Zaštita WordPress sajta – Kompletan vodič!

Sadržaj:

1. Uvod

2. Bezbednost Vašeg računara

3. Bezbednost računarske mreže

4. Bezbednost hostinga (servera)

5. Zaštita WordPress sajta

• Provera trenutnog statusa i zdravlja sajta
• Rezervna kopija (backup)
• Apdejt WordPressa, pluginova (dodataka) i tema
• Pluginovi (dodaci) za bezbednost WordPressa
• Dodatni pluginovi za još viši stepen zaštite
• O čemu još valja razmišljati… (napredna podešavanja)

Uvod

Bezbednost WP sajta je veoma kompleksna stvar kojoj je poželjno da pristupite što ozbiljnije. Dakle, ne radi se tu samo o tome da li Vam je sajt zaštićen ili ne. U tu priču su uvezane i neke druge okolnosti, tj. faktori koji mogu uticati na bezbednost sajta:

• Bezbednost Vašeg računara – Ovde se pre svega misli na zdravlje Vašeg operativnog sistema. Da li je zaražen virusima ili malverima? Da li koristite bezbedne šifre? Da li Vam je kompromitovan neki od naloga?
• Bezbednost računarske mreže sa koje pristupate blogu ili sajtu – Ono što se dešava u okviru Vaše kućne ili poslove mreže itekako utiče na bezbednost sajta.
• Bezbednost Vašeg hosting naloga – Veoma je bitno da svoj sajt hostujete na bezbednom serveru. Ako Vaš internet provajder ne vodi računa o bezbednosti servera na pravi način, kompromitovanje bilo kog sajta na tom serveru može da ugrozi i Vaš sajt.
• Zaštita WordPress sajta – Od ključnog je značaja da Vaš sajt bude dobro zaštićen. Ovome ćemo posvetiti posebnu pažnju u okviru ovog članka.

Sve gore navedeno je bitno. Dovoljno je da pukne samo jedna karika i Vaša bezbednost će biti kompromitovana. Zato je od ključnog značaja da svemu ovome pristupate maksimalno ozbiljno.

Bezbednost Vašeg računara

Kao što smo gore i rekli, veoma je bitno za bezbednost Vašeg sajta da Vam bude dobro zaštićen i potpuno čist i Vaš lični računar. A evo i zašto.

Većina nas svoje poslovne računare koristi i za neke druge lične stvari. Na primer za gledanje filmova, za korišćenje društvenih mreža i za mnoge druge stvari. Što je češća upotreba Vašeg računara u te neke druge svrhe, to je veća opasnost da ćete ga pre ili kasnije zaraziti nekim kompjuterskim virusom ili nečim još gorim.

A kada se to na kraju i desi, sve vaše šifre i poslovna korespodencija, kao i svi ostali podaci (lični i poslovni) idu na tacni i „na izvolite“ onima koji mogu veoma lako da zloupotrebe Vaš računar, a samim tim i Vaš sajt. Oni to ostvaruju putem računarskih virusa ili trojanaca, sve učestalije uz pomoć malvera koje nekada i sami u neznanju instalirate na sopstveni računar. Nedaj bože da Vam neko instalira keylogger koji prati sve što kucate na tastaturi ili kriptoloker koji „zaključava“ sve Vaše podatke i diže ih na internet, a onda od Vas traže ne-male sume novca da bi Vam vratili podatke.

Kako biste ovo sprečili savetujemo Vas sledeće:

1. Računar za posao koristite isključivo za posao

2. Budite sigurni da je računar čist, tj. da nema virusa, malvera ili bilo kakvih drugih zlonamernih skripti i kodova. Skenirajte ga svojim antivirusom i antimalverom. Mnogi antivirusi u današnje vreme sasvim lepo funkcionišu, ali daleko od toga da Vam pružaju sigurnu zaštitu. Pomirite se s tim da to jednostavno ne postoji!

3. Ne instalirajte nikakve sumnjive programe ili alatke, pogotovo ne krekovane. Koristite isključivo pouzdane i proverene alatke. Sve što ne koristite deinstalirajte!

4. Apdejtujte svoj operativni sistem, web browser, antivirus, antimalver, programe, itd.

5. Poželjno, ali ne i neophodno da umesto Windowsa koristite Linux. U današnje vreme Linux operativni sistemi pružaju komociju i moderan i prihvatljiv grafički interfejs koji imate i na Windowsu. Uz to su potpuno sigurni od virusa i malvera. Gotovo da ne postoji mogućnost da Linux kompromitujete na način kako se to veoma često dešava na Windowsu.

