1. avgust, 2019 Miran Urbas

10 nasvetov za varnost vaše WordPress spletne strani

WordPress je najbolj priljubljen sistem za upravljanje vsebin in podpira več kot 30% spletnih strani. Ravno zaradi vse večje popularnosti WordPress-a pa “hekerji” še posebej ciljajo na WordPress spletna mesta. Ne glede na to, kakšno vsebino ponuja vaše spletno mesto, niste izjema. Če ne upoštevate varnostnih ukrepov, ste lahko potencialna žrtev napada. V tem članku vam bomo predstavili 10 najboljših nasvetov za zaščito vaše WordPress spletne strani.

  • Share:

1. Izberite dobro gostovanje

Najpreprostejši način za varnost vaše spletne strani je, da izberete ponudnika gostovanja, ki zagotavlja več plasti varnosti.
Morda se vam zdi mamljivo, da bi izbrali najugodnejšega ponudnika gostovanja, saj tako prihranite nekaj denarja, vendar naj vas ta pot ne zamika. Najugodnejša storitev je lahko na koncu najdražja in lahko povzroči prave nočne more. Vaši podatki se lahko v celoti izbrišejo, ne delajo se varnoste kopije na strežnikih, URL naslov se lahko začne preusmerjati drugam in še in še. Če plačate nekoliko več za kakovostno gostovanje, pomeni, da boste dobili višjo stopnjo varnosti.

2. Ne uporabljajte “NULLED” tem oz. predlog

WordPress premium teme izgledajo bolj profesionalno in ponujajo več možnosti za prilagajanje kot brezplačne teme.
Premium teme so kodirane s strani visoko usposobljenih razvijalcev in so preizkušene, da lahko lahko zagotavljajo brezhibno delovanje. Pri prilagajanju premium tem skoraj ni omejitev in dobili boste popolno podporo, če bo na vašem spletnem mestu kaj narobe. Najbolj pomembno pa je, da boste dobili redne posodobitve tem.
Na spletu pa obstaja tudi nekaj spletnih strani, ki ponujajo “shekane” teme. NULLED ali “shekana” tema je različica premium (plačljive) teme, ki je na voljo na nezakonit način. Zelo nevarne so tudi za vašo spletno stran, saj te teme pogosto vsebujejo skrite zlonamerne kode, ki lahko uničijo vašo spletno stran in bazo podatkov ali zabeležijo podatke o vašem skrbniškem računu.
Čeprav boste morda prihranili nekaj denarja, se vedno izogibajte “NULLED” temam!

3. Namestite varnostni vtičnik

Zelo zamudno bi bilo, da bi redno preverjali varnost svojega spletnega mesta glede zlonamerne programske opreme in če ravno redno niste izkušeni programer, se morda niti ne zavedate, da si ogledujete delček zlonamerne programske opreme, vpisane v vašo kodo. Na srečo so v pomoč varnostni vtičniki za WordPress. Varnostni vtičnik skrbi za varnost spletne strani in spremlja vaš spletno stran 24/7 in s tem preprečuje možne vdore.
iThemes Security je odličen varnostni vtičnik za WordPress. Ponuja revizijo varnostnih dejavnosti, spremlja integritete datotek, pregleduje zlonamerno programsko opremo, ustvarja varnostne kopije baze podatkov, varnostna obvestila in celo požarni zid spletnega mesta.

4. Uporabite močno geslo

Gesla so zelo pomemben del varnosti spletne strani in jih žal pogosto spregledamo. Če uporabljate navadno geslo, npr. „123456, abc123, geslo“, morate takoj spremeniti geslo! Čeprav si je to geslo mogoče preprosto zapomniti,  ga je tudi zelo enostavno uganiti. Napadalci oz. “hekerji” lahko zlahka “zlomijo” vaše geslo in tako dobijo dostop do vaše spletne strani.
Pomembno je, da uporabite zapleteno geslo ali še bolje, tisto, ki se samodejno ustvari z različnimi številkami, nesmiselnimi kombinacijami črk in posebnimi znaki, kot sta % ali ^.

5. Onemogočite urejanje datotek

Ko nastavljate spletno mesto WordPress, je na nadzorni plošči urejevalnik kode, s katerim lahko urejate temo in vtičnike. Do urejevalnika tem lahko dostopate skozi Izgled>Urejevalnik, za urejevalnik vtičnikov pa pod Vtičniki>Urejevalnik.
Ko je vaše spletno mesto objavljeno, priporočamo, da to funkcijo onemogočite. Če katerikoli napadalci dobijo dostop do vaše skrbniške plošče WordPress, lahko v vašo temo in vtičnik vstavijo zlonamerno kodo. Pogosto bo koda tako skrita, da ne boste ničesar opazili, dokler ne bo prepozno.

