Blog

Vi razvijajte Vaš biznis, sve ostalo prepustite nama ...

Kako zaštiti WordPress stranicu ?

Juli 30th, 2014 | WebFABRIKA Sarajevo | Tags: ,

Kao što znate, WordPress je jedan od najpopularniji CMS sistema na svijetu. Jedan od faktora njegove popularnosti je i to da je potpuno besplatan za korištenje.

Upravo zbog njegova popularnosti i široke upotrebe, WordPress je stalna meta zlonamjernih pojedinaca, koji traže sigurnosne rupe u kodu i iste zloupotrebljavaju. Zbog toga su WP stranice podložne hakerskim napadima, narušavanju sigurnosti i konzistentnosti sajta, što Vam može napraviti štetu u finansijkom i poslovnom smislu, te narušti online reputaciju.

Radite redovnu nadogradnju WordPress-a

Gotovo svaki mjesec izlazi nova zakrpa za WordPress i sama WP platforma Vas obavještava da je nova verzija dosupna. Svaka nova verzija, potpuno ili djelimično, rješava dotadašnje propuste WP-a i ove nadogradnje nikako ne smijete ignorisati.

Napomena: Prije svake nadogradnje WP-a, preporučujem da napravite sigurnosnu kopiju postojećeg sajta kako bi izbjegli eventualnu nekompatibilnost teme sa novom verzijom WP-a.

Izbrišite neaktivne ili stare teme i pluginove

Stare teme (teme za koje ne izlaze sigurnosne zakrpe) ili neaktivne teme su svakako sigurnosni rizici. Takve teme imaju sigurnosne rupe, koji zlonamjerni pojedinci mogu iskoristiti i narušiti integritet stranice. Zbog toga je dobro izbrisati sve teme koje ne koristite, kao i pluginove koju su inaktivni ili za koje ne postoje nove verzije.

Onemogućiti editor tema i pluginova

Uklučivanjem ove opcije, osiguravate da se izvorni kod teme ili dodataka (plugins) ne mogu mijenjati ni pod kojim uslovima. Ovo možete vrlo jednostavno napraviti mijenjanjem fajla wp-config.php u root direktoriju WP instalacije, i to:

/* Onemogućavanje editora tema i pluginova*/
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );

Ovim kodom, editovanje fajlova u WP administrativnom panelu, više nije moguće.

Zaštitite.htaccess fajl

Fajl .htaccess djeluje kao čuvar WP instalacije. Omogućuje kontrolu dozvole pristupa fajlovima, može određivati ko ima pristup određenim datotekama ili kojoj vrsti datoteka, zabraniti pristup stranici ili njenim dijelovima, određenim IP adresama ili posjetama iz pojedinh država itd.

To je skriveni fajl koja se nalazi u root direktoriju WP instalacije, te ćete morati uključiti prikaz skrivenih fajlova da biste mu mogli pristupiti:

U .htaccess unijeti slijedeće linije koda:

# Zaštita .htaccess fajla
order allow,deny
deny from all
satisfy all

Ovime je onemogućeno da bilo ko “iz vanjskog svijeta” pristupi .htaccess fajlu, te ovim .htaccess fajl sam sebe štiti od uljeza koji pokušavaju promijeniti dozvole nad fajlovima WP instalacije i same web stranice .

Onemogućavanje pregleda sadržaja direktorija (listanje direktorija)

U .htaccess fajlu takođe možete zabraniti pregleda sadržaja direktorija WP instalacije.

Listanje direktorija se koristi kako bi se vidio sadržaj pojedinog direktorija web stranice i vrlo često se koristi kao sigurnosna rupa. U principu, listanje direktorija i neovlašteni pregled sadržaja u svakom slučaju predstavlja stvar koju bi trebalo promijeniti, jer su vaši sadržaji izloženi javnosti, a to sigurno ne želite. Ukoliko može vidjeti sadržaj direktorija, neovlaštena i zlonamjerna osoba sigurno ima olakšan put da napravi štetu na Vašoj web stranici.

