Evo nekoliko savjeta kako poboljšati sigurnost svog wordpress bloga. Ukoliko niste mega popularni (čitaj: zanimljiva meta) ili se nekom gadno zamjerili ove mjere će vas vrlo dobro zaštititi, a potencijalnim napadačima uvelike otežati posao.
Prvo, instalacija
Sami napravite wp-config.php i zaštitite ga
Prilikom instalacije WP će reći da nemate kreiran wp-config.php i da su mu potrebna dodatna prava kako bi on kreirao za vas. Ne mjenjajte prava na direktoriju nego sami kreirajte wp-config.php file. U instalaciji već imate “wp-config-sample.php”, pa ga editirajte; upišite potrebne podatke, spremite ga kao “wp-config.php” i uploadajte.
Nakon toga moći ćete nastaviti instalaciju.
Prilikom instalacije promjenite default table prefix iz wp_ u nešto složenije npr aB1_Cd2_
Promjena prefixa će povećati zaštitu od “zero-day vulnerabilities” (još neotkrivenih propusta) ili javascript SQL injectiona. Moguće je napraviti i naknadno, ali malo kompliciranije, više informacija na: http://tdot-blog.com/wordpress/6-simple-steps-to-change-your-table-prefix-in-wordpress/
Nakon instalacije, nekoliko pluginova…
Promjenite login URL iz defaultnog “blog.hr/wp-login.php” u nešto drugo, nešto divlje.
Ograničava broj pokušaja logina. Defaultne postavke su da nakon 3 neuspješna pokušaja onemogućava ponovno ulogiranje sljedećih 60min (moguće je podesiti u postavkama).Za logiranje prije tog vremena, morat ćete izmjeniti IP adresu i zibrisati cookie-je.
Skenira wordpress i predlaže što je potrebno podesiti da bi bolje zaštitili wp.
Skenira fileove i kao rezultat ispisuje sve dijelove koda koji su sumnjivi.
Omogućuje disable automatske provjere novih verzija, spremanja FTP podataka i još štošta.
Plugin za jednostavni backup, restore, optimizaciju. Moguće podesiti i automatski backup.
Zatim još malo tvikanja…
Promjenite defaultni username i password
Username je uvijek admin i moguće ga je promjeniti jedino dirketno u bazi, u tablici “MojPrefix_users” uz pomoć phpMyAdmin-a npr.
Uklonite meta tag “generator” iz headera
Najjednostavnije je da u functions.php file u vašoj temi dodate “remove_action(‘wp_head’, ‘wp_generator’);” (bez navodinka).
Pojačajte sigurnost sa .htaccess fileom
Prije svega trebali bi onemogućiti directory listing i zabraniti editiranje wp-config.php filea. Uz ova dva, više .htaccess tweekova možete pročitati na http://wpshout.com/a-to-z-of-wordpress-htaccess-hacks/
I na kraju da zaključimo…
1. Promjenite sve defaultne postavke
Defaultne postavke su svima poznate i ako ih ne promjenite uštedili ste pola posla napadačima, a i veća je mogućnost da vas neki bot zatekne nespremne i eto problema.
2. Radite redovno backup podataka, update pluginova i wordpressa.
Svaka nova verzija wp donosi i nove potencijalne propuste, pa nemojte odmah prvi dan updateati na najnoviju verziju. Ako je trenutna verzija stabilna i nema (otkrivenih) sigurnosnih propusta nemate razloga žuriti.
3. Ne mjenjajte olako prava na folderima i fileovima.
Ako ste već zbog nečega promjenili prava na folderima i fileovima, nakon potrebnih radnji, vratite ih na prvobitno stanje.
4. Koristite sigurnu vezu (SFTP) prilikom uploada fileova
5. Add to bookmark http://blogsecurity.net ili @blogsecurity http://twitter.com/blogsecurity
That’s all folks, happy and safe bloging!
