Ako imate online prisutnost, morate dati prednost sigurnosti. A ako je WordPress vaš CMS, svakako morate dati prioritet sigurnosti.
Općenito, WordPress je siguran CMS, ali budući da je otvorenog koda, pati od raznih kritičnih ranjivosti. Srećom, postizanje sigurnosti WordPressa jednostavno je kada poduzmete prave korake.
U ovom ćemo članku ući u detalje o najčešćim i opasnim sigurnosnim ranjivostima koje dolaze s korištenjem WordPressa. Zatim ćemo pokriti sve korake koji su vam potrebni za sigurnosno upravljanje web-stranicom WordPress.
Zašto je potrebna sigurnost na vašoj WordPress stranici
Razgovarajmo o razlozima zašto svaka uspješna web stranica izrađena s WordPressom daje prednost sigurnosti. To se odnosi na tvrtke svih veličina, ugleda i djelatnosti.
Štiti vaše podatke i ugled.
Ako napadači dođu do osobnih podataka o vama ili posjetiteljima vaše web stranice, nema kraja onome što bi mogli učiniti s tim informacijama. Sigurnosne povrede otvaraju vas za curenje javnih podataka, krađu identiteta, ransomware, rušenje poslužitelja, a popis se nažalost nastavlja. Nepotrebno je reći da je bilo koji od ovih događaja daleko od idealnog za rast i ugled vašeg poslovanja, te je obično veliki gubitak vremena, novca i energije.
Vaši posjetitelji to očekuju.
Kako vaše poslovanje raste, povećavat će se broj problema koje ćete morati riješiti i očekivanja vaših kupaca o tome kako ćete rješavati te probleme. Jedan od tih problema je zaštita podataka vaših klijenata. Ako ne možete pružiti ovu temeljnu uslugu od samog početka, potkopati ćete povjerenje svojih kupaca u vas.
Vaši klijenti moraju vjerovati da će se njihovi podaci koristiti i sigurno pohranjivati, bilo da su to podaci za kontakt, podaci o plaćanju (koje zahtijevaju usklađenost s PCI ) ili osnovni odgovor na anketu.
Google voli sigurne web stranice.
Održavanje sigurnosti vaše WordPress web stranice je kamen temeljac za održavanje web stranice visokog ranga.
Zašto? Zato što je sigurna web stranica pretraživa. Sigurnost web-mjesta izravno utječe na vidljivost iz pretraživanja na Googleu (i drugim tražilicama), i to već neko vrijeme. Sigurnost je jedan od najjednostavnijih načina za povećanje ranga pretraživanja . O tome koji drugi čimbenici utječu na to kako Google rangira vašu web stranicu možete pročitati u našem Ultimate Guide to Google Ranking Factors .
Jasno je da bi zaštita vaše internetske imovine trebala biti ključna briga. Svaka web stranica mora osigurati sigurnost za svoje posjetitelje i korisnike, a mi ćemo proći kroz korake za to. Ali prvo, možda se pitate: Je li WordPress siguran ?
Koliko je WordPress siguran?
WordPress je siguran sustav za upravljanje sadržajem. Međutim, može biti ranjiv na napade – baš kao i svaki CMS.
Nema načina zaobići: web stranice koje koriste WordPress popularna su meta za cyber napade. U svom izvješću o sigurnosti WordPress-a, usluga vatrozida pod nazivom Wordfence blokirala je ogromnih 18,5 milijardi zahtjeva za napadom lozinkom na WordPress web stranice. To je gotovo 20 milijardi napada samo na WordPress web stranice.
Ovo bi moglo biti manje iznenađujuće, znajući da 42,7% svih web stranica koristi WordPress. Ipak, gotovo dvadeset milijardi napada i dalje je prilično visoka, čak i kada se uzme u obzir tržišni udio WordPressa.
Loše vijesti se nastavljaju: 8 od 10 sigurnosnih rizika za WordPress spada u ocjenu ozbiljnosti “srednju” ili “visoku” prema zajedničkom sustavu bodovanja ranjivosti .
Ali prije nego što izbrišete svoj WordPress račun, trebali biste znati da ti brojevi nisu u potpunosti krivnja WordPressa. Ili, barem, nije kriv sam WordPress proizvod.
