Rubrika: Blog | Objavljeno: 12.07.2016.
Sadržaj:
3. Bezbednost računarske mreže
4. Bezbednost hostinga (servera)
5. Zaštita WordPress sajta
Bezbednost WP sajta je veoma kompleksna stvar kojoj je poželjno da pristupite što ozbiljnije. Dakle, ne radi se tu samo o tome da li Vam je sajt zaštićen ili ne. U tu priču su uvezane i neke druge okolnosti, tj. faktori koji mogu uticati na bezbednost sajta:
Sve gore navedeno je bitno. Dovoljno je da pukne samo jedna karika i Vaša bezbednost će biti kompromitovana. Zato je od ključnog značaja da svemu ovome pristupate maksimalno ozbiljno.
Kao što smo gore i rekli, veoma je bitno za bezbednost Vašeg sajta da Vam bude dobro zaštićen i potpuno čist i Vaš lični računar. A evo i zašto.
Većina nas svoje poslovne računare koristi i za neke druge lične stvari. Na primer za gledanje filmova, za korišćenje društvenih mreža i za mnoge druge stvari. Što je češća upotreba Vašeg računara u te neke druge svrhe, to je veća opasnost da ćete ga pre ili kasnije zaraziti nekim kompjuterskim virusom ili nečim još gorim.
A kada se to na kraju i desi, sve vaše šifre i poslovna korespodencija, kao i svi ostali podaci (lični i poslovni) idu na tacni i „na izvolite“ onima koji mogu veoma lako da zloupotrebe Vaš računar, a samim tim i Vaš sajt. Oni to ostvaruju putem računarskih virusa ili trojanaca, sve učestalije uz pomoć malvera koje nekada i sami u neznanju instalirate na sopstveni računar. Nedaj bože da Vam neko instalira keylogger koji prati sve što kucate na tastaturi ili kriptoloker koji „zaključava“ sve Vaše podatke i diže ih na internet, a onda od Vas traže ne-male sume novca da bi Vam vratili podatke.
Kako biste ovo sprečili savetujemo Vas sledeće:
1. Računar za posao koristite isključivo za posao
2. Budite sigurni da je računar čist, tj. da nema virusa, malvera ili bilo kakvih drugih zlonamernih skripti i kodova. Skenirajte ga svojim antivirusom i antimalverom. Mnogi antivirusi u današnje vreme sasvim lepo funkcionišu, ali daleko od toga da Vam pružaju sigurnu zaštitu. Pomirite se s tim da to jednostavno ne postoji!
3. Ne instalirajte nikakve sumnjive programe ili alatke, pogotovo ne krekovane. Koristite isključivo pouzdane i proverene alatke. Sve što ne koristite deinstalirajte!
4. Apdejtujte svoj operativni sistem, web browser, antivirus, antimalver, programe, itd.
5. Poželjno, ali ne i neophodno da umesto Windowsa koristite Linux. U današnje vreme Linux operativni sistemi pružaju komociju i moderan i prihvatljiv grafički interfejs koji imate i na Windowsu. Uz to su potpuno sigurni od virusa i malvera. Gotovo da ne postoji mogućnost da Linux kompromitujete na način kako se to veoma često dešava na Windowsu.
Nije dovoljno samo to da je Vaš računar bezbedan. Veoma je bitno da sajtu kao i ostatku interneta pristupate sa bezbedne računarske mreže.
Bilo bi dobro da Vaš računar, dakle mesto sa koga pristupate svom sajtu i hosting serveru ima zasebnu javnu i fiksnu IP adresu. Ako je Vaša IP adresa unikatna i ako se ona nikada ne menja, onda to možete da iskoristite kako biste zabranili svim ostalim IP adresama da pristupaju administraciji Vašeg sajta. To je dobra i preporučljiva metoda zaštite.
Ako to nije slučaj, onda barem pokušajte da svoj računar izolujete od ostatka Vaše računarske mreže, jer je činjenica da bukvalno svaki računar na mreži može da utiče i na Vašu bezbednost. To možete postići uz pomoć zaštitnog zida (softverskog ili hardverskog).
Ako na internet izlazite sa deljenom IP adresom, dakle adresom koju koriste i drugi korisnici na Vašoj mreži, onda znajte da sve akcije, kao i status bilo kog računara na mreži, odnosi se na sve ostale računare, pa i na Vaš.
Da li sajt hostujete na svom ili na deljenom serveru? Da li se pored Vašeg sajta na tom istom serveru nalaze i neki drugi sajtovi? Da li verujete svom hosting provajderu? Da li smatrate da je on stručan i da li je server kvalitetno zaštićen?
