Priljubljeni sistem za upravljanje vsebine WordPress je postal zelo razširjen. V tem članku vam želimo podati nekaj nasvetov za zavarovanje namestitve WordPressa.
Zaradi velike razširjenosti WordPressa je žal tudi priljubljena tarča hekerjev in žal se vedno znova pojavljajo tudi samodejni napadi na namestitve WordPressa, ki preverjajo, ali vsebujejo znane varnostne ranljivosti.
Zato je zelo pomembno, da WordPress vedno posodabljate. Za profesionalno uporabo je zato smiselno, da za posodabljanje WordPressa pooblastite agencijo in izberete spletnega gostitelja, ki uporablja tudi požarni zid, da sistem čim bolje zaščiti pred znanimi napadi.
Tukaj smo navedli najpomembnejše točke, kako zaščititi namestitev WordPressa.
[tie_list type="checklist"]- Vedno posodabljajte WordPress
WordPress ni le programska oprema za bloge, temveč ga je mogoče opremiti s številnimi funkcijami s tako imenovanimi vtičniki, tj. razširitvami. Številni uporabniki uporabljajo posebne vtičnike in vzorce (teme) za posamezna spletna mesta. Glavna težava napadov je pomanjkanje posodobitev namestitev.
Nasvet: Če je mogoče, za namestitev WordPressa izberite spletnega gostitelja z upravljalnim vmesnikom, ki vam pomaga posodabljati WordPress in vtičnike. Naše priporočilo je uporaba Plesk kot programska oprema za upravljanje.
Aktivirajte samodejno posodabljanje WordPressa.
Programska oprema je tako vedno posodobljena. To je mogoče tudi za številne izdelke Plusins.
Priporočljivo je, da se redno prijavljate v upravljalni vmesnik WordPressa in preverjate trenutno stanje programske opreme. WordPress neposredno prikazuje, ali so posodobitve na voljo.
Bolj problematične so teme, tj. pripravljene zasnove, ki običajno vsebujejo plačljive dodatke. Te teme se običajno ne namestijo samodejno, temveč jih je treba posodobiti ročno. To lahko storite tako, da od proizvajalca prenesete trenutno različico teme in jo kopirate v imenik tem. Po posodobitvi je običajno treba v administraciji teme opraviti le nekaj nastavitev.
[tie_list type="checklist"]- Uporabite šifrirane povezave.
Podatki za prijavo v WordPress so zelo zaželeni in jih je mogoče zlahka izslediti v nezavarovanem omrežju, npr. ko se prijavite v odprto omrežje Wi-Fi v restavraciji ali hotelu.
Zato morate za domačo stran vedno uporabiti potrdilo. Najbolje je izbrati spletnega gostitelja, ki vam lahko nastavi potrdilo. Stroški za strokovno zaščito vaše namestitve znašajo le nekaj evrov na leto.
Vedno se prepričajte, da imate šifriran dostop do svoje namestitve WordPress prek spletne strani https://, varen dostop do e-pošte in po potrebi varno prijavo prek protokola FTP. Ko uporabite nešifrirano povezavo, priporočamo, da takoj spremenite vsa gesla.
[tie_list type="checklist"]- Shranite datoteko wp-login.php
Obstaja tudi način za preimenovanje imenika wp-admin, vendar to lahko povzroči težave s funkcionalnostjo WordPressa. Pred večino napadov z grobo silo, pri katerih se gesla preprosto uganejo, se lahko preprosto zaščitite tako, da v datoteko .htaccess vključite kodo. To je mogoče dobro kombinirati z zaščito z geslom.
[tie_list type="checklist"]- Upravni imenik zavarujte z geslom.
Poleg tega morate ta imenik zaščititi z geslom. Vaš ponudnik ponuja možnost nastavitve zaščite imenikov za določene imenike. Upravni imenik zaščitite z zapletenim uporabniškim imenom in geslom, ki je dolgo vsaj 12 znakov in vsebuje posebne znake. Nikoli ne izbirajte gesel, dolgih le 8 znakov. Te zdaj na splošno veljajo za nezanesljive in jih je običajno mogoče hitro razbiti, saj so že vnaprej izračunane glede na vrsto šifriranja.