WordPress zapošljava veliki sigurnosni tim istraživača i inženjera svjetske klase koji traže ranjivosti u svom sustavu i redovito objavljuje sigurnosna ažuriranja za svoj softver. Što se tiče WordPress jezgre, pokriveni smo. Problem leži u tome kako je WordPress dostupan svojim korisnicima.
WordPress je softver otvorenog koda, što znači da je izvorni kod dostupan svima za modificiranje i distribuciju. Budući da je WordPress otvorenog koda, softver je beskrajno prilagodljiv i optimiziran. Postoje tisuće dodataka, tema i programera s vještinama da sami modificiraju pozadinski kod. Ova je fleksibilnost ključna značajka WordPressa i veliki dio onoga što ga čini tako moćnim i široko korištenim.
Loša strana sve te slobode je ta što je nepropisno konfigurirana ili održavana WordPress web stranica sklona bezbrojnim sigurnosnim problemima. WordPress svojim korisnicima daje veliku moć, a uz veliku moć dolazi i velika odgovornost. Odgovornost koju mnogi sliježu ramenima. Hakeri to znaju i prema tome ciljaju WordPress web stranice.
Ipak, možete biti mirni znajući sljedeće: Savršena sigurnost jednostavno ne postoji, pogotovo na mreži. Kao što WordPress navodi :
“[Sigurnost] je smanjenje rizika, a ne uklanjanje rizika. Radi se o korištenju svih odgovarajućih kontrola koje su vam dostupne, unutar razumnog okvira, koje vam omogućuju da poboljšate svoje cjelokupno držanje smanjujući izglede da postanete meta, a nakon toga budete hakirani.”
Nikada ne možete jamčiti potpuni imunitet na internetske prijetnje, ali možete poduzeti korake kako biste smanjili njihovu vjerojatnost. Činjenica da ovo čitate znači da vam je vjerojatno stalo do sigurnosti i da ste spremni učiniti sve da zaštitite sebe i vaše posjetitelje. Ukratko, WordPress je siguran , ali samo ako njegovi korisnici ozbiljno shvaćaju sigurnost i slijede najbolje prakse.
Sigurnosni problemi WordPressa
Dakle, što bi se moglo dogoditi ako netko odluči gurnuti sve ove brojke u stranu i ne poduzeti ništa da osigura svoju WordPress stranicu? Kako se ispostavilo, puno. Najčešći tipovi cyber napada na WordPress web stranice su:
Skriptiranje na više web stranica (XSS)
XSS se događa kada napadač “ubrizga” zlonamjerni kod u pozadinu ciljane web stranice kako bi izvukao informacije i napravio pustoš u funkcionalnosti web-mjesta. Ovaj se kod može uvesti u pozadinu na složenije načine ili ga poslati jednostavno kao odgovor u obliku koji je okrenut korisniku.
Backdoor
Backdoor je datoteka koja sadrži kod koji napadaču omogućuje da zaobiđe standardnu prijavu na WordPress i pristupi vašoj stranici u bilo kojem trenutku. Napadači obično postavljaju backdoor među druge izvorne datoteke WordPressa, što ih čini teškim za pronalaženje neiskusnim korisnicima. Čak i kada su uklonjeni, napadači mogu napisati varijante ovog backdoor-a i nastaviti ih koristiti kako bi zaobišli vašu prijavu.
Iako WordPress ograničava koje vrste datoteka korisnici mogu prenijeti kako bi se smanjila mogućnost backdoor-a, to je još uvijek veliki problem kojeg treba biti svjestan.
Napadi uskraćivanja usluge (DoS).
Ovi napadi sprječavaju ovlaštene korisnike da pristupe vlastitoj web stranici. DoS napadi se najčešće izvode preopterećenjem poslužitelja prometom i izazivanjem rušenja. Učinci se pogoršavaju u slučaju distribuiranog napada uskraćivanja usluge (DDoS), DoS napada kojeg provodi više strojeva odjednom.
Krađa identiteta
Kada napadač kontaktira cilj koji se predstavlja kao legitimna tvrtka ili usluga, to je poznato kao phishing . Pokušaji krađe identiteta obično navode cilj da odustane od osobnih podataka, preuzme zlonamjerni softver ili posjeti opasnu web stranicu. Ako napadač pristupi vašem WordPress računu, mogao bi čak koordinirati napade krađe identiteta na vaše klijente dok se predstavljate kao vi.
Hotlinking
Hotlinking se događa kada druga web stranica prikazuje ugrađeni sadržaj (obično sliku) koji se nalazi na vašoj web stranici bez dopuštenja, tako da se sadržaj čini kao da je njihov. Iako je više nalik krađi nego potpunom napadu, hotlinking je obično protuzakonit i zadaje žrtvi ozbiljne probleme, budući da moraju platiti svaki put kada se sadržaj dohvati s njihovog poslužitelja kada se prikaže na drugoj web stranici.
Da bi se ti zločini dogodili, hakeri moraju otkriti rupe u sigurnosti web-mjesta. Uobičajene ranjivosti koje hakeri traže kada ciljaju WordPress web stranice uključuju:
- Dodaci: dodaci trećih strana uzrokuju većinu kršenja sigurnosti WordPressa. Budući da dodatke stvaraju treće strane i imaju pristup pozadinskom dijelu vaše web stranice, oni su uobičajeni kanal za hakere da ometaju funkcionalnost vaše stranice.
- Zastarjele verzije WordPressa: WordPress ponekad izdaje nove verzije svog softvera kako bi zakrpio sigurnosne ranjivosti. Kada se pojave popravci, ranjivosti postaju javno poznato, a problemi sa starim verzijama WordPressa često su na meti hakera.
- Stranica za prijavu: Pozadinska stranica za prijavu za bilo koju WordPress web stranicu prema zadanim je postavkama glavni URL stranice s dodanim “/wp-admin” ili “/wp-login.php” na kraju. Napadači mogu lako pronaći ovu stranicu i pokušati ući grubom silom.
- Teme: Da, čak i vaša WordPress tema može otvoriti vašu web stranicu za cyber napade. Zastarjele teme mogu biti nekompatibilne s najnovijom verzijom WordPressa, što omogućuje jednostavan pristup vašim izvornim datotekama. Također, mnoge teme trećih strana ne prate WordPress standarde za kod, što uzrokuje probleme s kompatibilnošću i slične ranjivosti.
Za dublji pogled na sigurnosne probleme WordPressa, pogledajte naš članak o sigurnosnim problemima WordPressa o kojima biste trebali znati .
Kako osigurati svoju WordPress stranicu
- Osigurajte svoje postupke prijave.
- Koristite siguran WordPress hosting.
- Ažurirajte svoju verziju WordPress-a.
- Ažurirajte na najnoviju verziju PHP-a.
- Instalirajte jedan ili više sigurnosnih dodataka.
- Koristite sigurnu WordPress temu.
- Omogućite SSL/HTTPS.
- Instalirajte vatrozid.
- Sigurnosno kopirajte svoju web stranicu.
- Redovito provodite sigurnosna skeniranja WordPressa.
- Filtrirajte posebne znakove iz korisničkog unosa.
- Ograničite korisnička dopuštenja za WordPress.
- Koristite praćenje WordPressa.
- Zabilježite aktivnost korisnika.
- Promijenite zadani URL za prijavu na WordPress.
- Onemogućite uređivanje datoteka na nadzornoj ploči WordPress.
- Promijenite prefiks datoteke baze podataka.
- Onemogućite svoju datoteku xmlrpc.php.
- Razmislite o brisanju zadanog WordPress administratorskog računa.
- Razmislite o skrivanju svoje verzije WordPressa.
Sada kada smo prošli strašni dio, razgovarajmo o tome što možete učiniti kako biste smanjili prijetnju cyber napada na vaše WordPress web mjesto.
Sigurnost web stranice, a time i sigurnost WordPress web stranice, svodi se na praćenje niza najboljih praksi. Neki od njih se primjenjuju na sve web stranice općenito (npr. jake lozinke i dvofaktorska autentifikacija, SSL i vatrozidi), dok se drugi odnose posebno na WordPress web stranice (npr. korištenje sigurnih dodataka i sigurne WordPress teme).
Kako bi vaša web-lokacija bila najsigurnija, preporučujemo da se pridržavate što više od ovih najboljih primjera iz prakse koliko možete. Prvo ćemo pokriti osnovne najbolje primjere iz prakse. Zatim ćemo dodati dodatne korake koje možete poduzeti ako je vaša web-lokacija posebno ugrožena ili ako želite ići još dalje.
Najbolji sigurnosni primjeri iz prakse za WordPress
1. Osigurajte svoje postupke prijave.
Najosnovniji korak za osiguranje vaše web stranice je zaštita vaših računa od zlonamjernih pokušaja prijave. Uraditi ovo:
- Koristite jake lozinke : Nekad smo mislili da će u budućnosti biti letećih automobila, ali od ove godine ljudi i dalje koriste “123456” kao lozinku . Provjerite koriste li svi korisnici s računima na vašem pozadinskom dijelu WordPress-a jake lozinke za prijavu. Možda ćete htjeti koristiti jedan od naših preporučenih upravitelja lozinki za generiranje jakih lozinki i njihovo praćenje za vas.
- Omogući provjeru autentičnosti s dva faktora : Dvofaktorska autentikacija (2FA) zahtijeva od korisnika da potvrde svoju prijavu s drugim uređajem. Ovo je jedan od najjednostavnijih, ali najučinkovitijih alata za osiguranje vaše prijave. Evo kako dodati dvofaktorsku autentifikaciju u WordPress .
- Nemojte unositi korisničko ime za korisnički račun kao “admin” : velika je vjerojatnost da će ovo biti prvo korisničko ime koje će napadači uključiti tijekom pokušaja brutalne prijave. Ako ste već stvorili korisnika s ovim imenom, stvorite novi administratorski račun s drugim korisničkim imenom.
- Ograničite pokušaje prijave : Ograničavanje broja puta kada korisnik unese pogrešne vjerodajnice u određenom vremenskom razdoblju spriječit će hakere da grubo nametnu prijavu. Neke usluge hostinga i vatrozidi mogu se pobrinuti za to umjesto vas, ali također možete instalirati dodatak kao što je Ograniči pokušaje prijave za posao.
- Dodajte captcha : vjerojatno ste vidjeli ovu sigurnosnu značajku na mnogim drugim web-mjestima. Oni dodaju dodatni sloj sigurnosti vašoj prijavi provjeravajući da ste doista živa osoba. Možete koristiti dodatke za dodavanje captcha na svoju stranicu.
- Omogućite automatsku odjavu : Iako biste se trebali sjetiti da se odjavite sa svog WP računa kada završite, automatska odjava sprječava strance da njuškaju po vašem računu ako zaboravite. Da biste omogućili automatsku odjavu na svom WordPress računu, isprobajte dodatak za neaktivnu odjavu.
2. Koristite siguran WordPress hosting.
Prilikom odabira usluge na kojoj se nalazi vaša web stranica, potrebno je uzeti u obzir mnogo čimbenika, ali sigurnost bi trebala biti glavni prioritet. Razmislite o uslugama koje su poduzele korake za zaštitu vaših podataka i brzi oporavak ako dođe do napada. Pogledajte naš popis preporučenih davatelja usluga WordPress hostinga .
3. Ažurirajte svoju verziju WordPress-a.
Zastarjele verzije softvera WordPress vrlo su česta meta hakera. Provjerite jeste li redovito provjeravali i instalirali WordPress ažuriranja što je prije moguće kako biste uklonili ranjivosti pronađene u starijim verzijama.
Da biste ažurirali WordPress na najnoviju verziju, prvo napravite sigurnosnu kopiju svoje web-lokacije i provjerite jesu li vaši dodaci kompatibilni s najnovijom verzijom WordPressa, ažurirajte dodatke u skladu s tim. Možete pogledati naš vodič kako ažurirati svoje WordPress dodatke .
Nakon ažuriranja dodataka, slijedite upute za ažuriranje na web-mjestu WordPress-a .
4. Ažurirajte na najnoviju verziju PHP-a.
Nadogradnja na najnoviju verziju PHP- a jedan je od najvažnijih koraka koje možete poduzeti kako biste svoju WordPress web stranicu zaštitili. Kada je nadogradnja spremna, WordPress će vas obavijestiti na vašoj nadzornoj ploči. Zatim će vas pozvati da se uputite na svoj hosting račun kako biste nadogradili na najnoviju verziju PHP-a. Ako nemate pristup svom hosting računu, kontaktirajte svog web programera radi nadogradnje.
5. Instalirajte jedan ili više sigurnosnih dodataka.
Toplo preporučujemo instaliranje jednog ili više renomiranih sigurnosnih dodataka na svoju web stranicu. Ovi dodaci obavljaju veći dio ručnog posla koji se odnosi na sigurnost, uključujući skeniranje vaše web stranice radi pokušaja infiltracije, mijenjanje izvornih datoteka koje bi vaše web-mjesto mogle učiniti osjetljivim, resetiranje i vraćanje WordPress stranice i sprječavanje krađe sadržaja poput hotlinka. Neki renomirani dodaci pokrivaju gotovo sve na ovom popisu.
Koje god dodatke odlučite instalirati, sigurnosno ili ne, provjerite jesu li dobro uspostavljeni i legitimni. Pogledajte naš popis preporučenih WordPress sigurnosnih dodataka .
6. Koristite sigurnu WordPress temu.
Baš kao što ne biste trebali instalirati skiciran dodatak na svoju web-lokaciju, oduprite se želji da koristite bilo koju WordPress temu koja izgleda dobro. Kako biste spriječili ranjivosti uzrokovane WordPress temom, odaberite onu koja je u skladu s WordPress standardima.
Da biste provjerili zadovoljava li vaša trenutna tema WordPress zahtjeve, kopirajte URL svoje web stranice (ili URL bilo koje WordPress stranice ili demo uživo bilo koje teme) u W3C-ov validator . Ako utvrdite da vaša tema nije usklađena, potražite novu temu u službenom imeniku tema WordPressa . Sve teme u ovom direktoriju sigurno su kompatibilne s WordPress softverom. Alternativno, pogledajte HubSpotov popis preporučenih WordPress tema ili pretražite drugo vjerodostojno tržište tema.
7. Omogućite SSL/HTTPS.
SSL (Secure Sockets Layer) je tehnologija koja šifrira veze između vaše web stranice i web preglednika posjetitelja, osiguravajući da je promet između vaše stranice i računala vaših posjetitelja siguran od neželjenih presretanja.
Vaša WordPress stranica treba omogućiti SSL. Ovisno o vašem slučaju korištenja, možete se odlučiti da to učinite ručno ili koristiti namjenski SSL dodatak . Ne samo da će potaknuti SEO, već i izravno utječe na prvi dojam vaših posjetitelja o vašoj web stranici. Google Chrome će čak upozoriti korisnike ako stranica koju posjećuju ne slijedi SSL protokol, što izravno smanjuje promet web stranice.
Da biste vidjeli prati li vaša WordPress stranica SSL protokol, posjetite početnu stranicu svoje WordPress stranice. Ako URL početne stranice počinje s “https://” (“s” znači “sigurno”), vaša je veza zaštićena SSL-om. Ako URL počinje s “http://”, morat ćete nabaviti SSL certifikat za svoju web stranicu .
8. Instalirajte vatrozid.
Vatrozid se nalazi između mreže koja hostira vašu WordPress stranicu i svih ostalih mreža i automatski sprječava neovlašteni promet da izvana uđe u vašu mrežu ili sustav. Vatrozidi sprječavaju zlonamjerne aktivnosti na vašoj web-lokaciji eliminirajući izravnu vezu između vaše mreže i drugih mreža.
Preporučujemo da instalirate dodatak za vatrozid za web aplikacije (WAF) kako biste zaštitili svoju WordPress stranicu. Kao i sa svim ostalim na ovom popisu, pažljivo razmislite koja vrsta vatrozida i koji dodatak najbolje odgovara vašim potrebama prije nego što odaberete.
9. Napravite sigurnosnu kopiju svoje web stranice.
Biti hakiran je loše. Gubitak svih vaših podataka još je gori. Pobrinite se da WordPress i vaš domaćin imaju sigurnosnu kopiju podataka vaše web stranice u slučaju napada (ili bilo kojeg drugog incidenta) koji uzrokuje gubitak podataka. Preporučujemo i da sigurnosne kopije budu automatske. Pogledajte naš popis najboljih dostupnih WordPress dodataka za sigurnosnu kopiju .
10. Redovito provodite sigurnosna skeniranja.
Dobra je ideja provoditi rutinske provjere na svojoj web lokaciji. Ciljajte barem jednom mjesečno. Postoji više dodataka koji mogu skenirati vašu stranicu umjesto vas.
Nakon što poduzmete ove osnovne korake, možete prijeći na naprednije mjere za osiguranje svoje WordPress web stranice.
Najbolji primjeri iz prakse za naprednu sigurnost u WordPressu
1. Filtrirajte posebne znakove iz korisničkog unosa.
Ako bilo koji dio vaše web stranice prihvaća odgovor posjetitelja, bilo da je to obrazac za plaćanje, obrazac za kontakt ili čak odjeljak za komentare na blogu, ovo je prilika za napad XSS-a. Napadači bi mogli unijeti zlonamjerni kod u bilo koje od ovih tekstualnih polja i poremetiti pozadinu vaše web stranice.
Kako biste izbjegli ovaj problem, provjerite jeste li filtrirali posebne znakove iz korisničkog unosa prije nego što ih vaša stranica obradi i pohrani u bazu podataka. Također možete koristiti dodatak za otkrivanje zlonamjernog koda . Alternativno, možete koristiti dodatak za WordPress obrazac za automatsko filtriranje ovih znakova.
2. Ograničite korisnička dopuštenja za WordPress.
Ako vaša WordPress stranica ima više korisničkih računa, preporučujemo da promijenite uloge svakog korisnika kako biste ograničili njihov pristup samo na ono što im je potrebno. WordPress ima šest uloga za odabir za svakog korisnika. Ograničavanjem broja korisnika s administratorskim dopuštenjima, smanjujete mogućnost napadača grubom prisilom da uđe u administratorski račun i ograničavate štetu koja se može učiniti ako napadač ispravno pogodi vjerodajnice korisnika. Pogledajte naš vodič o tome kako promijeniti korisnička dopuštenja za WordPress .
3. Koristite praćenje WordPressa.
Posjedovanje sustava za praćenje vaše web stranice upozorit će vas na svaku sumnjivu aktivnost koja se dogodi na vašoj web stranici. U idealnom slučaju, vaše druge mjere bi spriječile takvu aktivnost, ali bolje je to saznati prije nego kasnije. Možete koristiti WordPress dodatak za praćenje da biste dobili upozorenje u slučaju da dođe do kršenja.
4. Zabilježite aktivnost korisnika.
Evo još jednog načina da izbjegnete probleme prije nego što se pojave: Izradite zapisnik svih aktivnosti koje korisnici poduzimaju na vašoj web-lokaciji i povremeno provjeravajte ovaj zapisnik za sumnjive aktivnosti. Na ovaj način vidjet ćete ponaša li se drugi korisnik sumnjivo (npr. pokušava promijeniti lozinke, mijenjati temu ili datoteke dodataka, instalirati ili deaktivirati dodatke bez dopuštenja). Dnevnici su također korisni za čišćenje nakon haka, pokazujući vam što je pošlo po zlu i kada.
To ne znači da su sve promjene lozinke ili datoteke uvijek znakovi hakera u vašem timu. Međutim, ako zapošljavate mnogo vanjskih suradnika i dajete im dopuštenja za pristup, uvijek je dobro pripaziti na stvari.
Mnogi WordPress dodaci stvaraju zapisnike aktivnosti , a postoji i nekoliko namjenskih dodataka za prijavu za WordPress poput WP Activity Log ili besplatnog dodatka Activity Log .
5. Promijenite zadani URL za prijavu na WordPress.
Kao što sam spomenuo, zadani URL stranice za prijavu na WordPress za bilo koju WordPress stranicu lako je pronaći. Dodaci poput WPS Hide Login mijenjaju URL ove stranice za prijavu umjesto vas.
6. Onemogućite uređivanje datoteka na nadzornoj ploči WordPress.
WordPress prema zadanim postavkama dopušta administratorima da uređuju kod svojih datoteka izravno pomoću uređivača koda. To napadačima daje jednostavan način da izmijene vaše datoteke ako dobiju pristup vašem računu.
