Kako da osigurate vaš WordPress sajt?

Ukoliko želite da osigurate svoj WordPress sajt, na Internetu možete pronaći dosta korisnih tutorijala koji će vam pokazati kako da to i učinite.
Server i njegova sigurnost su svakako početna tačka kada govorimo o osnovi za sigurnost bilo koje web aplikacije.  Ipak, situacija u Srbiji i okruženju je takva da će većina tih saveta imati dosta ograničenu primenjivost iz prostog razloga što će se vaš sajt, verovatno, nalaziti na nekom shared hostingu. Samim tim, nećete imati gotovo nikakav pristup podešavanju servera.
Na sreću, postoje koraci koje možemo da preduzmemo kako bismo obezbedili naš website, čak i kada se on nalazi na istom serveru sa mnoštvom drugih sajtova. U ovom postu bavićemo se upravo tim aspektom sigurnosti.

Update, update and update!

Prvi i najvažniji uslov koji mora biti zadovoljen je da uvek imate instaliranu poslednju verziju WordPress-a. Ovo se takođe odnosi na teme i plugin-ove. Ukoliko ovaj uslov nije ispunjen, nijedan savet koji ćete pročitati u ovom postu neće funkcionisati.
Ukoliko koristite zastarelu verziju WordPress-a, vaš sajt podložan je hakovanju, a uputstva na koji način on može da se sruši moguće je pronaći preko jednostavne Google pretrage.
Ovaj savet važi i za sve ostale opensource CMS-ove ili softvere za forum. Sigurni ste samo ukoliko koristite poslednju verziju softvera. Zbog toga: Update čim se pojavi nova verzija.

Lozinke i dvofaktorska autentifikacija

Još jedna stvar na koju je potrebno da obratite pažnju su lozinke administratora na WordPress-u. Generalno, svi oni saveti za bezbedno logovanje na bilo koji servis – važe i za WordPress sa određenim specifičnostima:

• Odaberite sigurnu lozinku
• Obrišite default-nog usera sa korisničkim imenom admin i smislite neki kreativan login. Ovo je važno jer maliciozni botovi gotovo uvek vrše bruteforce napade na usera sa korisničkim imenom admin.
• Aktivirajte dvofaktorsku autentifikaciju za administratore. Postoji više besplatnih načina na koje ovo možete da rešite. Za sada je najpouzdanije da koristite Google Autentificator. Drugi faktor u ovom sistemu je kod koji ćete čitati sa vašeg smartfona nakon uvezivanja vašeg sajta i google servisa. Google Autentificator mobilna aplikacija postoji za Android, iOs a instalacija i puštanje u rad traju samo nekoliko minuta.

Izmena login putanje i zaštita od brute force napada i .htaccess

Sledi priča o nešto složenijim temama veoma važnim za sigurnost.
Prva stvar koju je potrebno da uradite je da izmenite osnovnu login putanju na WordPress-u: http://www.vasblog.com/wp-admin
Ovo će vas sačuvati od velikog broja napada, ali i od radoznalih pojedinaca. Kada dođe do problema, bolje je da vašu admin login putanju znate samo vi. Ova zaštita će onemogućiti određenom procentu napadača da uopšte i pokušaju napad.
Druga stvar koju je potrebno da podesite je zaštita od brute force napada i ograničavanje neuspešnih pokušaja logovanja.

Kada smo već u situaciji da nemamo pristup podešavanjima web servera, naša najmoćnija alatka za zaštitu je .htaccess sa kojim možemo kontrolisati dosta toga.
Za sigurnost, .htacces nam, između ostalog, može poslužiti i za:

• dodavanje još jednog stepena autentifikacije u saradnji sa .htpasswd
• onemogućavanje pregleda sadržaja direktorijuma
• onemogućavanje izvršavanja php koda u uploads folderu (najzgodnije mesto za ubacivanje malicioznog koda od strane napadača).

Preko .htaccessa možemo i onemogućiti pristup našem wp-config.php fajlu gde nam se nalaze kredencijali za mysql bazu.
Detaljnije o moćima .htaccess-a možete pročitati u blogpostu kolega iz mCloud-a.

Ukoliko vam stavke iz ovog odeljka izgledaju komplikovano, ne brinite. Postoji jednostavno, a prilično sigurno rešenje pomoću kojeg možete implementirati sve savete iz ovog odeljka.
U pitanju je WordPress plugin – iThemes Security pomoću kojeg ćete u grafičkom okruženju moći da izvršite većinu opisanih sigurnosnih podešavanja.

Ovom prilikom dotakli smo se samo dela WordPress bezbednosti. Nastavićemo da pišemo postove o ovoj temi, a vas pozivamo da u komentarima date preporuke za bezbednost ili da nam postavite pitanje ukoliko imate neku nedoumicu kako nešto treba da uradite.