WordPress velja za enega najbolj priljubljenih brezplačnih urejevalnikov spletnih vsebin. Zaradi njegove velike popularnosti pa je pogosta tarča hekerjev. Ti neprestano sledijo razvoju sistema in z odkrivanjem varnostnih lukenj se dogajajo zelo pogosti vdori. Z vdori v sam urejevalnik ima lahko velike negativne posledice saj lahko pride do kraje podatkov, spremembe vsebine z dodajanjem povezav do nelegalnih splenih strani in zato je zelo pomembno da je sistem primerno zavarovan.
V nadaljevanju si preberite kako lahko z nekaj dodatnimi nastavitvami zaščitite WordPress.
Izogibajte se uporabi admin uporabnika
Ob namestitvi WordPressa je privzeto uporabniško ime Administratorja ADMIN. Hekerjem in napadalcem je to zelo dobro znano in vedo da večina uporabnikov ne spremeni tega uporabniškega imena. Priporočamo da ob namestitvi uporabniškega imena ne pustite in le tega spremenite.
Gesla “123456” ali “ri%WoDJ243(” ?
Zraven uporabniškega imena ki naj ne bo ADMIN, potrebujete tudi dovolj varno geslo. Geslo naj ne bo 12345 ali enostavno vaše ime. Pri izbiri gesla poskusite upoštevati spodnje pravila:
- geslo naj ne bo krajše od 10 znakov
- naj vsebuje vsaj eno številko
- naj vsebuje kombinacijo majhnih in velikih črk
- naj vsebuje vsak en poseben znak npr. * / ( # !
Nekaj primerov:
- 58%#UCj1h941
- 26^4T9v0H49f
- 1@3c9E#l9L4H
Zavarujte dostop do najpomembnejših datotek z .htaccess
Če ste že kdaj pregledovali glede varnosti v WordPressu, ste zagotovo naleteli na ime .htaccess in jo mogoče tudi preverili na strežniku. Ta datoteka ima veliko vlogo pri WordPressu in lahko z nekaj dodatnimi zapisi povečate varnost.
Spodaj vam bomo pokazali kako lahko z dodatnimi delčki kode ki jih vpišete v .htaccess datoteko zdodatno zavarujete svojo WP stran.
Onemogočite dostop do wp-config.php datoteke
Koda ki jo vpišete v vaš .htaccess je:
<Files wp-login.php> order deny,allow Deny from all # omogoči dostop le spodnjemu IP naslovu allow from 192.168.5.1 </Files>
Z zgornjo direktivo boste omogočili dosto do wp-login.php le IP naslovu 192.168.5.1. Vsi ostali ki bodo poskusili odpreti to datoteko bodo imeli zavrnjen dostop.
Onemogočite dostop do xmlrpc.php datoteke
Vse pogostejši so DOS napadi na xmlrpc.php datoteko do katere je po defaultu dostop omogočen vsem. Priporočamo namestitev vtičnika Stop XML-RPC Attack ali pa sami v .htaccess datoteko vpišite spodnjo direktivo.
<FilesMatch "^(xmlrpc.php)"> Order Deny,Allow Deny from all # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 </FilesMatch>