Želite začeti s pisanjem svojega spletnega dnevnika oz. bloga? Preberite si članek kako v 5-ih korakih do svojega prvega bloga.

6. Namestite SSL certifikat

Dandanes je SSL certifikat koristen za vse vrste spletnih strani. Sprva je bil potreben le za obdelavo plačil za spletne trgovine, kasneje pa je Google ugotovil, da je spletna stran s SSL certifikatom bolj varna, in tem spletnim stranem zagotavlja bolj tehtno mesto v svojih rezultatih iskanja.
SSL certifikat je obvezen za vsa spletna mesta, ki obdelujejo občutljive podatke, npr. gesla ali podatke o kreditnih karticah. Brez SSL certifikata se vsi podatki med uporabnikovim brskalnikom in spletnim strežnikom dostavijo v navadnem besedilu. Napadalci lahko te podatke preberejo. Z uporabo SSL certifikata pa se občutljive informacije šifrirajo, preden se prenesejo med brskalnikom in strežnikom, kar otežuje branje in poveča varnost spletne strani.

7. Spremenite URL naslov za prijavo

Privzeto je za prijavo v WordPress naslov »tvojadomena.com/wp-admin«. Če ga pustite kot privzetega, je večja možnost da boste tarča napada. V kolikor omogočate uporabnikom, da se registrirajo na vaši spletni strani, boste morda dobili tudi veliko “spam” registracij. Če želite to preprečiti, lahko spremenite URL skrbnika ali dodate varnostno vprašanje na stran za registracijo in prijavo.
Nasvet: Svojo prijavno stran lahko še dodatno zaščitite tako, da v WordPress dodate dvofaktorski avtentikacijski vtičnik. Ko se poskušate prijaviti, boste morali zagotoviti dodatno preverjanje pristnosti, da boste lahko dostopali do svoje spletne strani.

8. Omejitev poskusov prijave

WordPress privzeto omogoča, da ima uporabnik neomejeno število poskusov prijave. To lahko pomaga, če pogosto pozabite zaporedje črk in znakov v vašem geslu, vendar pa omogoča tudi napadalcem, da lažje uganejo vaše prijavne podatke. Z omejitvijo poskusov prijave, lahko uporabniki poskusijo le tolikokrat kot ste nastavili, dokler niso začasno blokirani.

9. Skrijte datoteke wp-config.php in .htaccess

Čeprav je to napreden postopek za izboljšanje varnosti vašega spletnega mesta, pa je dobra praksa, da skrijete .htaccess in wp-config.php datoteke na svojem spletnem mestu, da napadalcem preprečite dostop do njih.
To možnost priporočamo za izkušene razvijalce, saj je nujno, da najprej naredite varnostno kopijo spletne strani in nato nadaljujete. Vsaka napaka lahko naredi vaše spletno stran nedostopno.

10. Posodobite svojo različico WordPress-a

Posodobitev WordPress-a je dobra praksa za varovanje spletnega mesta. Z vsako posodobitvijo razvijalci opravijo nekaj sprememb, pogosto tudi posodobitve varnostnih funkcij. Pomembno je tudi, da iz enakih razlogov posodabljate tudi vtičnike in teme. WordPress privzeto samodejno opravi manjše posodobitve. Za večje posodobitve pa boste morali posodobitev opraviti sami neposredno s skrbniške nadzorne plošče WordPress.

Za konec

Varnost WordPress-a je eden ključnih dejavnikov spletne strani. Če ne poskrbite za varnost, je možnost za napad na vašo spletno stran bistveno višja. Ohranjanje varnosti ni težko in ga je mogoče izvesti skoraj brez porabe denarja, vendar so nekatere od teh rešitev namenjene naprednim uporabnikom. Če imate kakršna koli vprašanja, je naša ekipa vedno na voljo. Vsa vprašanja nam lahko pošljete na info@mediasite6.com.

Poskrbite za varnost svoje spletne strani.
Miran Urbas, MEDIASITE6

Če imate kakršna koli vprašanja, potrebujete mnenje ali nasvet ali pa le želite imeti varno spletno stran nas kontaktirajte.
Z veseljem vam bomo pomagali.