Siguran WordPress 2.Dio
Nakon što smo prije tjedan dana sa Vama podijelili 1.dio savjeta da osigurate Vaš WordPress, stigao je i drugi dio. U drugom djelu pokazati ćemo Vam napredne tehnike za Siguran WordPress, te Vam i objasniti kako da ih primjenite.
Riješite se spama
Spam i razne poveznice mogu naštetiti Vašoj stranici, i to ne samo sigurnosti, već i SEO-u. Najbolji način da se riješit spama je plugin pod nazivom Aksimet, koji dolazi sa svakom WordPress instalacijom, ima ponuđenu besplatnu i naplatnu opciju korištenja. Obe opcije dolaze s istim značajkama samo što se „Business“ opcija koristi kod komercijalnih svrha. Plugin je dovoljno samo aktivirati u „Plugins“ dijelu Vaše stranice, te slijediti upute sa stranice.
Promijenite sigurnosne ključeve
WordPress je sa svakom stranicom implementirao sigurnosne ključeve. Ovi ključevi nalaze se u datoteci wp-config.php, a mi Vam preporučujemo da ih izmjenite. Generator ključeva nalazi se na službenoj stranici WordPress-a na sljedećoj adresi: https://api.wordpress.org/secret-key/1.1/salt , refreshajte stranicu par puta, te dobivene ključeve zamijenite postojećima.
Sakrijte verziju WordPress-a
WordPress po defaultu (početnom) ima omogućeno prikazivanje svoje verziju u izvornom kodu stranice. Sakrijte svoju verziju, jer hakeri često koriste ovo kako bi hakirali Vaš WordPress. Kopirajte dolje navedeni kod u functions.php datoteku Vaše trenutne teme (template-a).
// ugasi prikazivanje wordpress verzije
remove_action(‘wp_head’, ‘wp_generator’);
Onemogučite izlist direktorija
Još jedna mana WordPress-a je što kad upišete vasadomena.com/wp-includes/ vjerovatno dobivate izlist svih datoteka i mapa koje se nalaze u tom direktoriju. Nitko ne mora znati što koristite? Zar, ne. Onemogučite izlist direktorija pomoću dole navedenog koda. Kod zalijepite u .htaccess datoteku koja se nalazi u Vašem glavnom direktoriju
//onemoguci izlist direktorija
Options All –Indexes
Zaštitite WordPress config
Onemogučite pristupanje i izmjenu wp-config.php datoteke drugima, dodavanjem ovog jednostavnog koda u .htaccess.
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Kreirajte plugin protiv malicioznih URL zahtjeva
Kopirajte dole navedeni kod, te ga zalijepite i spremite pod nazivom blockbadqueries.php . Jednom kada ste to napravili potrebno je navedenu datoteku prenjeti (uploadati) u wp-content/plugins/ te aktivirati plugin kao i bilo koji drugi iz WordPress plugin direktorija.
<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
global $user_ID;
if($user_ID) {
if(!current_user_can(‘level_10’)) {
if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||
strpos($_SERVER[‘REQUEST_URI’], “eval(“) ||
strpos($_SERVER[‘REQUEST_URI’], “CONCAT”) ||
strpos($_SERVER[‘REQUEST_URI’], “UNION+SELECT”) ||
strpos($_SERVER[‘REQUEST_URI’], “base64”)) {
@header(“HTTP/1.1 414 Request-URI Too Long”);
@header(“Status: 414 Request-URI Too Long”);
@header(“Connection: Close”);
@exit;
}
}
}
?>
Omogučite SSL prijavu
Dodatno također možete omogučiti korištenje SSL certifikata ukoliko ga posjedujete. SSL certifikati koriste kriptiranu vezu između Vašeg preglednika i servera gdje se nalazi Vaša stranica, tako da hakeri nevide lozinke, i podatke koje unosite. SSL certifikate možete naručiti već od 80kn/godišnje, a našu ponudu možete pogledati ovdje.
Backup
Uvijek imajte sigurnosni backup Vaše stranice. Backup je najbitnija stvar svake stranice, a ne samo WordPressa. Preporučamo Vam da backup radite barem jednom tjednom te ga spremate ili na osobno računalo ili na na neki od Cloud servisa poput amazona S3.
Sada ste ponosan vlasnik Sigurnog WordPressa, i ukoliko ste slijedili sve naše korake od sigurne instalacije, i prošlo tjednog članka kao i ovoga smanjili ste mogućnost hakiranje Vaše stranice za 90%. Prilično super? Zar, ne.
Podijelite s nama u komentarima, neke od Vaših iskustava kod osiguravanja WordPressa.