KONTAKT  |  Naročniški center Moj NEOSERV
Košarica (0)
  • Vaša košarica je trenutno prazna
Na naročilo
  1. Domov
  2. Blog
  3. Kako poskrbeti za varnost sistema WordPress?

NEOSERV BLOG

Novice in nasveti iz sveta domen, gostovanja, SSL certifikatov, spletnih strani, spletnih trgovin in ostalih področij spleta.

Kako poskrbeti za varnost sistema WordPress?

Objavljeno:
Varnost sistema WordPress
Matija

Vsebino je za vas skrbno pripravil:

Matija

Objavljeno v kategoriji: Varnost na spletu

Zaščita sistema WordPressDanes WordPress velja za daleč najbolj priljubljen sistem za urejanje spletnih vsebin, saj na njem temeljijo številne spletne strani. Ravno zaradi njegove popularnosti so pogosti tudi vdori s strani hekerjev, ki neprestano spremljajo razvoj sistema in iščejo ranljivosti. In ker z vdori lahko pride do neželenih posledic, npr. do kraje podatkov, dodajanja povezav do nelegalnih strani, brisanja vsebin ipd., je zelo pomembno, da je sistem ustrezno zavarovan.

V nadaljevanju si preberite, kako lahko zavarujete WordPress pred morebitnimi napadi.

5 osnovnih pravil za večjo varnost sistema

Geslo

Izberite močno geslo, ki vsebuje male in velike črke, številke in po možnosti tudi posebne znake. Za geslo nikoli ne uporabljajte datumov rojstva, svojih imen ali imen svojih najdražjih. Tudi geslo ime123 še zdaleč ni ustrezno.

Uporabniško ime

Pri namestitvi WordPressa je uporabniško ime privzeto nastavljeno na »admin«. Ker se hekerji tega dobro zavedajo, poskušajo v sistem najpogosteje vdreti prav s tem uporabniškim imenom. Če imate WordPress že nameščen, vaše uporabniško ime pa je »admin«, ustvarite novega uporabnika (administrator) in prejšnjega izbrišite. Če pa WordPress še nameravate namestiti, že pri samem postopku namestitve zamenjajte uporabniško ime.

Predpona WordPress tabel

Tudi v tem primeru je dobro, da privzeto nastavljeno vrednost spremenite. To pomeni, da pri namestitvi sistema WordPress preko nadzorne plošče v okence, kjer je zapisana vrednost wp_, zapišete neko drugo vrednost. Imate WordPress že nameščen, vrednosti pa pri namestitvi niste spremenili? Brez skrbi, obstajajo vtičniki, s katerimi lahko predpone zamenjate tudi naknadno. O vtičnikih si preberite v nadaljevanju članka.

Uporaba originalnih predlog in vtičnikov

Originalne predloge in vtičnikiPredloge (angl. templates) in vtičnike (angl. plugins) lahko najdete na številnih spletnih straneh. Na nekaterih jih boste dobili brezplačno, medtem ko boste drugje zanje morali plačati. Nikoli se ne poslužujte ukradenih predlog in vtičnikov, saj obstaja zelo velika verjetnost, da je v njih zapisana zlonamerna koda, ki vam zna kadarkoli v prihodnosti povzročati sive lase. Ne le vam, tudi vašemu ponudniku gostovanja.

Brezplačne predloge in vtičnike boste našli na povezavi WordPress.org, za grafično in programersko bolj dovršene plačljive predloge priporočamo spletni strani Themeforest.net in Templatemonster.com, številni napredni plačljivi vtičniki pa so vam na voljo na strani Codecanyon.net.

Redno posodabljanje

Na začetku prispevka smo zapisali, da hekerji stalno spremljajo razvoj sistema WordPress in iščejo njegove pomanjkljivosti. Prav tako pa so na odkrite pomanjkljivosti pozorni razvijalci, ki relativno pogosto izdajajo nove različice sistema, vtičnikov in predlog. Zato je za zagotavljanje varnosti eno izmed najpomembnejših pravil redno posodabljanje vseh treh omenjenih elementov. Pri tem so vam lahko v pomoč različni vtičniki, ki vas o novih posodobitvah obvestijo ali pa jih celo avtomatično namestijo.

5 brezplačnih varnostnih vtičnikov

Loginizer Security

Loginizer SecurityEden izmed najpogosteje uporabljenih vtičnikov, ki povečajo varnost sistema WordPress, je vtičnik Loginizer Security. Njegova primarna funkcija je onemogočanje zaporednega poskušanja vpisovanja v sistem. Nastavite lahko vrednost, po koliko poskusih naj se sistem zaklene in koliko časa naj po neuspelih poskusih ostane zaklenjen. Vtičnik omogoča še nekaj dodatnih nastavitev zaklepanja, delovanje pa je lahko vezano tako na IP kot na piškotek. Če želite, vam o neuspelih poskusih vpisa vtičnik pošlje obvestilo na elektronski naslov.

WordFence Security

WordFence SecurityV času pisanja prispevka je imel vtičnik WordFence Security že skoraj 4 milijone prenosov in oceno 4.9/5.0, kar priča o njegovi izjemni priljubljenosti. Gre za zelo obširen vtičnik, ki s celovitim pristopom močno vpliva na večjo varnost platforme WordPress.

Naštevamo le nekaj osnovnih funkcij, ki jih vtičnik omogoča:

  • pregled temeljnih datotek sistema (angl. core files), nameščenih vtičnikov in predlog ter primerjava z originalnimi datotekami,
  • odprava obstoječih zlonamernih kod in ostalih nepravilnosti,
  • zaščita spletne strani v realnem času,
  • možnost blokiranja posameznih IP-jev ali izbranih držav,
  • onemogočanje zaporednega poskušanja vpisovanja v administracijo,
  • obveščanje o poskusih vdora na elektronski naslov,
  • uporaba storitve iskanja WHOIS neposredno v administraciji,
  • pohitritev spletne strani z uporabo predpomnilnika.

iThemes Security (Better WP Security)

iThemes SecurityOdlična alternativa WordFence Security je vtičnik iThemes Security, marsikomu bolj poznan pod njegovim starim imenom Better WP Security. Tudi ta vtičnik se lahko pohvali z visoko učinkovitostjo, o kateri priča več kot 3,5 milijonov prenosov in povprečna ocena 4.7/5.0.

Za visoko varnost sistema skrbi več kot 30 različnih funkcij. Poleg iskanja zlonamernih kod in zaščite pred morebitnimi napadi vtičnik omogoča tudi zakrivanje podatkov, ki bi hekerjem lahko koristili za vdor v sistem.

Z vtičnikom iThemes Security lahko:

  • spremenite uporabniško ime brez brisanja obstoječega uporabnika,
  • zamenjate URL podstrani za vpis v administracijo ter URL same administracije,
  • za določen čas izklopite možnost vpisa,
  • spremenite WordPress predpono tabel,
  • zakrijete verzijo obstoječega WordPress sistema,

Ena izmed funkcionalnosti vtičnika iThemes Security je tudi možnost blokade sumljivih IP naslovov. Na seznamu blokiranih IP naslovov večinoma pristanejo spletni napadalci, ki z raznimi avtomatiziranimi skriptami in boti želijo pridobiti dostop do vaše spletne strani.

Žal se na omenjenem seznamu lahko znajdejo tudi IP naslovi botov, ki na njem ne bi smeli pristati. Predvsem gre za bote spletnih iskalnikov (npr. Google in Bing), ki z namenom indeksacije samodejno dostopajo do spletnih strani. Blokiranje teh botov lahko privede do izpada spletne strani iz iskalnikov, s tem pa lahko (močno) upade obiskanost spletišča. Zato je pri nastavitvah vtičnika potrebno IP-je botov iskalnikov dodati na seznam dovoljenih IP naslovov. Več o tem si lahko preberete v tem prispevku.

WP Updates Notifier

WP Updates NotifierVtičnik WP Updates Notifier sicer ni neposredno povezan s preprečevanjem vdorov v sistem, lahko pa k povečani varnosti veliko pripomore. Gre za vtičnik, ki nadzira izdajanje novih različic jedra sistema WordPress, nameščenih vtičnikov in predlog. O posodobitvah vas obvešča na izbran elektronski naslov, vtičnik pa je primeren predvsem za upravitelje več spletnih strani in uporabnike, ki se le poredko vpisujejo v administracijo.

UpdraftPlus WordPress Backup Plugin

UpdraftPlus WordPress Backup PluginTudi vtičnik UpdraftPlus WordPress Backup Plugin neposredno ni povezan z zmanjševanjem števila vdorov v sistem, si pa vsekakor zasluži svoje mesto v prispevku. Vtičnik omogoča izdelavo varnostnih kopij tako vseh map in datotek kot tudi baze podatkov. Kar je pri vtičniku najbolje, je to, da se varnostne kopije samodejno shranjujejo v oblak. Tako jih lahko preprosto shranite v Dropbox, Google Drive, Amazon S3 itd. V nastavitvah vtičnika lahko izberete pogostost kreiranja varnostnih kopij, prav tako pa lahko le z enim klikom podatke tudi restavrirate.

Pomembnih stvari ne prepustite naključju

Če mislite, da se vaši spletni strani ne more zgoditi nič slabega ali pa o zaščiti strani sploh ne razmišljate, vam toplo priporočamo, da se ji kar se da hitro posvetite. Upoštevajte čim več nasvetov iz prispevka in še danes poskrbite za visoko varnost pred morebitnimi napadi hekerjev.

KOMENTARJI

KOMENTIRAJTE OBJAVO

(obvezno)
(obvezno, e-poštni naslov bo skrit)
(neobvezno)
Varnostno vprašanje, ki potrdi, da ste resnična oseba.