Kako NE osigurati svoju web stranicu WordPress

Kako NE osigurati svoju WordPress stranicu

Što je prvo što biste učinili kada želite osigurati svoju WordPress stranicu? Saznajte pet najboljih sigurnosnih dodataka, razmislite o tome koliko su pristupačni i zatim instalirajte jedan. To je gotovo, sada se možete opustiti i opustiti, zar ne? pogrešno!


Upotreba sigurnosnog dodatka ne osigurava sigurnost. Sigurnost nije apsolutna stvar i nitko ne može jamčiti potpunu sigurnost. Najbolje što možemo je smanjiti rizik od haka. Suprotno uvriježenom mišljenju, vlasnik web mjesta mora biti uključen u očuvanje web stranice. Znati što biste trebali učiniti, a što ne bi trebalo je važno.

Iako postoji nekoliko vodiča o onome što biste trebali učiniti kako biste zaštitili svoju WordPress web stranicu, nudimo vam vodič o tome što biste trebali IZUZVATI. Primijetit ćete da su ovdje savjeti u suprotnosti s općim uvjerenjem. Ali iz našeg iskustva, puno savjeta vani je zastarjelo i nudi lažni osjećaj sigurnosti.

Ako vas pitanje sigurnosti WordPressa gnjavi onoliko koliko i nama, pogledajte sljedeće.

1. Ne koristite previše sigurnosnih dodataka

S obzirom na širok raspon dodataka koji su dostupni vani, s raznim skupima značajki, primamljivo je koristiti više od jednog WordPress sigurnosnog dodatka. Da budem iskren, to je prekomjerno djelovanje. Zabrinutost za sigurnost vaše web lokacije je normalno, ali morate se zapitati treba li vam zaista više sigurnosnih dodatka? Koje su značajke ključne za zahtjev vaše web lokacije? Hoće li se značajke stezati nožnim prstima jedno na drugom?

Na primjer, sukob bi mogao nastati kada dodaci započnu mijenjati datoteke poput wp-config.php ili htaccess. Dodaci se lako mogu boriti s tim datotekama, ali ne mijenjaju ih niti na jedan jednoglasan način. To bi moglo stvoriti sukobe i usporiti vašu web lokaciju.

S web stranicama WordPressa stvari mogu krenuti po zlu. Svi mrze strašni bijeli ekran smrti. Imajući više dodataka koji duboko utječu na vašu web stranicu može otežati probleme uklanjanja pogrešaka. Da je postojao samo jedan dodatak, pronalaženje i utvrđivanje uzroka pogreške bilo bi lakše i manje komplicirano.

2. Ne mijenjajte DB prefiks

Postoji nekoliko načina na koje web mjesto WordPress može biti ugroženo. Haker može dobiti pristup bazi podataka web lokacije putem napada SQL ubrizgavanja. Ranjivost dodatka ili teme može se koristiti za proboj u bazu podataka web mjesta (zbog čega predlažemo da umjesto toga koristite WordPress dodatak za sigurnosnu kopiju baze podataka kako bi se izbjegle slične zamke). Jedna popularna metoda sprječavanja hakera da dublje uđe na vašu web lokaciju je promjenom zadanog prefiksa tablice. Kao što možete vidjeti na slici ispod, u WordPressu, zadani prefiks tablice je “wp_”. WordPress vam omogućuje promjenu prefiksa tablice (da biste rekli “xzy_”) kako biste sakrili određene tablice.

Prefiksi baze podataka WordPress

Na površini, ovo izgleda kao dobra ideja. Ako hakeri ne znaju naziv tablice, od njih ne mogu dohvatiti podatke. To je, međutim, lažno obrazloženje. Nakon što netko provali u vašu bazu podataka, još uvijek postoje načini za pronalaženje tablica. Iz toga proizlazi da promjena imena prefiksa nije od koristi. Nadalje, izmjenom zadanog prefiksa može se pogrešno ponašati nekoliko dodataka.

Nadalje, promjenu poluvremena prefiksa baze podataka teško je provesti i može prouzročiti rušenje vaše web stranice. To je zato što postoje mnoge promjene koje je potrebno napraviti na svim razinama. Svaka pogreška u procesu pokazat će se katastrofalnom za vašu web lokaciju.

3. Izbjegavajte sakrivanje stranice za prijavu

Uvijek netko pokušava provaliti na vašu web lokaciju provalivši zaporku. Za vrijeme grubih napada, hakeri se pokušavaju prijaviti na vašu web lokaciju koristeći kombinaciju popularnih korisničkih imena i lozinki. Pa što ako sakrijemo stranicu za prijavu? To će ubiti dvije ptice jednim kamenom, zar ne? Haker neće moći pronaći stranicu za prijavu pa će se učitavanje na vašem poslužitelju smanjiti.

WordPress ima zadanu stranicu za prijavu. URL na stranicu obično izgleda ovako example.com/wp-login.php. Jedan poznati način spašavanja vaše web stranice od napada brutalnim silama je skrivanje ili promjena zadane stranice za prijavu na nešto drugo poput example.com/mylogin.php. Iako ovo zvuči kao besprijekoran plan, otkrijmo koliko je metoda učinkovita u održavanju sigurnosti vaše WordPress stranice.

Smanjenje opterećenja servera

Nakon što sakrijete ili promijenite lokaciju svoje stranice za prijavu, svaki put kada ju netko pokuša otvoriti suočit će se s pogreškom 404. Međutim, pokušaji prijave su težak proces. Kad god se učita stranica pogreške 404, ona pojede puno resursa vašeg poslužitelja. I završava usporavanje vaše web stranice. Stoga je pogrešno uvriježeno mišljenje da će skrivanje vaše stranice za prijavu smanjiti učitavanje na poslužitelju.

Alternativni URL nije teško pogoditi

Dio uspjeha WordPressa kao CMS-a zaslužan je zbog dodataka koji olakšavaju izmjene na web mjestu. Nije iznenađujuće da je popularan način skrivanja stranice za prijavu na web mjestu pomoću dodatka. Ovi dodaci dolaze s setom zadanog alternativnog URL-a za prijavu poput xzy.com/wplogin.php itd. Osposobljeni smo za samo zadane postavke. Jednom kada instaliramo dodatak i promijenimo svoj URL, o njemu ne razmišljamo puno. Ali postoji samo toliko URL-ova koji dodatak može ponuditi. Nije pretjerano teško pronaći ove unaprijed postavljeni URL za prijavu. Stoga upotreba alternativnog URL-a u većini slučajeva može biti neučinkovita.

Pitanja upotrebljivosti

Ljepota WordPressa je ta što ga je lako koristiti. To je poznata platforma. Za web mjesto s mnoštvom korisnika promjena ili skrivanje stranice za prijavu može predstavljati određene probleme. Nekoliko puta smo naišli na postove na WordPress forumima u kojima su korisnici zaključani s web mjesta zbog promjene URL-a za prijavu. U većini slučajeva promjene su izvršene pomoću dodatka, a korisnici nisu upoznati sa situacijom što uzrokuje kaos.

4. Nemojte blokirati adrese IP ručno

Ako na vašem web mjestu imate instaliran sigurnosni dodatak, bit ćete obaviješteni kad netko pokuša ući na vašu web lokaciju. Možete se lako domoći IP-a koji šalje te zlonamjerne zahtjeve i blokirajte ih pomoću .htaccess datoteke. To je ručno intenzivan rad i nije baš zgodna praksa.

Nije prilagođeno korisniku

Netehnička osoba koja pokušava izmijeniti .htaccess datoteke recept je za katastrofu. Sustav upravljanja sadržajem poput WordPressa ima vrlo strogo oblikovanje. Čak je i korištenje najpopularnijih alata poput FTP / SFTP vrlo rizično. Manja pogreška ili pogrešno postavljanje naredbe može uzrokovati pad sustava.

Previše IP adrese za blokiranje

Kako ne bi dobili crnu listu, hakeri koriste IP adrese širom svijeta. Prije smo razgovarali o ručnom blokiranju IP adresa koje se neprestano pokušavaju probiti na vašu web lokaciju. Rad (kao što smo već spomenuli) zahtijeva puno vremena i truda, ali nije baš vrlo učinkovito korištenje vremena. Ali ako koristite neki od najboljih sigurnosnih dodataka za WordPress, na primjer, Malcare, postupak blokiranja možete automatizirati. Takvi sigurnosni dodaci brinu o svim sigurnosnim prazninama WP-a.

5. Skrivanje WordPress-a

Postoji opća pretpostavka da prikrivanje vašeg CMS-a otežava prolaznicima na web mjesto teže. Što ako bismo mogli sakriti činjenicu da se vaša web stranica pokreće na WordPressu. To bi zaštitilo vašu web lokaciju od hakera koji žele iskoristiti uobičajene ranjivosti. Jednostavan način rada to je (pogodili ste) pomoću dodatka. Ali metoda propada kada hakeri ne brinu na kojoj se platformi nalazi vaša web stranica. Osim toga, postoji mnoštvo načina za otkrivanje radi li se o web lokaciji na WordPressu.

Osim upotrebe dodatka, posao se može raditi i ručno. Ali to je dugotrajan proces. Jedno ažuriranje programa WordPress može poništiti sve što radite u roku od nekoliko sekundi. Što znači da ćete postupak trebati ponavljati iznova i iznova ili se odustati od WP ažuriranja. Preskakanje ažuriranja WordPress-a je poput otvaranja ulaznih vrata kako bi haker mogao ući točno u vaš dom.

6. Zaštita lozinkom wp-admin ne radi

Zadana stranica za prijavu na WordPress (izgleda ovako – example.com/wp-admin) pristupnik je vašoj web lokaciji. Tipična stranica za prijavu izgleda kao na slici ispod.

Ovdje ćete morati koristiti svoje vjerodajnice za pristup WordPress nadzornoj ploči. Lozinka koja štiti stranicu za prijavu pomaže sakriti ili zaštititi ovaj pristupnik na nadzornoj ploči. To je dobra ideja, ali ne bez rupe.

LookLinux primjer zaštite lozinke

Ljubaznošću slika: LookLinux

Prvo, teško je održavati ili čak promijeniti lozinku, ako je izgubite. Osim što nisu učinkovite u pružanju dodatne sigurnosti, takve izmjene na vašem web mjestu mogu se pokazati vrlo opasnim. Na primjer, kada lozinkom zaštitite administrativnu stranicu, zahtjev poput /wp-admin/admin-ajax.php ne može zaobići zaštitu. Postoje dodaci koji mogu ovisiti o Ajax funkcionalnosti vaše web lokacije. A kad nisu u mogućnosti pristupiti toj funkciji, počinju se loše ponašati. Zbog toga se web stranica može slomiti.

Preko tebe

Ako imate bilo kakvih pitanja ili prijedloga u vezi s onim što trebate izbjeći da biste osigurali svoje WordPress stranice, javite nam u komentarima.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map