Prvo, instalacija

Sami napravite wp-config.php i zaštitite ga

Prilikom instalacije WP će reći da nemate kreiran wp-config.php i da su mu potrebna dodatna prava kako bi on kreirao za vas. Ne mjenjajte prava na direktoriju nego sami kreirajte wp-config.php file. U instalaciji već imate “wp-config-sample.php”, pa ga editirajte; upišite potrebne podatke, spremite ga kao “wp-config.php” i uploadajte.
Nakon toga moći ćete nastaviti instalaciju.

Prilikom instalacije promjenite default table prefix iz wp_ u nešto složenije npr aB1_Cd2_

Promjena prefixa će povećati zaštitu od “zero-day vulnerabilities” (još neotkrivenih propusta) ili javascript SQL injectiona. Moguće je napraviti i naknadno, ali malo kompliciranije, više informacija na: http://tdot-blog.com/wordpress/6-simple-steps-to-change-your-table-prefix-in-wordpress/

Nakon instalacije, nekoliko pluginova…

Stealth Login

Promjenite login URL iz defaultnog “blog.hr/wp-login.php” u nešto drugo, nešto divlje.

Login LockDown

Ograničava broj pokušaja logina. Defaultne postavke su da nakon 3 neuspješna pokušaja onemogućava ponovno ulogiranje sljedećih 60min (moguće je podesiti u postavkama).Za logiranje prije tog vremena, morat ćete izmjeniti IP adresu i zibrisati cookie-je.

WP Security Scan

Skenira wordpress i predlaže što je potrebno podesiti da bi bolje zaštitili wp.

WordPress Exploit Scanner

Skenira fileove i kao rezultat ispisuje sve dijelove koda koji su sumnjivi.

Core Control plugin

Omogućuje disable automatske provjere novih verzija, spremanja FTP podataka i još štošta.

WP-DBManager

Plugin za jednostavni backup, restore, optimizaciju. Moguće podesiti i automatski backup.

Zatim još malo tvikanja…

Promjenite defaultni username i password

Username je uvijek admin i moguće ga je promjeniti jedino dirketno u bazi, u tablici “MojPrefix_users” uz pomoć phpMyAdmin-a npr.

Uklonite meta tag “generator” iz headera

Najjednostavnije je da u functions.php file u vašoj temi dodate “remove_action(‘wp_head’, ‘wp_generator’);” (bez navodinka).

Pojačajte sigurnost sa .htaccess fileom

Prije svega trebali bi onemogućiti directory listing i zabraniti editiranje wp-config.php filea. Uz ova dva, više .htaccess tweekova možete pročitati na http://wpshout.com/a-to-z-of-wordpress-htaccess-hacks/

I na kraju da zaključimo…

1. Promjenite sve defaultne postavke

Defaultne postavke su svima poznate i ako ih ne promjenite uštedili ste pola posla napadačima, a i veća je mogućnost da vas neki bot zatekne nespremne i eto problema.

2. Radite redovno backup podataka, update pluginova i wordpressa.

Svaka nova verzija wp donosi i nove potencijalne propuste, pa nemojte odmah prvi dan updateati na najnoviju verziju. Ako je trenutna verzija stabilna i nema (otkrivenih) sigurnosnih propusta nemate razloga žuriti.

3. Ne mjenjajte olako prava na folderima i fileovima.

Ako ste već zbog nečega promjenili prava na folderima i fileovima, nakon potrebnih radnji, vratite ih na prvobitno stanje.

4. Koristite sigurnu vezu (SFTP) prilikom uploada fileova

5. Add to bookmark http://blogsecurity.net ili @blogsecurity http://twitter.com/blogsecurity

That’s all folks, happy and safe bloging!