Pogledajte kako da odaberete najbolji WordPress hosting

Web hosting je često zanemariv, a jedna od ključnih komponenti svake uspješne web stranice. Odabir najboljeg hostinga za WordPress, za Vaše potrebe može poboljšati Vaš SEO i povećati prodaju.

Ultimativni vodić da poboljšate Sigurnost WordPressa (korak po korak)

0

Sigurnost WordPressa je od velike važnosti za svakog vlasnika web stranice. Svake sedmice, Google uklanja sa pretraživanja oko 20.000 web stranica zbog virusa i oko 50.000 za phishing(krađu). Ako ste ozbiljni, onda morate obratiti pažnju na najbolje načine da poboljšate sigurnost WordPressa. U ovom vodiću želimo da podjelimo sve nabolje načine za sigurnost WordPressa kako bismo Vam zaštitili web stranicu od hakera i virusa.

Iako je WordPress veoma siguran i redovno ga pregledaju stotine programera, postoji puno toga što možete uraditi kako biste dodatno zaštitili svoju WordPress web stranicu.

Bolja sigurnost WordPressa nije samo eliminacija rizika. Riječ je samo o smanjenju rizika. Kao vlasnik web sajta, ima puno toga što možete učiniti kako bi poboljšali sigurnost WordPressa (čak i ako niste stručnjaci).

Imamo veliki broj koraka koji možete preduzeti da bi poboljšali sigurnost WordPressa.

Da bi Vam olakšali, napravili smo listu ispod.

Lista sadržaja

Osnove WordPress bezbjednosti

  • Zašto je sigurnost WordPressa važna?
  • Ažurirajte WordPress redovno
  • Lozinke i dozvole za korisnike
  • Uloga web hostinga

WordPress Security u jednostavnim koracima (bez kodiranja)

  • Instalirajte WordPress Backup soluciju
  • Najbolji WordPress Security Plugin
  • Omogućiti Web Application Firewall (WAF)

WordPress Security za DIY(uradi sam) korisnike

  • Promijenite korisničko ime “admin”
  • Onemogućite uređivanje datoteka
  • Onemogućite PHP Execution
  • Ograničite pokušaje prijave
  • Promijenite prefiks za WordPress bazu podataka
  • Zaštitite lozinkom direktorij WP-Admin i prijavu
  • Onemogući indeksiranje i pregledanje direktorijuma
  • Onemogućite XML-RPC u WordPressu
  • Automatski odjavite neaktivne korisnike
  • Dodajte sigurnosna pitanja u WordPress Login

Spremni? Započnimo!

Zašto je sigurnost WordPressa važna?

Hakirani WordPress sajt može da izazove ozbiljne štete na Vaš poslovni prihod i reputaciju. Hakeri mogu ukrasti korisničke informacije, lozinke, instalirati zlonamjerni program i čak mogu distribuirati zlonamjerne programe Vašim korisnicima.

U martu 2016. godine Google je objavio da je više od 50 miliona korisnika web stranica upozoreno da njihova web stranica može sadržavati virus ili krađu informacija.

Štaviše, Google uklanja sa pretraživanja oko 20.000 web stranica zbog virusa i oko 50.000 za phishing(krađu informacija) svake sedmice.

Ako je Vaša web stranica Vaš posao, onda morate dodatno obratiti pažnju na Vašu sigurnost WordPressa.

Slično tome kako su vlasnici preduzeća odgovorni za zaštitu svoje fizičke prodavnice, kao vlasnika online poslovnice, Vaša je odgovornost da zaštitite svoju poslovnu web stranicu.

Ažurirajte WordPress redovno

Ažuriraj za brzinu wordpress-a

WordPress je open source softver koji se redovno održava i ažurira. Uobičajeno, WordPress automatski instalira manje ispravke. Za veća izdanja, morate ručno pokrenuti ažuriranje.

WordPress također dolazi sa hiljadama plugina i tema koje možete instalirati na Vašoj web stranici. Ove dodatke i teme održavaju nezavisnih proizvođača koji redovno objavljuju i ažuriranja.

Ove nadogradnje WordPressa su ključne za sigurnost WordPressa i stabilnost Vaše WordPress stranice. Morate se uvjeriti da su Vaš WordPress, dodaci i tema ažurirani.

Jake lozinke i korisničke dozvole

U Najčešćim pokušajima hakiranja WordPressa koriste se ukradene lozinke. Koristite jače lozinke koje su jedinstvene za Vašu web stranicu. Ne samo za područje administracije WordPressa, već i za FTP račune, baze podataka, hosting račun za WordPress i adresu e-pošte.

Glavni razlog zašto početnici ne vole da koriste jake lozinke jeste što ih je teško zapamtiti. Dobra stvar je što više ne morate da zapamtite lozinke. Možete koristiti menadžer lozinke.

Još jedan način za smanjenje rizika jeste da ne dajete nikome pristup Vašem administratorskom računu WordPressa, osim ako to apsolutno ne morate. Ako imate veliki tim ili autore, potrudite se da znate korisničke uloge i mogućnosti u WordPress-u prije nego što dodate nove korisnike i autore na Vašu WordPress stranicu.

Važnost dobrog WordPress Hostinga

Usluga hostinga WordPress-a igra važnu ulogu u performansama web sajta. Dobar djeljeni hosting(shared hosting) provajderi kao što su BlueHost ili Siteground preduzimaju dodatne mjere kako biste optimizirali Vašu web stranicu za performanse.

Međutim, na djeljenom(shared) hostingu dijelite resurse servera sa mnogim drugim korisnicima. To znači da ako susjedna web stranica dobije dosta saobraćaja, ona može uticati na cjelokupan učinak servera, što će usporiti Vašu web stranicu.

S druge strane, korištenjem isključivo WordPress hostinga možete dobiti najviše optimizovane konfiguracije servera za pokretanje WordPressa. WordPress hosting kompanije takođe nude automatske sigurnosne kopije, automatske WordPress ispravke i napredne bezbjednosne konfiguracije za zaštitu Vaše web lokacije.

Mi koristimo Strato(Germany) i BlueHost kao naš omiljeni WordPress hosting.
Oni su takođe najpopularniji u ovoj industriji u europi.

Zašto ne koristimo domaći web hosting?

Domaće web hosting usluge ne koristimo zbog loših iskustava sa istim. Kada kažemo domaće mislimo na hosting provajdere iz BiH, RS i CRO. Domaći web hosting provajderi su većinom amaterske firme koje ustvari samo preprodaju web hosting od velikih svjetskih web hosting provajdera. Pored toga podrška je vrlo loša i stalno se dešavaju greške na serverima. Jedini domaći web hosting koji bi Vam mogli preporučiti jeste Leftor.

Poboljšajte sigurnost WordPressa u jednostavnim koracima

Znamo da izmjena konfiguracije web stranice može biti zastrašujuća misao za početnike.

Ali ne brinite, niste sami. Pomogli smo hiljadama korisnika WordPress-a da poboljšaju performanse WordPress-a.

Pokazaćemo Vam kako možete ubrzati svoj WordPress sajt sa samo nekoliko klikova (bez kodiranja).

Ako možete kliknuti onda možete to i učiniti!

Instalirajte WordPress Backup Plugin

Sigurnosne kopije odnosno backup su Vaša prva odbrana od napada na WordPress. Zapamtite, ništa nikad nije 100% sigurno. Ako se vladine web stranice mogu hakirati, onda mogu i Vaše.

Sigurnosne kopije Vam omogućavaju brzo obnovite Vaše WordPress stranice u slučaju da se nešto loše desi.

Postoji mnogo besplatnih i plaćenih WordPress Backup plugina koje možete koristiti. Najvažnija stvar koju trebate znati kada je u pitanju sigurnosna kopija jeste da redovno memorišete sigurnosne kopije na drugoj lokaciji (ne Vaš web hosting račun) da poboljšate sigurnost WordPressa.

Preporučujemo Vam da ih čuvate na servisima kao što su Drive, Dropbox ili neki drugi cloud servis.

Ovo se lako može uraditi korišćenjem plugiana kao što su VaultPress ili BackupBuddy. Oni su pouzdani i najvažnije jednostavni za korišćenje (bez potrebe za kodiranjem).

Najbolji WordPress Security Plugin

Nakon sigurnosne kopije, sledeća stvar koju trebamo uraditi je podešavanje sistema za kontrolu i praćenje koji prati sve što se dešava, na Vašoj web stranici.

Ovo uključuje praćenje integriteta datoteka, neuspješne pokušaje prijavljivanja, skeniranje virusa itd.

Možemo Vam preporučiti, jedan od najboljih besplatnih WordPress sigurnosnih plugina, Sucuri Scanner.

Morate instalirati i aktivirati besplatni Sucuri Security plugin. Za više detalja, molimo pogledajte vodić korak po korak kako instalirati WordPress plugin.

Nakon aktivacije, potrebno je da odete do Sucuri menija u Vašoj WordPress kontrolnoj ploči.

Prva stvar koju će od Vas tražiti je Generiranje besplatnog API ključa. To omogućava evidenciju revizija, provjeru integriteta, upozorenja e-poštom i druge važne funkcije.

Sledeća stvar koju treba da uradite je da kliknete na karticu Hardening iz menija Sucuri. Prođite kroz svaku opciju i kliknite na dugme “Harden”.

Ove opcije pomažu Vam da zaključate ključne oblasti koje hakeri često koriste u svojim napadima. Jedina opcija koja se plaća da bi je koristili je Web Application Firewall(WAF).

Takođe smo pokrili mnoge od ovih opcija “Hardening” kasnije u ovom članku za one koji žele da to učine bez korišćenja plugina ili onih koji zahtjevau dodatne korake kao što su “Promjena baze podataka” ili “Promjena administratorskog korisničkog imena”.

Nakon Hardening dijela, većina podrazumjevanih(default) postavki ovog plugina su uredu i ne trebaju se mjenjati. Jedina stvar koju preporučujemo prilikom prilagođavanja je Email Alerts.

Podrazumjevana podešavanja upozorenja mogu ometati Vaše poštansko sanduče sa e-poštom. Preporučujemo da primate upozorenja za ključne radnje kao što su promjene u pluginima, nova registracija korisnika itd. Možete konfigurisati upozorenja tako što ćete posjetiti Sucuri Settings »Alerts.

Ovaj WordPress sigurnosni plugin je veoma moćan, pa pregledajte sve kartice i postavke kako bi vidjeli sve šta radi, kao što je skeniranje malvera, virusa, evidencija revizija, praćenje pokušaja prijave itd.

Sigurnost WordPressa za napredne korisnike

Ako ste uradili sve što smo spomenuli do sada, onda ste u prilično dobrom stanju.

Ali kao i uvijek, ima još toga što možete učiniti kako biste učvrstili sigurnost WordPressa.

Neki od ovih koraka mogu zahtjevati znanje kodiranja.

Promijenite korisničko ime “admin”

Prije par godina, podrazumijevano korisničko ime administratora za WordPress bilo je “admin”. S obzirom na to da korisnička imena čine polovinu podataka za prijavljivanje, to je olakšalo hakerima da vrše brute force napade.

Srećom, WordPress je promijenio ovo i sada zahtjeva od Vas da izaberete prilagođeno korisničko ime u vrijeme instaliranja WordPressa.

Međutim, neki 1-click instalatori WordPressa, i dalje su postavili default korisničko ime na “admin”. Ako to primjetite, onda je vjerovatno dobra ideja da promenite svoj web hosting.