Bezbednost računarske mreže

Nije dovoljno samo to da je Vaš računar bezbedan. Veoma je bitno da sajtu kao i ostatku interneta pristupate sa bezbedne računarske mreže.

Bilo bi dobro da Vaš računar, dakle mesto sa koga pristupate svom sajtu i hosting serveru ima zasebnu javnu i fiksnu IP adresu. Ako je Vaša IP adresa unikatna i ako se ona nikada ne menja, onda to možete da iskoristite kako biste zabranili svim ostalim IP adresama da pristupaju administraciji Vašeg sajta. To je dobra i preporučljiva metoda zaštite.

Ako to nije slučaj, onda barem pokušajte da svoj računar izolujete od ostatka Vaše računarske mreže, jer je činjenica da bukvalno svaki računar na mreži može da utiče i na Vašu bezbednost. To možete postići uz pomoć zaštitnog zida (softverskog ili hardverskog).

Ako na internet izlazite sa deljenom IP adresom, dakle adresom koju koriste i drugi korisnici na Vašoj mreži, onda znajte da sve akcije, kao i status bilo kog računara na mreži, odnosi se na sve ostale računare, pa i na Vaš.

Bezbednost hostinga (servera)

Da li sajt hostujete na svom ili na deljenom serveru? Da li se pored Vašeg sajta na tom istom serveru nalaze i neki drugi sajtovi? Da li verujete svom hosting provajderu? Da li smatrate da je on stručan i da li je server kvalitetno zaštićen?

Sva ova pitanja Vam postavljamo iz jednog veoma prostog razloga. Sve i da imate najbolju moguću zaštitu na sajtu, ako je server na kome hostujete nezaštićen, onda Vam ta vaša kvalitetna zaštita sajta ništa ne vredi. Imali smo iskustva sa nekih deljenih servera gde su neki od naših klijenata držali svoje sajtove da su oni hakovani bukvalno sa drugih naloga. Kako to funkcioniše? Veoma jednostavno. Haker „probije“ bilo koji od sajtova koji se nalazi na Vašem serveru, a onda pokretanjem posebne skripte jednim potezom hakuje sve ostale sajtove.

Dakle, veoma je bitno gde i kako hostujete. Najbolje je kada se jedan sajt nalazi na izdvojenom VPS-u, ali ova opcija zahteva dosta više znanja, a i novca.

Zaštita WordPress sajta

I evo nas kod glavne teme ovog članka, a to je svakako zaštita WordPress sajta. Dakle, o čemu sve treba da razmišljate kada je u pitanju bezbednost sajta – ukratko kako zaštititi WordPress sajt?

Provera trenutnog statusa i zdravlja sajta

Pre nego što krenemo u tu priču šta sve treba da uradite kako biste ga zaštitili, hajde da prvo proverimo da li je on možda već kompromitovan. Da biste to proverili potrebno je da skenirate kompletan fajl sistem Vašeg sajta. Kako da to učinite?

• Postoje pluginovi za WordPress koji Vam omogućuju skeniranje kompletnog fajl sistema. Jedan od njih je Wordfence sa opcijom Scan, koja Vam omogućuje da jednim klikom skenirate i dobijete izveštaj o tome da li postoje zlonamerne skripte i fajlovi na sajtu. Drugi plugin vredan pomena je Sucuri Security, sa opcijom Malware Scan koja radi na sličan način kao i pomenuti Wordfence, doduše nudi malo preglednije izveštaje.
• Ako imate pristup svom serveru i ako je na njemu instaliran server-side antivirus i antimalver, onda i tako možete da proverite da li postoje zlonamerne skripte i fajlovi na Vašem sajtu. Najčešći slučaj je da u okviru svog hosting paketa (ako je to cPanel) imate instaliran i ClamAV ili još bolje Maldet. Ovaj drugi nema grafički interfejs, već se pokreće iz terminala. Ako niste sigurni da li imate ove opcije kontaktirajte svog hosting provajdera i zamolite ga da on instalira i proveri vaš hosting paket. U većini slučajeva će vam provajderi izaći u susret.
• Ako nemate direktan pristup svom serveru (osim FTP-a), onda je možda najbolje da napravite backup kompletnog naloga, a onda da ga downloadujete, raspakujete na lokalnoj mašini i pokrenete skeniranje uz pomoć svog antivirusa / antimalvera. U većini slučajeva ovi programi prepoznaju i zlonamerne web skripte.
• Ako ste dovoljno dobro upoznati sa WordPress strukturom i ako imate instaliran neki fajl menadžer u okviru hosting paketa, onda možete i da proverite ručno sva ključna mesta i lokacije u okviru Vaše CMS instalacije. Potražite fajlove koji su modifikovani i čiji se datum na serveru razlikuje od drugih WP fajlova, a onda ih uporedite sa originalnim fajlovima.

