Kako da dobro zaštite svoj WordPress sajt od hakera

Svako ko poseduje WordPress sajt bitno mu je da on ostane dobro obezbeđen. Zvanični podaci Google kažu da čak oko 10.000 web lokacija bude zloupotrebljeno i oko 50.000 krađa identiteta se desi svakodnevno. Zbog svega toga je bitno da svoj sajt dobro obezbedite od hakera. 

Iako su generalno WordPress sajtovi sigurni, jer stotine programera radi na toj platformi svakodnevno kako bi opravdali dobru reputaciju, mere opreznosti ipak treba da postavite, jer može da se desi nešto što će napraviti štetu baš vašoj web stranici. 

Postoji nekoliko koraka uz pomoć kojih je moguće zaštiti svoju web adresu od hakerskih napada. 

Zašto je bitna sigurnost sajta? 

[crp]

Pre svega zbog napada hakera. Oni mogu da nanesu ozbiljnu štetu kako vašem poslovanju, tako i ugledu vaše kompanije/bloga. Naime, mogu da vam ukradu korisničke informacije, lozinke, da vam instaliraju zlonamerni softver ili malver,  pa čak mogu poslednje navedeno da ga prenesu i korisnicima vašeg sajta.  

Koliko je opasan hakerski napad govore nam na hiljade primera onih koji su ga pretrpeli. Neki su čak morali da plaćaju otkupninu samo kako bi dobili pristup svojoj web lokaciji. 

Svemogući Google na svojim crnim listama ima oko 20.000 web stranica sa zlonamernim softverom. 

Zato, ako je vaš sajt poslovan, onda morate da obratite dodatnu pažnju ne bi li ste ga dobro zaštitili od hakerskih napada.  

Šta treba da radite da bi vaš sajt bio siguran: 

Ažurirajte svoj WodPress 

azurirane wordpressa

WordPress je softver koji se redovno održava i ažurira. Manja ažuriranja radi automatski, dok veća morate samostalno pokrenuti. 

Plus, WordPress sadrži na hiljade dodataka (plugins) i tema koje možete da instalirate na svojoj web stranici. Ove datoteke i teme održavaju drugi programeri (oni čija je firma pravila određenu temu ili dodatak) koji takođe redovno objavljuju ažuriranje i to morate sami pokrenuti. 

Nije teško, jer vam stigne obaveštenje da postoji ažuriranje i vi samo treba da pritisnete na dugme.  

Sve te ispravke koje se vrše ažuriranjem su ključ sigurnosti i stabilnosti vašeg sajta. Zbog toga budite sigurni da je vaša tema i pluginovi redovno ažurirani. 

Lozinka mora da vam bude jaka 

Najčešći pokušaji hakovanja sajta je preko razotkrivanja lozinke. Ovde ne govorimo samo o lozinki koju koristite za logovanje na WordPress platformu, već i onoj na cPanel, kao i pristup vašem poslovnom mejlu. 

Mnogi korisnici ne vole da koriste jake lozinke, jer ih teže pamte. Međutim, svetujemo vam da ipak izaberete lozinku koja nema baš nikakvog smisla i sastoji se kako od slovnih karaktera, tako i od numeričkih, ali i znakova interpunkcije. 

Drugi način da smanjite rizik hakovanja je da ne dajete nikom, osim vašim zaposlenima, pristup administratorskom delu vašeg sajta. Ako pak imate veliki tim koji radi na sajtu ili gostujuće autore, tada se uverite da razumete uloge i mogućnosti korisnika u WordPress pre nego što ih dodate u administratorski deo. 

Birajte hosting provajdera 

Hosting servis je jedna od najbitnijih stavki da bi izbegli hakerske napade.  

Uglavnom su manji sajtovi i sajtovi manjih poslovanja na deljenom hostingu, ako ste jedni od takvih dobro se raspitajte o vašem provajderu.  

Naime, ako delite hosting prostor to znači da delite resurse servera sa drugim klijentima. Ovo otvara rizik da vas hakeri napadnu sa sajta s kojim delite prostor na internetu. 

Dobri hosting provajderi čuvaju vaš sajt i informacije: 

  • Stalno proveravaju svoj server ne bi li se suprotstavili iznenadnom napadu 
  • Sve dobre hosting provajder kompanije imaju „alat“ kojim se suprotstavljaju velikim DDOS napadima (napad koji ima za cilj da učini računar nedostupan korisnicima kojima je on namenjen) 
  • Oni ažuriraju softver i hardver svog servera i tako sprečavaju hakere da iskoriste poznatu ranjivost bezbednosti u staroj verziji 
  • Oni su spremni da primene planove za oporavak od katastrofe i nesreće koji im omogućavaju da zaštite vaše podatke od slučaja veće nesreće 

O ovoj temi smo već pisali, pa više pročitajte OVDE.

Backup sajta 

Backup ili kopija sajta je tzv. prva odbrana od bilo kojeg napada na vaš WordPress sajt. Zapamtite, ništa nije 100% sigurno. Ako se mogu hakovati sajtovi vlade, onda mogu i vaši. 

Rezervna kopije omogučuje brzo vraćanje sajta u slučaju da se desi bilo šta loše. 

Postoje mnogo besplatnih i onih koje treba da kupite dodataka (plugin-a) za WordPress koje možete da koristite za ovu svrhu. Najvažnija stvar koju treba da znate kada se radi o pravljenju rezervnih kopija je ta da ih čuvate na nekoj drugoj adresi ( kao što je recimo Dropbox), nikako ne na vašem serveru. 

O ovome smo vam već pisali pa više pogledajte u tom članku OVDE

Plugin/dodatak za zaštitu 

Skinite neki od Security plugin-ova (dodataka za obezbeđenje) koji će motriti na vaš sajt i prijaviti vam svaku neobičnu pojavu ( kao što su: praćenje rada sajta, neuspešni pokušaji prijave, skeniranje zlonamernog softvera…). 

Mi vam predlažemo da skinete dodatak Sucuri Scanner. Besplatna verzija je odlična, pa je dobro da ga aktivirate. Potom treba da odete u Sucuri opciju u meniju. Prva stvar koju će vam tražiti da uraditi je „API ključ“ koji možete dobiti besplatno. 

sucuri api kljuc

Sledeće što treba da uradite je da kliknete na Hardening opciju u meniju i potom na dugme Apply Hardening

sucuri settings

Ova opcija vam pomaže da zaključate ključna područja koja hakeri često napadaju. Ono što još preporučujemo da prilagodite je Email Alerts (upozorenje mejlom). 

Pošto ovako možete „zatrpati“ svoje elektronsko sanduče, predlažemo vam da primate poštu samo za ključne akcije kao što su promena pluginova (dodataka), nova registracija korisnika itd. Sređuje se tako što ćete ući u Sucuri Settings i potom u opciju u meniju Alerts

alerts wordpress

Ovaj WordPress dodaktak je odličan, pa vam predlažemo da pregledate sve što nudi u podešavanjima kako bi iskoristili sve njegove funkcije. 

Omogućite WAF (Web Application Firewall) 

Najlakši način zaštite sajta je upotreba WAF. Uz pomoć ove funkcije vi ćete zaštiti svoj tzv. zid sajta i blokirati sav saobraćaj sa zlonamernog softvera pre nego što uopšte dođe do vaše web adrese. 

DNS Level Website Firewall – uz pomoć njega će samo originalni saobraćaj na internetu doći do vašeg web servera. 

Application Level Firewall – ovaj dodatak ispituje saobraćaj nakon što dođe do vašeg servera, ali pre učitavanja većine skripti na WordPressu. Zbog toga, ova metoda nije tako efikasna kao prethodna. 

Postoji mnogo dodataka na Wordpressu koji su odlični da se instalira zaštitni zid (firewall), a mi vam preporučujemo Sucuri. Zašto? Zato što pomogne u oko 450.000 hakerskih napada u jednom mesecu. 

Najbolji deo ovog plugina je taj što oni garantuju za uklanjanje zlonamernog softvera i crnih listi. U osnovi to znači da ako se nešto desi sa vašim sajtom dok koristite njihov dodatak, oni garantuju popravku (bez obzira na veličinu vaše web stranice). 

Ovo je i više nego dobar dil, jer je popravka hakovanog sajta veoma skupa. Stručnjaci uglavnom naplaćuju ovakve popravke po 250 dolara na sat, a prethodno pomenuti dodatak možete kupiti za 199 dolara na godišnjem nivou. 

