WordPress napredna zaštita – sigurnosni hardening i zaštita od napada

Nakon osnovnih bezbednosnih mera, sledeći korak je napredni WordPress hardening. Ove konfiguracije dodatno smanjuju rizik od napada, kompromitovanja naloga i zloupotrebe sistemskih fajlova.

Instalacija pouzdanog security plugina

Prvi korak napredne zaštite je instalacija jednog kvalitetnog sigurnosnog plugina. Ne preporučuje se korišćenje više sigurnosnih pluginova istovremeno jer može doći do konflikta i usporenja sajta.

Preporučeni sigurnosni pluginovi su:

• Wordfence Security – firewall zaštita, skeniranje fajlova, 2FA i monitoring login pokušaja
• iThemes Security – napredne hardening opcije i zaštita administratorskih naloga
• All In One WP Security and Firewall – detaljna kontrola bezbednosnih pravila kroz jednostavan interfejs
• WP Cerber Security – snažna zaštita od brute force napada i kontrola pristupa

U WordPress panelu idite na Plugins, zatim Add New, unesite naziv plugina, kliknite Install i potom Activate. Nakon aktivacije obavezno uključite firewall, ograničenje pokušaja prijave, dvofaktorsku autentifikaciju i skeniranje fajlova.

Onemogućavanje uređivanja fajlova iz admin panela

Ova opcija sprečava ubacivanje malicioznog koda kroz editor tema i pluginova.

U File Manager delu hostinga otvorite wp-config.php fajl koji se nalazi u root direktorijumu sajta i dodajte:

Sačuvajte izmene i proverite da li je opcija editor nestala iz admin panela.

Ograničavanje XMLRPC fajla

Ako ne koristite mobilne aplikacije ili spoljne servise, XMLRPC fajl možete blokirati.

U root .htaccess fajl dodajte:

Sakrivanje verzije WordPress sistema

Verzija WordPress sistema može biti vidljiva u HTML kodu stranice.

U WordPress panelu idite na Appearance, zatim Theme File Editor, otvorite functions.php fajl aktivne teme i dodajte na kraj fajla:

Onemogućavanje izvršavanja PHP fajlova u uploads folderu

U cPanel File Manager delu otvorite wp-content folder, zatim uploads folder i kreirajte novi .htaccess fajl ako već ne postoji.

U njega dodajte:

Regeneracija sigurnosnih ključeva

Otvorite wp-config.php fajl i pronađite deo gde se nalaze sigurnosni ključevi. Nove ključeve možete generisati putem WordPress generatora i zameniti postojeće vrednosti.

Ograničavanje administratorskih privilegija

Administratorski nalog ne treba koristiti za svakodnevno objavljivanje sadržaja.

U WordPress panelu idite na Users, zatim Add New. Kreirajte novi nalog i kao ulogu izaberite Editor. Ovaj nalog koristite za redovan rad, dok administratorski nalog koristite samo za tehničke izmene.

Takođe proverite da li postoje nepoznati administratori i uklonite naloge koji vam nisu poznati.

Automatska ažuriranja bezbednosnih zakrpa

U WordPress panelu idite na Dashboard, zatim Updates. Omogućite automatska ažuriranja za WordPress core, kao i za aktivne pluginove i teme.

Kako proveriti da li je sajt već kompromitovan

Proverite Users sekciju i uklonite nepoznate naloge. Pokrenite skeniranje fajlova unutar security plugina. Obratite pažnju na nepoznate pluginove ili teme.

Ako primetite preusmeravanja ili upozorenja u Google Search Console, odmah promenite sve lozinke i regenerišite sigurnosne ključeve.

Praćenje login aktivnosti

U security pluginu proveravajte neuspele pokušaje prijave i blokirane IP adrese. Veliki broj pokušaja prijave može ukazivati na napad.

Najčešće greške kod napredne zaštite

• Korišćenje više sigurnosnih pluginova istovremeno
• Postavljanje dozvola 777
• Izmene bez prethodnog backup procesa
• Ignorisanje sigurnosnih upozorenja