Optisis
dsc
Beenius
Castoola
ZAPRI+

10 nasvetov za varno uporabo WordPressa

Če ste lastnik WordPress spletne strani, imam za vas 10 uporabnih nasvetov, ki bodo pripomogli k večji varnosti.

Platforma WordPress se je v zadnjih letih razvila v zelo kakovostno in raznovrstno platformo, ki omogoča izvedbo široke palete vsebin in funkcionalnosti. Njena priljubljenost in razširjenost se večata – poganjala naj bi kar 32 % vseh spletnih strani na svetu. Prav zato je varna uporaba WordPressa z vidika varnostni celotnega informacijskega sistema zelo pomembna.

Na kaj vse morate biti pozorni?

1. Uporabljajte protokol HTTPS

Protokol HTTPS skrbi za varnejši splet in na vaši spletni strani preprečuje napade kot so ‘man-in-the-middle’, ko napadalec posluša komunikacijo med uporabnikom in strežnikom.

HTTPS bo prav tako poskrbel, da bodo brskalniki vašo spletno stran na spletu uvrščali više kot pa strani, ki protokola ne uporabljajo. Google na potrebo po varnostnem protokolu https opozarja že vse leto – v brskalniku Chrome povezavo na vašo stran označi kot ne-varno.

Več o tem si preberite v blogu – Ali vaša spletna stran še vedno deluje na http protokolu? >>


2. Omejite dostop do MYSQL – podatkovna baza

Zagotovite, da bo dostop do vaše podatkovne baze omogočen le z določenih izvornih naslovov. Na samem strežniku naj bo to ‘localhost’. Za dostop se velikokrat uporablja ‘phpmyadmin’, kjer lahko točno določite IP naslov, s katerega boste dostopali do baze.

bind-address=127.0.0.1


3. Uporabite kompleksna gesla – podatkovna baza

Ko kreirate uporabniško ime in geslo za dostop do podatkovne baze nikar ne ‘skoparite’. Geslo naj bo kompleksno – vsebuje naj tudi velike črke, številke in posebne znake. Prav tako priporočam, da ob namestitvi zamenjate osnovno predpono wp_.  V kolikor uporabljate preprosto geslo, ni nikoli prepozno, da ga zamenjate (ne pozabite popraviti wp-config.php).


4. Uporabite kompleksna gesla – dostop administracija

Prav tako je priporočljivo, da za dostop do administrativnega dela spletne strani uporabite kompleksno geslo. Uporabniško ime naj ne bo ‘admin’ ali pa ‘root’ . Za pisanje člankov in urejanje strani kreirajte dodatnega uporabnika, ki naj nima enakih uporabniških podatkov za dostop.


5. Zamenjajte povezavo za dostop do administracije

Če imate dostop do administrativnega dela spletne strani urejen na sledeč način – https://www.vasastran.com/wp-admin ga čim prej zamenjajte. Kako to naredite? Z namestitvijo vtičnika All In One WP Security lahko spletno stran zelo dobro zaščitite tudi na drugih področjih, spremenite pa lahko tudi vstopno točno za administracijo.

https://www.vasastran.com/za_administratorje


6. Ni vsak uporabnik administrator

S stališča varnosti so uporabniki še vedno najšibkejši člen, zato ne smemo vsem dodeliti administrativnih pravic. WordPress nam ponuja opcije, kjer lahko izberemo, kakšno vlogo ima posamezen uporabnik spletne strani.

Editor: Uporabnik, ki lahko ureja in objavlja svoje članke in članke drugih uporabnikov

Author: Uporabnik, ki lahko ureja in objavlja svoje članke

Contributor: Uporabnik, ki lahko piše in ureja svoje članke, vendar jih ne more objavljati

Nobena od naštetih vlog NIMA pravic za urejanje nastavitev spletne strani!!!

Z dostopi je povezana tudi WordPress ranljivost, ki jo hekerji izkoriščajo za prevzem popolnega nadzorna nad vašo spletno stranjo >>


7. Omejite dostop na izvorni IP naslov

Administratorjem spletne strani lahko omejimo dostop glede na njihov IP, s katerega bodo urejali svojo spletno stran. Omejitve se izvedejo zelo preprosto z dodajanjem datoteke .htaccess, ki jo postavite v direktorij wp-admin. Naj omenim, da s to datoteko lahko omejite tudi dostop obiskovalcev. Če imate na premer slovensko spletno stran s slovensko vsebino, verjetno ne pričakujete, da jo bo prebiral nekdo iz Kitajske ali Indije.

Primer .htaccess datotek

order deny, allow

allow from 1.2.3.4 # uadministrator 1 IP

allow from 5.6.7.8 # administrator 2 IP, itd

deny from all


8. Skrijte verzijo WordPressa

Nekatere verzije WordPressa so ranljive in bodo tudi v bodoče. Žal se temu ne moremo kar tako izogniti.  Če potencialnemu napadalcu pokažemo, katero verzijo WordPressa uporabljamo, lahko zelo hitro ugotovi vse ranljivosti na naši spletni strani. Informacije o verziji umaknemo tako, da v naši temi dodamo v datoteko ‘functions.php’.

remove_action(‘wp_head’, ‘wp_generator’);


9. Modro izbirajte vtičnike ‘tretjih-oseb’

Preden aktivirate vtičnik (‘plugin’), je priporočljiv, da ga preizkusite na testni strani. Vtičniki so nam v veliko primerih v pomoč, so pa lahko tudi nepreverjeni in predstavljajo varnostno luknjo. Predvsem bodite pozorni na dve zadevi – da vtičnik uporablja veliko število uporabnikov in da se redno posodablja.


10. Redno posodabljajte WordPress in vtičnike

Poskrbite, da bo vaša spletna stran in s tem WordPress redno posodobljena. Prav tako je potrebno skrbeti za posodobitve vtičnikov. Kot sem že omenil, je seveda posodobitve najprej potrebno testirati na demo strani, da nas slučajno ne preseneti nedelovanje spletne strani.

Varna uporaba WordPressa prinaša veliko prednosti

Ker gre za množično uporabljen odprtokodni sistem, je ob upoštevanju zgoraj naštetih nasvetov, za varnost relativno dobro poskrbljeno. Še več priporočil, kako poskrbeti za večjo varnost WordPress spletnih strani, najdete v beli knjigi z naslovom WordPress – kako varen je?

Varna uporaba WorPressa kot tudi izvedba varnostnega pregleda spletnih mest pomembno prispevata k zagotavljanju varnosti vaših informacijskih sistemov. Naša usposobljena ekipa etičnih hekerjev na vašo željo preveri trenutno stanje in poda ukrepe v primeru odkritih pomanjkljivosti.

Author
O AVTORJU Boris Krajnc Etični heker in strokovnjak za kibernetsko varnost boris.krajnc@smart-com.si

Moja specializacija s področja IKT so varnostni pregledi. V podjetju Smart Com sem že več kot 10 let. V tem času sem pridobil različno število strokovnih certifikator. Zadnje pridobljen je CEH, JNCIA, Cisco certified Networks Professional, Extreme Network Associate...

Priporočamo

[INTERVJU] Napadalce je treba danes aktivno iskati

PREBERI VEČ

Kritična napaka v Linux APT orodju

PREBERI VEČ

Sodobna mobilna omrežja

PREBERI VEČ

Nova tehnika napada na omrežja Wi-Fi

PREBERI VEČ
VPRAŠAJTE NAS
Arrow

Soglašam, da zaupane osebne podatke lahko hranite in uporabite za obveščanje o:



Vaše podatke bomo hranili in obdelovali za občasno posredovanje strokovnih vsebin in vabil na specializirane dogodke preko elektronske pošte. Vaše osebne podatke bomo uporabljali zaupno in jih ne bomo posredovali tretjim osebam. Vašo zasebnost obravnavamo v skladu z določili GDPR in Zakonom o varstvu osebnih podatkov.

Privolitev lahko kadarkoli prekličete, ob prejemu e-sporočila ali na e-naslov marketing@smart-com.si posredujete sporočilo z naslovom Odjava. Po obdelavi zahteve za odjavo vam bo Smart Com prenehal pošiljati vsebine od katerih ste se odjavili.

Podrobnosti o odjavi, obdelavi in varovanju osebnih podatkov si preberite v Pravnih obvestilih.

x
Zapri obrazec
ZAPRI+