Ako je sve u redu, nastavite da čitate, a ako nije onda se potrudite da uklonite sve što ste našli a da je zlonamerno na Vašem sajtu. Ako niste sigurni kako se to radi, savetujemo Vas da angažujete stručno lice, jer čišćenje hakovanih sajtova nije nimalo jednostavna stvar.

Rezervna kopija (backup)

Ako ste upravo utvrdili da Vam je sajt 100% čist i potpuno funkcionalan, onda je pravi trenutak da napravite rezervnu kopiju celog sajta. Ovde nećemo pričati detaljno o tome kako se pravi rezervna kopija, jer to i nije tema ovog članka, ali treba da znate da je s vremena na vreme i više nego poželjno napraviti i sačuvati rezervnu kopiju celog sajta.

Postoje prilično dobri pluginovi za WordPress koji automatizuju ovaj proces, ali je naša preporuka da se backup pravi preko administrativnog hosting panela. Neki internet provajderi pružaju i tu mogućnost da se automatizuje proces čuvanja rezervne kopije (dnevno, nedeljno ili mesečno), a to je možda i najbolji pristup.

Apdejt WordPressa, pluginova (dodataka) i tema

Od ključnog je značaja da u svakom trenutku imate poslednju verziju WordPressa, kao i svih pluginova i tema koje koristite na sajtu. Neažurni pluginovi i CMS su najčešći uzrok hakovanja sajtova. WordPress je zapravo prilično siguran CMS, ali kada je ažuriran.

Nijedan program nije savršen, pa tako ni WP. Pa ipak, ono što je bitno i što Vam pruža određenu sigurnost jeste činjenica da se on veoma često apdejtuje i usavršava. Bezbednost je uvek u prvom planu zajednice programera koji ga razvijaju.

Apdejtovati WordPress, pluginove i teme koje koristite je veoma lako. Sve što treba da uradite je da pokrenete apdejt, a CMS će sve ostalo sam odraditi. Ali vodite računa o tome da pre apdejta prvo napravite rezervnu kopiju celoga sajta, jer je moguće da će neki plugin ili tema imati problem sa kompatibilnošću sa novom verzijom CMS-a. Ako se to desi, prosto vratite samo staru verziju tog plugina – sve ostalo ne dirajte.

Još nešto, ali veoma bitno, u vezi pluginova i tema za WP: ne koristite crackovane verzije! One su veoma opasne, jer ne možete znati šta je u njih ugrađeno. A takođe ne možete ni da ih apdejtujete, što znači da i sa te strane nisu bezbedne.

I na kraju, sve dodatke ili teme koje ne koristite, brišite sa sajta! Nema potrebe da ih držite na sajtu, jer kao takve predstavljaju potencijalnu opasnost.

Pluginovi (dodaci) za bezbednost WordPressa

Bez obzira na to što je WordPress prilično bezbedno rešenje, ipak je i više nego preporučljivo da mu se dodatno „ojača“ bezbednost, a to se postiže instalacijom i podešavanjem pluginova za bezbednost. A pre nego što pređemo na samu razradu priče, bitno je da shvatite da kada kažemo stepen WordPress zaštite u stvari mislimo na tri različite stvari: na samu zaštitu, nadzor i skeniranje sadržaja.

1. Zaštita – Ona podrazumeva dodatni stepen zaštite u okviru CMS-a. On se uglavnom postiže na dva različita načina. Prvi je uključivanjem/isključivanjem određenih opcija u odnosu na standardnu WordPress instalaciju. A drugi je ojačavanjem htaccess fajlova koji su temelj današnjih web servera.

2. Nadzor – Nadzor je u stvari sistem za praćenje svih procesa koji imaju veze sa funkcionisanjem i radom web sajta. On se pre svega svodi na to ko i kada pristupa kojim stranicama, tj. fajlovima, a onda i na to kakve se izmene dešavaju na temelju kompletnog CMS-a.

3. Skeniranje sadržaja – O ovome smo već pisali, ali hajde da još jednom sumiramo tu priču. Skeniranje sadržaja podrazumeva „duboko skeniranje“ svih fajlova od kojih je sastavljen Vaš sajt, a onda i upoređivanje sa onim što je izvorni fajl tj. originalna verzija CMS-a i pluginova koje koristite.

