava se i indeks fajl jer je njegovo ime najčešće index.html, index.php ili nešto slično.
Ako ne postoji indeks fajl, sadržaj odgovarajućeg direktorijuma prikazuje se u obliku liste fajlova i foldera.
Struktura datoteka ne sme biti slobodno dostupna na vebu. U suprotnom, informacije o veb-sajtu poput korišćenih tema, dodataka i drugih biće veoma lako dostupne.
Obično možete pronaći index.php fajl u svakom WordPress direktorijumu. Taj fajl sadrži nekoliko reda sa kodom. Učitava se kada neko pokuša da pristupi direktorijumu i browser će samo prikazati praznu stranicu.
Uprkos postojanju indeks fajlova u direktorijima veb-sajta, preporučuje se da se onemogući prikazivanje sadržaja.
Možete onemogućiti prikazivanje sadržaja direktorijuma koji nisu deo WordPress veb-sajta u cPanelu → Indeksi
Sigurnosni ključevi
Kada korisnik poseti Vaš veb-sajt putem browser-a, podaci se čuvaju u kolačićima.
Kako bi omogućio bolju enkripciju podataka koji se čuvaju u kolačićima, WordPress koristi razne sigurnosne ključeve.
Ovom proverom se utvrđuje da li su ključevi dovoljno dugi, da li sadrže izmešane simbole (brojeve i slova) i da li su dovoljno snažni.
Ukoliko postoje “slabi” ključevi, možete generisati nove koristeći dugme “Generiši nove ključeve”.
Vidljivost WordPress verzije
Ova provera utvrđuje da li je verzija WordPress-a dostupna u kodu veb-sajta i vidljiva.
Maliciozni pokušaji pristupa administraciju su olakšani ako zlonamerne osobe znaju koju verziju WordPress-a koristi Vaš veb-sajt.
Zaštita media fajlova i direktorijuma (wp-content/uploads)
WordPress dozvoljava otpremanje media fajlova kao što su slike, audio snimci, video fajlovi i mnogi drugi. Ovako otpremljeni fajlovi se čuvaju u wp-content/uploads. Samo izvršni PHP fajlovi se ne smeštaju tamo.
Ako se iz bilo kog razloga, ovi PHP fajlovi nađu tamo, sigurnosni sistem neće dozvoliti njihovo pokretanje. Na ovaj način je veb-sajt zaštićen od situacija, gde je moguće otpremiti maliciozni fajlove i pokrenuti ih.
Zaštita wp-includes sistemskog direktorijuma
Direktorijum wp-includes je deo WordPress strukture. Sadrži sistemski kod veb-sajta. U njemu ne bi smela da se nađe nijedna druga skripta osim WordPress koda. Zaštita zaustavlja direktno pozivanje i izvršavanje skripti, bez ometanja rada veb-sajta.
Na ovaj način su sprečeni maliciozni napadi.
Dodatna zaštita prilikom pristupa administraciji veb-sajta
Preporučljivo je dodati sledeću zaštitu administraciji WordPress sajta.
Ova opcija Vam dodaje još jedno korisničko ime i lozinku, koje je potrebno uneti prilikom pristupa administrativnom panelu.
Kad omogućite zaštitu i kad pokušate da pristupite administraciji pojaviće Vam se novi prozor. U ovom prozoru morate upisati pristupne podatke, koje ste prethodno kreirali.
Napomena: Ne preporučujemo da koristite ovaj tip zaštite ako je uključena opcija za registraciju korisnika.
Ako želite da zaštite neki drugi direktorijum koji ne pripada WordPress instalaciji, idite u cPanel → Fajlovi → Zaštita direktorijuma lozinkom.
Rezervne kopije koje su dostupne putem veba
Ova vrsta provere utvrđuje da li postoje rezervne kopije hosting naloga koje su dostupne preko veba.
Preporučuje se da postavljate rezervne kopije u direktorijume, kojima ne može da se pristupi putem browser-a. Na ovaj način ćete izbeći maliciozne aktivnosti i curenje informacija.
Zaštita direktorijuma za dodatke i teme
Direktorijum koji sadrži fajlove tema i dodataka u WordPressu se zove wp-content.
Ako izaberete Visok nivo zaštite moguće je da se pojavi nekompatibilnost sa temom ili dodatkom koji su dodatno instalirani.
Važno: Nakon što aktivirate ovaj tip zaštite potrebno je da pažljivo proverite da li sve funkcionalnosti sajta pravilno rade. Ako se pojavi problem, molimo Vas da promenite podešavanja na Srednji nivo zaštite.
Karakteristike XML-RPC
Karakteristike XML-RPC
XML-RPC je protokol koji omogućava upravljanje WordPress-om. U sistemu se koristi preko xmlrpc.php fajla.
Zlonamerne osobe koriste ovaj fajl kako bi izvršile brute force napad. Ovaj napad predstavlja nagađanje korisničkog imena i lozinke.
Ova zaštita onemogućava pristup xmlrpc.php fajlu, tako da je šansa za brute force napad znatno smanjena.
Izmena fajlova preko administracije
WordPress administracija Vam dozvoljava da izmenite PHP fajlove koji su deo dodataka i tema. Ako dođe do neovlašćenog pristupa administraciji veb-sajta i omogućena je izmena fajlova, zlonamernim osobama će biti veoma lako da ubace maliciozni kod u fajlove. Ukoliko se taj isti kod izvrši, može biti ugrožen kompletan hosting nalog.
Tako da – ako isključite opciju Izmena fajlova u administraciji, nivo sigurnosti Vašeg hosting naloga će se znatno povećati.
Ograničenje pristupa administraciji sa različitih IP adresa
Ograničenje pristupa administraciji sa različitih IP adresoa
Možete koristiti ovu opciju kako biste aktivirali ograničenje pristupa administraciji veb-sajta sa različitih IP adresa.
Kako biste aktivirali zaštitu, kliknite na dugme Aktiviraj.
Kada je zaštita aktivirana, IP adresi koju trenutno koristite je automatski omogućen pristup administraciji izabranog sajta.
Ako želite da dodate još IP adresa, u listu dozvoljenih IP adresa kliknite na Bela lista.
Ovaj članak je o hosting uslugama sa kontrolnim panelom cPanel-om i menijem WordPress Manager by SuperHosting.