WordPress je vrlo popularan CMS, ujedno je i open source pa je razumljivo da je i meta hakerima. Sav trud oko stranice, prikupljanja zadovoljnih posjetitelja i klijenata, može pasti u vodu ako se na stranici dogodi sigurnosni propust i hakeri npr. “ukradu” email adrese prijavljenih korisnika i šalju im spamove. Stoga će se mnogi zapitkivati koliko je WordPress siguran, no slično pitanje treba postaviti vlasniku stranice – što će on napraviti za veću sigurnost svoje stranice?
Ovdje možete saznati kako bi odgovoran vlasnik stranice trebao voditi brigu o svojem WordPressu. Kod svakog tko ne obraća pažnju na sigurnost postoji šansa od napada hakera, a da bi se to izbjeglo treba zaštiti WP administracijsku kontrolnu ploču i stranicu za prijavu.
Redovito ažurirajte WordPress, temu i pluginove
Prvi i najjednostavniji savjet, budite u toku s nadogradnjama. Ukoliko koji zastarjeli plugin neće biti kompatibilan s novijom verzijom WordPressa, pronađite drugi sličan njemu koji to je. WordPress developeri svakodnevno prate nove ranjivosti i ažuriraju WP platformu.
Koristite jače lozinke
Odabir jake lozinke za administratora i ostale korisničke račune je neophodan korak ka sigurnosti administratora. Osobito ako imate blok na kojem više ljudi pristupa administratorskoj ploči jer postoji veća vjerojatnost ranjivosti.
Preporuka je da se koriste velika/mala slova, brojevi i koji znak. Nikako ne koristite iste lozinke kod više korisnilka.
Ograničite broj pokušaja prijava
Nemojte dozvoliti da se netko pokušava ulogirati u vaš admin panel sve dok ne pogodi lozinku, a osim toga hakeri koriste skripte za pogađanje lozinki tako da se neprestano pokušavaju ulogirati. Smanjenjem limita na npr. 3 pokušaja spriječiti ćete neovlaštenim osobama da pogode ispravnu lozinku. Ukoliko netko prekorači limit pokušaja, pristup stranici će se zatvoriti, a vi ćete biti obavješteni.
U tu svrhu možete instalirati jedan od pluginova kao što su iThemes Security, Wordfence Security, WP Limit Login Attempts i Login LockDown.
Podesite svoj link do login stranice
Za pristup admin panelu koristi se /wp-login.php ili /wp-admin (koji je alias do wp-login.php skripte) i to je svima poznato. Ako netko i sazna Vašu lozinku, znat će i način kako doći do login stranice te se ulogirati.
Plugin Stealth Login omogućuje stvaranje prilagođenih URL-ova za prijavu, odjavu, administraciju i registraciju te tako umjesto /wp-admin koristite neki svoj naziv. Također možete omogućiti “Stealth Mode” koji će spriječiti korisnike da budu u mogućnosti pristupiti wp-login.php izravno. Svoj login link postavite na npr. /moj-admin i tako ćete svima otežati pronalaženje pristupnog linka pa neće biti ni hakera i botova koji bi se pokušavali prijavljivati pogađanjem lozinke.
Malo prije spomenuti plugin iThemes Security također omogućava skrivanje login stranica, a osim toga nudi još sigurnosnih mogućnosti te je jednostavan za korištenje.
Otvarajte login stranicu preko HTTPS protokola
O blagodatima SSL certifikata pisali smo u jednom od prethodnih članaka i ovdje možete slijediti upute kako ga uključiti na Vašoj WP stranici.
Opasno se prijavljivati u svoj admin panel preko javne mreže jer hakeri mogu “slušati” promet i pristupiti Vašem http zahtjevu. Sve komunikacije, kao što su lozinke poslužitelja i podaci za prijavu, šifrirani su, a vi ste sigurni od hakiranja. Sve to znači da će bilo koja akcija koju obavljate unutar vašeg područja administracije WordPressa biti šifrirana tako da haker ne može primijetiti nikakve tajne informacije koje mogu biti štetne u pogrešnim rukama.
Ako je Vaša domena smještena na našem serveru, onda imate i instaliran SSL certifikat. Usmjerite vašu stranicu na https čim prije ako to još niste ovdje.