Kako poskrbeti za varnost sistema WordPress?

WordPress je danes daleč najbolj priljubljen sistem za urejanje spletnih vsebin (CMS), saj na njem temeljijo številne spletne strani. Ravno zaradi izjemne popularnosti so pogosti tudi vdori hekerjev, ki neprestano spremljajo razvoj sistema in iščejo njegove ranljivosti.

Ker z vdori lahko pride do neželenih posledic, npr. do kraje podatkov, dodajanja povezav do nelegalnih strani, brisanja vsebin, preusmerjanja obiskovalcev na druga spletna mesta ipd., je zelo pomembno, da je vaša WordPress spletna stran ustrezno zavarovana.

V nadaljevanju si preberite, kako WordPress sistem zavarovati pred morebitnimi napadi.

5 osnov za večjo varnost WordPressa

Da bo vaša WordPress spletna stran ustrezno zaščitena pred virusi ter vdori in napadi hekerjev, poskrbite z osnovami. Nastavite dovolj močno geslo, izberite pravo uporabniško ime, določite primerno predpono WordPress tabel, uporabljajte le originalne grafične predloge in vtičnike ter redno posodabljajte vse komponente svojega WordPress spletišča.

1. Geslo

Za vpis v WordPress administracijo določite močno geslo, ki vsebuje male in velike črke, številke in posebne znake. Za geslo nikoli ne uporabljajte datumov rojstva, svojih imen ali imen svojih najdražjih. Zavedajte se, da geslo ime123 ali kaj podobnega še zdaleč ni ustrezno, saj hekerjem predstavlja lahko tarčo.

Pri določanju gesla si pomagajte s spletnim generatorjem gesel, npr. z rešitvijo Bitwarden, ki jo lahko uporabite tudi za varno shranjevanje vseh svojih gesel. Pri generiranju gesla se prepričajte, da imate obkljukano polje za uporabo posebnih znakov (!@#$%^&*).

Več o izbiri varnega gesla si lahko preberete v tem prispevku.

2. Uporabniško ime

Pri namestitvi WordPressa je uporabniško ime privzeto nastavljeno na admin. Ker se spletni napadalci tega dobro zavedajo, poskušajo v sistem najpogosteje vdreti prav s tem uporabniškim imenom. Pogosto poizkušajo tudi z uporabniškim imenom administrator in z imenom domene.

Če imate WordPress že nameščen, vaše uporabniško ime pa je admin, ustvarite novega uporabnika s pravicami “administratorja” in prejšnjega izbrišite. Če pa WordPress šele nameravate namestiti, že pri samem postopku namestitve zamenjajte privzeto uporabniško ime.

3. Predpona WordPress tabel

Tudi v tem primeru je dobro, da privzeto nastavljeno vrednost spremenite. To pomeni, da pri namestitvi sistema WordPress z orodjem Softaculous v okence, kjer je zapisana vrednost wp_, zapišete neko drugo vrednost (primer: dbw5_).

Imate WordPress že nameščen, omenjene vrednosti pa ob namestitvi niste spremenili? Brez skrbi. Obstajajo vtičniki, s katerimi lahko predpone tabel v podatkovni bazi zamenjate tudi naknadno. O varnostnih vtičnikih boste več izvedeli v nadaljevanju članka.

4. Uporaba originalnih predlog in vtičnikov

Grafične predloge (angl. templates) in vtičnike (angl. plugins) lahko najdete na številnih spletnih straneh. Na nekaterih jih boste dobili brezplačno, medtem ko boste drugje zanje morali plačati. Nikoli se ne poslužujte ukradenih oz. “nulled” predlog in vtičnikov, saj obstaja velika verjetnost, da je v njih zapisana zlonamerna koda, ki vam zna kadarkoli v prihodnosti povzročati težave. Ne le vam, tudi vašemu ponudniku gostovanja.

