Ovo više nije izuzetak. Ovo je danas jedan od najčešćih oblika internet prevara. Phishing napadi više nisu nešto što se dešava nekom drugom. Dešavaju se svakodnevno, u kontekstu koji deluje potpuno normalno, kroz obaveštenja banke, zahteve za potvrdu naloga, informacije o isporuci ili poruke koje liče na komunikaciju sa kolegom ili prijateljom. Zbog toga sve više ljudi naseda, ne zato što ne razumeju internet, već zato što su phishing napadi postali dovoljno dobri da ne izazivaju sumnju.

Šta je phishing i zašto je danas toliko opasan

Phishing je vrsta internet prevare u kojoj napadač pokušava da te navede da sam uneseš svoje podatke na lažnoj stranici. Suština phishinga nije u hakovanju sistema, već u manipulaciji korisnikom da sam preda pristup. Napadač ne pokušava da probije zaštitu, već da zaobiđe razmišljanje, i upravo zato phishing danas funkcioniše bolje nego ikada ranije. Phishing danas ne pokušava da te prevari, već pokušava da izgleda kao nešto čemu već veruješ.

Kako je phishing izgledao ranije

Pre desetak godina phishing je bio relativno jednostavan i lako prepoznatljiv. Poruke su imale gramatičke greške, čudne formulacije i generičke naslove, email adrese nisu ličile na prave kompanije, a linkovi su bili očigledno drugačiji od originalnih domena. Korisnik je morao da ignoriše više jasnih znakova upozorenja da bi naseo na takav napad. Zbog toga su napadači slali ogroman broj poruka, računajući na mali procenat uspeha, jer je strategija bila količina, a ne kvalitet. Takav phishing je funkcionisao, ali je bio ograničen.

Kako phishing napadi izgledaju danas

Danas phishing napadi izgledaju potpuno drugačije. Poruke su kratke, jasne i napisane bez grešaka, sa tonom koji je identičan komunikaciji koju bi očekivala od banke, servisa ili kolege. Umesto generičkih poruka koriste se realni scenariji kao što su pokušaj prijave, problem sa plaćanjem, potreba za verifikacijom ili isporuka koja čeka potvrdu. Napadači sve češće koriste javno dostupne informacije, kao što su ime firme, servis koji koristiš ili deo tvoje prethodne komunikacije, zbog čega poruka ne deluje nasumično već kao nastavak realne situacije.

Link vodi na stranicu koja je praktično kopija originala, sa istim logom, rasporedom elemenata i detaljima koje većina korisnika ne preispituje. Razlika je često minimalna i svodi se na jedno slovo u domenu ili dodatni karakter koji se lako previdi. Najopasniji deo je što nema jasnog trenutka u kojem shvatiš da je nešto pogrešno, jer sve izgleda normalno dok ne bude kasno.

Zašto sve više ljudi naseda na phishing napade

Najvažniji razlog nije neznanje, već način na koji su napadi dizajnirani. Phishing napadi koriste psihologiju i ciljaju reakciju, a ne razmišljanje. Kada dobiješ poruku da postoji problem sa nalogom, plaćanjem ili da se čeka isporuka paketa, prirodna reakcija je da to odmah rešiš, jer niko ne želi blokiran nalog ili odbijenu transakciju. Napadači koriste taj trenutak i formulišu poruke tako da stvore osećaj hitnosti i pritiska.

U takvom kontekstu korisnik ne proverava detalje, već reaguje impulsivno i unosi podatke. Phishing napadi ne napadaju tvoje znanje, već tvoju reakciju.

Iako se često misli da su meta manje tehnički potkovani korisnici, danas phishing napadi podjednako pogađaju i iskusne korisnike. Iako najčešće stradaju ljudi koji nisu tehnički potkovani, danas ni iskusni korisnici nisu imuni. Razlika je samo u tome da li će zastati i proveriti pre nego što kliknu.

Ne izgleda kao prevara. I zato funkcioniše.

Najčešći znaci phishing napada

Postoji nekoliko jasnih signala koji mogu pomoći da se phishing napadi prepoznaju na vreme.

Brzi pregled ako vidiš ovo, zastani:

• poruka stvara osećaj hitnosti (“odmah reaguj”, “nalog će biti blokiran”)
• traži se unos podataka preko linka
• domen izgleda slično, ali nije identičan
• poruka deluje previše realno i uklopljeno u kontekst

Ako poruka traži hitnu reakciju i ne ostavlja prostor za razmišljanje, to je prvi znak. Ako zahteva unos podataka preko linka, umesto kroz zvaničan sajt, to je dodatni signal. Domen koji izgleda skoro isto, ali nije identičan, često je ključna razlika koju treba primetiti. Takođe, poruke koje deluju previše realno i savršeno uklopljeno u kontekst mogu biti sumnjive, kao i zahtevi za verifikaciju naloga, plaćanja ili identiteta. Uvek treba obratiti pažnju na osećaj hitnosti, jer pritisak je jedan od glavnih alata u phishing napadima.

Najčešći znaci phishing napada u praksi:

• hitnost i pritisak da reaguješ odmah
• link koji vodi na lažnu stranicu
• traženje lozinke, kartice ili koda
• domen sa sitnom razlikom (npr. jedno slovo više)
• poruka koja izgleda “previše savršeno”

Kako izgleda jedan tipičan phishing napad u praksi

Jedan od najčešćih scenarija uključuje bankarski nalog. Korisnik dobija email koji izgleda kao zvanično obaveštenje o sumnjivoj aktivnosti i potrebi da se potvrdi identitet. Klikom na link otvara se login stranica koja izgleda identično kao prava, gde korisnik unosi svoje podatke i jednokratni kod koji dobija SMS-om. U tom trenutku napadač koristi te podatke da se prijavi na pravi nalog i preuzme kontrolu. Napad traje svega nekoliko trenutaka, ali posledice mogu biti dugotrajne.

Slični scenariji se dešavaju i sa društvenim mrežama, gde korisnici gube pristup profilima koji se zatim koriste za dalje prevare. U poslovnom okruženju posledice su još ozbiljnije, jer napadači mogu imitirati kolege ili nadređene i zahtevati hitne uplate ili pristup osetljivim dokumentima, što može dovesti do direktnih finansijskih gubitaka.

Kako prepoznati phishing napade u 2026.

Danas phishing napade nije moguće prepoznati samo na osnovu izgleda poruke, jer su napadi postali previše sofisticirani. Fokus mora biti na kontekstu i ponašanju. Ako poruka traži hitnu reakciju ili unos podataka kroz link, to je jasan signal za oprez. Takođe, svaka minimalna razlika u domenu treba da bude razlog za dodatnu proveru.

Najvažnije pravilo je jednostavno, ali efikasno. Ne reaguj odmah. Proveri.
Ta pauza je često jedina stvar koja pravi razliku između sigurnog i kompromitovanog naloga.

Sledeći put kad dobiješ ovakvu poruku zastani.

Kako se phishing unapređivao kroz godine

Razvoj phishing napada može se posmatrati kroz tri faze. Prva faza bila je masovna i nesofisticirana, sa očiglednim porukama koje su se slale u ogromnom broju. Druga faza donela je veći kvalitet i realističnije sadržaje. Danas se nalazimo u trećoj fazi, gde se kombinuju preciznost, kontekst i brzina. Phishing napadi su ciljano usmereni, poruke prilagođene, a izvršenje brzo, što znači da korisnik često nema jasan trenutak u kojem shvati da je napravio grešku.

Gde se AI uklapa u celu priču

AI nije uzrok phishing napada, ali je značajno ubrzao njegov razvoj. Napadači danas mogu generisati prirodne i uverljive poruke bez grešaka, testirati različite verzije i koristiti one koje imaju najbolji rezultat. To znači da phishing napadi više ne izgledaju kao prevare, već kao legitimna komunikacija, što dodatno povećava njihovu efikasnost.

Šta phishing napadi znače za biznis

Za kompanije phishing napadi predstavljaju ozbiljan operativni i finansijski rizik. Jedan kompromitovan email može dovesti do gubitka komunikacije, krađe podataka ili gubitka podataka ukoliko ne postoji adekvatan backup. U nekim slučajevima dolazi do direktnih finansijskih gubitaka kroz lažne uplate.

Ako infrastruktura nije adekvatno zaštićena, posledice mogu biti još veće. Kompromitovan nalog može se koristiti za slanje phishing kampanja sa vašeg domena, postavljanje zlonamernih stranica, pristup osetljivim podacima ili distribuciju ransomware i sličnih malicioznih softvera koji mogu narušiti ceo sistem. To utiče na reputaciju, SEO pozicije i poverenje korisnika, jer jedan incident može pretvoriti ceo sistem u alat za dalje internet prevare.

Kako se zaštititi od phishing napada

Zaštita počinje od ponašanja korisnika. Ako poruka traži hitnu reakciju, potrebno je zastati i proveriti. Linkove iz poruka treba izbegavati i pristupati direktno zvaničnim sajtovima. Unos podataka preko linka je najčešći način kompromitacije naloga kod phishing napada.

Brza pravila zaštite od phishing napada:

• ne klikći na link iz poruke
• ručno ukucaj sajt u browser
• proveri domen pažljivo (polje address u browseru)
• nikad ne unosi podatke pod pritiskom
• ako se traži plaćanje računa, proveri da li broj računa odgovara kompaniji primaocu, npr. preko NBS servisa
• proveri dodatno

Dvofaktorska autentifikacija predstavlja dodatni sloj zaštite, ali nije dovoljna bez stabilne infrastrukture. Sistemi koji imaju sigurnosne mehanizme mogu prepoznati sumnjive pokušaje pristupa, blokirati ih i smanjiti rizik. Bez toga, posledice phishing napada mogu biti znatno ozbiljnije.

Šta ovo znači u praksi

Phishing napadi danas nisu problem koji se rešava jednim alatom ili jednim podešavanjem. Radi se o kombinaciji ponašanja korisnika i sigurnosti sistema. Jedna pogrešna reakcija može biti dovoljna da kompromituje nalog, bez obzira na to koliko je infrastruktura stabilna.

Zato je važno posmatrati sigurnost kao deo svakodnevnog korišćenja interneta, a ne kao nešto što se rešava tek kada dođe do problema.

Zašto je ovo važno za korisnike i biznis

Phishing napadi ne utiču samo na pojedince, već i na poslovanje. Jedan kompromitovan nalog može dovesti do prekida komunikacije, finansijskih gubitaka ili narušavanja reputacije. U poslovnom okruženju, posledice često prelaze granice jednog incidenta i utiču na čitav sistem.

Zbog toga razumevanje phishing napada nije samo pitanje sigurnosti, već i kontinuiteta poslovanja.

Šta smo mi uradili povodom toga?

Iako koristimo napredne antispam sisteme, phishing napadi su danas veoma česti i mogu ciljati bilo kog korisnika. Upravo zbog toga smo uveli dodatni sloj zaštite prilikom pristupa Webmail-u i cPanel-u.

Ispod login forme sada se nalazi sigurnosni panel koji potvrđuje da se nalazite na legitimnoj UNLIMITED.RS stranici. Panel prikazuje SSL status, domen servera, kao i vremenski token generisan direktno sa servera u realnom vremenu.

Ovaj token služi kao dodatna potvrda autentičnosti stranice – lažne phishing stranice ne mogu ga generisati na ispravan način. Ako ne vidite ovaj deo ili podaci deluju sumnjivo, nemojte unositi svoje podatke.

Najvažnije pravilo koje pravi razliku

Phishing napadi su danas jedan od najčešćih i najefikasnijih oblika internet prevara. Nekada su bili očigledni, danas su gotovo neprimetni. Zbog toga sve više ljudi naseda, jer phishing napadi izgledaju kao nešto što već poznaju i čemu veruju.

Napad traje nekoliko sekundi, odluka traje jedan trenutak, a posledice mogu trajati dugo. Upravo zato zastati, proveriti i ne reagovati impulsivno više nije opcija, već osnovna digitalna navika.

The post Phishing napadi danas: Kako su se promenili, zašto sve više ljudi naseda i kako ih prepoznati na vreme appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

U mislima znak pitanja: imam li uopšte backup? Da li sam izgubio sve?
Pozivate provajdera. Ne javlja se niko, podrška kreće da radi od 10:00 sudeći prema informacijama sa sajta, ulazite u deo za korisnike, uviđate da je backup baze star 6 dana.
Setite se da ste sasvim slučajno pravili ručno backup pre 5 dana pre velikog ažuriranja. Pomišljate dobro je, moglo je gore. Ali shvatate da to znači da ste izgubili pet dana porudžbina, registracija, kontakata, sadržaja, računa, praćenja porudžbine, sinhronizaciju iz magacina i status isporuka.
Dobili ste provajdera napokon i vraćaju bazu staru 5 dana. Situacija nije katastrofalna, ali je daleko od dobre, sada ćete morati pronaći način da nadoknadite izgubljene podatke, platićete satima i satima da se sve vrati u neko normalno stanje.
Mogućnost da se dogodi slična situacija je velika i uzroka može biti na stotine. Mnogi ne znaju ni šta je backup, do trenutka kada bude zatrebao, a velike su šanse da hoće.
Ova kratka priča je jedna od blažih varijanti, za proteklih 15-tak godina nagledali smo se nezamislivih tragedija u smislu gubitka podataka.

Većina korisnika o backup-u ne razmišlja dok ne dođe do problema. A tada – svaka sekunda je bitna.
Kao web hosting kompanija sa dugogodišnjim iskustvom u radu sa desetinama hiljada sajtova, znamo jednu stvar sa sigurnošću: backup nije luksuz već potreba, jer miran san nema cenu.

Zato kod nas backup nije sporedna opcija, već sastavni deo svih hosting rešenja – bilo da je u pitanju Standardni Web hosting, Biznis, VPS ili Cloud. Korisnik ne bira da li će imati backup jer nema takvu mogućnost, čak i najmanji paket ima dnevni backup.

Incidenti se dešavaju i svedoci smo ih. Koja su rešenja?

Ako mislite da se katastrofe dešavaju „nekome drugom“ – podsetićamo na OVH incident iz marta 2021. godine. Jedan od najvećih hosting provajdera u Evropi doživeo je požar u svom datacentru u Strazburu. Hiljade servera su uništeni – zajedno sa podacima, sajtovima, aplikacijama… i, nažalost, bakepima.

Zašto? Zato što su mnogi bekapi bili na istoj fizičkoj lokaciji kao i primarni podaci. Kada je datacentar izgoreo – nestalo je sve.

Jedan sajt poznat domaćoj javnosti je zauvek nestao zbog ovog incidenta.

To je savršen primer zašto backup mora da bude udaljen, na potpuno odvojenoj geografskoj lokaciji. Samo tada možemo govoriti o pravoj zaštiti. Jer serveri mogu da se obnove. Podaci – ne uvek.

U našim sistemima, backupi se čuvaju na udaljenim lokacijama, daleko od glavnog servera, u drugoj državi udaljenoj najmanje 800 km vazdušno. I to je ono što pravi razliku između privremenog problema i trajnog gubitka.

Backup je važan samo kada je neophodan – tada je najvažnija sporedna stvar

Zato što vam 99.9% vremena neće trebati. Ali onaj deseti deo procenta … tada ipak sve zavisi od njega. Greškom obrisana baza, hakovani fajlovi, nadogradnja sajta koja je pošla po zlu, problemi na serveru, vanredne situacije, prirodne nepogode, požari  – sve su to trenuci kad se backup pretvara u najvredniji resurs koji imate. Upravo zato treba da bude uvek spreman i lako dostupan.

Dnevni backup – jer nije svaki dan isti

Jedan backup nije dovoljan. Zato pravimo kopije svaku noć nakon ponoći, koje vam omogućavaju da se vratite ne samo na „jučerašnju“ verziju sajta, nekog fajla ili foldera ili email adrese, već i na onu od pre 3, 7, 20 ili 50 dana. Jer nekada se problem ne primeti odmah, pa je starija verzija jedini spas, zato nudimo backup od 30 do 60 dana unazad, zavisno od paketa.

Jednostavno vraćanje podataka

Korisnici često misle da će, u slučaju problema, odmah dobiti pomoć. Realnost je da podrška ponekad ima već postojeće zahteve, ili je van radnog vremena. Zato je bitno imati u interfejsu mogućnost za samostalno vraćanje backupa jednim klikom – bez čekanja podrške i bez tehničkog znanja. Jer kad nešto krene po zlu, vreme je sve. Čak i da podrška reaguje za 15 minuta, mnogo je brže da korisnik uđe u kontrolni panel i vrati backup.

Ne očekujemo od korisnika da se sećaju kada su poslednji put napravili backup. Naši sistemi to rade automatski i redovno, bez ikakve potrebe za ručnim intervencijama. Vi se bavite svojim poslom – mi se bavimo vašom sigurnošću.

Sigurnosni aspekti – enkripcija podataka

Jedan od ključnih elemenata bezbednog backup-a je enkripcija podataka. Podaci bi trebalo da budu zaštićeni jakom enkripcijom kako bi se sprečio neovlašćen pristup. Enkripcija podrazumeva pretvaranje originalnih podataka u nečitljiv format koji se može dešifrovati samo uz odgovarajući ključ. U praksi se najčešće koristi AES (Advanced Encryption Standard) 256-bitna enkripcija, koja pruža visok nivo sigurnosti.

Backup je kao padobran – ako ga nemate kada zatreba, više vam nikad neće ni trebati. Zato ga mi pravimo, čuvamo, proveravamo i olakšavamo vam povratak – da biste vi mogli da spavate mirno.

Ako vam je sigurnost važna – neka vam backup bude prioritet. Kada birate hosting provajdera, birajte onog ko ima dnevni backup na udaljenoj lokaciji. Nažalost nemate načina da proverite da li je zaista na udaljenoj lokaciji, pa ćete morati verovati provajderu.

The post Backup – Najbitniji onda kada zatreba appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

Pored ovih ranije navedenih 7 načina, postoji i dosta dodatnih (naprednijih) stvari koje se mogu podesiti na WordPress sajtu kako bi se mogućnost za napade ili viruse svela na minimum.

ISKLJUČIVANJE wp-admin

wp-admin se može potpuno isključiti ili samo sakriti od napadača (botova) pomoću plugina kao što je WPS Hide Login ili ručno preko .htaccess fajla.

Međutim treba imati na umu da sam WordPress ili plugini koje koristite na sajtu u velikoj meri zavise od wp-admin foldera i kako bi sajt neometano funkcionisao najbolje je ostaviti wp-admin folder, a samo redirektovati neovlašćene zahteve ka njemu.

Sledeći kod možete dodati na početak .htaccess fajla kako bi redirektovali sve posete, izuzev sa vaše IP adrese ka 404 strani. Na taj način botovi koji budu skenirali vaš sajt dobiće odgovor da wp-admin folder ne postoji.

Izmenite 11.22.33.44 u kodu sa vašom javnom IP adresom.

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ 11\.22\.33\.44$
RewriteRule ^(.*)$ - [R=403,L]

Takođe možete i javno zabraniti pristup wp-admin folderu sa svih IP adresa sem vaše, dodavnajem sledećeg koda u .htaccess fajl unutar wp-admin foldera:

## .htaccess fajl unutar wp-admin foldera
order deny,allow
deny from all
allow from 11.22.33.44

IZMEŠTANJE wp-config.php FAJLA

wp-config.php fajl sadrži najvažnije podatke vašeg sajta, kao što su npr. pristupni podaci za mysql bazu podataka i salts koje WordPress koristi za sve kolačiće na sajtu. Ukoliko se napadači dočepaju ovih podataka mogu bez ikakvih problema preuzeti potpunu kontrolu nad vašim WordPress sajtom.

Dobra bezbednosna praksa, oko koje su i dalje mišljenja podeljena u WordPress zajednici,  je prebacivanje fajla wp-config.php folder iznad (van /public_html foldera).

