Kako poboljšati bezbednost WordPress sajtu [1 deo]

Šta je WordPress?

WordPress je open sorce CMS (Content Management System) . CMS je naziv za aplikaciju koja omogućava kreiranje i upravljanje web sajtova gde ne morate da koristite znanje iz programiranja. Tako da su veoma korisni za korisnike koji se ne bave programiranje. Danas što se tiče sajtova baziranih na WordPressu sve ih je više i više, a uz to su i bezbedni, ali naravno ta bezbednost može još da se poboljša.

Klasično poboljšavanje bezbednosti

Sada ću vam objasniti onu klasičnu i osnovnu bezbednost koju morate da uradite(tehnički gledano poželjno je sve uraditi, ali ovo je „najvažnije“).

  • Kao prvo lozinka od vaše baze podataka mora da bude jaka tj. da ima najmanje 10 karaktera i to mešavina velikih i malih slova, brojevi i specijalni znakova pa čak i razmaka, npr. lozinka je  !aUT0 plaC1218?
  • To važi za sve lozinke dakle nebitno da li je baza podataka, nalog i slično, vodite računa da svuda imate različite lozinke.
  • Redovno radite „update“ svega što imate, dakle od samog wordpressa, teme, plugin-ove…
  • Pazite koje plug in-ove i teme instalirate i koristite, gledajte da imaju što bolju ocenu i da izbacuju „update-ove“ i da nemaju poznatu ranjivost
  • One stvari koje ne koristite (teme i plug in-ove) brišite (mada nije obavezno), jer najverovatnije nećete ih redovno ažurirati, pa može da se desi da imaju neku ranjivost.
  • Preporučio bih da i username bude malo drugačiji(za bazu podataka i admin nalog).
  • Radite što više BackUp-ova.

Poboljšavanje bezbednosti uz pomoć Plug in-ova

Ovde ću da opišem nekoliko WordPress plug in-ova koji su namenjeni za bezbednost.

  • Koristite plug in za praćenje saobraćaja u realnom vremenu. Tako ćete znati ko vam sve posećuje sajt i kako.
  • Koristite plug in koji je namenjen kao FireWall, kako bi sprečili neke nepoželjne zahteve, samim tim smanjujete rizik za samu eksploataciju.
  • Koristite plug in za real time ili manualno blokiranje ip adresa i država, kako bi zabranili pristup određenim ip adresama(one koje vas napadaju, spamuju…)
  • Koristite plug in za zaštitu od „Brute Force“ napada
  • Koristite plug in za skeniranje sadržaja koji se nalaze na vašem sajtu. Kako bi znali da li ima neki vaš određeni sadržaj neku vrstu malvera itd.
  • Koristite plug in za Audit Log, kako bi znali sve radnje koje se dešavaju na sajtu od strane drugih korisnika.
  • Koristite plug in za Rate Limit, kako bi ograničili zahteve koji recimo dobijaju kod 400 kao odgovor itd. Sa ovim možete sprečiti neke DoS/DDoS napade

Preporuka za plug in-ove je:

  • Wordfence (poseduje FireWall, praćenje saobraćaju u realnom vremenu, real time i manuelno blokiranje ip adresa i država, skeniranje, Brute Force zaštita, Rate Limit i još korisnih stvari)
  • SecuPress (poseduje FireWall, Brute Force zaštitu, blokiranje ip adresa, malware scan i još zanimljivih stvarčica)
  • Cerber (poseduje dijagnostiku, antispam, izveštaj o malicioznim radnjama, traffic inspector…)
  • Izdvoijo bih i „All in One“
  • WP Secutity Audit Log(služi za audit)

I imate još gomilu plug in-ova

Vodite računa oko odabira plug in-ova jer se može desiti da neki plugin ne radi kako treba zato što koristite neki drugi plug in.

Još neke metode poboljšavanja bezbednosti

  • Promena /wp-admin adrese za prijavljivanje korisnika. Promenite /wp-admin u nešto drugo. To možete da uradite uz pomoć plug in-a „WPS Hidi Login“. Kada to uradite biće skoro nepoznata adresa za login.
  • Korišćenje nekog CDN-a na primer „CloudFlare“ koji omogućava zaštitu od DoS i DDoS napada.
  • Korišćenje TLS enkripcije(HTTPS protokol) ovo je mnogo bitno ako imate recimo e-prodavnicu, i bitna je enkripcija „razgovora“ između servera i klijenta.

Ovo je prvi deo „Kako poboljšati zaštitu WordPress sajta“ u drugim delovima pisaću o još plug in-ova, metoda/tehnika, konfigurisanje .htaccess fajla i tako dalje, a  biće i prakse.

Оставите одговор

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *