Učitavanje...
Izmene su sačuvane.
Došlo je do greške!

Baza znanja

Bezbednost WordPress sajta

Da biste poboljšali bezbednost svog WordPress sajta, potrebno je uvažiti određene smernice...

 

Redovno ažuriranje softvera

Kao i kod svake web aplikacije, na prvom mestu je veoma važno da uvek redovno ažurirate verziju WordPress-a, kao i svih tema i dodataka koje postoje u okviru sajta. Svaki dodatak ili temu koje se ne koriste na sajtu treba obavezno obrisati sa servera, jer pluginovi i teme koji nisu u upotrebi takođe pretstavljaju bezbednosni rizik za vaš sajt i hosting nalog i takođe mogu biti zloupotrebljeni čak i ako nisu aktivirani u samoj aplikaciji. Svako i najmanje odlaganje ovih nadogradnji značajno povećava rizik od mogućeg hakovanja sajta i zloupotrebe hosting naloga.

 

Promena administratorskog naloga

Ako WP instalirate preko našeg Installatrona, u prvom koraku instalacije obavezno promenite korisničko ime administratora iz podrazumevanog “admin” u nešto drugo. Ukoliko ste već ranije na taj način instalirali WP, ali tom prilikom niste promenili "admin" korisničko ime, uđite sada ponovo u Installatron i u detaljima te WP aplikacije (view/edit details > attributes > edit these values) izmenite korisničko ime administratorskog naloga.

Ako ste WordPress instalirali manuelno, ulogujte se u administratorski panel (/wp-admin) i u delu “Users” izaberite “Add New”, popunite podatke i za “Role” izaberite Administrator. Nakon toga se izlogujte i ulogujte sa podacima tog novog administratorskog naloga, a onda u “Users” sekciji obrišite korisnika “admin”.

 

Zaštita od brute-force i drugih napada

Da biste sajt zaštitili od brute-force napada, možete instalirati plugin “Limit Login Attempts”, koji se može preuzeti sa adrese http://wordpress.org/extend/plugins/limit-login-attempts. Ovaj plugin ograničava broj uzastopnih pogrešnih pokušaja autentifikacije korisnika na WordPress sajt i opciono šalje email obaveštenje administratoru o incidentu.

Druga opcija je plugin "iThemes Security" (Better WordPress Security) koji pored zaštite od brute-force napada sadrži i mnogo više dodatnih bezbednosnih zaštita, a možete ga preuzeti na sledećoj adresi... http://wordpress.org/extend/plugins/better-wp-security/

Možete čak i dodatno zaštititi pristup /wp-admin lokaciji, upotrebom opcije "Password Protect Directory" u cPanelu, sa još jednom dodatnom šifrom čime će biti potpuno onemogućen pristup administratorskom nalogu.

Podrazumeva se da treba koristiti "jaku" šifru za svaki WP nalog, a više o tome možete pročitati u našem članku: http://www.dreamclients.com/help/desk/srpski/kb/article/kreiranje-bezbedne-sifre

 

Podešavanja dozvola

Potrebno je da atributi na svim fajlovima budu podešeni najviše na 644 (rw-r-r), odnosno na direktorijumima najviše 755 (rwx-rx-rx).
Atributi konfiguracionog fajla Wordpress-a wp-config.php, mogu biti podešeni na 600 čime bi bio potpuno zaštićen od čitanja od strane drugih korisnika na serveru.

Više o bezbednosnoj implementaciji PHP-a i dozvolama na našim serverima možete pročitati na sledećoj adresi:

https://www.dreamclients.com/help/desk/srpski/kb/article/suphp/sta-je-suphp-i-zasto-se-koristi

 

Dodatne opšte smernice

Zavisno od metoda instalacije WordPress-a, na serveru je moguće da još postoji fajl install.php u folderu wp-admin. Obrišite ga jer bi mogao da pretstavlja sigurnosni propust.

Ukoliko na vašem WP sajtu nemate potrebu za slobodnom registracijom novih korisnika, opciju “Anyone can register” možete isključiti na strani “Settings -> General”.




Slični članci