Brezplačne predloge in vtičnike boste našli na WordPress.org, za grafično in funkcionalno bolj dovršene plačljive predloge priporočamo ThemeForest.net in TemplateMonster.com, številni napredni plačljivi vtičniki pa so vam na voljo na spletni strani CodeCanyon.net.

5. Redno posodabljanje

Na začetku prispevka smo zapisali, da hekerji stalno spremljajo razvoj sistema WordPress in iščejo njegove ranljivosti. Prav tako pa so na odkrite pomanjkljivosti pozorni razvijalci, ki relativno pogosto izdajajo nove različice sistema, vtičnikov in grafičnih predlog. Za zagotavljanje varnosti WordPress spletne strani je zato eno izmed najpomembnejših pravil redno posodabljanje vseh treh omenjenih komponent.

Navodila za vklop samodejnega posodabljanja znotraj WordPress administracije:

WordPress jedro: Pomaknite se na Nadzorna plošča -> Posodobitve. Kliknite na povezavo Omogoči samodejne posodobitve za vse nove različice WordPressa. / Preklopi na samodejne posodobitve samo za vzdrževalne in varnostne izdaje.
WordPress vtičniki: Pomaknite se na Vtičniki -> Nameščeni vtičniki. Na desni strani seznama se ob vsakem vtičniku nahaja povezava Omogoči samodejne posodobitve.
WordPress predloga (brezplačna, dostopna na WordPress.org): Pomaknite se na Videz -> Teme. Z miško se zapeljite čez grafično predlogo in kliknite na gumb Podrobnosti o temi, nato pa kliknite na povezavo Omogoči samodejne posodobitve.
WordPress predloga (plačljiva): Prenesite .ZIP datoteko nove verzije grafične predloge na računalnik. Pomaknite se na Videz -> Teme. Kliknite na gumb Dodaj novo in nato na gumb Naloži temo. Kliknite na gumb Browse…, izberite .ZIP datoteko grafične predloge in kliknite na gumb Namesti. Po namestitvi potrdite zamenjavo stare verzije predloge z novo.

Pri posodobitvi grafične predloge bodite previdni, saj lahko izgubite predhodno urejene ročne prilagoditve. Priporočamo vam, da vse spremembe urejate v t. i. »child« predlogi, saj boste na ta način po posodobitvi »parent« predloge obdržali spremembe. Več o tem smo zapisali v tem prispevku.

5 brezplačnih varnostnih vtičnikov

Ste poskrbeli za osnove WordPress varnosti, ki smo jih opisali v prejšnjem poglavju? Odlično, čas je za naslednji korak. Dodatno zaščito svoje spletne strani lahko dosežete z namestitvijo katerega od varnostnih vtičnikov, predstavljenih v nadaljevanju. Vsi opisani vtičniki so na voljo brezplačno, obstajajo pa tudi njihove plačljive različice s še dodatnimi varnostnimi funkcionalnostmi.

1. Loginizer

Eden izmed najpogosteje uporabljenih vtičnikov, ki povečajo varnost sistema WordPress, je vtičnik Loginizer. Na svojo spletno stran ga lahko namestite že hkrati z namestitvijo sistema WordPress, in sicer prek nadzorne plošče cPanel oz. vmesnika Softaculous. Več o tem si preberite v prispevku: Kako namestiti WordPress preko Softaculous?

Osnovna funkcija vtičnika Loginizer je onemogočanje brute force napadov, tj. zaporednega poskušanja vpisovanja v WordPress administracijo. Nastavite lahko vrednost, po koliko poskusih naj se sistem zaklene in koliko časa naj po neuspelih poskusih ostane zaklenjen.

Brezplačna različica vtičnika omogoča tudi, da posamezne IP naslove ali njihove dele uvrstite na črno listo (ang. blacklist), s čimer rednim napadalcem preprečite možnost vpisa. Lahko pa dodate svoj IP naslov na belo listo (ang. whitelist), s čimer boste prijavo v WordPress administracijo omogočili zgolj sebi.

