Kako poskrbeti za varnost sistema WordPress?

Tom 18. oktobra, 2017 Komentarji so izklopljeni za Kako poskrbeti za varnost sistema WordPress?
Kako poskrbeti za varnost sistema WordPress?

Ne glede na to, na katerem sistemu temelji vaša spletna stran, morate kar najbolje poskrbeti za varnost. Ker je WordPress daleč najbolj priljubljen CMS (ang. Content Management System), je tudi spletnih napadalcev, ki poskušajo vdreti v sistem, mnogo več kot pri drugih platformah.

Vdor lahko pomeni velike težave, s tem pa so lahko povezani tudi visoki stroški. V najslabšem primeru lahko ostanete brez spletne strani in z okuženim paketom gostovanja. Preventiva je torej izjemno pomembna! Da bo vaša spletna stran ustrezno zavarovana, smo pripravili podrobna navodila, kaj vse lahko storite za varnost sistema WordPress.

Sprememba privzetega uporabniškega imena

Ko na svoj paket spletnega gostovanja namestite WordPress, je privzeto izbrano uporabniško ime »admin«. Priporočljivo je, da uporabniško ime spremenite že ob sami namestitvi sistema, če pa imate WordPress že nameščen (s privzetim imenom), pa ga spremenite zdaj.

Možnosti za spremembo obstoječega uporabniškega imena je več:

  1. dodate novega uporabnika in izbrišete starega (poskrbite za prenos vsebine!),
  2. spremembe opravite v podatkovni bazi (v tabeli wp_users),
  3. uporabite vtičnik Username Changer.

Priporočamo vam, da se odločite za tretjo možnost, torej za spremembo uporabniškega imena s pomočjo prej omenjenega WordPress vtičnika.

Nastavitev močnega gesla

Ste vedeli, da se v številne WordPress sisteme poskušajo vpisati avtomatizirane skripte, ki preizkušajo najrazličnejše kombinacije uporabniških imen in gesel? Če imate nastavljeno šibko geslo, je le vprašanje časa, kdaj vam bodo vdrli v spletno stran.

Poskrbite torej za močno geslo, ki ga bo praktično nemogoče uganiti. Upoštevajte naslednje:

  • Geslo naj vsebuje male in velike črke, številke ter posebne znake.
  • Geslo naj bo »unikatno« – ne uporabljajte ga tudi za druge storitve.
  • Gesla nikomur in nikoli ne posredujte.
  • Za še večjo varnost geslo spreminjajte na vsake 3 mesece.

Če se bo kdo moral vpisati v vaš WordPress sistem, mu ne posredujte svojih uporabniških podatkov, temveč mu ustvarite nov uporabniški račun. Če gre za osebo, ki je ne poznate (npr. za tujega programerja, ki bi vam na strani nekaj uredil), pred kreiranjem novega uporabniškega računa nujno izdelajte varnostno kopijo datotek in podatkovne baze WordPress sistema.

Uporaba vtičnika Wordfence Security

Za namen izboljšanja WordPress varnosti so bili razviti številni vtičniki, med katerimi je zagotovo najbolj prepoznaven Wordfence Security. V tem trenutku ima že več kot 2 milijona aktivnih namestitev, uporabniki pa so ga ocenili z visoko povprečno oceno 4,8.

Wordfence Security pomaga zaščititi vašo spletno stran pred različnimi varnostnimi grožnjami, kot so vdor hekerjev, okužba z zlonamerno programsko opremo, DDoS napad in »brute force« napad. Vtičnik ustvari požarni zid, ki filtrira ves promet na spletno stran in preprečuje sumljive zahteve.

Izjemno uporabna funkcionalnost vtičnika je tudi skener zlonamerne programske opreme, ki pregleda vse ključne datoteke sistema WordPress, vtičnikov in grafične predloge. Po pregledu opozori na odstopanja od originalnih datotek, s tem pa pomaga očistiti okuženo spletno stran.

Osnovni vtičnik Wordfence je brezplačen. Na voljo je tudi plačljiva različica, ki omogoča uporabo naprednejših funkcij, kot so blokiranje držav, nastavitev pravil požarnega zidu, načrtovano skeniranje in podobno.

Redno posodabljanje sistema

Največ boste za varnost sistema WordPress naredili, če boste skrbeli za redno posodabljanje. Posodobitve namreč ne prinašajo le novih funkcionalnosti, temveč pogosto krpajo tudi varnostne luknje.

Nujno torej je, da redno posodabljate:

  • jedro sistema WordPress,
  • vse vtičnike (aktivirane in neaktivirane),
  • grafično predlogo.

Svetujemo vam, da si namestite vtičnik WP Automatic Updates, ki bo poskrbel za samodejno posodabljanje vseh naštetih delov spletnega mesta. Vtičnik vam sicer omogoča, da izberete, kaj točno želite posodabljati samodejno.

WP Automatic Updates

Pomembno: Če ste v svoji grafični predlogi opravljali spremembe, hkrati pa si niste uredili tako imenovane »child« predloge, boste ob posodobitvi izgubili vse spremembe. Svetujemo vam, da po aktivaciji grafične predloge vedno najprej ustvarite »child« predlogo in vse spremembe opravljate na njej. V tem primeru ob posodobitvi ne boste imeli težav.

Namestitev SSL certifikata

SSL certifikat je varnostna komponenta, ki zavaruje celoten prenos podatkov med spletno stranjo in njenimi obiskovalci. Deluje na principu šifriranja, javnih in zasebnih ključev. O varnostnih SSL certifikatih smo na blogu že pisali, zato se danes ne bomo spuščali v podrobnosti. Vsekakor pa vam svetujemo, da si vzamete čas in preberete naslednje prispevke:

Tako, zdaj veste, kako učinkovito poskrbeti za varnost sistema WordPress. Ne zanašajte se na to, da je vaša spletna stran majhna in za spletne napadalce nezanimiva. Kar hitro se lotite dela – za začetek preverite, ali se v administracijo spletne strani vpisujete z uporabniškim imenom »admin«. Nato pa pridno naprej v skladu z današnjimi napotki.

Imate vprašanje? Zastavite ga v komentarju.

Comments are closed.