Postoji veliki broj različitih pluginova za bezbednost, ali mi ćemo ovde spomenuti samo četiri za koje smatramo da na najbolji način objedinjuju tri gore pomenuta stepena zaštite, a to su: Sucuri Security, iThemes Security, Wordfence i BulletProof Security. Sva četiri pomenuta plugina su prilično dobra, ali pre nego što krenemo dalje treba da imate u vidu i ovo:

• Nijedan od pomenutih pluginova ne pruža savršenu zaštitu, jer savršena zaštita ne postoji!
• Navedeni pluginovi su kompatibilni jedni sa drugima, ali samo ako pojedinačno koristite njihove različite, ali i izdvojene funkcije. Dakle, ne možete sve da ih instalirate, a onda da pouključujete sve moguće opcije i još pritom da očekujete da će sve normalno da funkcioniše. Jer neće!
• Nijedan od navedenih pluginova nema baš sve opcije koje imaju ovi drugi pluginovi, pogotovo ne besplatno.
• To što smo ovde opisali je validno za dan objavljivanja članka. Pluginovi za bezbednost se konstantno menjaju i sasvim je moguće da će se dosta toga izmeniti usput u vremenu koje je pred nama.
• Neuporedivo bolju funkcionalnost dobijate samo ako kupite premium verziju navedenih pluginova.
• Preporučljivo je da pored jednog od ovih pluginova instalirate i dodatne pluginove koji dopunjuju određenu funkcionalnost i pružaju dodatni stepen zaštite (o tome više možete pročitati pri dnu članka).

E sad. Mi smo testirali svaki od navedenih pluginova. I s razlogom možemo da kažemo da su veoma kvalitetni, te da pružaju dosta dobar stepen zaštite, čak i u free verziji. Ali naravno nećemo Vam reći da koristite ovaj ili onaj. Ta odluka mora biti samo Vaša. Umesto toga ćemo pokušati da njihovu funkcionalnost svedemo na što kraću formu, a Vi onda ako ste zainteresovani da pročitate više o tome, otvorite članak koji govori o pluginovima za bezbednost mnogo detaljnije nego što smo mi to učinili u okviru ovog članka. Evo i naše sublimacije:

• Sucuri Security – Sucuri je verovatno i najkvalitetniji od ovde pomenutih pluginova, ali u premium verziji. U free verziji daje prilično dobar modul za skeniranje, kao i određene opcije za „očvršćivanje“ web sajta. Ima veoma logičan korisnički interfejs i veoma lako ga je koristiti. Međutim, one najbolje opcije Sucuri-a su zaključane za free korisnike.
• iThemes Security – Jedan od najpopularnijih free pluginova, koji je sve do nedavno pružao visok stepen zaštite potpuno besplatno. S obzirom da ga je instalirao i da ga koristi izuzetno veliki broj WordPress korisnika, sa najnovijim apdejtima je delimično ograničen u vidu raspoloživih opcija. Prednost mu je svakako logičan interfejs, ali mu je mana nešto lošiji modul za skeniranje.
• Wordfence – Wordfence je odličan plugin čija je glavna prednost nadzor samog sajta. On naravno ima sve gore navedene osnovne elemente, ali recimo da nije toliko sjajan u delu koji se odnosi na očvršćivanje htaccess fajlova. Relativno je lagan i zauzima malo sistemskih resursa (pod uslovom da isključite neke od nepotrebnih opcija).
• BulletProof Security – Verovatno najlaganiji plugin u pogledu zauzeća sistemskih resursa. Odličan je kada je u pitanju očvršćivanje htaccess fajlova, doduše uz malo više truda u odnosu na druge navedene pluginove. Njegov nedostatak je svakako set alternativnih podešavanja, tj. opcija koje drugi pluginovi imaju čak i u free verziji.

U svakom slučaju, VEOMA VAŽNO je to da bilo koji od navedenih pluginova nakon instalacije i podesite kako treba. To obično nije teško. U većini slučajeva će Vam biti ponuđeni „čarobnjaci“ za podešavanje. Na kraju krajeva, pogledajte šta sve nudi instalirani plugin i informišite se preko Googla ako su Vam nejasne neke od opcija.

Dodatni pluginovi za još viši stepen zaštite

Akismet – Jedan od najvećih problema na svim modernim CMS-ovima su spam komentari. Na sreću Akismet taj problem rešava i to prilično dobro. Akismet je zapravo standardni deo gotovo svih WordPress instalacija. Da biste ga „pustili u pogon“ potrebno je da se registrujete kako biste dobili besplatan i potpuno funkcionalan API ključ koji zatim unesete u Akismet podešavanja i sistem je odmah potpuno funkcionalan.

Custom Login URL – Dobra je praksa kada se wp-login sakrije, tj. kada mu se izmeni standardna adresa. Tako se delimično sakriva identitet Vašeg CMS-a, a takođe i onemogućuje brute-force (metoda za provaljivanje logina). Ovaj plugin je veoma jednostavan i u svakom slučaju preporučljiv za upotrebu.

Duo Two-Factor Authentication – Duo sistem podrazumeva dvostepenu autentifikaciju. Nakon kucanja korisničkog imena i lozinke potrebno je da se dodatno autentifikujete (mobilnim telefonom ili emailom). Tako sprečavate neovlašćeno korišćenje Vašeg administrativnog panela, čak i ako neko ima Vaše login podatke. Upravo ovaj stepen zaštite, tj. Duo sistem koriste mnoge velike kuće: Cisco, Citrix, Microsoft, itd.

O čemu još valja razmišljati… (napredna podešavanja)

Gore navedeni pluginovi za bezbednost omogućuju dodatni stepen zaštite, koji podrazumeva uključivanje/isključivanje određenih opcija u okviru WordPressa. Međutim, kao što smo gore i napisali nema svaki od tih pluginova baš sve te opcije. To je zbog toga što se one smatraju niže-prioritetnim bezbednosnim podešavanjima. Ali to ne znači da su te opcije nebitne. Naprotiv!

Zato smo odlučili da neke od njih ovde navedemo (kako biste odlučili koji od navedenih pluginova da koristite ili da potražite dodatni stepen zaštite):

• Strong Passwords – Ova opcija omogućuje da prilikom registracije novih korisnika zahtevate korišćenje jakih lozinki.
• User blacklist – Omogućuje bannovanje određenih korisnika, kao i korišćenje internet baze korisnika.
• 404 Detection – Detekcija pristupanja nepostojećim fajlovima. Ovo je bitno, jer web roboti obično na taj način „opipavaju“ i traže slabe tačke na internetu.
• Away mode – Zaključavanje administracije u određenom periodu dana. Na primer zabrana pristupa administraciji od 0h do 6h ujutru.
• Database Backups – Automatsko kreiranje rezervne kopije kompletne baze i slanje iste na email.
• File Change Detection – Detekcija izmenjenih fajlova. Omogućuje skeniranje fajlova i pronalaženje izmenjenih fajlova.
• Directory Browsing – Zabrana pretraživanja „unutrašnjih“ direktorijuma koji čine strukturu WordPressa.
• Long URL Strings – Zabrana upotrebe dugačkih URL stringova, jer se ovim putem obično vrši ubacivanje zlonamernog koda u bazu podataka.
• Disable PHP in Uploads – Zabrana izvršavanja PHP fajlova iz Upload direktorijuma, jer se tamo obično nalaze samo slike koje uploadujete preko dela za sadržaj.
• Disable File Editor – Isključivanje WordPress fajl editora. Fajl editor najčešće koriste zlonamerni botovi koji ovim putem menjaju strukturu php fajlova u okviru Vašeg sajta.
• Disable XML-RPC – Ovu opciju takođe koriste zlonamerni botovi kako bi preuzli kontrolu nad Vašim sajtom. Ako ne koristite ovu opciju bilo bi najbolje da je u potpunosti isključite.
• Country Blocking – Hakerski napadi najčešće dolaze iz određenih zemalja. Zato se preporučuje isključivanje pristupa iz zemalja iz kojih ne očekujete nikakve posete.
• Rate Limiting Rules – Filter koji omogućuje određene akcije (na primer block ili throttle u slučaju određenih neuobičajenih aktivnosti – na pr. učestala 404 detekcija).
• Idle Session Logout – Logovanjem (p)ostavljate kolačić koji je moguće zloupotrebiti kako bi se preuzela kontrola nad sajtom ili Vašim nalogom. Zato je preporučljivo koristiti opciju za automatsko „izbacivanje“ iz administrativnog panela u slučaju neaktivnosti.

Kao što vidite, zaštita WordPress sajta je veoma ozbiljna stvar kojoj nije dobro olako pristupiti. Naša je preporuka da se što ozbiljnije pozabavite bezbednošću WordPressa. Nikada se ne zna odakle i kada bi se mogao desiti hakerski napad ili neki drugi vid zloupotrebe Vašeg sajta. Zato je bolje preduprediti sve što je moguće, a onda možete mirno da spavate. Jer bolje je sprečiti nego lečiti.

Pozivamo Vas da ovaj članak podelite na društvenoj mreži po svom izboru.

BONUS: Ako vas zanima kako da instalirate i koristite WordPress, sledite navedeni link.