Plačljiva verzija vtičnika Loginizer omogoča tudi nekatere naprednejše varnostne funkcije, kot so dvostopenjska avtentikacija (2FA), uporaba reCAPTCHA, možnost prijave prek povezave, ki je poslana v e-poštni predal administratorja, CSRF zaščita in podobno.

2. Wordfence Security

Trenutno ima vtičnik Wordfence Security že več kot 4 milijone aktivnih namestitev in visoko povprečno oceno 4.7/5.0, kar priča o njegovi izjemni priljubljenosti. Gre za zelo obširen vtičnik, ki s celovitim pristopom močno vpliva na večjo varnost platforme WordPress. Vtičnik je na voljo tako v brezplačni kot plačljivi različici.

Čeprav ima plačljiva različica številne dodatne funkcije in premium podporo, pa že brezplačna verzija zagotavlja visok nivo WordPress varnosti. Vtičnik deluje takoj po namestitvi in vnosu licence, saj so privzete nastavitve za večino spletnih strani že ustrezno nastavljene.

Naštevamo le nekaj osnovnih funkcij, ki jih vtičnik omogoča:

pregled temeljnih datotek sistema (angl. core files), nameščenih vtičnikov in predlog ter primerjava z originalnimi datotekami,
odprava obstoječih zlonamernih kod in ostalih nepravilnosti,
zaščita spletne strani z uporabo požarnega zidu,
možnost blokiranja posameznih IP-jev ali izbranih držav,
onemogočanje zaporednega poskušanja vpisovanja v administracijo,
obveščanje o poskusih vdora na elektronski naslov,
možnost aktivacije 2FA za prijavo v administracijo,
uporaba storitve iskanja WHOIS neposredno v administraciji.

3. iThemes Security

Odlična alternativa zgoraj opisanemu vtičniku je vtičnik iThemes Security, marsikomu bolj poznan pod njegovim starim imenom Better WP Security. Tudi ta vtičnik se lahko pohvali z visoko učinkovitostjo, o kateri priča več kot 900 tisoč aktivnih namestitev in povprečna ocena 4.6/5.0.

Za visoko varnost sistema skrbi več kot 30 funkcij. Poleg iskanja zlonamernih kod in zaščite pred morebitnimi napadi vtičnik omogoča tudi zakrivanje podatkov, ki bi spletnim napadalcem lahko koristili za vdor v sistem.

Z vtičnikom iThemes Security lahko:

spremenite uporabniško ime brez brisanja obstoječega uporabnika,
zamenjate URL podstrani za vpis v administracijo ter URL same administracije,
za določen čas onemogočite možnost vpisa,
spremenite WordPress predpono tabel,
zakrijete verzijo obstoječega WordPress sistema.

Ena izmed funkcionalnosti vtičnika iThemes Security je tudi možnost blokade sumljivih IP naslovov. Na seznamu blokiranih IP naslovov večinoma pristanejo spletni napadalci, ki z raznimi avtomatiziranimi skriptami in boti želijo pridobiti dostop do vaše spletne strani.

Žal se na omenjenem seznamu lahko znajdejo tudi IP naslovi botov, ki na njem ne bi smeli pristati. Predvsem gre za bote spletnih iskalnikov (npr. Google in Bing), ki z namenom indeksacije samodejno dostopajo do spletnih strani. Blokiranje teh botov lahko privede do izpada spletne strani iz iskalnikov, s tem pa lahko (močno) upade obiskanost spletišča. Zato je pri nastavitvah vtičnika potrebno IP-je botov iskalnikov dodati na seznam dovoljenih IP naslovov. Več o tem si lahko preberete na tej povezavi.

4. Sucuri Security

Sucuri Inc. je svetovno priznana organizacija, ki že od leta 2009 uvaja inovacije na področju spletne varnosti. Tudi vtičnik Sucuri Security, katerega lastništvo je bilo preneseno na GoDaddy, je na voljo v brezplačni in plačljivi verziji.

Vtičnik uporabnikom ponuja širok nabor varnostnih funkcij za zaščito WordPress strani:

pregled varnostne dejavnosti,
nadzor nad celovitostjo datotek,
oddaljeno skeniranje zlonamerne kode,
spremljanje seznama blokiranih,
varnostni ukrepi po vdoru,
varnostna obvestila,
požarni zid spletnega mesta (plačljiva različica).

5. All-In-One Security (AIOS)

Kot eden od brezplačnih varnostnih vtičnikov z največ funkcijami All-In-One Security (AIOS) ponuja izjemno intuitiven in grafično dovršen vmesnik. Vtičnik omogoča dober nadzor nad varnostjo, vključuje pa tudi osnovni požarni zid na ravni spletnega mesta, ki samodejno ščiti pred spletnimi nevarnostmi.

Vtičnik All-In-One Security (AIOS) odlikujejo tudi mnoge druge varnostne funkcije, kot so:

zaklepanje prijave za preprečevanje brute force napadov,
možnost blokiranja IP naslovov,
nadzor nad celovitostjo datotek,
nadzor nad uporabniškimi računi,
iskanje sumljivih vzorcev v bazah podatkov,
možnost spremembe dovoljenj map in datotek.

Sprememba varnostnih ključev in soli

Varnostni ključi (ang. security keys) in soli (ang. salts) omogočajo dodatno raven zaščite gesla za prijavo v WordPress administracijo. Gre za naključne nize kode, ki z osmimi spremenljivkami šifrirajo prijavne podatke. Ta varnostni mehanizem je izjemno pomemben, saj zagotavlja, da so gesla odporna na brute force napade in podobne metode vdiranja.

Po prijavi v WordPress se na računalniku ustvarijo in shranijo piškotki brskalnika, ki vsebujejo podatke za prijavo v WordPress (wordpress_[hash] in wordpress_logged_in_[hash]). Če heker lahko dostopa do piškotkov vašega spletnega brskalnika, lahko pridobi tudi vaše prijavne podatke.

Z varnostnimi ključi in solmi so vsi vaši podatki za prijavo zgoščeni (ang. hashed), kar pomeni, da so šifrirani z zaporedjem naključnih nizov. Ti nizi so vidni, medtem ko dejansko geslo ni.

Primer: če uporabljate geslo moja123stran, bo z uporabo WordPress soli le-to shranjeno kot naključen niz znakov, kot je 2n-E5Ij_D*mHP8m&+c[d5_r. Na ta način hekerji ne bodo mogli dešifrirati vašega dejanskega gesla, pa čeprav bi morda imeli dostop do kode vaše spletne strani.

Varnostni ključi in soli so shranjeni v datoteki wp-config.php, ki se nahaja v krovni mapi sistema WordPress. Če odprete omenjeno datoteko, jih boste našli znotraj sekcije “Authentication Unique Keys and Salts“.

Kot lahko vidite na zgornji sliki, je v opisu kode zapisan tudi URL naslov, kjer lahko generirate nove naključne nize. Pod opisom pa se nahajajo varnostni ključi (prve štiri vrstice) in soli (druge štiri vrstice). Da se izognete varnostnim tveganjem, ne enih ne drugih ne delite z nikomer.

Zakaj varnostne ključe in soli redno spreminjati?

Čeprav vam bodo že statični varnostni ključi in soli zagotovili relativno visok nivo zaščite vaših prijavnih podatkov, vam svetujemo, da poskrbite za njihovo redno menjavo. S tem boste namreč še dodatno izboljšali varnost svoje WordPress spletne strani.

Ob spremembi soli in varnostnih ključev bodo vsi uporabniki samodejno odjavljeni iz WordPress administracije. To je še posebej uporabno, če se v svojo spletno stran prijavljate prek več naprav ali brskalnikov, saj je tveganje za zlorabo vaših prijavnih podatkov na ta način še večje.

