Bezbednost bloga – osigurajte WordPress

Zadnjih godina WordPress je prerastao u najkorišćeniju platformu na internetu – trenutno ovaj popularni CMS drži nekih 19% sajtova na svetu! Iako je počeo kao platforma za blog-ove (na njemu, između ostalog, radi i ovaj blog), WP je prerastao u sistem opšte namene koji drži razne lične i komercijalne sajtove, prezentacije preduzeća… Uz gomilu dostupnih tema i plugin-ova danas skoro sve može da bude urađeno kroz WordPress. Zato, za sve one koji imaju svoj blog ili neki drugi sajt na WordPress platformi evo par saveta kako ga osigurati:

Prvo i osnovno: osigurajte svoj desktop. Pre Limunda sam radio na održavanju nekih 400 servera na kojima smo instalirali custom softver za razne klijente. Iako smo imali par stotina klijenata, koje smo sve znali, opet smo svakih par meseci imali jedan računar srušen od nekog problema. Skoro uvek je upad dolazio preko desktop računara korisnika, odakle bi napadač skidao lozinku za pristup serveru. Dobro zaštićen desktop, sa svim zakrpama, redovno update-ovan i sa urednom antivirusnom zaštitom je početak svake serverske bezbednosti.

Drugo: Održavajte WordPress instalaciju ažurnom. Čak iako ne dodajete sadržaj logujte se povremeno i proveravajte da li ima dostupnih update-a za WordPress, teme ili pluginove koje koristite. Ako postoje, primenite ih. Nije puno posla – a redovno održavanje je osnova svake dobre zaštite.

Održavajte server ažurnim. Sve što važi za wordpress važi i za server. Postavite što minimalniju instalaciju i redovno je održavajte. Rupa u nekom delu sistem će podjednako lako dovesti do kompromitovanog wordpress sajta kao i problematičan wordpress. Dobro održavan server je jedina zaštita od napada. Razmislite o nekom automatskom IPS-u, ja preporučujem OS Sec kao lak za rad.

Koristite siguran pristup serveru. Ako iole možete izbegavajte FTP, umesto njega koristite SCP ili SFTP – oba su deo ssh-a i standardno su dostupni na svim Linux instalacijama. Obavezno koristite jaku lozinku, da bi izbegli da je neko pogodi.

Zaštitite admin deo. Idealno, dodajte na wp-admin deo zaštitu koja će dopustiti pristup samo sa nekih IP adresa – vaših. Čak i puštanje celog domaćeg provajdera nije problem, sve dok svoj sajt zaštitite od većine sveta i raznih mreža botova koji automatski pokušavaju da upadnu u sve dostupne sajtove. Dodatno, pogledajte Stealth Login plugin, koji nudi drugi vid zaštite za sam admin deo. Kombinujte oba za najbolje rezultate.

Napravite odvojene naloge za sajtove i bazu. Ako imate više sajtova koje održavate neka svaki ima svoj nalog. Dalje, napravite odvojen nalog i na bazi za svaki sajt. Obezbedite da problem sa jednim sajtom ne pređe na sve na serveru. Dodatno, ne pravite bazu imena wordpress ili wp, nazovite je nešto orginalno, kao i nalog za pristup – time ćete onemogućiti većinu automatizovanih napada.

Za kraj – imajte backup. Ovo je konačan i jako bitan savet. Čak i ako se nešto desi najlakše je prevazići problem tako što se vrati backup, a onda samo uklone problemi koji su doveli do kompromitovanja podataka. Maliciozni napadač će često ukloniti ili oštetiti neke podatke, pa je najbolje uvek imati kopiju za svaki slučaj.

Nadam se da je ovaj tekst bar malo pomogao da promenite način na koji razmišljate o bezbednosti sajtova. Cilj je pre svega da vas, u nedelji bezbednosti, ohrabrim da proaktivno mislite o bezbednosti svog sajta, ali i da shvatite da to nije neki težak zadatak, već da je potrebno samo malo truda i volje. Podržavamo vas da koristite WordPress kao platformu za svoj sajt kao lako i jednostavno rešenje, ali sam se trudio da vam dam savete primenjljive na sve sajtove – jer bezbednost je potrebna svima, a posao bez internet prisustva danas pratično nije moguć.