7. Promijenite prefiks datoteke baze podataka.
Nazivi datoteka koje čine vašu WordPress bazu podataka počinju s “wp_” prema zadanim postavkama. Hakeri koriste ovu postavku za lociranje datoteka vaše baze podataka po imenu i izvođenje SQL injekcija.
Jednostavan popravak? Promijenite prefiks u nešto drugačije, poput “wpdb_” ili “wptable_”. To je moguće postaviti prilikom instalacije WordPress CMS-a. Ako je vaša web lokacija već dostupna s ovom postavkom, možete preimenovati ove datoteke. U ovom slučaju, toplo preporučamo korištenje dodatka za rukovanje ovim procesom, budući da vaša baza podataka pohranjuje sav vaš sadržaj i pogrešna konfiguracija će slomiti vašu web stranicu. Potražite mogućnost promjene prefiksa tablice među značajkama vašeg preferiranog sigurnosnog dodatka.
8. Onemogućite datoteku xmlrpc.php.
XML-RPC je komunikacijski protokol koji WordPress CMS-u omogućuje interakciju s vanjskim web i mobilnim aplikacijama. Od ugradnje WordPress REST API-ja , XML-RPC se koristi mnogo rjeđe nego što je bio prije. Međutim, neki ga još uvijek koriste za pokretanje snažnih napada na WordPress stranice.
To je zato što XML-RPC tehnologija omogućuje napadačima da podnose zahtjeve koji sadrže stotine naredbi, što olakšava počiniti napade brutalne sile. XML-RPC je također manje siguran od REST-a jer njegovi zahtjevi sadrže vjerodajnice za provjeru autentičnosti koje se mogu iskoristiti.
Ako ne koristite XML-RPC, možete onemogućiti datoteku xmlrpc.php. Najprije provjerite koristi li vaša stranica tu datoteku. Uključite svoj URL u ovaj XML-RPC validator kako biste provjerili koristi li vaša web stranica trenutno taj protokol. Ako ne, najlakši način da onemogućite ovu datoteku je dodatak kao što je Onemogući XML-RPC-API . Vaš WordPress sigurnosni dodatak također može to učiniti umjesto vas.
9. Razmislite o brisanju zadanog WordPress administratorskog računa.
Razgovarali smo o promjeni korisničkog imena “admin” za zadani WordPress administratorski račun, ali ako želite napraviti korak dalje, riješite se ovog zadanog računa u potpunosti i napravite novi račun s istim administratorskim dopuštenjima. Ovo je dobar korak koji treba poduzeti ako mislite da su otkriveni vaše izvorno korisničko ime i lozinka administratora.
10. Razmislite o skrivanju svoje WordPress verzije.
Skrivanje vaše WordPress verzije osigurat će da hakeri ne znaju da je vaša stranica ranjiva. Kao što je prethodno objašnjeno, uvijek morate ažurirati na najnoviju verziju WordPressa. Ali ako još niste dobili priliku za to, ključno je sakriti potencijalnu ranjivost. Evo vodiča o tome kako sakriti svoju verziju WordPressa .
Što učiniti ako ste hakirani
Dakle, implementirali ste neke ili sve gore navedene mjere i sada želite biti dodatno pripremljeni u slučaju da nešto pođe po zlu. Ili je nešto pošlo po zlu. U svakom slučaju, evo što trebate učiniti:
1. Ostanite mirni.
Prirodna je panika u takvim situacijama. Samo zapamtite da se sigurnosna povreda može dogoditi svakome. Potrebno je imati čistu glavu kako biste mogli locirati izvor kršenja i početi ga rješavati.
2. Uključite način održavanja na svojoj web stranici.
Ograničavanje pristupa vašoj web-lokaciji drži posjetitelje podalje s vaše strane i sigurni od napada. Svoju web stranicu otvarajte samo kada ste sigurni da je situacija pod kontrolom.
3. Počnite stvarati izvješće o incidentu.
Zabilježite sve relevantne pojedinosti koje mogu pomoći u rješavanju problema. To uključuje, ali nije ograničeno na:
- Kad ste otkrili problem.
- Što vas je navelo da vjerujete da ste napadnuti.
- Vaša trenutna tema, aktivni dodaci, davatelj usluga hostinga i mrežni davatelj usluga.
- Sve nedavne promjene koje ste napravili na svojoj WordPress stranici prije incidenta.
- Zapisnik vaših radnji tijekom pronalaženja i rješavanja problema.
Ažurirajte ovaj dokument kako više pojedinosti bude dostupno.
4. Poništite pristup i dopuštenja.
Promijenite sve lozinke računa na svojoj WordPress stranici kako biste spriječili bilo kakve daljnje promjene web stranice. Zatim prisilno odjavite sve korisnike koji su još uvijek prijavljeni.
Svi vlasnici računa također bi trebali ozbiljno razmotriti ažuriranje lozinki na svojim radnim i osobnim uređajima, kao i osobnim računima, budući da ne možete sa sigurnošću znati čemu su napadači mogli pristupiti izvan vaše WordPress stranice.
5. Dijagnosticirajte problem.
Ili sami potražite problem pomoću sigurnosnog dodatka ili, ovisno o razmjeru napada, unajmite stručnjaka da dijagnosticira problem i popravi vašu stranicu. Bez obzira na to koju metodu odaberete, pokrenite sigurnosno skeniranje svoje web-lokacije i lokalnih datoteka kako biste izbrisali sve preostale štetne datoteke ili kod koji su napadači možda ostavili i vratili sve datoteke koje nedostaju.
6. Pregledajte povezane web stranice i kanale.
Ako imate račune za bilo koju drugu online platformu povezanu s vašom web-stranicom, kao što je račun društvenih medija ili druga WordPress stranica, provjerite te platforme da vidite jesu li pogođene. Promijenite i svoje lozinke za ove kanale.
7. Ponovno instalirajte sigurnosnu kopiju, teme i dodatke.
Ponovno instalirajte svoju temu i dodatke (dvaput provjerite jesu li sigurni). Ako imate sigurnosnu kopiju, vratite najnoviju sigurnosnu kopiju prije incidenta.
8. Ponovno promijenite lozinke svoje stranice.
Da, prije ste poništili sve WordPress lozinke, ali te su vjerodajnice mogle biti ugrožene dok ste rješavali problem. Nikada ne možete biti previše oprezni.
9. Upozorite svoje kupce i dionike.
Nakon što je vaša web-lokacija ponovno pokrenuta, dobro razmislite o tome da kontaktirate svoje klijente i upozorite ih na napad, posebno ako je pristupljeno osobnim podacima i procurili su. To je ispravna stvar i budite spremni na negativne odgovore kupaca.
10. Provjerite da vaša web stranica nije na crnoj listi Googlea.
Ako je vaša web stranica bila na crnoj listi od strane Googlea kao rezultat napada, Google će upozoriti korisnike na ulazak na vašu web stranicu.
Iako je stavljanje na crnu listu neophodno kako bi se korisnici podalje od štetnih web-mjesta, također će uplašiti većinu prometa s vaše legitimne stranice.
Ne uzimajte sigurnost zdravo za gotovo.
Cyber-kriminalci neprestano razvijaju nove načine za iskorištavanje prisutnosti tvrtki na mreži protiv njih, a sigurnosni inženjeri uvijek razvijaju nove metode kako bi ih zaustavili. Ovo je ciklus sigurnosti na internetu koji se neprestano okreće, a svi smo uhvaćeni u sredini. Uvijek imajte na umu sigurnost svojih kupaca kako bi imali jednu stvar manje za brigu.
Trenutno se čita:
Uncategorized
Najbolje značajke koje bi web stranica restorana trebala imati
Web dizajn & development Savjeti za digitalni marketing
Koje ključne elemente kod izrade web stranice morate imati
Web dizajn & development
Osnovne značajke koje web-mjesto vaše financijske institucije mora imati
Savjeti za web trgovine
10 stvari koje pogrešno radite u svojoj web trgovini i kako ih ispraviti – pravi primjeri
Web dizajn & development
Kako napraviti sjajnu web-stranicu za malu tvrtku
Digitalni marketing Savjeti za digitalni marketing
Alati za digitalni marketing koji će vam pomoći ojačati vašu malu tvrtku
Web dizajn & development
Što sve mora sadržavati web stranica vrtića ili predškolskog obrazovanja – vodič
Web dizajn & development
Koje su ključne značajke medicinske web stranice