Zaštita sajta na WordPress-u

Zaštita sajta na WP

Zašto je zaštita sajta na WordPress platformi važna?

WordPress je veoma prilagodljiva web platforma i zato njegova bezbednost i sigurnost rada može biti lako narušena.

5 ključnih pitanja o sigurnosti i zaštiti WordPress-a:

1. Pod kojim uslovima web sajt može biti napadnut?
2. Kako i od koga bezbednost veb sajta može biti ugrožena?
3. Koje su moguće slabe tačke veb sajta na WordPress-u?
4. Na koji način da zaštitimo ranjiva mesta našeg web sajta na WP?
5. Kako da se osiguramo od posledica napada na naš WP sajt?

Naš cilj je da Vaš sajt u WordPress-u radi bezbedno, lako i sigurno. Za postizanje ovog cilja potrebna je kompletna zaštita sajta: bezbednosni nadzor, antimalware skeniranje, redovna kontrola i zaštita svih funkcionalnih delova, ukratko – kompletna sigurnosna podrška! 

OBJAŠNJENJE: WordPress platforma je jedna od najbržih i najprepoznatljivijih CMS sistema (Content Management Sistems)  koji stoje na raspolaganju vlasnicima veb-sajtova. Sa porastom popularnosti WordPress-a, pojavila se i potreba da ga što bolje obezbedimo od ranjivosti i raznih vrsta napada i ugrožavanja.

ČINJENICE: Ni jedna zaštita sajta ne pruža 100% sigurnost i izvesnost da ćemo uvek sprečiti ili zaustavi napade na naš web sajt. Zbog ove činjenice, svaki vlasnik sajta bi trebalo da ima veliku odgovornost i obavezu da radi sve šta može da maksimalno zaštiti svoj web sajt.

 1. Pod kojim uslovima Vaš web sajt može biti napadnut?

6 najčešćih uslova pod kojima može doći do napada na Vaš web sajt:

1. Smeštaj sajta (hosting) kod firme koje pruža lošu ili nikakvu podršku.
2. Lozinka (šifra, password) sastavljena od ličnih podataka bliskih ljudi i kućnih ljubimaca.
3. Ne postoji ni jedan instaliran alat za zaštitu i bezbednost sajta (security plugin).
4. Ne postoji automatizovan sistem za back-up sajta.
5. Nedovoljna svest o realnoj opasnosti i slabo poznavanje izvora i teknika napada.
6. Neodržavanje (neažuriranje) sistema web sajta i njegovih vitalnih delova.

2. Kako i od koga Vaš web sajt može bit ugrožen?

• Od napada profesionalnog hakera, Vaš web sajt ne mogu odbraniti obične mere zaštite. Za takvu zaštitu svakako je potrebna usluga profesinalnih servisa. Opasnost koja dolazi od hakera “amatera” mnogo je češća od “profesionalne”.
• Napadači “amateri” dobro poznaju određene tehnike i veštine (script kiddies), koje rado koriste radi pronalaženja slabih tačaka web sajtova koji kruže internetom. Njihova namera je, najčešće, da “upozore” na ranjivost napadnutog sajta, a ređe da mu nanesu neku ozbiljniju štetu.

Uobičajena zaštita sajta na WordPress platformi može da osigura solidnu odbranu od većine napada, ukoliko se redovno i na pravi način primenjuje.

Pet najčešćih vrsta napada na web sajtove:

1. Napad primenom „Deface“ tehnike. Ova vrsta napada ne nanosi ozbiljne štete, ukoliko napadač namerava samo da ukaže na bezbednosne propuste sajta. Haker izvrši zamenu php fajla napadnutog sajta sa svojim index.html fajlom.

POSLEDICA: Kao posledicu imamo pojavu njihove poruke na početnoj strani sajta. Poruka je najčešće sastavljena od predstavljanja i upozorenja. Problem nastaje ako je namera napadača bila da nanese i neku štetu. Olakšavajuća okolnost je da se ova vrta napada lako sprečava.

2. Ubacivanje virusa i zlonamernog softvera je opasnost koja najviše preti sajtovima sa besplatnim ili piratskim temama i dodacima. Obično se pojavi gomile spama na sajtu, ili primetite krađu poverljivih podataka. Dodatna šteta nastaje ako napadnut sajt bude blokiran od programa za zaštitu ili kažnjen od strane pretraživača interneta.

3. Nasilje (Bruetforce) je metod pronalaženja slabosti na sajtu kroz isprobavanje kriptografskih ključeva na njemu. Šteta može biti ozbiljna. Najbolji način zaštite je pravovremen i redovan apdejt WordPress-a i njegovih funkcionalnih dodataka.

4. Napad na hosting server web sajta izaziva mnogo komplikacija. Možemo ih otkloniti samo ako imamo back-up (kopiju) svog sajta i kvalitetnu podršku hosting provajdera.

5. DDoS (Distributed Denial of Service) je aktivnost najčešće usmerena na obaranje web sajta. Sastoji se od „punjenja“napadnutog sajta ogromnom posetom u kratkom vremenu što dovodi do kolapsa servera. Napadnuti sajt postaje nedostupan dok se problem ne reši.

3. Koje su moguće slabe tačke u zaštiti sajta na WordPress-u?

Slabe tačke web sajta na WP platformi najčešće mogu biti:

• Ulaz na sajt preko nazivsajta.domen/wp-admin.
• Nalog za nazivom „Admin“, „Administrator“ i slično.
• Nelegalne i loše teme ili funkcionalni dodaci (plugins).
• Nestručna instalacija, konfiguracija ili podešavanja teme i dodataka.
• Neažurni dodaci i teme (nema „update“ na najnoviju verziju).
• Suviše kratka šifra (lozinka) ili šifra koja ne sadrži sve vrste znakova.
• Slabosti u kodnom sistemu sajta itd.

4. Na koji način možemo da zaštitimo ranjiva mesta Vašeg sajta?

Prvo rešavamo ovih 7 osnovnih zadataka:

1. Smestimo web sajt kod hosting provajdera koji garantuje dobru korisničku podršku.
2. Ime glavnog administratora admin/administrator i slično, zamenimo sa nekim drugim imenom. ID ovog korisnika promenimo u neki drugi broj.
3. Login direktorijum (/wp-admin) preimenujemo, npr. u (/prijava-korisnik).
4. Postavimo jaku lozinku (password) po datim pravilima.
5. Koristimo originalne ili proverene teme i plugin-ove.
6. Redovno osvežavamo (apdejtujemo) web platformu, temu i dodatke na najnoviju verziju.
7. Radimo redovan bekap (backup) i najsvežiju kopiju čuvamo za moguće teške situacije itd.

VAŽNO PITANJE: Kako se izrađuje JAKA ŠIFRA (lozinka)?

Da bi šifra bila zaista jaka, ona mora imati 15 i više karaktera. Možemo, ali ne moramo da koristimo neki online servis koji automatski stvara šifre (password generators).
U ČEMU JE PROBLEM? Problem je u tome što se automatski generisane šifre lako zaborave, a njihovo zapisivanje ili slično „čuvanje“, jednako je bacanju kroz prozor.

8 pravila za izradu jake i ispravne šifre:

1. Šifra (lozinka) ne sme da sadrži imena bliskih osoba, kućnih ljubimaca, firme,
   poznate fraze, izreke, izvode iz rečnika ili literature itd.
2. Šifra mora da bude fraza sastavljena od više reči koje ćete lako zapamtiti
3. Koristite delove tih reči (npr. dolina bez granica)
4. Neka fraza bude drugačija od prethodne
5. Neka šifra sadrži više od 15 znakova (karaktera)
6. U šifri upotrebiti sve vrste znakova: velika i mala slova, brojeve i
   simbole ` ~ ! @ # $ % ^ & * ( ) _ – + = { } [ ] \ | : ; “ ‘ < > , . ? /
7. Šifru nigde ne zapisivati
8. Menjati šifru što češće, a najmanje 1-2 puta mesečno.

5. Kako da se osigurate od posledica napada na Vaš web sajt?

Mnogobrojni alati stoje Vam na raspolaganju, od antimalvarea pa do alata za skeniranje. Svi ovi alati mogu da pomognu da kontinuirano pratite stanje i na vreme otkrijete potencijalne opasnosti. Ipak, predlažemo sledeće mere opreza:

1. Zaštitite svoj sajt aktiviranjem kvalitetnih, proverenih i odgovarajućih alata za zaštitu.
2. Redovno proveravajte, skenirajte, analizirajte i ažurirajte sve funkcionalne delove Vašeg web sajta.
3. Praviti redovan Back-Up sajta.

Ako želite da zaštita sajtova na WordPress platformi bude pod Vašom kontrolom, možete to pokušati korišćenjem odgovarajućih dodataka (plugins) za tu namenu.
Evo 2 popularna plugin-a koja možete isprobati:

1. WordFence Security plugin veoma dobro radi svoj posao i ima mnogo korisnih opcija. WordFence je odličan za amatersku bezbednost i zaštitu web sajtova na WordPress-u.

U zavisnosti od podešavanja, važnije mogućnosti su mu da:

• Skenira sajt u potrazi za virusima i zlonamernim skriptama
• Prati aktivnosti korisnika u realnom vremenu
• Blokira korisnike koji traže neku ranjivost
• Blokira nepoželjne IP adrese
• Osigurava login prozor ukoliko neko pokušava da se nasilno uloguje
• Obaveštava putem e-maila o sumnjivim dešavanjima na sajtu i drugo.

2. Securi Security – Auditing, Malware Scanner and Security Hardening, je besplatan dodatak za korisnike WordPress-a. Ovaj plugin predstavlja sigurnosni paket koji treba da dopuni postojeći bezbednosni položaj WP.

Securi Security nudi korisnicima ključne bezbednosne funkcije za njihov sajt:

• Security Activity Auditing
• File Integrity Monitoring
• Remote Malware Scanning
• Blacklist Monitoring
• Effective Security Hardening
• Post-Hack Security Actions
• Security Notifications
• Website Firewall (add on)

SAVET : Kada instalirate dodatke za zaštitu, obično je jedan dovoljan. Ako želite da Vaša zaštita sajta bude ojačana sa još nekim alatom, obavezno proverite kompatibilnost i način funkcionisanja svakog od njih kako nebi dolazili u sukob i izazvali više štete nego koristi. Zaštita sajta na WordPress platformi.   POGLEDAJTE OPIS SVIH ZADATAKA I USLUGA>>