1. KORAK Kopiranje wp-config.php fajla u drugi folder

U ovom primeru sajt se nalazi u folderu public_html i odatle ćemo fajl wp-config.php kopirati folder iznad:

Nakon što smo kopirali fajl, sledeći korak je izmena originalnog wp-config.php fajla:

2. KORAK Izmena sadržaja originalnog wp-config.php fajla

Otvorite fajl u editoru i obrišite sav sadržaj, potom postavite samo sledeći kod:

<?php
include('/home/cpanel-username/wp-config.php');

Izmenite cpanel-username sa vašim username.

Sačuvajte fajl i testirajte sajt. Ukoliko je putanja do novog fajla urendo unešena ne bi trebalo da ima ikakvih problema.

Na kraju izmena bi ste trebali da imate 2 wp-config.php fajla:

• – /home/username/public_html/wp-config.php – koji samo poziva drugi wp-config.php fajl
• – /home/username/wp-config.php – novi wp-config.php fajl vam public_html foldera

DODAVANJE CSP-a

Content Security Policy (CSP) je dodatni način zaštite sajta koji je u osnovi dodanti kod koji se doda unutar .htaccess fajla. Pomoću CPS-a određujete sa kojih se sve domena mogu učitavati fajlovi na vašem sajtu, i na taj način blokirate potencijalne XSS napade.

Pre bilo kakvih izmena na sajtu napravite bekap!

Kako bi ste na WordPress sajt definisali CSP, dodajte sledeći kod u .htaccess fajl sajta:

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: *.gravatar.com; scrip-src 'self' 'unsafe-inline' http: https: *.google-analytics.com;"
</IfModule>

Ovim kodom na sajtu je dozvoljeno učitavanje fajlova isključivo sa vašeg domena, Gravatara (slike naloga) i Google Analytics. Svi ostali fajlovi sa drugih sajtova neće biti prikazivani.

Ukoliko na sajtu koristite dodatne alate koji pozivaju fajlove sa svojih domena, npr. Jetpack koristi domen https://i0.wp.com/ za generisanje slika, onda je potrebno i taj domen dozvoliti u polisi: scrip-src 'self' 'unsafe-inline' http: https: *.wp.com;.

Ukoliko na sajtu dodate CSP, prepoučujemo da ga ipak isključite za wp-admin sekciju dodavanjem koda u wp-admin/.htaccess:

<IfModule mod_headers.c>
Header unset Content-Security-Policy
</IfModule>

Da bi ovaj kod funkcionisao, na serveru headers modul mora biti aktivan. Na svim našim Web hosting paketima ovo je već uključeno.

PODEŠAVANJE 2FA

Dvostruka autentifikacija (Engl. Two Factor Authentication) je dodatni sloj zaštite gde za pristup nalogu pored lozinke potreban je i kod koji može biti prosleđen SMS porukom ili generisan od strane aplikacije na telefonu .

Od 2020. godine Two-factor authentication (2FA) dostupan je i na korisničkom panelu i cPanel-u, uputstvo za podešavanje: https://panel.unlimited.rs/index.php?rp=/announcements/5/Two-factor-authentication-2FA-na-panelu-i-cPanel-u.html

Na WordPress.org sajtu možete naći detaljno uputstvo koje pokriva 2FA kao i listu WordPress plugina koje možete dodati na sajtu kako bi ste podesili dvostruku autentifikaciju.

TESTIRANJE BEZBEDNOSTI

Nažalost, u današnjem Svetu, kada hakeri iz dana u dan postaju sve inovativniji, nije moguće jednom postaviti plugine za bezbednost i dodati kod na WordPress sajtu i potom ga zanemariti. Već je potrebno redovno testirati sigurnost WordPress sajta i preventivno je unapređivati.

Ukoliko na vašem sajtu postoji bezbednosni propust koji napadači mogu iskoristiti, uvek je bolje da taj propust Vi prvi otkrijete i popravite.

Za WordPress postoji više alata odnosno skenera kojima možete skenirati svoj sajt na poznate ranjivosti i dobiti dodatne savete za unapređenje bezbednosti, neki od najpoznatijih su:

• – WPSEC (besplatan sajt)
• – WPScan (alat za terminal)
• – Burp Suite (program za računar)

Sa ovim završavamo (manje poznate) savete za dodatnu zaštitu WordPress sajta od hakera. Ukoliko je Vaš sajt već kompromitovan ispratite sledeće uputstvo za detaljno čišćenje i dodatnu optimizaciju WordPress-a: Kako očistiti hakovan WordPress sajt?

The post Kako dodatno unaprediti bezbednost WordPress sajta? appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

U ovom tekstu proći ćemo 7 karakteristika email phishinga koji će vam pomoći u identifikaciji lažnih mejlova, kao i metode za njihovu prevenciju i blokiranje.

Šta je Phishing?

Phishing (pecanje) je metod prevare gde vam napadači pošalju sadržaj predstavljajući se kao neka stvarna firma, a u cilju otvaranja fajlova ili ostavljanja poverljivih informacija.

Kako prepoznati Phishing email?

Najpoznatiji primer phishing mejla je Princ od Nigerije koji je tražio da mu se uplati novac, a mejlovi su počinjali sa tekstom “Salutations from the son of the deposed Prince of Nigeria…” i bilo je relativno lako prepoznati da se radi o lažnom emailu. Međutim vremenom su phishing mejlovi postali sve sličniji stvarnim mejlovima i znatno ih je teže detektovati.

Ovo su samo neke od najbitnijih karakteristika phishing emailova:

Mejlovi se ne šalju sa domena sa koga se navodi

Koriste generične pozdrave

Linkovi unutar mejla vode na neki treći sajt

Traže vam poverljive podatke putem mejla

Šalju vam fajlove sa čudnim nazivima

Primeri Phishing emailova

Izdvojili smo 7 primera stvarnih Phishing mejlova, napominjemo da su svi podaci uključujući i email adrese i domene na slikama izmenjeni.

1. Traže vam podatke putem emaila

Ukoliko ste dobili email od banke koja traži da preuzmete fajl iz priloga koji sadrži listu transakcija, izmenite ga i pošaljete nazad, velika je verovatnoća da je reč o SPAM / phishing mejlu.

Stvarne firme vam nikada neće tražiti poverljive informacije poput lozinki, broja računa ili kreditne kartice, već će vam poslati link do forme na njihovom sajtu gde se morate prethodno prijaviti kako biste uneli te informacije.

2. Ne oslovljavaju vas po imenu

Phishing mejlovi uglavnom počinju sa generičnim pozdravima, npr. “Dragi gospodine” ili “Poštovani korisniče”. Ovo bi trebalo da vam bude prva crvena zastava jer firme kod kojih imate napravljene naloge imaju vaše podatke i znaju vaše ime, te će vas u većini slučajeva oslovljavati po imenu, npr. Draga Slađana.

3. Ne šalju email sa svog domena

Važno je napomenuti da From adresa u headeru mejla nije nužno i adresa sa koje se zaista šalje mejl. From adresa je samo adresa koja se prikazuje da sa nje dolazi mejl, dok je Sender adrresa zapravo ona sa koje se zaista vrši slanje. Dobra praksa je da obe adrese budu iste, međutim pošto većina email programa kao što su npr. Gmail ili Webmail, prikazuju samo From adresu, ovo se često zloupotrebljava.

Ukoliko sumnjate da mejl dolazi sa neke druge adrese možete klikom na Details, a zatim na All headers.. videti header poruke gde su navedene i From i Sender adrese.

4. Slovne ili pravopisne greške

Sledeći mejl na prvi pogled deluje legitimno, međutim naslov mejla je “PONOVO NARUDŽBITE OVOM PLAĆANJEM” kao da je automatski preveden sa nekog drugog jezika na Srpski jezik.

Naravno to možda nekada i jeste slučaj, ali ovakve slovne ili pravopisne greške u većini slučajeva su znak da se radi o automatskom prevođenju teksta i najčešće i jeste reč o SPAM mejlovima.

5. Teraju vas na svoj sajt

Phishing mejlovi koji su najefektniji su oni koji traže hitne akcije od primaoca pod pretećim izgovorima: Vaš nalog će biti suspendovan, Prešli ste kvotu za mejlove te neće raditi dok ne obrišete klikom na dugme u mejlu, Neko vam je poslao poruku kliknite da je vidite i sl..

6. Šalju vam fajlove za preuzimanje

Ovo je takođe još jedan od znakova phishing mejlova, tipično institucije kao što su banke vam neće slati attachmente u mejlovima kako biste popunili podatke i vratili ih nazad, već će vam poslati linkove ka svom sajtu gde možete preuzeti ili popuniti dokumente ukoliko ste ulogovani na svoj nalog.

Naravno i ovde postoje izuzeci i neke firme će vam slati fajlove kao što su računi ili izvodi, međutim i tu  obratite pažnju da li se radi o .exe, .rar ili .zip ekstenzijama koje najčešće sadrže maliciozne fajlove.

7. Linkovi se ne slažu sa sajtom

U ovom primeru mejla navodi se da on dolazi sa adrese facebook.com međutim klikom na link iz potpisa mejla otvara se stranica koja uopšte nije na ovom domenu: https://hf2a6-2iaaa-aaaad-qbx7a-cai.ic.fleek.co/

Ali ne morate kliknuti na link da biste to proverili, na računaru kada pređete mišem preko linka u donjem levom uglu možete videti link koji bi se otvorio ako biste kliknuli.

Kako blokirati ovakve Phishing emailove

Proći ćemo dve opcije blokiranja SPAM mejlova na cPanelu: pomoću Email filtera i pomoću Spam filtera.

Email Filteri

Mejlove možete filtrirati na cPanelu uz pomoć opcija:

Pod Global Email Filters postavljate filtere koji se odnose na sve napravljene email adrese, dok pod Email Filters možete postaviti filtere za svaku email adresu zasebno. Ovi filteri funkcionišu na osnovu pravila npr:

ako mejl dolazi sa određene adrese ili domena treba ga obrisati

ako sadržaj mejla ili naslov imaju neku od sledećih reči onda ga treba prebaciti u SPAM folder

Pod polje Rules možete postaviti uslov (AKO) dok pod polje Actions (ŠTA) postavljate šta treba uraditi sa takvim mejlom.

Primeri email filtera:

OBRISATI SVE MEJLOVE KOJI DOLAZE SA DOMENA

PREBACITI U SPAM FOLDER SVE MEJLOVE KOJI SADRŽE U NASLOVU ODREĐENU REČ

PROSLEDITI NA ODREĐENU EMAIL ADRESU SVE MEJLOVE KOJI SADRŽE U TEKSTU ODREĐENU REČ

Možete mnogo toga uraditi sa email filterima  – uključujući slučajno kreiranje filtera koji briše emailove koje niste želeli da izbrišete. Vodite računa kada kreirate filtere i koristite cPanel filter tester da biste proverili da filter zaista radi baš ono što želite.

• Spam Filters 

Druga opcija koja vam je dostupna na cPanelu i koju možete koristiti za blokiranje phishing mejlova je Spam Filter unutar koga možete podesiti koje se akcije preuzimaju sa mejlovima koje sistem oceni kao spam (da li se brišu) kao i potpuno blokirati dolazne mejlove sa neke adrese ili domena dodavanjem u blacklistu.

Podrazumevano uključena opcija na cPanelu je da se dolazni mejlovi koje sistem oceni kao spam (ocena preko 5) prebacuju u SPAM folder, međutim iako ne preporučujemo auto-delete možete podesiti da se ovakvi mejlovi automatski brišu uključivanjem opcije Automatically Delete New Spam (Auto-Delete).

Pod Additional Configurations nalazi se opcija Blacklist na kojoj možete navesti domene ili email adrese sa kojih nikada ne želite da primite mejlove.

Primeri blacklist unosa:

OBRISATI SVE MEJLOVE KOJI DOLAZE SA NEKE EMAIL ADRESE

Ovo će obisati sve mejlove koji dolaze sa adrese milica@nekidomen.com

OBRISATI SVE MEJLOVE KOJI DOLAZE SA ODREĐENOG DOMENA

Ovo će obisati sve mejlove koji dolaze sa domena @nekidomen.com

OBRISATI SVE MEJLOVE KOJI DOLAZE SA ADRESA KOJE SE ZAVRŠAVAJU NA SLOVA

Ovo će obisati sve mejlove koji dolaze sa adresa na domenu @nekidomen.com koje se završavaju na slova “na”, npr. tijaNA@nekidomen.com ivaNA@nekidomen.com

Pročitajte ostale tekstove na našem blogu, a usput pogledajte i našu ponudu hosting paketa, na kojima možete jednostavno iz cPanela filtrirati svoje mejlove.

Vodite računa o online sigurnosti i svojim podacima! Mi smo tu za sva vaša pitanja!

Do sledećeg čitanja

The post Kako prepoznati i zaštititi se od email prevara (email phishing) appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

Sa razvojem interneta i našeg digitalnog života, razvija se i kriminal u vezi s tim. Pa tako nije neobično da baš pojedinac ili mali biznis bude žrtva ovakvog tipa kriminala. 

Pre nego što objasnimo na koji način Vi, Vaš sajt i Vaš biznis mogu biti žrtve e-kriminala, hajde da definišemo šta je to u stvari. 

Sajber kriminal predstavlja skup krivičnih dela koja podrazumevaju upotrebu interneta, računara ili drugih elektronskih uređaja. 

Kakve koristi hakeri imaju od Vas? 

Utisak da ste Vi i Vaš biznis premali da bi bilo ko profitirao od Vas može vrlo lako da zavara. 

Dokazano je da su ‘male’ internet prevare mnogo učestalije od onih o kojima možemo da čitamo u novinama, slušamo na vestima ili gledamo u filmovima. 

Ovakve prevare nazivaju se ‘phishing’. 

Razlog brojnosti ovakvih prevara je pre svega u tome što ih je veoma lako izvesti, i veoma su efikasne. 

Po pravilu, veće kompanije su obično i zaštićenije od prodora u njihove mreže, pa takav napad zahteva ne samo veće planiranje, već i veću stručnost. 

Krađa identiteta

Ukoliko neko od hakera uspe da dođe do vaših podataka, vrlo lako se može desiti da te podatke iskoristi kako bi počinio prevaru ili neko drugo krivično delo. Koristeći vaš identitet. 

Oni mogu iskoristiti Vaše:

Brojeve platnih i kreditnih kartica

Pasoš, ličnu kartu, vozačku dozvolu

Ime

Digitalne novčanike

Kako se ovi prestupnici obično nalaze na suprotnim stranama sveta, vrlo teško ih je uhvatiti. 

Ugrožavanje reputacije

Osim što vam mogu našteti novčano, ovakve prevare mogu lako narušiti Vašu reputaciju. 

Da li biste verovali svojoj banci da saznate da su hakeri uspeli da dođu do Vaših podataka? Na sam pomen ovakvog događaja, na stotine ljudi izgubi poverenje u firmu i krene u potragu za alternativnim rešenjima. 

U našem narodu postoji izreka ‘Što je sigurno – sigurno je.’, pa tako neretko ljudi odluče da se ne upuštaju u rizik poslovanja sa nekim ko nema zaštićene podatke. 

Ometanje Vašeg poslovanja

Nezavisno od toga koliko mala ili velika je Vaša firma ili Vaš sajt – svaki sajber napad može naneti određenu štetu. 

Čak i ako je u pitanju bezazlen virus, mogu proći dani pre nego što svi kompjuteri u Vašoj firmi budu pregledani, ‘prečišćeni’ i spremni za dalji rad. 

Koliko bi Vas koštao svaki dan zatvorenih vrata Vašeg biznisa? 

Osim toga, ne dešava se retko da kompanije koriste za svoj sajt hosting koji ne štiti od infekcije virusa, pa tako mogu doći u situaciju da hakeri ‘zaraze’ virusom njihov sajt i da izgube sve podatke ili jedan njihov deo. 

Baš iz toga razloga smo u naše hosting pakete uključili i Ultimo Malware Zaštitu, koja vrši aktivno skeniranje Vašeg hostinga u realnom vremenu, te blokira neautorizovane pristupe i maliciozne zahteve. 

Najčešći načini internet prevara, odnosno e-kriminala

• 1. Email phishing

Verovatno najpoznatija i najčešća vrsta prevare ovog tipa jeste email phishing.

Ova vrsta phishing-a predstavlja tehniku kojom hakeri šalju masovni mejl, pretvarajući se da su neko drugi i traže određenu uslugu od primaoca. 

Ukoliko ste nekada čuli da je neko primio e-mail od nigerijskog princa, neke žrtve koja je zarobljena u drugoj zemlji ili opisuje svoju porodičnu situaciju, zatim traži novac… u 99,9% slučajeva je reč o prevari.  

Budući da su ovakvi prevaranti veoma iskusni, oni se ne oslanjaju na samo traženje novca, već obećavaju ogromna nasledstva ili pozamašne svote novca nakon što ispunite njihove zahteve i ‘pomognete’ im. 

Osim ostavljanja linka gde Vas navode da podelite svoje podatke sa njima, ovakvi prevaranti neretko traže i novac. 

Osim e-mejla, ovakve prevare se mogu dogoditi i putem SMS poruka i telefona, a krajem devedesetih su se dešavale i putem pošte, kako tvrdi profesor Fakulteta bezbednosti u Beogradu, Goran Mandić. 

Prepoznajte prevaru na vreme. 

Ukoliko ponuda koju dobijete preko mejla zvuči previše dobra da bi bila istinita, verovatno to i jeste. Sada kada ste upućeni u ovaj način prevare, proverite ko šalje mejl takvog sadržaja. Ukoliko niste sigurni da li je u pitanju prevara ili ne, potrudite se da Vam pošiljaoc pošalje svoje podatke, i nikako ne uplaćujte novac i ne ostavljajte svoje podatke. 

2. Email websajta koje inače koristite

Već smo pomenuli da su ovakvi prevaranti iskusni, pa tako znaju da ćete lakše nasesti na prevaru ukoliko mejl dolazi sa vama bliskog izvora (kao što je to PayPal, Instagram, Facebook i slično). 

Ovakvi mejlovi obično sadrže navodna upozorenja, kazne ili pretnje. 

Na primer, može se desiti da vam stigne mejl koji izgleda skoro identično kao mejl koji inače dobijate od Facebook-a, i koji kaže da će Vam nalog biti ugašen u narednih 24h ukoliko se ne ulogujete na Vaš nalog momentalno. 

Onog trenutka kada se budete ulogovali, hakeri će preuzeti Vaše podatke, a samim tim i Vaš Facebook nalog. 

Drugi primer, možda i učestaliji, jeste email koji liči na onaj koji PayPal šalje. 

Kao i kod prvog primera, na prvi pogled se ne može uočiti da je u pitanju prevara, pa mejl može tvrditi da je na Vaš račun uplaćena određena svota novca. U mejlu će vam ostaviti i dugme (link) preko koga ćete se prijaviti i nesvesno im dati pristup Vašem PayPal računu i svim bankovnim računima povezanim sa njim. 

Kako se zaštititi od ovakvih mejlova? 

Pre nego što se uspaničite zbog sadržaja mejla, obavezno proverite odakle mejl dolazi. Na primer, zvanični mejl PayPal-a je uvek u ovom formatu – service@paypal.com. I niko van ove kompanije ne može imati mejl sa istim domenom, odnosno ne može se završavati sa @paypal.com

Hakeri to znaju, pa ovaj phishing mejl može doći sa adrese koja je vrlo slična: paypal@gmail.com i na prvi pogled može delovati kao ispravna adresa. 

Važno je upamtiti da velike kompanije nikada ne koriste mejlove sa domenima kao što su gmail, outlook, yahoo i slično. 

Sledeća stvar koju možete proveriti jeste da li u sadržaju mejla postoje pravopisne greške, jer to najčešće ukazuje na prevaru. 

Ukoliko i dalje niste sigurni, ne oklevajte da kontaktirate podršku kompanije iz koje Vam stiže mejl pre nego što ostavite svoje podatke bilo gde. 

3. Nagradne igre putem društvenih mreža 

Već neko vreme imamo prilike da vidimo da internetom kruže nagradne koje zvuče previše dobro da bi bile istinite. 

Jedna od takvih igara jeste lažna podela vaučera kompanija Lidl, Metro, Ikea, Maxi… 

Iako su neke od njih bezopasne, može se desiti da Vam obećavaju vaučer od 5000 ili 10000 dinara u zamenu za ‘share’ na društvenim mrežama. 

Nakon što objavu podelite sa Vašim prijateljima, stići će Vam poruka gde će od Vas tražiti da pošaljete svoju ličnu kartu, kako bi mogli da Vam pošalju vaučer. 

Ono što bi trebalo zapamtiti je da vam ovakve kompanije nikada neće tražiti slanje bilo kog dokumenta putem društvenih mreža. 

4. Skraćeni linkovi 

Koliko puta Vam se desilo da Vam neko pošalje sumnjiv link preko društvenih mreža? Poruka stiže od Vama poznate osobe, pa i ne slutite da je u pitanju bilo kakva prevara. 

Čim vi budete kliknuli na link, vaš računar će biti zaražen virusom, pa će i sa Vašeg naloga početi da stižu sumnjivi linkovi Vašim prijateljima. 

Ovakvi linkovi obično nisu u svom originalnom formatu, već koriste softver za skraćivanje (kao što je to bit.ly/…). Opasnost ovakvih linkova leži u tome što nikako ne možete znati šta je iza njih pre nego što kliknete. 

Ukoliko poruka deluje sumnjivo, i ne verujete izvoru – nemojte kliktati na ovakve linkove. 

5. Prevare putem online prodavnica 

U većini slučajeva, online kupovina je bezbedna i Vaši podaci su bezbedno sačuvani. Ovakav vid kupovine je regulisan i Zakonom. 

Međutim, internet prevara, krađa podataka i krađa Vašeg novca se može desiti i ovde. Ukoliko unesete podatke svoje kartice, naročito CVC kod koji se nalazi na poleđini Vaše kartice, može se desiti da budete pokradeni. 

Kako prepoznati prodavnicu koja nije legitimna? 

Kod ovakvih pokušaja prevare, uglavnom se ljudi ‘upecaju’ tako što im je ponuđen neverovatan popust. Dešavalo se da se nude telefoni koji inače koštaju više stotina evra za manje od 20e. U ovakvim situacijama, ljudi pomisle da je to previše dobra ponuda koju ne smeju da propuste, pa unesu broj svoje kartice bez i malo razmišljanja. 

Ukoliko ponuda deluje nerealno – verovatno to i jeste. 

6. Krađa podataka zbog šifri koje se lako mogu pogoditi

Da li ste znali da su najčešće korišćene šifre na svetu 123456 i ‘password’? 

Prosečna osoba u svom životu treba da zapamti oko 25 različitih šifri, tako da nije iznenađujuće ovo pribegavanje šiframa koje se lako pamte. 

Korišćenje ovakvih šifri može dovesti do različitih vrsti malverzacija sa vašim podacima. 

Kako biste ovo izbegli, potrudite se da vaša šifra sadrži što više karaktera, i to kombinaciju malih i velikih slova, kombinaciju brojeva, slova i simbola. 

Da zaključimo…

Niko nije imun na sajber napad, odnosno internet prevare. I velike i male kompanije, pa i pojedinci mogu biti žrtve ovakve vrste kriminala. Kako biste izbegli krađu identiteta, vaših podataka i narušavanje Vaše reputacije, budite posebno pažljivi i ne zaboravite da obraćate pažnju na tipične znakove prevara. 

I da ne zaboravimo, zaštitite Vaš sajt. 

Kako bi Vaš sajt bio zaštićen od malicioznih napada, potrebno je da se regularno skenira i da Vaš hosting provajder odžava Vaš sajt bezbednim. Za više informacija i preporuku hostinga koji će Vam pružiti najvišu bezbednost, slobodno nas kontaktirajte.

The post 6 načina za krađu vaših podataka i kako to da sprečite appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

Najčešći su pokazatelji da je vaš WordPress sajt zaražen.

Ukoliko se nešto od ovoga desilo i vama, ne paničite, pokazaćemo vam kako da identifikujete da li je vaš WordPress sajt hakovan, koje korake je potrebno preuzeti kako biste očistili sajt od malicioznih fajlova i kako da ga bolje zaštitite za ubuduće.

BACKUP – Prva pomoć za hakovan WordPress sajt

Vraćanje sajta iz backupa može da bude rešenje – ali tu imamo opet problem – vi ne znate kada je sajt zapravo inficiran. Cyber kriminalci su mogli da ga inficiraju i pre godinu dana i da godinu dana ne vrše nikakve aktivnosti, vi nemate pojma da je sajt inficiran, i onda odjednom krenu u teror. Vama izgleda kao da je sajt hakovan juče – vratite backup od pre mesec dana – ali uzalud– i taj backup od pre mesec dana sadrži njihov malware.

Svim korisnicima UNLIMITED.RS Web hosting paketa dostupan je JetBackup u okviru cPanel-a, uz pomoć koga možete vrlo jednostavno odraditi restore (vraćanje) fajla, foldera, baze, email naloga na neki od dostupnih datuma u proteklih 20 dana – uputstvo kako da to uradite možete pročitati ovde.

U praksi najbolje je pogledati datum stvaranja malicioznih fajlova, i vratiti backup na datum pre nastanka tih fajlova, to ipak nije garancija.

Vraćanje sajta na neki raniji datum (restore bekapa) može samo otkloniti posledice ali ne i sam uzrok problema- ranjivosti WordPress sajta.

Nakon vraćanja sajta iz bekapa potrebno je dodatno unaprediti i osigurati samu instalaciju kako se problem ne bi ponovio.

ČIŠĆENJE WORDPRESS SAJTA

Ukoliko među fajlovima vašeg sajta primećujete fajlove i foldere čudnih naziva ili fajlove koji ne pripadaju standardnoj WordPress instalaciji, jedina ispravna odluka je radikalan rez – a suština se sastoji u tome da sa svog sajta (preko FTP-a ili File Manager-a na cPanelu) obrišete baš sve PHP fajlove i foldere – ostavite samo sledeće:

wp-content/uploads folder koji sadrži sve uploadovane slike

wp-config.php konfiguracioni fajl za povezivanje WordPress-a sa bazom (no proverite da li i on ima maliciozan kod)

Uporedni prikaz standardne WordPress instalacije i zaraženog WordPress sajta

ČIŠĆENJE BAZE

Kako proveriti i očistiti bazu od SQL injekcija i WordPress malware-a?

Za pregled baze predlažemo da exportujete vašu WordPress bazu podataka ručno iz phpMyAdmin-a.

Iz cPanel-a izaberite opciju phpMyAdmin, zatim sa leve strane iz menija kliknite na bazu koju želite preuzeti.

Ukoliko na vašem cPanel nalogu imate više sajtova imaćete i više baza. Ukoliko niste sigurni koju bazu vas WordPress sajt koristi, ime baze možete videti u wp-config.php fajlu u redu: define(‘DB_NAME’, ‘database_name’);

Nakon što sa leve strane izaberete bazu, kliknite na “Export” link u meniju i zatim na “Go” dugme.

Nakon što preuzmete čitavu bazu u .sql formatu možete otvoriti fajl u nekom tekstualnom editoru kao što je Notepad ili Notepad++ i pregledate sadržaj baze.

Šta tražimo? Bilo šta što izgleda sumnjivo odnosno sve što ne izgleda kao da mu je mesto u bazi WordPress sajta. Uglavnom tražimo sledeće tipove koda:

eval()

base64_decode()

gzinflate()

error_reporting(0)

shell_exec()

str_rot13()

Ukoliko naiđete na sumnjiv kod, možete pretražiti na Google ili WordPress forumima da li se radi o legitimnom sadržaju ili ne.

Sav sumnjivi sadržaj je potrebno otkloniti iz .sql fajla a zatim importovati (uvesti) očišćenu bazu nazad u phpMyAdmin.

Pre importovanja očišćene baze potrebno je da sa stare obrišete sve tabele.

Ovo možete uraditi tako što izaberete bazu, označite sve tabele klikom na “Check all“, i pod “With selected:” opcijom izaberete “Drop“.

Klikom na dugme potvrdite brisanje svih tabela i nakon što brisanje bude završeno možete importovati očišćenu bazu.

Ponovo izaberite vašu bazu podataka i kliknite na “Import” u meniju. Izaberite pregledani .sql fajl i kliknite na “Go” dugme.

Nakon importovanja dobićete poruku da je import tabela u bazu uspešno sproveden.

Nakon što ste uklonili sve fajlove WordPress sajta (osim foldera wp-content/uploads i fajla wp-config.php), pregledali i ukoliko je potrebno očistili bazu, potrebno je ponovo dodati novu WordPress instalaciju.

RE-INSTALACIJA WORDPRESS-a

Korak 1: Preuzimanje WordPress instalacije 

Preuzmite najnoviju verziju WordPress CMS-a sa ovog linka.

KORAK 2: Dodavanje WordPress-a

WordPress instalaciju zatim dodajte (upload) na sajt preko File Manager opcije u cPanel-u.

Uđite u folder u kome se nalazi vaš sajt (za glavni domen to je /public_html folder) i iz menija izaberite opciju “Upload”. Izaberite preuzetu WordPress instalaciju i sačekajte da se dodavanje završi.

KORAK 3: Extraktovanje WordPress-a

Nakon toga se vratite nazad u folder gde je fajl dodat i desni klik na .zip fajl, potom export i potvrdite.

KORAK 4: Ubacivanje postojećeg Uploads Foldera

Potom se vratite nazad u root folder domena (za glavni domen to je public_html) i uđite u folder wp-content. Iz ovog foldera prebacite folder uploads u tek dodatu WordPress instalaciju.

Označite ovaj folder i zatim desnim klikom na njemu izaberite opciju move to folder i u adresu dodajte /WORDPRESS folder u putanji, tako da na primer putanja public_html/wp-content bude public_html/wordpress/wp-content

KORAK 5: Brisanje starog WP- Content Foldera

Nakon ubacivanja uploads foldera potrebno je da se vratite u /wordpress folder i da iz njega obrišete wp-content folder.

KORAK 6: Prebacivanje WordPress instalacije 

Nakon što ste prebacili stari uploads folder u novu WordPress instalaciju obrisali prazni wp-content folder, potrebno je prebaciti sav sadržaj /wordpress foldera u folder iznad. Označite sve fajlove i zatim desnim klikom na nekom od njih izaberite opciju move to folder i iz adrese obrišete /WORDPRESS folder iz putanje.

To je to, sada ste uspešno reinstalirali WordPress i možete se preko browsera ulogovati na admin deo dodavanjem /wp-admin na vaš domen.

Pošto ste ostavili bazu podataka i uploads folder u kome se nalaze sve dodate slike, sajt će imati isti sadržaj kao pre brisanja WordPress fajlova.

RE-INSTALACIJA WORDPRESS TEME I PLUGINA

Nakon reinstalacije WordPress-a potrebno je da ponovo instalirate aktivnu temu i sve dodatke.

Ulogujte se na wp-admin deo vašeg sajta, instalirajte istu temu (skinite najnoviju verziju teme, ne koristite staru) i instalirajte iste pluginove koje ste imali pre brisanja.

Ukoliko niste sigurni koje ste sve pluginove koristili na sajtu, nakon prvog ulaska u Plugins (Dodaci) stranu, prikazaće vam se lista svih plugina koji su sada isključeni a koje trebate ponovo instalirati.

Nakon instalacija biće možda potrebno samo da neka podešavanja u okviru teme ili plugin-ova ponovo podesite.

I na kraju, otvorite sajt kako biste proverili da li sve funkcioniše.

KAKO UNAPREDITI BEZBEDNOST WORDPRESS SAJTA

Kako dodatno obezbediti WordPress sajt?

Nakon čišćenja WordPress-a, teme i svih pluginova, potrebno je dodatno osigurati sam sajt kako se problem ne bi ponovio. Ovo su samo neke od preporuka za unapređenja bezbednosti WP sajta:

Hosting

Kvalitetan Web hosting je od presudnog značaja za sigurnost svakog sajta. Koliko god da obezbedite  WordPress, to neće biti dovoljno ukoliko neko može da vam neovlašćeno pristupi hosting nalogu, doda fajlove preko FTP-a ili cPanel-a, ili čak da preko hakovanog sajta drugog korisnika na serveru ubaci fajlove na vaš sajt.

Sa strane hostinga (cPanel) možemo još dodatno ojačati WordPress koristeći .htaccess i wp-config.php konfiguracione fajlove ali i same permisije na folderima. Detaljnije o ovome možete pročitati na našem blogu

Permisije

Permisije foldera i fajlova možete takođe podesiti iz File Manager-a na cPanel-u, za WordPress preporučene vrednosti su sledeće:

/ 0755

wp-includes 0755

wp-admin 0755  

wp-admin/js 0755

wp-content 0755

wp-content/themes 0755

wp-content/plugins 0755

wp-content/uploads 0755

wp-config.php 0400  

.htaccess 0444

Permisije možete videti u File Manager-u u koloni sa desne strane, a duplim klikom na njih možete ih i izmeniti.

Promena lozinki

Promenite WordPress admin password.

Obrišite sve ostale admin korisnike (Upravnike).

Promenite FTP password (to je uglavnom ujedno i password od hosting naloga, tako da to u većini slučajeva možete uraditi u hosting panelu).

Promenite MySQL password (to takođe u većini slučajeva možete da uradite u hosting panelu), a zatim taj novi MySQL password unesite u wp-config.php fajl (preko File Manager-a).

I na kraju, uvek je bolje koristiti korisničko ime koje nije “admin” ili “administrator”.

Salts

WordPress koristi takozvane “Salt” – nasumično generisane vrednosti radi autentifikacije korisnika pomoću kolačića (Eng. cookies).

Kako bismo odjavili sve već prijavljene WordPress korisnike možemo postaviti nove salt vrednosti u fajlu wp-config.php

Na sledećem linku možete generisati nove vrednosti: https://api.wordpress.org/secret-key/1.1/salt/

Dovoljno je kopirati ove kodove i zameniti postojeće u fajlu wp-config.php kako biste poništili sve korisničke kolačiće (cookies).

PODESITE SIGURNOSNI PLUGIN

Na WordPress-u postoji dosta dodatnih funkcija koje je potrebno blokirati ili isključili jer se najčešče zloupotrebljuju. Jedna od ovih funkcija je i XML-RPC koji se danas sve više koristi za brute-force i dictionary napade.

Naša preporuka je iThemes Security dodatak, a neke od korisnih funkcija ovog plugina koje vredi istaknuti su:

blokiranje pristupa xmlrpc.php fajlu

upisivanje svih pristupa (Login log)

ograničavanje pristupa preko .htaccess fajla

forsiranje jakih lozinki i mogućnost 2FA

zakazivanje redovnog bekapa baze

Nakon instalacije iThemes Security plugina videćete preporuku podešavanja koje sam plugin predlaže za sve WordPress sajtove. 

Nakon što uključite sve navedene preporučene funkcionalnosti, potrebno je dodatno uključiti još i ova tri modula:

404 Detection

File Change Detection

SSL

Gore navedene module je dovoljno samo aktivirati i ostaviti na preporučenim vrednostima, međutim ova dva modula je potrebno dodatno konfigurisati:

System Tweaks

WordPress Tweaks

Za njih predlažemo da uključite sve opcije, međutim imajte u vidu da se neke od ovih funkcionalnosti koriste i za druge plugine kao što su JetBackup ili ContactForm7, te svakako nakon što ih aktivirate detaljno proverite da li sve uredno funkcioniše na samom sajtu.

OGRANIČAVANJE PRISTUPA

Preporuka je da sakrijete ili bar ograničite pristup /wp-admin i wp-login.php linkovima

WPS Hide Login je jedan vrlo jednostavan dodatak koji vam omogućava da preimenujete /wp-admin sekciju i time ograničite pristup samo onima sa linkom.

AŽURIRANJE

Poželjno je da uvek koristite najnoviju verziju WordPress-a, ažurirajte vašu temu i dodatake (plugine) čim novija verzija bude dostupna, pre toga naravno testirajte temu i vidite da li sve funkcioniše.

Obrišite WordPress teme i plugine koje ne koristite – ovi plugini se skoro nikada ne ažuriraju te samim tim predstavljaju sigurnosni rizik.

Nikada ne koristite WordPress “null-ovane” premium teme i pluginove – jer često dolaze sa malware-om.

BACKUP

Bekapi su veoma važni jer vam mogu skratiti dosta vremena i truda. Upravo zbog toga je važno praviti redovne bekape fajlova i baze, i što je najbitnije: ne čuvati ih na istoj lokaciji gde je i sajt!

Po definiciji Backup je rezervna kopija, te ga stoga i čuvajte u rezervi na vašem računaru ili nekom drugom nalogu.

Za korak po korak uputstvo kako bezbedno uraditi i preuzeti bekap sajta pročitajte naš članak: Kako da mirno uradite backup WordPress sajta

Ukoliko koristite naše Web hosting usluge, nećete imati potrebe praviti backup jer uz sve pakete imamo besplatan dnevni backup na više udaljenih lokacija.

I na kraju: Važno je ne preskočiti nijedan korak – čak i ako vam se neki korak čini besmislenim – verujte nam, nijedan nije besmislen. Preskakanjem bilo kog koraka biste rizikovali da hakerima ostavite prolaz do vašeg sajta – i da ponovo inficiraju sajt – pa ste onda uzalud čistili sajt.

BONUS: KAKO SKINUTI “OVAJ SAJT NIJE BEZBEDAN” UPOZORENJE

Ukoliko se umesto vašeg sajta pojavila stranica koja ukazuje da sajt više nije bezbedan, nakon što se očistili i sam WordPress sajt, potrebno je poslati zahtev Google-u da se upozorenje o nebezbednom sajtu ukloni.

Uputstvo za slanje zahteva za skidanje upozorenja na vašem sajtu možete videti ovde: https://developers.google.com/web/fundamentals/security/hacked/request_review

Nakon što pošaljete zahtev, Google će ponovo pregledati sajt i ukoliko potvrde da vaš sajt više ne sadrži malware/phishing sadržaj, dobićete email obaveštenje da je upozorenje uklonjeno.

U slučaju da vam je neophodna pomoć ili dodatne informacije, molimo vas da kontaktirate našu korisničku podršku na e-mail: podrska@unlimited.rs ili otvorite tiket putem korisničkog panela na adresi https://panel.unlimited.rs.

The post Kako očistiti hakovan WordPress sajt? appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

dugmeta

Razlog zašto je ReCAPTCHA najčešći alat koji se koristi prilikom online prijava ili popunjavanja obrazaca jeste upravo sprečavanje neželjene pošte (spam) i zloupotrebe web stranice. CAPTCHA je zapravo skraćenica od – Completely Automated Public Turing test to tell Computers and Humans Apart. Zanimljivo, zar ne? 

Šta CAPTCHA zapravo radi?

CAPTCHA sprečava spam ili botove da unose podatke u polja na vašoj web stranici. To može uključivati lažne komentare na postovima, lažne email adrese ili lažne transakcije i prijave.

CAPTCHA možete videti u različitim formama:

1. Kao slagalicu zasnovanu na tekstu

2. Slagalicu zasnovanu na slici

3. Ili kao standardnu “I am not a robot” ReCAPTCHA

To su jednostavni i laki zadaci koji mogu sprečiti da vaša web stranica bude preplavljena botovima.

ReCAPTCHA je u vlasništvu Google-a. Koristi naprednu tehnilogiju, a najnovija verzija može da filtrira sumnjive posetioce bez prethodnog rešavanja slagalice. Pregledanjem istorije unosa u ReCAPTCHA sa vaše IP adrese, nalaze se “tragovi” koji mogu odrediti da li ste bot ili ne.

Da li je ReCAPTCHA zaista efikasna?

Ukoliko vaša web stranica ima online formu/obrazac bez dugmeta CAPTCHA, moguće je da ćete primiti veliki broj neželjenih poruka (spam). Ovo svakako može predstavljati problem, ali ima i nekoliko drugih posledica s kojima se možete suočiti ako ne koristitke CAPTCHA sistem.

Kao što su:

1. Veće naknade stope za transakcije

2. Stroži sigurnosni protokoli za vaš nalog

3. Moguća suspenzija ili ukidanje vašeg naloga 

Naravno, uvek postoji i negativna strana. Na primer, za rešavanje CAPTCHA slagalice potrebno je u proseku deset sekundi, što može dovesti do toga da korisnik na vašoj web stranici prosto izgubi interesovanje. Takođe, često se dešava da korisnici i ne razumeju samu slagalicu, te ukoliko je CAPTCHA unos više puta netačan, korisnik prosto odustane i napusti stranicu.

Da li mi je potrebna reCAPTCHA?

Ako je vaš sajt često izložen botovima, a mail sanduče preplavljeno spam porukama, onda da, trebalo bi da se registrujete za CAPTCHA. Google sugeriše da najnovija verzija pruža još veću sigurnost, kao i bolje korisničko iskustvo (uglavnom preskakanjem potrebe za rešavanjem slagalice). S obzirom na to da se softver može lako dodati, bez dodatnih troškova, dodavanje reCAPTCHA je jednostavan i lak način da zaštitite svoj sajt i email sanduče.

The post Šta je reCAPTCHA i zašto treba da je koristite na vašem sajtu? appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

Ako mislite da vaš sajt neće izgubiti svoje posetioce zbog manjka SSL sigurnosti, grešite

Momenat kada nam svima bezbednost sajta postane od izuzetne važnosti jeste kada treba da unesete podatke svoje kartice i kupite nešto online. Jedno od istraživanja kaže da čak 85% internet kupaca odustane od kupovine na sajtu koji im se ne čini bezbednim. Većina ljudi prepoznaje simbol katanca u URL-u kao znak bezbednosti, ali šta ovo zapravo znači i zbog čega je bitno?

Šta je SSL bezbednost?

Ako ste ikad pogledali URL na vrhu ekrana web pretraživača, sigurno ste videli da neki sajtovi počinju sa “HTTP”, a neki sa “HTTPS”. Upravo ovo S znači “secure”, iliti bezbedno – i postiže se obezbeđivanjem vašeg sajta SSL sertifikatom. Ono što zapravo HTTPS sajtovi imaju jeste dodatni sloj zaštite za sve osetljive podatke koji se razmenjuju.

Kao što smo već napomenuli, sajtovi koji su zaštićeni SSL-om obično imaju zeleni katanac koji se prikazuje u prozoru URL-a. Ovo je ikonica koju internet korisnici prepoznaju kao znak poverenja za online prodavce.

SSL je oblik šifrovanja podataka gde web pretraživač koji koristite uspostavlja sigurnu vezu sa web stranicom koju posećujete. To radi tako što podatke deli napred i nazad između ta dva i šifruje ih. Podatke može videti samo sajt koji ima SSL sertifikat, jer poseduje ključ za dešifrovanje. 

Online poverenje

Jedno od najstarijih pravila trgovine, fizičke ili online, jeste da ljudi uvek kupuju od brendova kojima veruju. Kada kupujete uživo, ovaj momenat je mnogo lakši, ali, kako možete najlakše da utvrdite to online?

Odgovor je jednostavan – autentifikacijom SSL bezbednosti, jer se tada poverenje između kupca i online prodavca može postići najefikasnije.

Kao protokol, SSL bezbednost je postala popularna alatka za zaštitu podataka. SSL sertifikat omogućava ljudima da koriste kreditnu karticu, svoje privatne podatke poput adrese, JMBG-a i slično, između email servera, pretraživača i sajta. Na ovaj način SSL sertifikati svakodnevno štite milione transakcija na internetu. 

Dakle, ukoliko sajt ima “HTTPS://”, to znači da poseduje SSL sertifikat, dok ukoliko samo vidite “HTTP”, nije bezbedan. Svakako, u julu 2018. godine, Google Chrome je počeo da označava sajtove kao nebezbedne (not secure), pa će vam detekcija biti mnogo lakša.

I, samo razmislite, da li biste pre kupili par cipela na sajtu gde dobijate informaciju da je vaša transakcija bezbedna, ili na onom gde vidite da transakcija nije obezbeđena?

Zašto dodati SSL?

Online korisnici svakog dana postaju sve više obrazovaniji kada je reč o internetu, bezbednosti i slično. Činjenica da imate SSL sertifikat pokazuje vašim klijentima i posetiocima da imate najviši nivo bezbednosti i da mogu da vam veruju. Kao dodatni bonus, u miru ste, jer znate da postoji mala verovatnoća da dođe do kršenja podataka na vašem sajtu. Bez SSL-a, podaci koji putuju između kupca i sajta prilikom online trgovine, u opasnosti su i podložni hakerskim napadima koji kradu podatke onda kada su najosetljiviji.

Pored ovih, postoji još jedan veliki razlog za dodavanja SSL sigurnosti – Google. Google uzima u obzir SSL kao faktor za svoje SEO algoritme, tako da se sajtovi sa SSL-om više rangiraju od onih koji ga nemaju. A, iskreno, u ovim današnjim teškim ratovima za što bolji rang na Google-u, sve ide u prilog da dobijete koji bod više.

Kako dodati SSL na vaš sajt?

Možete koristiti besplatan SSL koji je dostupan za sve hosting pakete kod nas, a možete i zakupiti plaćene SSL-ove, razlike između besplatnih i plaćenih su sve manje pa preporučujemo da za početak koristite besplatne.

Ukoliko se odlučite da koristite usluge Web hostinga kod nas, u unlimited.rs, dobijate besplatan Let’s Encrypt sertifikat nevezano za činjenicu koji hosting paket odaberete.

Sertifikat je automatski dostupan po dodavanju domena na hosting, a ako bude potrebna pomoć možete je dobiti od našeg tima podrške. 

Osim toga, da bi sajt funkcionisao putem HTTPS-a neophodno je napraviti određene izmene na samom sajtu, ne uvek, ali u većini slučajeva. Najbolje da se obratite programeru koji je radio na sajtu ili našoj podršci.

Bilo da se radi o poboljšanju SEO, zaštiti podataka, izgradnji poverenja, ili čak održavanja postojeće baze klijenata, posedovanje SSL sertifikata je danas zaista postalo neophodno za svaki sajt.

The post SSL sertifikati: zašto su bitni i kako dodati HTTPS na vaš sajt? appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

E, pa tako je, ono što većina populacije svakodnevno koristi predstavlja otprilike 10-16% weba i nazivamo ga površinski (surface) web, iliti vidljivi web. Površinski web predstavlja sadržaj kome pristupate preko web pretraživača, poput Google-a, Bing-a, Safarija, itd. To su stranice koje su indeksirane, a prema https://www.worldwidewebsize.com/ danas postoji oko 5.41 milijarde indeksiranih stranica. 5.41 milijarde predstavlja samo oko desetak posto celog weba? Wow    

Mnogo veći deo interneta čine takozvani duboki (deep) web i mračni (dark) web. Pa,  hajde da vidimo o čemu je reč 

Deep Web vs. Dark Web

Duboki (deep) web predstavlja sadržaj kome se, između ostalog može pristupiti i preko web pretraživača, ali ono što ga razlikuje od površinskog weba jeste da stranice nisu indeksirane. Duboki web je sadržaj za koji je potreban određeni vid autentifikacije kako biste mu pristupili  – to su na primer: baze knjiga ili mediji koji zahtevaju subscribe, email i cloud servisi, ili bankarski servisi koji su zaštićeni lozinkama ili paywallom. Duboki web takođe čine i interne mreže kompanija, kao i različite baze podataka i stranica obrazovnih ili vladinih ustanova. 

Zapravo, većina nas koristi duboki web možda i svakodnevno. Da li nas to čini hakerima? Sigurno ne Vidite da deep web i nije toliko mističan kako ga neki predstavljaju, već je mesto na kome se čuvaju podaci i anonimnost i to potpuno legalno.

Iako se termini deep i dark web koriste naizmenično, ne podrazumevaju baš istu stvar.  Mračni (dark) web je relativno mali deo dubokog weba. Sadržaju mračnog weba nije moguće pristupiti preko običnih pretraživača, već samo preko specijalnih softvera poput TOR (The Onion Router) ili I2P (Invisible Internet Protocol). Kako oni funkcionišu?

Da biste posetili sajt na dark webu koji koristi npr. TOR enkripciju, vi takođe morate koristiti TOR. Povezivanjem na TOR sakriva se vaš saobraćaj od npr. vašeg internet provajdera kao i drugih servisa koji mapiraju internet saobraćaj. Dakle, može se utvrditi da ste povezani na TOR, ali ne i vaša tačna lokacija, ni sadržaj saobraćaja koji ste generisali i sajtove koje ste posetili. S toga je teško otkriti posetioce sajtova, ali i one koji ih hostuju. 

Potrebno je naglasiti da je upotreba TOR softvera, kao i dubokog weba potpuno legalna. Mnogi ljudi i koriste TOR upravo zbog jake enkripcije i anonimnosti prilikom pretraživanja sadržaja. Između ostalog, ovakvu vrstu softvera koriste i policija, vojska, kao i uzbunjivači (whistleblower) poput osnivača Wikileaks-a Juliana Assangea ili Edwarda Snowdena.  

Međutim, upravo zbog anonimnosti koju nudi, TOR kao i dark web postali su popularno tržište za razne ilegalne aktivnosti. Možda jedna od najpoznatijih priča u vezi sa dark webom je Silk Road, web sajt za trgovinu ilegalnim supstancama. Silk Road je 2011. godine osnovao Ross Ulbricht pod pseudonimom Dread Pirate Roberts, a procenjuje se da je vrednost transakcija preko Silk Road-a dostigla i preko milijardu dolara. Ross Ulbricht je 2013. godine uhapšen, i trenutno služi doživotnu zatvorsku kaznu. Neposredno posle njegovog hapšenja podignut je Silk Road br. 2, ali je i ova stranica ugašena, a njeni osnivači uhapšeni 2014. Danas se šuška da postoji i Silk Road br. 3, ali to ne bismo proveravali

Dakle, niko vam ne može zabraniti da pristupite niti jednom od ovde pomenutih slojeva weba, ali vas svakako molimo da budete oprezni i pametni  

The post Mračna strana interneta? appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.

Znamo da ne želite da se to desi sa vašim sajtom zato predstavljamo 7 koraka za obezbeđivanje i optimizovanje WordPress-a za što bolji rad.

1. wp-config.php je ključ!

Verovatno ste videli taj fajl, on pored podataka za vezu sa bazom, može imati neke dodatne parametre, a mi predstavljamo neke od njih i funkcije.

WP_DEBUG uključujete kada imate problem sa sajtom, a ne možete pronaći grešku, u suprotnom treba biti isključen.
WP_POST_REVISIONS ne čuva više od XX revizija, mi smo izabrali da je zlatna sredina 10. Time olakšavate bazu i ne čuvate nepotrebne edite postova i stranica.
Ako želite da očistite svoj WordPress što se tiče revizija, a da ne koristite automatski metod koji je dole ispisan, pratite uputstvo iz našeg članka od pre par godina.

EMPTY_TRASH_DAYS služi za brisanje stranica ili postova koje su u Trash-u (kanti za brisanje). Preporuka da period ne bude manji od 10-20 dana.
WP_ALLOW_REPAIR može biti koristan ukoliko server na kome se nalazi sajt doživi problem, iznenadni reboot ili sličnu grešku hardversku ili softversku. Šansa da se srušila neka od tabela koja je bila aktivna je preko 20%. Tada je neophodan REPAIR odnosno oporavak baze, ova komanda će automatski pokrenuti REPAIR tabele čim dođu posetioci.
WP_MEMORY_LIMIT – limit virtualne memorije koju će koristiti WordPress, preporuka da se postavi barem 512M.
WP_CRON_LOCK_TIMEOUT – korisno podići na 480 sekundi da se ne pokreće sa svakom novom posetom, alternativa je potpuno isključivanje što ne preporučujemo, svakako komanda je prikazana ispod.

Šta je cron? U bukvalnom prevodu posao, okidač. Svaki posetilac služi kao okidač ka WordPress jezgru sa listom zadataka koje treba da uradi. To može biti objava članka, razni tipovi ažuriranja, komentara i sl.

define('WP_DEBUG', false);
define('WP_POST_REVISIONS', 10);
define('EMPTY_TRASH_DAYS', 20 );
define('WP_ALLOW_REPAIR', true);
define('WP_MEMORY_LIMIT', '512M');
define('WP_CRON_LOCK_TIMEOUT', 480 );

WP cron se pokreće sa svakom novom posetom, ako želite da potpuno isključite, što ne preporučujemo (bolja opcija je limitiranje na određeno vreme) to možete uraditi sa komandom ispod.

define('DISABLE_WP_CRON', 'true'); //potpuno isključivanje CRON-a

Želite da onemogućite ažuriranje teme i plugina te onemogućivanje neautorizovanih korisnika da to isto rade? Koristite sledeće komande. Razmotrite da li ćete koristiti ove funkcije.

define( 'DISALLOW_FILE_MODS', true );
define( 'DISALLOW_FILE_EDIT', true );

Ako koristite CDN kao što je MaxCDN ili JetPack, preporuka je da definišete cookie, tako ćete ubrzati sam sajt:

define( 'COOKIE_DOMAIN', 'imedomena.com' );

Autosave funkcija dok pišete članak može biti izuzetno korisna, ali prečesto automatsko čuvanje može dodatno opteretiti posećen sajt koji je na manjem paketu, stoga preporuka je da povećate vrednost na 180 sekundi.

define('AUTOSAVE_INTERVAL', 180);

Ako koristite javne WiFi mreže, obavezno koristite HTTPS konekciju za pristupanje Administraciji WordPress-a, ispod imate dodatnu komandu da pristupanje uvek ide preko enkripcije. (Ne podešavajte ukoliko Vaš WordPress nije podešen na HTTPS saobraćaj ili nemate SSL sertifikat na sajtu).

define( 'FORCE_SSL_ADMIN', true );

2. Ni .htaccess nije za bacanje!

.htaccess fajl imate ukoliko koristite Apache ili Litespeed server kao osnovni web server, što je velika verovatnoća. Fajl je sakriven, možete ga videti kroz FTP/SSH, ali je providniji od ostalih zbog prefiksa tačke.

Preporuka je da zabranite javni pristup fajlovima xmlrpc.php i wp-config.php iz sigurnosnih razloga.

<Files "xmlrpc.php">
Order Deny,Allow
Deny from all
</Files>
<Files "wp-config.php">
Order Deny,Allow
Deny from all
</Files>

.htaccess fajl mora sadržati i sledeći deo (verovatno će već upisan, ali ako nije znajte da je neophodan jer u suprotnom neće raditi mod_rewrite i imaćete greške na sajtu u vidu nepronađenih stranica.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Takođe, neretko se koriste komande mod_deflate, mod_mime, mod_setenvif da bi se omogućilo keširanje.

Veoma je bitno da uključite indeksiranje fajlova, tako ćete sprečiti vršljanje botova po folderima vašeg sajta i svi rezultati će voditi na sam sajt.

Options All -Indexes

Komentari na WordPress-u su generatori spama, može ih biti neverovatno mnogo, svakodnevno. Ako su neophodni koristite Akismet plugin ili Captcha zaštitu. U slučaju da je sajt prezentacionog tipa i komentarisanje vam nije važno, možete potpuno blokirati određene IP range-ove.

ErrorDocument 503 "Komentarisanje zabranjeno"
RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^60.173 [OR]
RewriteCond %{REMOTE_ADDR} ^218.10
RewriteCond %{REQUEST_URI} ^/wp-comments-post.php$
RewriteRule .* - [R=503,L]

No još je lakše da instalirate plugin koji to potpuno onemogućuje, samo potražite i instalirajte “Disable comments”. Postoji još načina, ali o tome ćemo u narednom blogu.
U slučaju da želite WordPress saobraćaj potpuno da usmerite na HTTPS (čak i gde stranica nije podešena tako) koristite ovo:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

3. Dozvole (Permission)

Dozvole na fajlovima menjate kroz File Manager u cPanel-u, FTP ili SSH. Najosetljiviji fajl na čitavom sistemu je wp-config.php, postavite dozvole 0400 odnosno 400 na njega (r——–). U tom slučaju samo vlasnik (server) može da čita taj fajl i niko ne može menjati. Dozvole na folderima wp-content, wp-includes, wp-admin trebaju biti 0755 i to je verovatno već tako podešeno. Na ostalim PHP fajlovima 0644.

4. PHP verzija i opcije

Naša hosting platforma omogućuje promenu PHP verzije, počev od prastare 5.3 do najnovije 7.4. Od neverovatnog je značaja da koristite ažurnu PHP verziju, jer osim što starija verzija (PHP 5.4, 5.5 pa i 5.6) neće pružiti puni potencijal WordPress-a, ona će dovesti do potencijalnih sigurnosnih propusta.

Ne morate koristiti najnoviju verziju jer često u prvih par meseci od objave nije kompatibilna sa određenim temama i pluginovima, ali koristite podržanu aktuelnu verziju kao što je trenutno 7.4 i 7.3 (jul 2020.).

Da biste promenili PHP verziju uđite u cPanel i izaberite opciju Select PHP version. Uputstvo možete pronaći OVDE.

Preporuka je da povećate memory_limit na barem  512 MB, zavisno od provajdera. Unlimited.rs dozvoljava do čak 2 GB.

5. Promena podrazumevanog pristupa wp-admin

Onemogućite trećim licima pristup wp-admin stranici. Ovo je bitno iz više razloga, jer sve i da neko zna Vašu šifru on neće znati URL na koji pristupate WordPress administraciji. Na stotine bot skripti će vršiti brutal force attack na Vaš sajt svakodnevno, zašto bi dozvolili da se to dešava kada ovaj problem možete rešiti za par minuta?

Jednostavno uđite u administraciju, izaberite Plugin pa Add new i pronađite plugin Rename wp-login.php  ili mnoge druge plugine slične namene.

6. Ažuriranje i još ponešto!

Pažljivo birajte broj plugina koji su vam neophodni, svaki od njih je određeni sigurnosni rizik. Birajte samo proverene plugine koji su svežiji od godinu dana, dakle ako plugin nije ažuriran duže od godinu dana razmotrite o opciji da pronađete alternativu za isti.

Nije svako ažuriranje dobro ažuriranje, i “Update” ponekad oteža život, barem 3 puta godišnje ažurirajte plugine, a preporučljivo je i temu jer napadači često ulaze i kroz bušne teme. Sve teme koje ne koristite potpuno obrišite ili stavite dozvole 0000 na njihove foldere. Isto važi i za plugine, nije ih dovoljno deaktivirati.

Ukoliko nema potrebe za tim, ne zaboravite onemogućiti članstva – registraciju korisnika ako ste slučajno uključili opciju (podrazumevano je isključena opcija).

7. reCAPTCHA na kontakt formama

Poželjno je da da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima kao što su kontakt forme ili formulari, kako biste sprečili gomilanje masovnih spam poruka koji prolaze kroz Vaš sajt odnosno hosting. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Skoro svi poznatiji plugini imaju integraciju sa reCAPTCHA, dovoljno je samo da preuzmete API pristupajući sa svog google naloga na ovom linku.

Dovoljno “hakerisanja” za danas, nastaviće se.

The post Kako da osigurate i optimizujete svoj WordPress appeared first on UNLIMITED.RS - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena.