• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

Specijalist

Magazin o internet poslovanju

  • Komunikacija
  • Promocija
  • Projekti
  • Trendovi
wordpress

WordPress i sigurnost

Vlado Bošnjak, 16.11.2009. Komentiraj

Evo nekoliko savjeta kako poboljšati sigurnost svog wordpress bloga. Ukoliko niste mega popularni (čitaj: zanimljiva meta) ili se nekom gadno zamjerili ove mjere će vas vrlo dobro zaštititi, a potencijalnim napadačima uvelike otežati posao.

wordpress
Foto: teamstickergiant/Flickr

Prvo, instalacija

Sami napravite wp-config.php i zaštitite ga

Prilikom instalacije WP će reći da nemate kreiran wp-config.php i da su mu potrebna dodatna prava kako bi on kreirao za vas. Ne mjenjajte prava na direktoriju nego sami kreirajte wp-config.php file. U instalaciji već imate “wp-config-sample.php”, pa ga editirajte; upišite potrebne podatke, spremite ga kao “wp-config.php” i uploadajte.
Nakon toga moći ćete nastaviti instalaciju.

Prilikom instalacije promjenite default table prefix iz wp_ u nešto složenije npr aB1_Cd2_

Promjena prefixa će povećati zaštitu od “zero-day vulnerabilities” (još neotkrivenih propusta) ili javascript SQL injectiona. Moguće je napraviti i naknadno, ali malo kompliciranije, više informacija na: http://tdot-blog.com/wordpress/6-simple-steps-to-change-your-table-prefix-in-wordpress/

Nakon instalacije, nekoliko pluginova…

Stealth Login

Promjenite login URL iz defaultnog “blog.hr/wp-login.php” u nešto drugo, nešto divlje.

Login LockDown

Ograničava broj pokušaja logina. Defaultne postavke su da nakon 3 neuspješna pokušaja onemogućava ponovno ulogiranje sljedećih 60min (moguće je podesiti u postavkama).Za logiranje prije tog vremena, morat ćete izmjeniti IP adresu i zibrisati cookie-je.

WP Security Scan

Skenira wordpress i predlaže što je potrebno podesiti da bi bolje zaštitili wp.

WordPress Exploit Scanner

Skenira fileove i kao rezultat ispisuje sve dijelove koda koji su sumnjivi.

Core Control plugin

Omogućuje disable automatske provjere novih verzija, spremanja FTP podataka i još štošta.

WP-DBManager

Plugin za jednostavni backup, restore, optimizaciju. Moguće podesiti i automatski backup.

Zatim još malo tvikanja…

Promjenite defaultni username i password

Username je uvijek admin i moguće ga je promjeniti jedino dirketno u bazi, u tablici “MojPrefix_users” uz pomoć phpMyAdmin-a npr.

Uklonite meta tag “generator” iz headera

Najjednostavnije je da u functions.php file u vašoj temi dodate “remove_action(‘wp_head’, ‘wp_generator’);” (bez navodinka).

Pojačajte sigurnost sa .htaccess fileom

Prije svega trebali bi onemogućiti directory listing i zabraniti editiranje wp-config.php filea. Uz ova dva, više .htaccess tweekova možete pročitati na http://wpshout.com/a-to-z-of-wordpress-htaccess-hacks/

I na kraju da zaključimo…

1. Promjenite sve defaultne postavke

Defaultne postavke su svima poznate i ako ih ne promjenite uštedili ste pola posla napadačima, a i veća je mogućnost da vas neki bot zatekne nespremne i eto problema.

2. Radite redovno backup podataka, update pluginova i wordpressa.

Svaka nova verzija wp donosi i nove potencijalne propuste, pa nemojte odmah prvi dan updateati na najnoviju verziju. Ako je trenutna verzija stabilna i nema (otkrivenih) sigurnosnih propusta nemate razloga žuriti.

3. Ne mjenjajte olako prava na folderima i fileovima.

Ako ste već zbog nečega promjenili prava na folderima i fileovima, nakon potrebnih radnji, vratite ih na prvobitno stanje.

4. Koristite sigurnu vezu (SFTP) prilikom uploada fileova

5. Add to bookmark http://blogsecurity.net ili @blogsecurity http://twitter.com/blogsecurity

That’s all folks, happy and safe bloging!

Podijeli članak!

  • Facebook
  • Twitter

Tagovi: blog, sigurnost, wordpress

Autor Vlado Bošnjak

Vlado Bošnjak trenutno je zaposlen kao Traffic Manager u agenciji za online marketing AdLINK Media Croatia. Karijeru je počeo u Večernjem listu gdje je proveo 3 godine, isprva kao webmaster, a kasnije kao web developer na portalu vecernji.hr. Uz taj posao sa strane još uvijek projektira web portale.

Reader Interactions

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Primarni stupac

Najpopularnije

Media planiranje danas

Maja Aberle Tokić, 27.08.2012.

Targetiranja i direct response display kampanje

Maja Aberle Tokić, 24.11.2009.

Realnost oglašavanja na Internetu u Hrvatskoj – media plan bez plana?

Vibor Kalogjera, 10.11.2009.

“Hladni” prodavači

Tomislav Car, 08.01.2010.

megapopust

Loša komunikacija s kupcima

Sanja Radić, 27.09.2012.

Teme

blog brendiranje digitalne agencije digitalni mediji društvene mreže e-business facebook google klijenti marketing media plan objave oglašavanje prodaja projekt reputacija seo social media startup web portal

Specijalist na Fejsu

Footer

  • Info
  • Impressum
  • Kontakt

Newsletter

Kontakt

  • Email
  • Facebook
  • LinkedIn
  • Twitter

Specijalist je pokrenuo Filip Višić. Copyright © 2009–2025. Sva prava pridržana.