Zbog toga obavezno u .htaccess dodajte slijedeći kod:

Options -Indexes

Ova komanda će onemogućiti listanje direktorija i pregled sadržaja istih, što će sigurno smanjiti mogućnost za neovlašteno i zlonamjerno korištenje Vaše web stranice.

Zaštitite konfiguracioni fajl (wp–config.php)

Vaš wp–config.php fajl sadrži konfuguracijske detalje WP instalacije i puno drugih informacija koje mogu biti vrlo osjetljive, te bi neovlašteni pristup istim bio veliki problem.

Baza podataka i šifre korisnika i same baze mogu biti zaštićene osiguranjem wp-config.php fajla u samom .htaccess-u, dodavanjem slijedećih linija koda:

# Zaštita wp-config.php
order allow,deny
deny from all

Na ovaj način se spriječava javni pristup konfiguracijskom fajlu i čini Vašu instalaciju WP-a relativno sigurnom, u svakom slučaju sigurnijom …

Spriječite pristup fajlu wp-login.php sa nepoznatih IP adresa

Kao što znate, administrativnom panelu WP-a možete pristupiti i putem fajla wp-login.php i to sa bilo koje IP adrese, što je uredu, ali može predstavljati put za zloupotrebu.

Koristeći .htaccess , možete napraviti listu IP adresa kojima dozvoljavate pristup stranici tzv. bijelu listu (white list) tako dapristup sa ostalih IP adresa nije moguć.
Da biste ovo napravili u .htaccess fajl dodajte slijedeće linije koda:

order deny,allow
deny from all
# static IP
allow from xxx.xxx.xxx.xxx
# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8

Umjesto x-ova, unesite Vaše IP adrese koje korisitite

Spriječite pristup folderu/wp-admin sa nepoznatih IP adresa

Nivo zaštite putem IP adresa možete povećati ako istu stvar uradite i za folder /wp-admin. Znači u u .htaccess fajl dodajte slijedeće linije koda:

order deny,allow
deny from all
# static IP
allow from xxx.xxx.xxx.xxx
# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8

Zabranite izvršne fajlove kao što je ektenzija.exe

Izvršni fajlovi kao što su .exe fajlovi u često sadrže zlonamjeran kod koji može instalirati crva ili virusa na korisnikovom računaru ili u samu web stranicu. I to možemo poprilično spriječiti unosom u .htaccess slijedećih linija koda:

# odbij sve .exe fajlove
<files "*.exe">
order deny,allow
deny from all

Ovaj kod spriječava .exe datotekama pristup WP instalaciji, a samim tim i instalaciju zlonamjernog software-a.

Dodajte firewall

Slično kao u .htaccess fajlu, firewall će dopustiti pristup FTP serveru samo poznatim IP adresama. Ovo se može napraviti instalacijom određenih pluginova ili u Cpanelu hostinga.

Instalacija sigurnosnih pluginova

I naravno, instalacija sigurnosnih pluginova koji sigurnosti Vaših worpdpress stranica daju još veću ozbiljnost.

REZIME:

WordPress je jedan od najpopularniji CMS sistema na svijetu. Zbog toga su WP stranice podložne hakerskim napadima, narušavanju sigurnosti i konzistentnosti sajta, što Vam može napraviti štetu u finansijkom i poslovnom smislu, te narušti online reputaciju.
Tekst objavio: plus.google.com/+WebFABRIKASarajevo
Datum objave: 26/08/2014
Radite redovnu nadogradnju WordPress-a
Instalacija sigurnosnih pluginova koji sigurnosti Vaših worpdpress stranica daju još veću ozbiljnost.

 
Bavimo se izradom web stranica, online marketingom i SEO optimizacijom u cilju visokog pozicioniranja web stranica koje napravimo.

 

Podijelite ovaj sadržaj s prijateljima: