Više od 40% od 10 milijuna najboljih internetskih stranica koristi WordPress. Ali je li WordPress siguran? Kratak odgovor na ovo pitanje je Da – WordPress je siguran. Međutim, to ne znači da WordPress nema ranjivosti.
Srećom, WordPress zajednica je dokumentirala mnoge uobičajene ranjivosti WordPressa, olakšavajući administratorima web stranica dodavanje slojeva sigurnosti na svoje stranice kako bi riješili te ranjivosti. Osim toga, postoji nekoliko jednostavnih načina za ažuriranje ili održavanje vašeg WordPress web-mjesta kako biste osigurali da bude što sigurnije.
U ovom ću članku pokriti 5 jednostavnih načina za izradu vaše WordPress web stranice više siguran.
1. Imajte jedinstvena administratorska korisnička imena i snažne lozinke za prijavu
Administratorska stranica za prijavu prva je linija obrane vaše WordPress web stranice. To je mjesto gdje bilo koji administrator ili korisnik može dobiti pristup "pozadinskom dijelu" vašeg web-mjesta i vršiti izmjene na web-mjestu, unositi ili izdvajati korisničke/kupčeve podatke ili dodavati ili uklanjati datoteke i značajke web-mjesta - pod uvjetom da im je dano dopuštenje za to .
Ipak, loši akteri također mogu koristiti ovu stranicu za prijavu kao prolaz za napad na vašu stranicu. Na primjer, u "Silu” napada, hakeri opetovano pokušavaju pogoditi vaše vjerodajnice za prijavu kako bi dobili pristup vašoj web stranici.
Ovim hakerima ne bi trebalo dugo da uspješno provale u osjetljive podatke vaše web-lokacije ako koristite generičko administratorsko korisničko ime i lozinku (kao što je "admin" za korisničko ime i "password1234" za lozinku).
Stoga je prva jednostavna stvar koju možete učiniti kako biste svoju stranicu učinili sigurnijom koristite jedinstvena korisnička imena i jake lozinke za vjerodajnice za prijavu na web mjesto. Također biste trebali provjeriti jesu li vaše korisničko ime i lozinka jedinstveno za vašu WordPress web stranicu i ne koristi se za druge lokacije za prijavu (kao što je vaše online bankarstvo ili prijava na društvene mreže). To će dodati dodatni sloj sigurnosti.
Ako, s druge strane, reciklirate svoja korisnička imena i lozinke na više stranica, sve stranice koje koriste te vjerodajnice bit će ugrožene u trenutku kada jednu od njih ugrozi haker.
Ako ste zabrinuti da ćete izgubiti podatke za prijavu, napravite papirnatu kopiju podataka (obavezno uključite ispravna velika i mala slova!). Papirnatu kopiju pohranite na sigurno mjesto gdje samo vi i osobe od povjerenja imate pristup (poput ormara za dokumente koji se može zaključati).
Osim toga, možete omogućiti dvofaktorsku autentifikaciju ili jednokratnu lozinku (OTP) za svoju WordPress stranicu za prijavu. To će osigurati još jedan sigurnosni sloj za više razina zaštite. Na primjer, WordPress sigurnosni dodatak SG Security (koji dolazi sa SiteGround planovi hostinga) dolazi sa značajkom "Autentikacija u dva faktora" koja koristi Googleov dodatak za autentifikaciju. To znači da čak i ako je haker pogodio vaše administratorsko korisničko ime i zaporku, i dalje bi trebao otkriti nasumično generirani kod za provjeru autentičnosti kako bi dobio pristup pozadini vaše stranice.
2. Koristite najnoviju verziju WordPressa
Još jedan jednostavan način da očuvate svoju stranicu sigurnom je da uvijek koristite najnoviju verziju WordPressa. WordPress radi u "ciklusu izdavanja" koji izbacuje nove verzije osnovnog koda otprilike svaka 4 mjeseca. Iako nove verzije WordPressa mogu biti manje ili veće, gotovo uvijek sadrže sigurnosna ažuriranja.
Ova ažuriranja temelje se na najnovijim informacijama iz izvora poput Otvoreni projekt sigurnosti web aplikacija (OWASP Foundation), “online zajednica posvećena sigurnosti web aplikacija.”
Srećom, WordPress i svaku njegovu novu verziju uvijek možete besplatno instalirati na svoju stranicu. I, u većini slučajeva, WordPress će automatski ažurirati vašu stranicu na najnoviju verziju (osim ako mu izričito ne kažete da to ne čini ili koristite verziju stariju od WordPress 3.7).
Osim toga, glavni tim WordPress-a ulaže puno truda u stvaranje kompatibilnosti novih verzija WordPress-a sa prethodnim verzijama. To jednostavno znači da su nove verzije WordPressa dizajnirane za rad s vašim postojećim temama, dodacima i prilagođenim kodom.
Možete provjeriti je li vaša stranica ažurirana na najnoviju verziju tako da odete na Nadzorna ploča>Ažuriranja (žuta strelica na gornjoj slici). Ovdje ćete vidjeti koju verziju WordPressa koristite i je li to najnovija dostupna verzija (crvena strelica na gornjoj slici).
Jedna važna stvar koju treba imati na umu je da obično ne želite "skočiti" na najnoviju verziju WordPressa ako koristite mnogo stariju verziju.
Na primjer, ako koristite WordPress 4.9 (izdan 2017.) na svojoj web stranici uživo, ne preporučujem da pokušate ažurirati izravno na WordPress 6.2 (najnovija verzija u vrijeme pisanja ovog članka). Ovo će pokvariti stvari.
Umjesto toga, možete preuzeti i instalirati prošla izdanja na svoju web stranicu i polako je ažurirajte. Osim toga, trebali biste sigurnosno kopirati datoteke svoje web-lokacije prije izvođenja ažuriranja. Preporučujem odjavu ovaj članak o različitim koracima koje treba poduzeti prije, tijekom i nakon izrade sigurnosne kopije vaše WordPress stranice. To definitivno može biti proces, ali će vas poštedjeti glavobolje rušenja vaše stranice i pokušaja da sve popravite naknadno.
Imajte na umu da što je vaša trenutna verzija WordPressa starija, to će ovaj proces biti zamorniji i nesigurniji. Ovo je razlog više da svoju verziju WordPressa uvijek ažurirate!
3. Ažurirajte svoju temu na najnoviju verziju i deinstalirajte teme koje se ne koriste
WordPress "pojačava" sigurnost svojih zadanih tema stalnim razvojem, ponavljanjem i izdavanjem novih verzija tema. To znači da uvijek trebate koristiti najnoviju zadanu temu iz WordPressa kada možete jer će imati ugrađena sva najnovija sigurnosna ažuriranja.
Srećom, lako je reći koja je zadana tema najnovija jer svaku novu temu nazivaju prema tekućoj (ili nadolazećoj) godini kada će tema biti objavljena. Na primjer, tema koju su objavili 2023. zove se “Twenty Twenty-Three.”
Osim sigurnosnih ažuriranja, nove zadane teme također sadrže mnoge nove značajke koje su osmišljene kako bi dizajn vaših web stranica učinile lakšim i ugodnijim. Osim toga, često dolaze s poboljšanjima performansi kako bi vaše web mjesto radilo bolje i tako vam pomoglo da dobijete više prometa.
Niste sigurni kako ažurirati svoje teme u WordPressu? Pokazat ću vam kako u mom WordPress za početnike 2023: WordPress masterclass bez koda na Udemyju.
Bilo da odlučite koristiti najnoviju zadanu temu za svoje WordPress web mjesto ili se držite teme koja vam odgovara, uvijek biste trebali izbrisati sve neaktivne ili na neki drugi način nekorištene teme u pozadini vašeg web mjesta. To je zato što nekorištene teme (osobito starije teme ili teme trećih strana) mogu imati sigurnosne ranjivosti koje hakerima olakšavaju pristup i napad na vašu stranicu.
4. Ažurirajte dodatke na najnoviju verziju i provjerite kompatibilnost
Jedna od stvari koja čini WordPress izvrsnim je njegova integracija dodataka trećih strana. Međutim, nisu svi dodaci stvoreni jednaki i neki od njih zapravo mogu stvoriti sigurnosne propuste za vaše web mjesto.
Srećom, postoji nekoliko jednostavnih stvari koje možete učiniti kako biste smanjili rizik od sigurnosnih prijetnji koje stvaraju dodaci.
Za početak, uvijek se preporučuje da ti preuzmite i instalirajte WordPress dodatke iz WordPress repozitorija. To je zato što ovdje navedene dodatke treba pregledati i odobriti WordPress sigurnosni tim prije nego što budu dostupni za preuzimanje. Ove dodatke možete pronaći putem ovu izravnu vezu na spremište dodataka, ili izravno unutar WP Admin Area vaše web stranice odlaskom na Plugins>Add New (žuta strelica na slici ispod).
Kada odlučujete koji ćete dodatak preuzeti za svoju WordPress stranicu, toplo preporučujem korištenje dodataka koji su navedeni kao "kompatibilni s vašom verzijom WordPressa". Srećom, WordPress vam govori jesu li vaš dodatak i verzija WordPressa kompatibilni izravno iz direktorija dodataka (crvena strelica na gornjoj slici). Dodaci koji nisu testirani u odnosu na najnoviju verziju WordPressa prikazat će poruku: "Nije testirano s vašom verzijom WordPressa" (plava strelica na gornjoj slici).
Dok "netestirani" dodaci mogu dobro funkcionirati s vašom verzijom i temom WordPressa, možda postoje neotkrivene sigurnosne ranjivosti povezane s tim dodacima. Dakle, koristite takve dodatke s oprezom na svojoj web stranici.
Imajte na umu da WordPress navodi u svojoj Sigurnosnoj bijeloj knjizi: “Uključivanje dodataka i tema u repozitorij nije jamstvo da nemaju sigurnosnih propusta.” S tim u vezi, dodaci s poznatim "ozbiljnim ranjivostima" uklanjaju se iz repozitorija, a sigurnosni tim WordPressa ih čak može popraviti prije ponovnog postavljanja u repozitorij.
Naposljetku, nakon što imate instalirane dodatke na svojoj web-lokaciji, pobrinite se da ih sve ažurirate. Programeri dodataka obično uvode sigurnosna ažuriranja i popravke sa svojim novim verzijama. Dakle, ako imate najnoviju verziju dodatka, osiguravate da imate sva najnovija sigurnosna ažuriranja dostupna za taj dodatak na vašem web-mjestu. Baš kao i s neiskorištenim ili neaktivnim temama, također preporučujem da deaktivirate i deinstalirate sve neiskorištene dodatke na svojoj web stranici kako biste smanjili šanse da takvi dodaci kasnije stvore sigurnosnu ranjivost.
Ako niste sigurni kako ažurirati dodatke u WordPressu, preporučujem da provjerite ovaj postupak u mom WordPress za početnike 2023: WordPress masterclass bez koda na Udemyju.
5. Dodajte SSL certifikat svojoj domeni
Konačni lako način da dodate više sigurnosti svojoj WordPress stranici u 2023. je dodavanje SSL certifikata vašoj domeni.
SSL (Secure Socket Layer) certifikati u biti potvrđuju da sadržaj koji posjetitelji vaše stranice vide dolazi od stvarnog kreatora sadržaja, a ne od varalice ili lažne web stranice. Drugim riječima, izravno iz korisničkog preglednika provjerava je li sve legitimno.
Web-mjesta koja imaju pravilno postavljen SSL certifikat imat će ikonu lokota pored URL-a web-mjesta u traci za pretraživanje preglednika. Na primjer, ako pogledate vrh ove web stranice u Googleovom pregledniku Chrome, vidjet ćete ikonu lokota pored glavnog URL-a (crvena strelica na gornjoj slici). Kada kliknete ikonu lokota, vidjet ćete redak koji kaže "Veza je sigurna". Ovo je Google koji provjerava je li veza između ove web stranice i web preglednika posjetitelja sigurna i privatna.
SSL certifikati posebno su važni za bilo koje web mjesto koje prikuplja BILO vrsta korisničkih podataka. To uključuje jednostavne informacije prikupljene iz obrasca za kontakt (tj. ime, e-pošta, telefonski broj itd.), kao i složenije ili privatne informacije koje bi se, na primjer, sakupile s web-mjesta e-trgovine (tj. brojevi kreditnih kartica, adresa, itd.). Čineći vezu između web stranice i posjetitelja stranice sigurnom, SSL certifikati hakerima jako otežavaju krađu informacija koje se razmjenjuju između dvije strane.
Neke tvrtke za hosting web stranica naplaćuju SSL certifikat, dok druge (npr SiteGround) će ponuditi a besplatni SSL certifikat. Većina pružatelja usluga hostinga trebala bi ponuditi SSL certifikat, kao i upute o tome kako ga instalirati na svoju WordPress web stranicu.
Kao dodatni bonus, tražilice poput Googlea imaju tendenciju rangirati web stranice sa SSL certifikatima više od onih koje ih nemaju. Drugim riječima, SSL certifikati ne samo da čine vaša web-mjesta sigurnijima, oni također mogu pomoći vašem web-mjestu da dobije više prometa.
To je to za ovaj članak! Ako ste uživali, možete saznati više o tome kako izraditi WordPress web mjesto od početka do kraja u mom WordPress za početnike 2023: WordPress masterclass bez koda na Udemyju.