Po zaščiti z geslom odprite datoteko .htaccess in vstavite naslednjo kodo zgoraj:
ErrorDocument 401 "Zaklenjeno
ErrorDocument 403 "Zaklenjeno
# Dovolite dostop vtičnikov do admin-ajax.php kljub zaščiti z geslom
<Files admin-ajax.php>
Naročilo dovoli, zavrne
Dovolite iz vseh
Zadovolji vse
</Files>
To zagotavlja, da lahko vtičniki WordPress še vedno kličejo datoteke.
[tie_list type="checklist"]- Uporabite široko dostopne vtičnike in teme, kolikor je mogoče
Vtičniki so običajno odgovorni za varnostne ranljivosti v vašem WordPressu. Vtičniki in teme so majhni paketi programske opreme, ki jih zagotavljajo tretji ponudniki. Načeloma je zamisel dobra, vendar je zdaj veliko dvomljivih ponudnikov in tudi ponudnikov, ki preprosto nimajo znanja in zato ustvarjajo programsko opremo, ki vsebuje varnostne luknje. Zaščita pred tem za laike praktično ne obstaja. Zato priporočamo, da uporabljate le vtičnike, ki so bili že pogosto nameščeni in imajo dobro oceno.
Ne uporabljajte brezplačnih tem, ki jih lahko prenesete s katerega koli spletnega mesta. Kupite temo, npr. pri Themeforestu ali Templatemonsterju, od tako imenovanega elitnega ponudnika, tj. profesionalnih programerskih ekip, ki so ustvarile velik promet.
Pozorni bodite tudi na datum zadnje namestitve. Ponudniki, ki ne posodabljajo svojih vtičnikov in tem ali so že prenehali z razvojem, niso priporočljivi.
[tie_list type="checklist"]- Brisanje neuporabljenih tem in vtičnikov
Ko je spletno mesto pripravljeno in želite začeti, vedno priporočamo, da neuporabljene vtičnike in teme popolnoma izbrišete. To velja tudi za WordPressove lastne teme, ki jih ni mogoče tako preprosto odstraniti. Potencialni napadalci radi skrijejo svoje datoteke v teh standardnih imenikih, zato je priporočljivo, da neuporabljene datoteke popolnoma izbrišete. To lahko storite prek upravljalnega vmesnika ali protokola FTP. Preprosto izbrišite imenike iz imenika tem, ki jih ne uporabljate.
[tie_list type="checklist"]Uporaba aplikacijskega požarnega zidu
[/tie_list]Če je mogoče, uporabite aplikacijski požarni zid. To je programska oprema, ki preveri vsako povezavo in ponuja številne možnosti za preprečevanje morebitnih napadov.
Pri številnih ponudnikih so na voljo brezplačne možnosti, kot je fail2ban (priporočljivo), mod_security S programom WAF blokirajte znane napade ali dvomljive znane naslove IP. V okoljih deljenega gostovanja, tj. majhnih računih gostovanja, to običajno ni mogoče, saj je preveč posebnih funkcij, ki jih ni mogoče nastaviti globalno. Za profesionalno uporabo v vsakem primeru priporočamo uporabo upravljanega strežnika V, tj. ločenega okolja samo za vaše spletno mesto.
Pri nekaterih vrhunskih ponudnikih lahko za svoje spletno mesto uporabite tudi rešitev zunanjega požarnega zidu. Tu so na voljo sistemi Barracuda, Sonicwall ali Imperva. Ti filtrirajo promet, preden ta doseže spletni strežnik, in tako preprečijo večino napadov. Vendar je takšna rešitev razmeroma draga, saj stane od 50 do 250 evrov na mesec, in je primerna le za profesionalno uporabo.
Zaključek: z WordPressa je ustvarjanje spletnega mesta zelo enostavno. V primerjavi z drugimi sistemi za upravljanje vsebine so koristne tudi samodejne posodobitve, ki jih ponujajo številni spletni gostitelji. Če vedno poskrbite za posodobitev razširitev (vsaj enkrat na teden), se vam ne more zgoditi nič posebnega.
Kar nič ne stane, je tudi neuporabno. Žal to velja za številne vtičnike in teme. Upoštevajte, da številni goljufi okužijo teme z zlonamerno kodo in jih nato brezplačno distribuirajo kot svoje teme. Ko boste namestili nekaj takega, bo vaše spletno mesto hitro uporabljeno za pošiljanje Spam ali napadi na druge.