Sva ova pitanja Vam postavljamo iz jednog veoma prostog razloga. Sve i da imate najbolju moguću zaštitu na sajtu, ako je server na kome hostujete nezaštićen, onda Vam ta vaša kvalitetna zaštita sajta ništa ne vredi. Imali smo iskustva sa nekih deljenih servera gde su neki od naših klijenata držali svoje sajtove da su oni hakovani bukvalno sa drugih naloga. Kako to funkcioniše? Veoma jednostavno. Haker „probije“ bilo koji od sajtova koji se nalazi na Vašem serveru, a onda pokretanjem posebne skripte jednim potezom hakuje sve ostale sajtove.
Dakle, veoma je bitno gde i kako hostujete. Najbolje je kada se jedan sajt nalazi na izdvojenom VPS-u, ali ova opcija zahteva dosta više znanja, a i novca.
I evo nas kod glavne teme ovog članka, a to je svakako zaštita WordPress sajta. Dakle, o čemu sve treba da razmišljate kada je u pitanju bezbednost sajta – ukratko kako zaštititi WordPress sajt?
Pre nego što krenemo u tu priču šta sve treba da uradite kako biste ga zaštitili, hajde da prvo proverimo da li je on možda već kompromitovan. Da biste to proverili potrebno je da skenirate kompletan fajl sistem Vašeg sajta. Kako da to učinite?
Ako je sve u redu, nastavite da čitate, a ako nije onda se potrudite da uklonite sve što ste našli a da je zlonamerno na Vašem sajtu. Ako niste sigurni kako se to radi, savetujemo Vas da angažujete stručno lice, jer čišćenje hakovanih sajtova nije nimalo jednostavna stvar.
Ako ste upravo utvrdili da Vam je sajt 100% čist i potpuno funkcionalan, onda je pravi trenutak da napravite rezervnu kopiju celog sajta. Ovde nećemo pričati detaljno o tome kako se pravi rezervna kopija, jer to i nije tema ovog članka, ali treba da znate da je s vremena na vreme i više nego poželjno napraviti i sačuvati rezervnu kopiju celog sajta.
Postoje prilično dobri pluginovi za WordPress koji automatizuju ovaj proces, ali je naša preporuka da se backup pravi preko administrativnog hosting panela. Neki internet provajderi pružaju i tu mogućnost da se automatizuje proces čuvanja rezervne kopije (dnevno, nedeljno ili mesečno), a to je možda i najbolji pristup.
Od ključnog je značaja da u svakom trenutku imate poslednju verziju WordPressa, kao i svih pluginova i tema koje koristite na sajtu. Neažurni pluginovi i CMS su najčešći uzrok hakovanja sajtova. WordPress je zapravo prilično siguran CMS, ali kada je ažuriran.
Nijedan program nije savršen, pa tako ni WP. Pa ipak, ono što je bitno i što Vam pruža određenu sigurnost jeste činjenica da se on veoma često apdejtuje i usavršava. Bezbednost je uvek u prvom planu zajednice programera koji ga razvijaju.
Apdejtovati WordPress, pluginove i teme koje koristite je veoma lako. Sve što treba da uradite je da pokrenete apdejt, a CMS će sve ostalo sam odraditi. Ali vodite računa o tome da pre apdejta prvo napravite rezervnu kopiju celoga sajta, jer je moguće da će neki plugin ili tema imati problem sa kompatibilnošću sa novom verzijom CMS-a. Ako se to desi, prosto vratite samo staru verziju tog plugina – sve ostalo ne dirajte.
Još nešto, ali veoma bitno, u vezi pluginova i tema za WP: ne koristite crackovane verzije! One su veoma opasne, jer ne možete znati šta je u njih ugrađeno. A takođe ne možete ni da ih apdejtujete, što znači da i sa te strane nisu bezbedne.
I na kraju, sve dodatke ili teme koje ne koristite, brišite sa sajta! Nema potrebe da ih držite na sajtu, jer kao takve predstavljaju potencijalnu opasnost.
Bez obzira na to što je WordPress prilično bezbedno rešenje, ipak je i više nego preporučljivo da mu se dodatno „ojača“ bezbednost, a to se postiže instalacijom i podešavanjem pluginova za bezbednost. A pre nego što pređemo na samu razradu priče, bitno je da shvatite da kada kažemo stepen WordPress zaštite u stvari mislimo na tri različite stvari: na samu zaštitu, nadzor i skeniranje sadržaja.
1. Zaštita – Ona podrazumeva dodatni stepen zaštite u okviru CMS-a. On se uglavnom postiže na dva različita načina. Prvi je uključivanjem/isključivanjem određenih opcija u odnosu na standardnu WordPress instalaciju. A drugi je ojačavanjem htaccess fajlova koji su temelj današnjih web servera.
2. Nadzor – Nadzor je u stvari sistem za praćenje svih procesa koji imaju veze sa funkcionisanjem i radom web sajta. On se pre svega svodi na to ko i kada pristupa kojim stranicama, tj. fajlovima, a onda i na to kakve se izmene dešavaju na temelju kompletnog CMS-a.
3. Skeniranje sadržaja – O ovome smo već pisali, ali hajde da još jednom sumiramo tu priču. Skeniranje sadržaja podrazumeva „duboko skeniranje“ svih fajlova od kojih je sastavljen Vaš sajt, a onda i upoređivanje sa onim što je izvorni fajl tj. originalna verzija CMS-a i pluginova koje koristite.
Postoji veliki broj različitih pluginova za bezbednost, ali mi ćemo ovde spomenuti samo četiri za koje smatramo da na najbolji način objedinjuju tri gore pomenuta stepena zaštite, a to su: Sucuri Security, iThemes Security, Wordfence i BulletProof Security. Sva četiri pomenuta plugina su prilično dobra, ali pre nego što krenemo dalje treba da imate u vidu i ovo:
E sad. Mi smo testirali svaki od navedenih pluginova. I s razlogom možemo da kažemo da su veoma kvalitetni, te da pružaju dosta dobar stepen zaštite, čak i u free verziji. Ali naravno nećemo Vam reći da koristite ovaj ili onaj. Ta odluka mora biti samo Vaša. Umesto toga ćemo pokušati da njihovu funkcionalnost svedemo na što kraću formu, a Vi onda ako ste zainteresovani da pročitate više o tome, otvorite članak koji govori o pluginovima za bezbednost mnogo detaljnije nego što smo mi to učinili u okviru ovog članka. Evo i naše sublimacije:
U svakom slučaju, VEOMA VAŽNO je to da bilo koji od navedenih pluginova nakon instalacije i podesite kako treba. To obično nije teško. U većini slučajeva će Vam biti ponuđeni „čarobnjaci“ za podešavanje. Na kraju krajeva, pogledajte šta sve nudi instalirani plugin i informišite se preko Googla ako su Vam nejasne neke od opcija.
Akismet – Jedan od najvećih problema na svim modernim CMS-ovima su spam komentari. Na sreću Akismet taj problem rešava i to prilično dobro. Akismet je zapravo standardni deo gotovo svih WordPress instalacija. Da biste ga „pustili u pogon“ potrebno je da se registrujete kako biste dobili besplatan i potpuno funkcionalan API ključ koji zatim unesete u Akismet podešavanja i sistem je odmah potpuno funkcionalan.
Custom Login URL – Dobra je praksa kada se wp-login sakrije, tj. kada mu se izmeni standardna adresa. Tako se delimično sakriva identitet Vašeg CMS-a, a takođe i onemogućuje brute-force (metoda za provaljivanje logina). Ovaj plugin je veoma jednostavan i u svakom slučaju preporučljiv za upotrebu.
Duo Two-Factor Authentication – Duo sistem podrazumeva dvostepenu autentifikaciju. Nakon kucanja korisničkog imena i lozinke potrebno je da se dodatno autentifikujete (mobilnim telefonom ili emailom). Tako sprečavate neovlašćeno korišćenje Vašeg administrativnog panela, čak i ako neko ima Vaše login podatke. Upravo ovaj stepen zaštite, tj. Duo sistem koriste mnoge velike kuće: Cisco, Citrix, Microsoft, itd.
Gore navedeni pluginovi za bezbednost omogućuju dodatni stepen zaštite, koji podrazumeva uključivanje/isključivanje određenih opcija u okviru WordPressa. Međutim, kao što smo gore i napisali nema svaki od tih pluginova baš sve te opcije. To je zbog toga što se one smatraju niže-prioritetnim bezbednosnim podešavanjima. Ali to ne znači da su te opcije nebitne. Naprotiv!
Zato smo odlučili da neke od njih ovde navedemo (kako biste odlučili koji od navedenih pluginova da koristite ili da potražite dodatni stepen zaštite):
Kao što vidite, zaštita WordPress sajta je veoma ozbiljna stvar kojoj nije dobro olako pristupiti. Naša je preporuka da se što ozbiljnije pozabavite bezbednošću WordPressa. Nikada se ne zna odakle i kada bi se mogao desiti hakerski napad ili neki drugi vid zloupotrebe Vašeg sajta. Zato je bolje preduprediti sve što je moguće, a onda možete mirno da spavate. Jer bolje je sprečiti nego lečiti.
Pozivamo Vas da ovaj članak podelite na društvenoj mreži po svom izboru.
BONUS: Ako vas zanima kako da instalirate i koristite WordPress, sledite navedeni link.