Vodič za ultimativnu sigurnost WordPressa

Pregled sadržaja

WordPress je jedan od najpopularnijih sustava za upravljanje web stranicama. Pogoni više od 30% web stranica na cijelom internetu, svaki mjesec koristi ga preko 75 milijuna korisnika na preko 400 milijuna web stranica a svakog dana preko 50 000 novih članaka se objava na ovoj platformi. Zbog izrazito velike popularnosti čest je na temi hakera bez obzira na sadržaj koji prikazuje.

Je li WordPress siguran sustav? WordPress sam po sebi je siguran, temeljito je testiran i održavan, na njemu radi velik broj developera koji ga dobro uštimavaju s modernim saznanjima. Međutim, problemi mogu doći s druge strane, često preko sigurnosnih rupa instaliranih dodataka (plugina) ili tema i lošeg održavanja.

Kako možemo znati ako su stranice hakirane?

Više je metoda kojima možemo saznati ako su nam stranice bile hakirane:

Novi sadržaj se nalazi na stranicama bez vašeg znanja

Može se dogoditi da su neke postojeće stranice promijenjene, u dijelove teksta ubačene su fraze koje nemaju veze sa kontekstom stranice. Mogu se javljati skočni (popup) prozori koje niste postavili a koje je ponekad vrlo teško zatvoriti te neprestano iskakaju novi. Sadržaj može biti na nekom drugom jeziku, često s linkovima koji vode na druge stranice. Stranice mogu prikazivati sadržaj za odrasle, reklame za kockanje, drogu ili druge ilegalne aktivnosti

Stranice preusmjeravaju na druge web stranice

Prilikom otvaranja bilokoje stranice sustav korisnika automatski preusmjeri na neke vanjske stranice koje nemaju vezu sa pravim sadržajem a često su spamerskog tipa.

Prilikom otvaranja stranicama prikaže vam se upozorenje

ako vam internet preglednik detektira čudno ponašanje stranica može vam preko cijelog ekrana prikazati upozorenje da stranice nisu sigurne i pružiti vam odabir želite li nastaviti sa pregledom. Doduše, ovo nije nužno da se prikaže zbog hakerskog napada, može biti i samo da nemate dobro podešen SSL certifikat.

Ne uspijevate se više prijaviti u sustav

lozinka može biti promijenjena i ne može se resetirati ili ste kao korisnik posve obrisan.

Mailom ste zaprimi informaciju da je stranica hakirana

Hosting tvrtka može javiti mailom (automatizirano ili osobno) da su otkrivene zloćudne radnje na stranicama. Ako se radi o shared hostingu u tom slučaju su vjerojatno stranice stavili u karantenu te one više nisu vidljive javnosti. To rade i da sami sebe zaštite jer se zaraza može prenijeti na druge projekte koji su unutar istog sustava.

WordPress vas također može obavijestiti ako postoji sigurnosna ranjivost, a ako ste registrirali stranice na Search Console Google vas također može obavijestiti porukom ako primijeti zloćudne radnje.

Google tražilica može napomenuti da je stranica hakirana

Kada Google botovi koji skeniraju web radi indeksiranja na stranici pronađu nepravilnosti za koje vjeruju da su zlonamjerni, tada prilikom prikaza rezultata pretrage stoji obavijest o tome (This site may be hacked, This website has been reported as unsafe ili drugo).

Skeniranje stranica specijalnim alatima pokazuje probleme

Velik broj alata može skenirati i provjeriti jesu li stranice hakirane, jedan od njih je Google Safe Browsing tool. Moguće je i skenirati programerske datoteke unutar samog WordPressa instaliranim dodacima, ukoliko je stranica hakirana čest je slučaj da su programerske i konfiguracijske datoteke zaražene zloćudnim kodovima.

Kako očvrsnuti WordPress

Najbolji način za sigurnost WordPressa je preventiva. Realno, ako se vladine stranice mogu hakirati uz sve nize sigurnosti tada to mogu biti i vaše, no važno je stegnuti sigurnosni obruč čim više. Ako vam stranice hakiraju potrošit ćete sate ili čak i dane pokušavajući sanirati štetu te možete izgubiti ili ozbiljno narušiti poslovanje s klijentima i zbog toga vam je vrijedno uložiti dodatno vrijeme kako biste bili sigurni da se takva situacija nikad ne dogodi.

Donosimo vam listu predostrožnosti koje je potrebno obaviti kako bi očvrsnuli web stranice na WordPressu na više razina, preporuka je odraditi sve.

Izrada sigurnosnih kopija

Izrada sigurnosnih kopija (backupa) nije zapravo metoda za povećanje sigurnosti sustava ali je od kritične važnosti jer se slučaju da dođe do hakiranja sustav može vratiti u prvobitno stanje. Zbog toga je izrada kopije prva stvar koju moramo napraviti.

Sigurnosne kopije možemo raditi ručno preko cPanela, kada napravimo kompresiju cijelog projekta i spremimo ga na sigurnu lokaciju a isto možemo raditi i unutar samog WordPressa pomoću dodatka. Naša preporuka je UpdraftPlus, pouzdan je i jednostavan za upotrebu, omogućuje i izradu automatskog backupa na dnevnoj razini te slanje na vanjske lokacije što dodatno pogoduje sigurnosti (Gmail, Dropbox, Google Drive…).

WordPress sustav, pluginove i temu uvijek ažurirajte na posljednje verzije

Developeri koji rade na WordPressu kontinuirano ga nadograđuju sa sigurnosnim zakrpama koje uklone probleme s prethodnim verzijama. Sigurnosne zaprke se rade automatski (osim ako to nije izričito isključeno), dok je veće verzije potrebno raditi ručno. U svakom slučaju poželjno je držati sustav ažuriranim na posljednju verziju.

Dodatke pogotovo držite ažuriranim jer njih rade razni developeri i veća je mogućnost da su lošije kodirani te imaju sigurnosne propuste. Minimizirajte broj dodataka (pluginova) koje koristite, osim za sigurnost ovo nije dobro ni za međusobnu kompatibilnost ni za brzinu rada stranica. Prema Wordfence podacima skoro 56% komprimitiranih web stranica napadnuto je preko sigurnosnih rupa plugina.

Neaktivne teme i dodatke obrišite, što je preporučljivo i prema Wp dokumentaciji jer i neaktivne dodateke mogu činiti sigurnosni propust.

Dodatke i teme nabavljajte isključivo iz provjerenih izvora (iz službenog WordPress repozitorija dodataka ili preko popularnih ThemeForest i Code Canyon), jer u suprotnom mogu biti tzv. nullani tj. hakirani što je čest slučaj kod premium dodataka i tema koje se plaćaju. Također obratite pozornost na njihovu popularnost, ako su popularni i imaju pozitivne ocjene veća je mogućnost da su temeljito provjereni i sigurni, pogledajte što korisnici kažu u recenzijama i kakvi problemi ih muče na formu podrške te koliko brzo developeri reagiraju na upite. Dodatke koji su napušteni te ih developeri više ne održavaju obrišite i potražite im alternativu.

Nadograđivanje teme je rjeđi postupak, no također je poželjno raditi i ako je rađena prilagođena tema. Sama tema može biti izvor propusta, a nadogradnjom skripta koje koriste bolja će biti i kompatibilnost s modernim uređajima.

Ograničite pokušaje prijave

Primjer ograničenja je da se korisniku napravi timeout i spriječi mogućnost prijave na jedan sat ako se ne uspije prijaviti u 5 pokušaja. Korisno je kod spriječavanja brute force napada gdje botovi na silu isprobavaju sve moguće kombinacije korisničkog imena i lozinke, premda nije potpuna zaštita jer hakerski napadi mogu biti usmjereni sa tisuća raznih servera.

U logovima se može primijetiti pokušaji prijave korisnička imena koja često ni ne postoje.

Promjena URL adrese za prijavu

Svi znaju da se stranica za prijavu nalazi na adresi vašadomena.hr/wp-admin. Njenim sakrivanjem dobivate bod za veću sigurnost. Ovo je vrlo jednostavno riješiti pomoću dodatka WPS Hide Login. Jedino nemojte zaboraviti na kojoj adresi se nakon toga prijavljujete.

Sakrivanje verzije WordPressa

Kako se hakerima ne bi dale nepotrebne informacije koje bi mogli koristiti u njihovu korist poželjno je sakriti prikazivanje verzije WordPressa iz koda samih stranica. Ako hakeri znaju da je određena verzija WordPressa podložna određenom problemu i ima sigurnosnu rupu oni je mogu ciljano eksploatirati. Naredni kod potrebno je staviti unutar function.php datoteke

remove_action('wp_head', 'wp_generator');

Postavljanje sigurnosne veze

Kada korisnik posjeti vašu stranicu, sav sadržaj (izvršne datoteke, medijski zapisi i sl) se šalje putem HTTP protokola preko mreže u vaš browser. Takva veza nije sigurna i potencijalni haker koji ju osluškuje podatke može presresti. Zbog toga je razvijen novi sigurnosni protokol HyperText Transfer Protocol Secure (HTTPS) koji kriptira vezu i otežava potencijalnom hakeru da njuška i krade informacije.

Da bi omogućili HTTPS vezu potrebno je imati SSL certifikat, a njega je danas moguće instalirati posve besplatno i većina poslužitelja hostinga ga omogućuje u startu. Tada je potrebno na razini samih web stranica podesiti da sve putanje upućuju na novu https verziju. Ovo možete učiniti pomoću plugina Better Search Replace, pa nakon što predostrožnosti radi napravite sigurnosnu kopije baze odaberite sve tablice u opcijama i staru adresu:

http://www.stranica.hr

zamijenite sa:

https://www.stranica.hr

Kada sve funkcionira uredno moći ćete vidjeti malu ikonicu lokota pored vaše adrese. Ako se to ne dogodi, otvorite konzolu (CTRL+SHIFT+i) i provjerite koje vam greške javlja preglednik. Moguće da je potrebno još neke dodatne putanje zamijeniti novim adresama.

Osim što je dobro za vašu sigurnost, tražilice vam daju i mali plusić za bolje rangiranje stranica.

Redovito skenirajte cijeli sustav

Skeniranje uspoređuje se sadašnje stanje datoteka sa stvarnim stanjem na WP repozitoriju, ako postoje odstupanja javi grešku. Ovisno o jačini skeniranja neke greške mogu biti lažni alarm.

Premda skeniranje troši resurse vaše hostinga, može se podesiti da ih troši na razini kada nemate značajan promet na stranicama a to je vrlo vjerojatno iza ponoći.

Prebacivanje sustava na posljednju PHP verziju

PHP je programerski jezik na kojem se razvija WordPress. Verzija 5.x ima nekih sigurnosnih propusta, a nadogradnjom na novu PHP 7 verziju zbog optimizacija koje donosi sustav će vam osjetno biti i brži. PHP se može nadograditi unutar cPanela ili zatražiti od hosting poslužitelja da to učine.

Zaštitite programerske datoteke

Nekoliko je radnji koje možemo učiniti za bolju sigurnost.

Onemogućite uređivanje datoteka iz WordPress editora

Uređivanje datoteka iz samog WordPressa je posve nepotrebna stvar, vjerojatno je nećete ni trebati koristiti i svakako je dobro isključiti. Ovakvo direktno mijenjanje ne slijedi dobru praksu verzioniranja koda niti mogućnost vraćanja datoteke ako nešto pođe po zlu. Potrebno je u osnovnu konfiguracijsku datoteku wp-config.php ubaciti na početak naredni kod

define( ‘DISALLOW_FILE_EDIT’, true );

Postavljanje vatrozida (firewall)

Vatrozid (WAF – Web Application Firewall) je sigurnosni zid između vašeg mrežnog prometa i hosting poslužitelja a cilj mu je da prati dolazne aktivnosti i filtrira najčešće prijetnje prije nego što dođu do samog sustava. Pomaže kod XSS i CSRF napada, ubacivanja SQL kodova, otimanja sesija, omogućuje zaštitu od brute force napada a hakeri i botovi su automatski stavljeni na crnu listu. Može se podesiti na razini DNS-a i na razini samog WordPressa preko nekog od dodataka (pogledajte sekciju niže) ili preko vanjskog Cloudflare servisa.

Instalirajte sigurnosno rješenje

Dobro je koristiti neki od idućih dodataka koji obično više problema mogu riješiti jednim udarcem. Većina ovih dodataka ima besplatnu verziju, ako vam je potrebna pojačana zaštita i budžet vam odgovara možete odabrati profesionalni paket.

  • WordFence – najpopularniji sigurnosni dodatak. Svakodnevno skenira sustav (WordPress jezgru, dodatke i pluginove kao i druge direktorije) i provjerava integritet datoteka, postavlja sigurnosni vatrozid, štiti od brojnih uobičajenih hakerskih napada, forsira upotrebu jakih lozinka, omogućuje potvrdu u dva koraka (two-factor authentication).
  • iThemes Security – nudi zaštitu slično kao i Wordfence, omogućuje još i potpuno isključivanje pristupa administraciji u određenim periodima dana (primjerice tijekom noći), promjenu adrese za prijavu u administraciju, onemogućavanje pregledavanje direktorija, izvršivanje skripta unutar uploads direktorija, isključivanje XML-RPC… Korisničko sučelje u administraciji je jednostavnije i intuitivnije te nudi nešto više mogućnosti od Wordfence međutim dnevno skeniranje sustava je dostupno samo u plaćenoj inačici što mu je glavni nedostatak
  • Malcare, Sucuri scanner… – postoje još razne alternative gornje navedenim dodacima

Ostalo

  • Search Console – prijavite stranicu na Search Console kako bi imali uvid u ponašanje stranica, između ostalog i radi dojave ukoliko se dogode promjene na razini sigurnosti

Sažetak

Održavanje web stranice važan je segment. Slijeđenjem gore navedenih savjeta moći ćete vaše web stranice zaštititi od sigurnosnih rizika i mirno spavati znajući da vaša. Ovo su bile najčešće greške i moguća rješenja, lista nije iscrpna međutim trebalo bi pokriti i očvrstiti stranice do mjere sigurnosti

Ne možete li sami podesiti navedene prijedloge i potreban vam je neko da vam učvrsti WordPress? Ili što ako je stranica već haknuta? Kontaktirajte nas i zaštite vaše web stranice bez odlaganja.