10 nasvetov za varno uporabo WordPressa
03.12.2018
Če ste lastnik WordPress spletne strani, imam za vas 10 uporabnih nasvetov, ki bodo pripomogli k večji varnosti.
Platforma WordPress se je v zadnjih letih razvila v zelo kakovostno in raznovrstno platformo, ki omogoča izvedbo široke palete vsebin in funkcionalnosti. Njena priljubljenost in razširjenost se večata – poganjala naj bi kar 32 % vseh spletnih strani na svetu. Prav zato je varna uporaba WordPressa z vidika varnostni celotnega informacijskega sistema zelo pomembna.
Na kaj vse morate biti pozorni?
1. Uporabljajte protokol HTTPS
Protokol HTTPS skrbi za varnejši splet in na vaši spletni strani preprečuje napade kot so ‘man-in-the-middle’, ko napadalec posluša komunikacijo med uporabnikom in strežnikom.
HTTPS bo prav tako poskrbel, da bodo brskalniki vašo spletno stran na spletu uvrščali više kot pa strani, ki protokola ne uporabljajo. Google na potrebo po varnostnem protokolu https opozarja že vse leto – v brskalniku Chrome povezavo na vašo stran označi kot ne-varno.
Več o tem si preberite v blogu – Ali vaša spletna stran še vedno deluje na http protokolu? >>
2. Omejite dostop do MYSQL – podatkovna baza
Zagotovite, da bo dostop do vaše podatkovne baze omogočen le z določenih izvornih naslovov. Na samem strežniku naj bo to ‘localhost’. Za dostop se velikokrat uporablja ‘phpmyadmin’, kjer lahko točno določite IP naslov, s katerega boste dostopali do baze.
bind-address=127.0.0.1
3. Uporabite kompleksna gesla – podatkovna baza
Ko kreirate uporabniško ime in geslo za dostop do podatkovne baze nikar ne ‘skoparite’. Geslo naj bo kompleksno – vsebuje naj tudi velike črke, številke in posebne znake. Prav tako priporočam, da ob namestitvi zamenjate osnovno predpono wp_. V kolikor uporabljate preprosto geslo, ni nikoli prepozno, da ga zamenjate (ne pozabite popraviti wp-config.php).
4. Uporabite kompleksna gesla – dostop administracija
Prav tako je priporočljivo, da za dostop do administrativnega dela spletne strani uporabite kompleksno geslo. Uporabniško ime naj ne bo ‘admin’ ali pa ‘root’ . Za pisanje člankov in urejanje strani kreirajte dodatnega uporabnika, ki naj nima enakih uporabniških podatkov za dostop.
5. Zamenjajte povezavo za dostop do administracije
Če imate dostop do administrativnega dela spletne strani urejen na sledeč način – https://www.vasastran.com/wp-admin ga čim prej zamenjajte. Kako to naredite? Z namestitvijo vtičnika All In One WP Security lahko spletno stran zelo dobro zaščitite tudi na drugih področjih, spremenite pa lahko tudi vstopno točno za administracijo.
https://www.vasastran.com/za_administratorje
6. Ni vsak uporabnik administrator
S stališča varnosti so uporabniki še vedno najšibkejši člen, zato ne smemo vsem dodeliti administrativnih pravic. WordPress nam ponuja opcije, kjer lahko izberemo, kakšno vlogo ima posamezen uporabnik spletne strani.
Editor: Uporabnik, ki lahko ureja in objavlja svoje članke in članke drugih uporabnikov
Author: Uporabnik, ki lahko ureja in objavlja svoje članke
Contributor: Uporabnik, ki lahko piše in ureja svoje članke, vendar jih ne more objavljati
Nobena od naštetih vlog NIMA pravic za urejanje nastavitev spletne strani!!!
7. Omejite dostop na izvorni IP naslov
Administratorjem spletne strani lahko omejimo dostop glede na njihov IP, s katerega bodo urejali svojo spletno stran. Omejitve se izvedejo zelo preprosto z dodajanjem datoteke .htaccess, ki jo postavite v direktorij wp-admin. Naj omenim, da s to datoteko lahko omejite tudi dostop obiskovalcev. Če imate na premer slovensko spletno stran s slovensko vsebino, verjetno ne pričakujete, da jo bo prebiral nekdo iz Kitajske ali Indije.
Primer .htaccess datotek
order deny, allow
allow from 1.2.3.4 # uadministrator 1 IP
allow from 5.6.7.8 # administrator 2 IP, itd
deny from all
8. Skrijte verzijo WordPressa
Nekatere verzije WordPressa so ranljive in bodo tudi v bodoče. Žal se temu ne moremo kar tako izogniti. Če potencialnemu napadalcu pokažemo, katero verzijo WordPressa uporabljamo, lahko zelo hitro ugotovi vse ranljivosti na naši spletni strani. Informacije o verziji umaknemo tako, da v naši temi dodamo v datoteko ‘functions.php’.
remove_action(‘wp_head’, ‘wp_generator’);
9. Modro izbirajte vtičnike ‘tretjih-oseb’
Preden aktivirate vtičnik (‘plugin’), je priporočljiv, da ga preizkusite na testni strani. Vtičniki so nam v veliko primerih v pomoč, so pa lahko tudi nepreverjeni in predstavljajo varnostno luknjo. Predvsem bodite pozorni na dve zadevi – da vtičnik uporablja veliko število uporabnikov in da se redno posodablja.
10. Redno posodabljajte WordPress in vtičnike
Poskrbite, da bo vaša spletna stran in s tem WordPress redno posodobljena. Prav tako je potrebno skrbeti za posodobitve vtičnikov. Kot sem že omenil, je seveda posodobitve najprej potrebno testirati na demo strani, da nas slučajno ne preseneti nedelovanje spletne strani.
Varna uporaba WordPressa prinaša veliko prednosti
Ker gre za množično uporabljen odprtokodni sistem, je ob upoštevanju zgoraj naštetih nasvetov, za varnost relativno dobro poskrbljeno. Še več priporočil, kako poskrbeti za večjo varnost WordPress spletnih strani, najdete v beli knjigi z naslovom WordPress – kako varen je?
Varna uporaba WorPressa kot tudi izvedba varnostnega pregleda spletnih mest pomembno prispevata k zagotavljanju varnosti vaših informacijskih sistemov. Naša usposobljena ekipa etičnih hekerjev na vašo željo preveri trenutno stanje in poda ukrepe v primeru odkritih pomanjkljivosti.