Premestite svoj sat na SSL/HTTPS 

SSL (Secure Sockets Layes) je protokol prenosa podataka između vašeg sajta i korisnika koji ga pregleda. Ovaj protokol otežava krađu informacija. 

Jednom kad omogućite SSL vaš sajt će koristiti HTTPS umesto HTTP, takođe ćete videti i ilustraciju katanca pored vaše web stranice u pregledaču. 

Cena SSL sertifikata se plaća dodatno kad kupujete hosting i domen, zbog toga što je dodatni trošak većina vlasnika se odluči da ga ne koristi, a to je greška. Baš zbog toga je organizacija Let’s Encrypt odlučila da ponudi besplatna SSL sertifikat mnogim web stranicama. Njihov projekat su podržali Google Chrom, Facebook, Mozilla… Nakon njihovog koraka, mnoge hosting kompanije su počele da ga nude besplatno uz kupovinu određenih hosting paketa. 

Ako uradite sve navedeno vaš sajt će sigurno biti 90% zaštićen, međutim ako ste jedni od onih koji više vole da samostalno rade i da dodatno obezbedite sajt do maksimuma, a ne uz pomoć dodataka, onda nastavite da čitate tekst. 

Promenite korisničko ime „Admin“ 

Ako vam stoji „Admin“ kao korisničko ime za administratorski deo sajta, odmah ga promenite. Naime, nekada se to podrazumevalo, pa su hakerima “vrata” od vašeg sajta bila na pola otvoren.  

Postoje tri načina na koji možete promeniti korisničko ime: 

  1. Kreirajte novo korisničko ime i obrišite staro; 
  1. Upotrebite dodatak Username Changer
  1. Ažurirajte korisničko ime sa phpMyAdmin opcijom u cPanel-u. 

Onemogućite uređivanje fajlova (datoteka) 

WordPress dolazi sa ugrađenom opcijom koja vam omogućuje da uređujete temu, dodatke i fajlove direktno iz administratorskog dela sajta. Koliko god zvučalo super i olakšavajuće, bolje da ovo isključite, jer njeno omogućavanje olakšava hakerima posao. 

edit themes

Onemogućivanje uređivanja fajlova se vrši lako, tako što kod ispod ubacite u vaš wp-config.php fajl. 

kod

Postoji i drugi način za onemogućivanje pomenute funkcije, a to je uz pomoć prethodno u tekstu pomenutog dodatka Sucuri.  

Onemogućiti rad PHP fajla u određenim direktorijumima WordPress-a 

Ovde se pre svega odnosi na direktorijume u kojima ne treba da se radi /wp-content/uploads/. 

To ćete uraditi tako što ćete u svom Notepad upisati ovaj kod: 

kod za php

Sačuvate novi fajl kao .htaccess i aplodujete ga (ubacite ga) u /wp-content/uploads/ koristeći FTP client

Kao i u prethodnom koraku opreznosti i ovaj možete onemogućiti jednim klikom ako koristite Sucuri dodatak. 

Ograničite broj prijavljivanja (logovanja) 

Kad podignete sajt u WordPress-u on automatski odobrava korisnicima sajta da se prijavljuju koliko god puta žele pre nego što napišu pravilno korisničko ime i lozinku. Iako vam ovo zvuči super, istina je da hakerima olakšava „probijanje“ vaše lozinke i korisničkog imena. Zbog toga je najbolje da ograničite neuspele pokušaje prijavljivanja u administratorski deo sajta.  

Ako koristite u tekstu prethodno naveden Firewall, onda on ovo automatski sam postavlja. Međutim, ako nemate nikakvu postavku zaštitnog zida, morate da uradite neke korake. 

Instalirajte plugin Login LockDown i aktivirajte ga. Potom uđite u Settings vašeg sajta i nađite Login LockDown. Napišite brojke koje želite i to je to. 

login lockdown

Stavite dva faktora autentifikacije 

Prvi je korisničko ime i lozinka, dok drugi korak zahteva da se autentifikujete pomoću posebnoj uređaja ili aplikacije. Većina najpopularnijih web stranica (kao što su Google, Facebook, Twitter…) služe da pomognu autetifikaciji. 

Da bi ovo imali treba da instalirate i aktivirate dodatak Two Factor Authentication

dva faktora protiv hakovanja

Potom na telefonu morate da instalirate i otvorite aplikaciju za potvrđivanje identiteta. Dostupno je nekoliko njih kao što su Google Authenticator, Authy, LastPass Auhenticator 

Preporučujemo upotrebu poslednje navedene jer vam omogućava da napravite rezervne kopije naloga i laka je za korišćenje.  Rezervne kopije služe tome  u slučaju da se vaš telefon izgubi ili se uradi fabričko podešavanje ili pak kupite novi telefon, sve prijave na vaš profil biće automatski vraćene i nećete morati da unosite šifre. 

Kad otvorite LastPast Authenticator aplikaciju kliknite na „dodaj“ dugme. 

add dodaj wordpress

Izaći će vam pitanje da li želite da skenirate sajt ručno ili da skenirate bar kod. Savetujemo vas da izaberete drugu opciju. Usmerite kameru svog telefona na QRcodes koji se nalazi u podešavanjima dodatka. To je sve. 

Treba da znate da sledeći put kad  promenite web lokaciju, od vas će se tražiti dvofaktorski autorski kod nakon što unesete lozinku. 

zastita sajta

Onemogućiti indeksiranje i pregledavanje direktorija 

bezbedan sajt

Pregledavanje direktorijuma hakeri mogu koristiti da bi pronašli datoteke koje se lako „probijaju“ tj. Lako im se može pristupiti.  

Pregledavanjem direktorijuma može koristiti vaša publika da bi pregledala vaše fajlove (datoteke), kopirala slike, saznala strukturu direktorijuma itd. Zbog toga se preporučuje da isključite indeksiranje i pregledavanje direktorijuma. 

Da bi ovo uradili morate ući u cPanel, pa u opciju FTP. Pronađite .htaccess fajl u tzv. korenskom (root) direktorijumu web lokacije.  Na kraju .htacccess fajla morate dodati:  

Options-Inexes 

Nemojte zaboraviti da sačuvate promene i aplodujete .htaccess fajl. 

Automatski odjavite neakitvne korisnike 

Korisnici koji koriste vašu administratorsku stranicu sajta mogu da se odvoje od računara, a da se pritom nisu izlogovali i to može treće lice da iskoristi. Baš zbog toga mnoge bankarske i finansijske stranice odjavljuju neaktivne korisnike. Isto možete uraditi i na svom WordPress sajtu. 

Instalirajte i aktivirajte dodatak Inactive Logout. Odete u Settings i pronađite opciju Inactive Logout. Sve što treba da uradite je da podesite vreme posle kojeg će se vršiti automatsko odjavljivanje neaktivnih korisnika i da napišete poruku koju će videti. 

odjaviti wordpress

Dodajte bezbednosno pitanje za logovanje (prijavljivanje) na sajt 

Ova opcija otežava da se „provali“ na vaš administratorski deo sajta. Napravićete je tako što ćete instalirati dodatak WP Security Questions i aktivirati ga. 

Potom odete u Settings i pronađete Security Questions opciju i podesite sve. 

bezbednosno pitanje

Kad uradite sve navedeno budite sigurni da je vaš sajt neprobojna kula za svakog hakera. 

Adnativia Logo

Unapredite Svoje Oglašavanje - Pridružite se našoj Naprednoj Oglasnoj Platformi!

Prednosti Pridruživanja Platformi:

  • Moćni Alati za Oglašavanje: Koristite inovativne alate za dizajniranje i pokretanje efikasnih kampanja.
  • Ciljano Oglašavanje: Dostignite vašu ciljanu publiku uz naprednu analitiku i segmentaciju.
  • Podrška Eksperata: Profesionalna podrška za sve aspekte vaših oglašivačkih inicijativa.
  • Rezultati u Realnom Vremenu: Pratite učinkovitost vaših kampanja u realnom vremenu i prilagođavajte ih prema potrebi.

Započnite svoju oglašivačku revoluciju danas. Prijavite se i pokrenite kampanje koje će transformisati vaše poslovanje.

POKRENITE SVOJE KAMPANJE!

[crp]