Redno spreminjanje soli in varnostnih ključev je torej učinkovit način za preprečevanje zlonamernega dostopa do administracije spletne strani. Načinov za spremembo naključno generiranih nizov je več – v nadaljevanju boste izvedeli, kako menjavo urediti ročno, kako avtomatsko in kako z uporabo WP-CLI.

Ročna sprememba varnostnih ključev in soli

Postopek ročnega spreminjanja varnostnih ključev in soli je nekoliko zamuden in tvegan, saj lahko ob neprevidnosti privede do nedelovanja vaše spletne strani. Druga pomanjkljivost te metode pa je, da ne avtomatizira periodične spremembe ključev in soli, saj jih boste morali vedno spremeniti ročno.

Vseeno je postopek vredno poznati, sploh če ne morete dostopati do administracije svoje WordPress strani.

1. Vpišite se v nadzorno ploščo cPanel (navodila za prijavo).

2. Poiščite sekcijo Files in kliknite na ikono File Manager.

3. Postavite se v mapo, kjer imate nameščen WordPress, nato z desnim miškinim gumbom kliknite na datoteko wp-config.php in izberite Edit.

4. Poiščite sekcijo Authentication Unique Keys and Salts in iz opisa kopirajte URL povezavo generatorja varnostnih ključev in soli.

5. Povezavo odprite v novem zavihku, kopirajte samodejno generirane ključe in soli (za generiranje novih lahko stran tudi nekajkrat osvežite), iz datoteke wp-config.php odstranite stare zapise in jih nadomestite z novimi.

6. Zdaj vam preostane le še klik na gumb Save Changes v desnem zgornjem kotu, s čimer boste shranili spremembe.

Samodejno spreminjanje varnostnih ključev in soli

Periodično generiranje novih varnostnih ključev in soli lahko dosežete z namenskim WordPress vtičnikom. Ena izmed pogosto uporabljenih brezplačnih rešitev je vtičnik Salt Shaker. Oglejte si, kako enostavno ga lahko uporabite na svojem WordPress spletišču.

1. Po vpisu v WordPress administracijo v levem meniju izberite Vtičniki -> Dodaj nov, v polje za iskanje vpišite Salt Shaker ter namestite in aktivirajte vtičnik.

2. Uredite nastavitve vtičnika (Orodja -> Salt Shaker). Obkljukajte polje za samodejno menjavo varnostnih ključev in soli ter izberite frekvenco, kako pogosta naj bo menjava. Izbrane nastavitve potrdite s klikom na gumb Save Settings.

Vtičnik Salt Shaker vsebuje tudi funkcionalnost za takojšnjo zamenjavo varnostnih ključev in soli. S klikom na gumb Change Now boste dosegli instantno spremembo, kar pomeni, da bodo vsi uporabniki, ki so trenutno vpisani v WordPress administracijo, samodejno izpisani. Za nadaljnje delo bo potrebna ponovna prijava.

Sprememba varnostnih ključev in soli z WP-CLI

Naprednim uporabnikom, ki svojo WordPress spletno stran želite upravljati prek ukazne vrstice, bo zagotovo prišel prav WP-CLI ukaz za spremembo varnostnih ključev in soli.

wp config shuffle-salts

Za uporabo WP-CLI boste potrebovali SSH dostop, ki vam je pri NEOSERV na voljo na vseh paketih gostovanja od vključno Zelenega dalje. Orodje WP-CLI za interakcijo in upravljanje z WordPress stranmi je že prednameščeno, več o njegovi uporabi pa si lahko preberete v tem prispevku.

Povzetek

WordPress je pogosta tarča spletnih napadalcev, zato je nujno, da svoje spletno mesto ustrezno zaščitite. Predvsem je pomembno, da imate za vpis v administracijo izbrano dovolj močno geslo, ki ga poznate le vi, ter da skrbite za redne posodobitve WordPress jedra, vtičnikov in grafične predloge. Nekaj besed smo namenili tudi izbiri uporabniškega imena, zapisu predpone WordPress tabel v podatkovni bazi ter pomembnosti uporabe originalne grafične predloge in vtičnikov.

V drugem delu smo se osredotočili na varnostne vtičnike, ki prav tako predstavljajo pomemben del zaščite WordPress spletišč. Predstavili smo nekaj najbolj popularnih rešitev na tem področju. S pomočjo opisanih vtičnikov lahko že z njihovimi brezplačnimi različicami varnost svoje spletne strani dvignete na mnogo višji nivo, z uporabo plačljivih različic pa svoji WordPress strani zagotovite še dodatno zaščito.

V tretjem delu prispevka smo spoznali še varnostne ključe in soli, ki zagotavljajo dodatno raven zaščite gesla za prijavo v administracijo sistema WordPress. Ugotovili smo, da redna menjava ključev in soli preprečuje brute force napade in da so ob zamenjavi iz administracije takoj izpisani vsi uporabniki. Na koncu pa smo predstavili še možnosti, kako varnostne ključe in soli zamenjati na tri različne načine.

Če mislite, da se vaši WordPress spletni strani ne more zgoditi nič slabega ali o zaščiti svojega spletnega mesta sploh ne razmišljate, vam pri NEOSERV vsekakor svetujemo, da se varnosti WordPress spletišča kar se da hitro posvetite. Upoštevajte čim več nasvetov iz prispevka, namestite katerega od opisanih vtičnikov in še danes poskrbite za ustrezno zaščito WordPress strani pred napadi hekerjev.

Pri NEOSERV se zavedamo pomembnosti učinkovite zaščite WordPress strani pred vdori in virusi, zato vsi naši paketi gostovanja vključejo napredno NEOSERV Anti-Virus zaščito, ki samodejno zazna varnostne luknje v spletnih straneh in jih zakrpa. Postopek je za obiskovalce neopazen in ne vpliva na delovanje spletnih strani.

Da bo vaše spletno mesto zaščiteno, obenem pa delovalo tudi bliskovito hitro, vam svetujemo, da se odločite za WordPress gostovanje. Naše visoko zmogljive strežnike poganjajo izjemno hitre NVMe SSD diskovne enote, za še dodatno hitrost pa skrbi LiteSpeed tehnologija. Naročniki prejmete dostop do nadzorne plošče cPanel, omogočamo pa vam tudi uporabo brezplačnih SSL certifikatov. Vse za varno, hitro in zanesljivo WordPress spletišče!

3096

MNENJ UPORABNIKOV

Najlepša hvala za super, hiter in efektiven odziv!

Rok S.

Iskanje starega certifikata, izdaja novega... vse b.p. hitro, v par urah sva s Kristino rešila vse. Super!

Matjaž K.

Ne morem verjeti, da nekomu ni samo do denarja. Hvala za vse vaše usluge, povezave in prijaznost. Dve leti sem...

Suzana Z.

Odlični in bliskovito odzivni, hitri!

Miha J.

Odlična odzivnost. Vedno hitri in jasni pri odgovorih. Vedno zadovoljen z vami!

Danilo J.

Super ste. Prijazni, hitri in profesionalni.

Predrag G.

Ekipa je res neverjetno odzivna, tudi v popoldanskem in večernem času. Na popravek predpračuna nisem čakal več kot nekaj minut....

Anže Š.

Hvala, po vaših navodilih smo rešili problem vzpostavitve različnih php verzij za vsako spletišče posebej. S tem smo se izognili...

Boris T.

Pozdravljeni! Zahvaljujem se vam ker imate tako dobre in zanesljive strežnike. Spletna stran vedno duluje. Vaše storitve bi morali ponuditi...

Matevž S.

Kljub temu, da včasih pojma nimam, kaj delam, mi prijazni zaposleni zmeraj svetujejo in rešijo težave.

Nastja T.

VSE POHVALE (3096)