Pošto WordPress ne dozvoljava da promjenite korisnička imena, postoje tri metode koje možete koristiti za promjenu korisničkog imena.

  • Kreirajte novo korisničko ime admin-a i izbrišite stari.
  • Koristite plugin za korisničko ime
  • Ažurirajte korisničko ime iz phpMyAdmin-a

Evo sva tri načina u našem detaljnom vodiću kako pravilno promeniti svoje korisničko ime za WordPress (korak po korak).

Napomena: Govorimo o korisničkom imenu pod nazivom “admin”, a ne uloge administratora.

Onemogućite uređivanje datoteka

WordPress dolazi sa funkcijom koja Vam omogućava da uredite teme i datoteke sa dodacima upravo iz Vašeg WordPress admin područja. U pogrešnim rukama, ova mogućnost može biti veliki sigurnosni rizik i zato preporučujemo isključivanje.

To možete jednostavno učiniti dodavanjem sljedećeg koda u Vašoj wp-config.php datoteki.

// Disallow file edit
define ('DISALLOW_FILE_EDIT', true);

Alternativno, to možete učiniti jednim klikom pomoću funkcije “Hardening” u besplatnom Sucuri pluginu koji smo spomenuli gore.

Onemogućite izvršavanje PHP datoteka u određenim direktorijima WordPressa

Još jedan način da poboljšate sigurnost WordPressa je onemogućavanje izvršavanja PHP datoteka u direktorijima gdje to nije potrebno, kao što je /wp-content/uploads/.

To možete učiniti otvaranjem tekst editora kao što je Notepad i zalijepite ovaj kod:

<Files * .php>
deny from all
</ Files>

Zatim morate da snimite ovu datoteku kao .htaccess i uploadujete je u /wp-content/uploads/ folder na Vašoj web stranici pomoću FTP klijenta. Šta je FTP klijent?

Alternativno, to možete učiniti jednim klikom pomoću funkcije “Hardening” u besplatnom Sucuri pluginu koji smo spomenuli gore.

Ograničite pokušaje prijave (Limit Login Attempts)

WordPress omogućava korisnicima da pokušaju da se prijavljuju onoliko puta koliko žele. Ovo čini Vašu WordPress stranicu ranjivu napadima brute force. To znači da hakeri mogu da isprobavaju npr. 5000 kombinacija lozinki dok ne probiju jednu, a to će im biti dozvoljeno.

Ovo se lako može rješiti ograničavanjem neuspjelih pokušaja prijavljivanja. Ako koristite ranije spomenuti WAF, onda ne brinite.

Međutim, ako nemate Web Application Firewall, nastavite sa sljedećim koracima.

Prvo, morate instalirati i aktivirati plugin Login LockDown. Za više detalja pogledajte vodič po korak po korak kako instalirati WordPress plugin.

Nakon aktivacije, posjetite Settings »Login LockDown za podešavanje plugina.

Promijenite prefiks za WordPress bazu podataka

WordPress uvijek koristi wp_ kao prefiks za sve tabele u Vašoj WordPress bazi podataka. Ako Vaša WordPress stranica koristi podrazumjevani prefiks baze podataka, onda će hakerima biti lakše pogoditi koji je naziv Vaše tabele. Zato preporučujemo da je promjenite.

Možete da promjenite svoj prefiks baze podataka tako što ćete pratiti naš korak po korak vodić kako promijeniti prefiks za WordPress bazu podataka kako bi poboljšali sigurnost WordPressa.

Napomena: ovo može naškoditi Vašoj web stranici ako nije ispravno urađeno. Nastavite na Vašu odgovornost.

Lozinkom zaštitite WordPress Admin i Login stranice

Obično, hakeri mogu otvoriti Vašu wp-admin stranicu za prijavljivanje bez ograničenja. Ovo omogućava hakerima da probaju svoje hakerske trikove ili pokreću DDoS napade.

Možete dodati dodatnu zaštitu lozinkama na serveru koja će efikasno blokirati te zahtjeve.

Pratite naša uputstva kako zaštititi Vaš direktorijum WordPressa (wp-admin).

Onemogući indeksiranje i pregledanje direktorijuma

Pretraživanje foldera i fajlova mogu koristiti hakeri da bi saznali da li imate datoteke sa poznatim ranjivim područjima, tako da mogu iskoristiti ove datoteke za pristup.

Pretraživanje direktorija također mogu koristiti drugi ljudi da pretražuju Vaše datoteke, kopiraju slike, saznaju strukturu direktorijuma i druge informacije. Zbog toga je Veoma preporučljivo da isključite indeksiranje i pretraživanje direktorijuma.

Morate se povezati na Vašu web stranicu pomoću FTP-a ili file managera na web hostingu. Zatim pronađite .htaccess datoteku u glavnom direktoriju Vaše web stranice.

Nakon toga, na kraju datoteke .htaccess morate dodati sljedeću liniju: Options -Indexes

Ne zaboravite da snimite i uploadujete datoteku .htaccess nazad na Vašu web stranicu.

Onemogućite XML-RPC u WordPressu

XML-RPC je omogućen u WordPress 3.5 jer pomaže u povezivanju Vaše WordPress stranice sa web i mobilnim aplikacijama.

Međutim, zbog svoje snažne prirode, XML-RPC može znatno pojačati i napade.

Naprimjer, inače ako haker želi da pokuša 500 različitih lozinki na Vašoj web lokaciji, morao bi napraviti 500 zasebnih pokušaja prijavljivanja koji će biti uhvaćeni i blokirani pomoću login lockdown plugina pomenutog gore.

Međutim, sa XML-RPC-om, haker može da koristi funkciju system.multicall da proba hiljade lozinki sa 20 ili 50 zahjteva.

Zbog toga ako ne koristite XML-RPC, preporučujemo Vam da ga onemogućite.

Savjet: metoda .htaccess je najbolji način.

Jednostavno dodajte ovaj kod u Vaš .htaccess fajl.

1
2
3
4
5
6
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

 

Automatski odjavite neaktivne korisnike u WordPressu

Prijavljeni korisnici mogu ponekad odlutati sa stranice, a to predstavlja sigurnosni rizik. Neko im može oteti sesiju(session), promeniti lozinke ili napraviti promjene na računu.

Zbog toga mnogi bankarski i finansijski sajtovi automatski odjavljuju neaktivnog korisnika. Također možete implementirati slične funkcionalnosti i na WordPress stranici.

Morate instalirati i aktivirati plugin Idle User Logout. Nakon aktivacije, posjetite Postavke »Idle User Logout stranicu za konfiguriranje postavki plugina.

Jednostavno podesite trajanje vremena i uklonite izbor u polju pored opcije “Disable in WP Admin” za bolju sigurnost WordPressa. Nemojte zaboraviti da kliknete na dugme da sačuvate postavke.

Sigurnosna pitanja za prijavljivanje na WordPress

Dodavanje sigurnosnog pitanja na Vašu stranicu za prijavljivanje na WordPress otežava nekome da dobije neovlašteni pristup.

Možete dodati sigurnosna pitanja tako što ćete instalirati WP Security Questions. Nakon aktivacije, potrebno je da posjetite Postavke »Security Questions da bi konfigurisali postavke plugina.

To je sve, nadamo se da Vam je ovaj članak pomogao da poboljšate sigurnost WordPressa, kao i otkrijete najbolje WordPress sigurnosne plugine za Vašu web stranicu. Podijelite ga sa prijateljima ili se pretplatite na našu Facebook / Instagram stranicu.

Ostavite komentar

Vaša Email adresa neće biti objavljena.

Ova web stranica koristi kolačiće za poboljšanje Vašeg iskustva. Pretpostavit ćemo da se s tim slažete, ali možete odustati ako želite. Prihvatam Pročitaj više