+ 381 64 17 39 157 office@cyclopdesign.com

Nijedan softver nije 100% bezbedan, a WordPress nije izuzetak od tog pravila. Kao pokretačka snaga otprilike jedne četvrtine svih sajtova koji postoje na svetu ova platforma je prirodno neodoljiva meta za hakere i bila je predmet njihovih napada tokom proteklih godina.

Ljudi koji se sećaju ranih sigurnosnih propusta poput različitih ozbiljnih ranjivosti iz 2009. su verovatno otpisali ovaj softver sa liste stvari koje žele da koriste. Međutim vreme pokazuje da su pogrešili.

Za svaki takav pokušaj ili ranjivost koja je stvarala probleme bilo je na desetine, ako ne i stotine, pravovremenih odgovora, zahvaljujući kombinaciji korisničkih prijava, budnosti WordPress posvećenog bezbednosnog tima i napora nezavisnih developera.

Predstavićemo vam ključnih pet bezbednosnih mera koje morate da preduzmete da bi vaš sajt ostao bezbedan, kao i izbor zgodnih plugin rešenja koja vam mogu biti od pomoći u ovom poslu.

Evo šta je sve potrebno da znate.

1. Koristite jaka korisnička imena i lozinke
(Username i Password)

Daleko najčešća i uobičajena greška koju je lako izbeći je ostavljanje default admin username-a prilikom instaliranja WordPress-a.

Razlog zbog koga ovo morate da izmenite je jednostavan: ukoliko neko na silu pokušava da upadne na vaš sajt ostavljanje default username-a čini jednu nepoznatu manje u jednačini. Sve što loši momci moraju da urade je da provale vaš password.

Korisnicima je omogućeno da biraju sopstveni admin username još od WordPress 3.0 verzije. Ako niste iskoristili ovu opciju tokom instalacionog procesa, a uporno ste ignorisali WordPress update upozorenja, onda bi sada bilo pravo vreme da se pobrinete za ovu grešku.

Vaš password je vaša druga linija odbrane i, iako smo sigurni da vam je dojadilo da slušate o potrebi biranja jakih password-a i upotrebi jedinstvenih lozinki za svaki sajt, to je nešto što sigurno morate da uradite kako valja. Minimalni napor, koji je potrebno da uložite u pristup ovom problemu na organizovan način, je ništavan u odnosu na nevolje koje vam može doneti reparacija komprovitovanog sajta.

Dobar password menadžer će uvek koristiti jake alate za generisanje pass-ova i znatno će vam olakšati ceo ovaj zadatak. LastPassRoboform i 1Password su sve odlične opcije za dati problem.

Za dodatni nivo bezbednosti možete da omogućite two-factor authentication preko upotrebe plugin-a poput iThemes security (naveden na našoj donjoj listi). Vlasnici sajtova na ovaj način mogu da lako učine sopstveno logovanje bezbednim koliko je to uopšte moguće. Biće vam drago što ste ovo uradili kada prvi put dobijete izveštaj o propalim pokušajima logovanja od strane neidentifikovanih izvora.

2. Osigurajte vaš Login Screen

Čak iako je vaša username/password kombinacija neprobojna kao tvrđava, posvećeni napadač bi, ako ima dovoljno vremena, mogao da dopre do vašeg dashboard-a ukoliko niste preduzeli mere za osiguravanje vašeg login screen-a.

Ovo je moguće izbeći na lak način, ograničavanjem broja pokušaja logovanja sa jednog izvora u određenom vremenskom periodu. Iako je ista IP adresa koja bezuspešno pokušava da se uloguje možda posledica nečije zaboravnosti, ipak je daleko verovatnije da je u pitanju napadač koji pokušava da se ušunja pomoću različitih kombinacija i permutacija.

Vaš login screen takođe ne bi trebalo da obelodanjuje korisnicima gde su pogrešili ukoliko im je pristup odbijen. Kao što smo već rekli, svaka informacija koja bi napadaču pomogla da smanji broj promenljivih i nepoznatih elemenata bi trebalo da bude izostavljena.

Captcha takođe može da bude vredan alat za osiguravanje protiv napada botova na login screen. Iako su se ozbiljniji hakeri preorijentisali na uzgajanje captcha rešenja putem angažovanja ljudske radne snage, ovo još uvek predstavlja malu prepreku na putu za potencijalne napadače. Budući da se veoma lako postavlja, ova prepreka ne bi trebalo da bude izostavljena.

Još jedna mera koju možete da preduzmete je da konfigurišete notifikacije tako da vam stižu svaki put kada pokušaj logovanja izgleda sumnjivo. Na primer, da li ste vi jedina osoba koja bi trebalo da ima pristup dashboard-u? Zbog čega onda neki tip iz Rusije pokušava da se uloguje u tri ujutru? Instalacija firewall-a koji blokira IP adrese koje su prethodno dospele na crnu listu takođe predstavlja razuman korak. Sve ovo je moguće pomoću plugin-a koje ćemo kasnije pomenuti.

3. Razumevanje File i Folder permission opcija

U najvećem broju slučajeva ne bi trebalo da se uplićete u WordPress default postavke, ali od koristi je ako posedujete barem osnovno razumevanje File permission mode-ova.

Dva najčešća moda na koja ćete naići su 644 i 755. Ovo su u suštini kategorije koje određuju set pravila koji upravlja svakim fajlom ili direktorijumom (tj. mogu da čitaju otvorene ili da modifikuju fajlove).

Fajlovi i direktorijumi kategorizovani pod 644 modom mogu da budu pročitani i napisani ( u smislu UNIX termina za modifikaciju) od strane njihovog vlasnika(korisnik na serveru koji ih je kreirao) a svi ostali mogu da ih čitaju. Ovo je idaelno setovanje za mnogo tipova fajlova.

Mod 755 je najčešće korišćen za foldere, budući da dozvoljava svim korisnicima da unose izmene u taj direktorijum. Povremeno ćete naići na određene plugin-e koji zahtevaju da određeni folderi buudu setovani na 755. Ova tematika može da vam zada glavobolju dok ne pohvatate sve konce, ali ako ništa drugo ne možete da zapamtite onda bar izbegavajte setovanje na mod 777, čak iako plugin to zahteva od vas, ukoliko niste sasvim sigurni da znate šta radite. Ovaj mod je veliki no-no, zato što praktično omogućava svim korisnicima potpuni pristup čitanju, pisanju i brisanju svih direktorijuma, što je potencijalni izvor mnogih nevolja.

4. Backup, backup, backup

Ako i prođem pored seni smrti

Neću se bojati zla

Jer sam revnosno pravio backup-e

Backup je toliko jednostavan, a opet ključni, deo sigurnosti sajta da ga moramo propovedati kao jevanđelje. U slučaju neželjenog događaja narušavanja sigurnosti, katastrofalnog ili nekog drugog, bićete neverovatno zahvalni sebi na pravovremenom backup-ovanju. Zaobiđite ovaj segment sigurnosti i garantovano ćete imati bolan put do povratka na pređašnje stanje.

Potencijalna mana ovoga je ako se backup-ima bavite poluredovno, gde rizikujete gubitak određenih podataka. Jednom do dva puta nedeljno bi trebalo da bude sasvim dovoljno za većinu sajtova, a budući da sve može da bude automatizovano putem plugin-a nema potrebe da to obavljate ručno.

Ako se brinete da ćete morati da održavate biblioteku pretrpanu bespotrebnim backup-ima, šta reći, to može da vam se dogodi. Sa druge strane ovo je 2015, online i offline kapaciteti za storovanje su smešno jeftini, a uložena sredstva su vredna mirnog sna. Uz to uvek možete da eliminišete najstarije zapise i da tako štedite na prostoru.

5. Apdejtujte WordPress redovno

Svima je poznato koliko „update available“ obaveštenje može da bude smorno, kako za sam WordPres tako i za instalirane plugin-e. Međutim postoji razlog zbog koga timovi developera prolaze kroz nevolju konstantnog „valjanja“ apdejta, a to nije samo dodavanje novih karakteristika.

Bez obzira koliko je WordPress lak za korišćenje, u pitanju je još uvek veoma složen CMS. Kada mu pridodate plugin-e, plus njihove međusobne interakcije, potencijalno otvarate veoma veliki paket ranjivosti. Developeri moraju da ostanu na vrhu te gomile da bi zaštitili korisnike. Preskakanje najnovijeg apdejta može da znači razliku između sigurnog sajta i onog sa rupom u gardu koju hakeri jedva čekaju da napipaju.

Kada ste već tu nemojte da preskačete ni changelogs. Možete da propustite važne informacije o kompatibilnosti plugin-a ili WordPress verzija. Ova vrsta neznanja može nehotice da dovede do rušenja sajta.

WordPress security releases je stvar na koju bi trebalo posebno da obratite pažnju, zato odvojite vreme za apdejtovanje svog sajta što češće možete.

 

Ne brinite, postoji plugin za to

Razmotrili smo pet osnovnih bezbednosnih mera sa kojima bi svaki vlasnik WordPress sajta trebalo da bude blizak. Mnoštvo sjajnih informacija na ovu temu možete da pronađete na WordPress-ovom sajtu, u Hardening WordPress sekciji Codex-a.

Sada ćemo da vam skrenemo pažnju na neke od najboljih plugin-a dostupnih za olakšavanje fizikalisanja na poslu povećanja bezbednosti vašeg sajta.

Malo upozorenje pre nego što počnemo: kao i sa svakim plugin-om, postoji mogućnost da će aktiviranje određenih karakteristika prouzrokovati neke greške u funkcionisanju vašeg sajta. One su jednostavnije za popravku na novim instalacijama tako da, ako radite na živom sajtu, preporučujemo izvođenje potpunog backup-a, pre nego što pristupite bilo kakvom setovanju.

Pogledajmo izbor od pet odličnih plugin-a za opštu WordPress bezbednost.

 

  1. Wordfence Security

Kompatibilan sa: 4.3.1

Poslednji apdejt: 14.09.2015.

Rejting: 4,9 od 5 zvezdica (sa više od milion instalacija)

Ovo je trenutno najpopularniji bezbednosni plugin za WordPress, i ima ga u slobodnoji i u premium verziji. Nudi blokiranje malicioznih izvora u realnom vremenu, login bezbednost, skeniranje malvera, firewall, podršku multi sajtovima i mnoge druge karakteristike.

Njegove opcije monitoringa omogućavaju vam skeniranje svog saobraćaja ka vašim WordPress instalacijama i razdvajanje ljudi i botova, pokušaja logovanja i „site not found“ grešaka.

Glavna fora kod Wordfence-a leži u gigantskoj bazi aktivnih korisnika i njihovom doprinosu sprečavanju malicioznih upada. U stvari ovaj softver postaje sve bolji što ga više ljudi instalira.

 

  1. iThemes Security

Kompatibilan sa: 4.3.1

Poslednji apdejt: 15.09.2015.

Rejting: 4,7 od 5 zvezdica (sa preko 600.000 instalacija)

Ranije poznat kao Better WP Security, ovaj plugin je široko priznato WordPress bezbednosno rešenje dostupno u besplatnoj kao i u premium verziji. Trebalo bi da bude sasvim dovoljan za pokrivanje većine osnovnih potreba vlasnika sajtova.

Njegove karakteristike uključuju two factor authentication pomoću Google Authenticator-a ili Authy-a, skeniranje malvera, forsirano isticanje datuma za password, mogućnost privremenog davanja admin privilegija ostalim korisnicima i detaljan dnevnik korisničkih akcija.

 

  1. All In One WP Security & Firewall

Kompatibilan sa: 4.3.1

Poslednji apdejt: 18.09.2015.

Rejting: 4,7 od 5 zvezdica (sa preko 200.000 instalacija)

Rešenje čije ime samo govori o sebi. Sa prijateljskim interfejsom koji vam pokazuje „merač snage bezbednosti“, kritične sigurnosne tačke i status ključnih karakteristika kao što su default usernames, login lockdowns, file permissions i firewall.

Njegove karakteristike su podeljene na osnovne, srednje i napredne sekcije za one koji vole fina podešavanja, i uključuju account i login bezbednost, registraciju, backup-ovanje baza podataka, zaštitu fajlova, pravljenje crnih listi, firewall funkcije, prevenciju nasilnog upadanja i mnogo drugih stvari.

Plugin je takođe dostupan na 11 jezika što ga čini idealnim za višejezične sajtove.

 

  1. BulletProof Security

Kompatibilan sa: 4.3.1

Poslednji apdejt: 09.09.2015.

Rejting: 4,7 od 5 zvezdica (sa preko 100.000 instalacija)

Ovo je plugin u okviru koga možete na jednom mestu da rešite najuobičajenije bezbednosne probleme sa kojima se susrećete pri WordPress instalaciji. Uključuje .htaccess zaštitu, login security protokole, automatsko backup-ovanje baza podataka, HTTP error evidenciju, isticanje važnosti cookies-a za autentifikaciju i mnoštvo drugih odlika.

Postoji takođe i profesionalna premium verzija koja košta 59,99 $, što dodaje nadgledanje fajlova u realnom vremenu, detekciju upada, zaštitne sisteme, firewall samo za vaše plugin-e, anti-spam mere i još 16 različitih odvojenih plugin-a za pokrivanje modularnih opcija.

Setapovanje može da bude izvedeno ručno ili preko one-click wizzard-a koji automatski uključuje sve bezbednosne karakteristike.

 

  1. Sucuri Security

Kompatibilan sa: 4.2.5

Poslednji apdejt: 30.07.2015.

Rejting: 4,6 od 5 zvezdica (sa preko 100.000 instalacija)

Još jedno solidno generalno rešenje koje obezbeđuje ukupni sigurnosni pregled, modifikacije fajlova, file permissions, skeniranje malvera, crne liste, firewall i notifikacije. Notifikacije vam stižu preko mail-a, gde možete da podesite maskimum za jedan sat, definišete prag neuspešnih logovanja sa iste IP adrese pre nego što se kontakt proglasi sumnjivim, i da budete obavešteni o uspešnim i propalim logovanjima i potonjim promenama.

 

Specijalizovana rešenja

Prethodno navedeni plugin-i predstavljaju odlično rešenje za većinu situacija, međutim nekada vam je potrebno specijalizovano rešenje samo za određeni aspekt bezbednosti vašeg sajta.

Uz to konfigurisanje desetina karakteristika može da bude gnjavaža ako ste zainteresovani samo za tačno određeni segment sigurnosti. Evo brzog pregleda tri korisna rešenja za ovakve situacije.

 

  1. WP-DB-Backup

Kompatibilan sa: 4.2.5

Poslednji apdejt: 08.07.2015.

Rejting: 4,6 od 5 zvezdica (sa preko 500.000 instalacija)

WP-DB-Backup je veoma jednostavan plugin koji vam dozvoljava da izvedete backup vaših WordPress baza podataka.

Developer donosi svesnu odluku o tome da li će da backup-uje sržne baze podataka, budući da su one primarna stvar koja vam je potrebna ukoliko vaš sajt padne usled napada.

phpMyAdmin je potreban da biste mogli da povučete vaše podatke sa backup-a, zato budite sigurni da ga vaš hosting panel sadrži ( u 99,9% slučajeva on i jeste tu, ali oprez ovde nikada nije suvišan).

 

  1. Login Security Solution

Kompatibilan sa: 4.2.5

Poslednji apdejt: 25.05.2015.

Rejting: 4,3 od 5 zvezdica (sa preko 20.000 instalacija)

Ovaj jednostavni plugin je posvećen sigurnosti vašeg login screen-a. Napravljen je tako da detektuje anomalije u procesu, poput otkrivanja pokušaja logovanja od strane „form filler“ programa, upoređujući trenutne pokušaje sa prethodnim i odlučujući koji nalog je kompromitovan. Takođe može i da analizira snagu vaših password-a, da navede korisnike da ih konstantno menjaju i da vas obavesti o svakom pokušaju napada.

 

  1. Block Bad Queries

Kompatibilan sa: 4.3.1

Poslednji apdejt: 08.08.2015.

Rejting: 5 od 5 zvezdica (sa preko 50.000 instalacija)

Ovo je jedini član naših listi sa savršenim rezultatom, što je impresivno čak i kada govorimo o svega 35 recenzija. Lagan je, lak za instalaciju i radi tačno ono za šta je i namenjen, skrining vašeg saobraćaja i blokiranje loših pretraga i malicioznih URL zahteva.

 

Zaključak

Ukoliko možete da izvučete zaključak iz svega napisanog onda je to sažeto u sledeće: ne paničite! Širenje vašeg znanja je ključ za vaš mir kao i za bezbednost vašeg sajta. Evo kratke rekapitulacije svega o čemu smo prethodno govorili:

– Koristite jaka korisnička imena i lozinke (Username i Password)

– Osigurajte vaš Login Screen

– Razumevanje File i Folder permission opcija

– Backup, backup, backup

– Apdejtujte WordPress redovno

Kao vlasnik sajta ili developer uvek ćete imati razloga za brigu u vezi sigurnosti i napada, ali nikada nije bilo jednostavnije baviti se ovom problematikom nego što je to danas. WordPress je platforma koja je doživela ozbiljna ojačanja tokom godina uz razvoj odličnih plugin-a koje smo naveli u ovom tekstu. Sve to vam može obezbediti mirniji san.

Share this:

Pin It on Pinterest

Share This