SR

Tag: security


Kako dodatno unaprediti bezbednost WordPress sajta?

Pre par godina objavili smo 7 osnovnih načina kako da osigurate i optimizujete svoj WordPress sajt i iako je od tada prošlo dosta vremena, saveti su i dalje važeći i danas predstavljaju osnovu za zaštitu WordPress-a koji bi svaki sajt trebao koristiti.

Pored ovih ranije navedenih 7 načina, postoji i dosta dodatnih (naprednijih) stvari koje se mogu podesiti na WordPress sajtu kako bi se mogućnost za napade ili viruse svela na minimum.


❌ ISKLJUČIVANJE wp-admin

wp-admin se može potpuno isključiti ili samo sakriti od napadača (botova) pomoću plugina kao što je WPS Hide Login ili ručno preko .htaccess fajla.

Međutim treba imati na umu da sam WordPress ili plugini koje koristite na sajtu u velikoj meri zavise od wp-admin foldera i kako bi sajt neometano funkcionisao najbolje je ostaviti wp-admin folder, a samo redirektovati neovlašćene zahteve ka njemu.

Sledeći kod možete dodati na početak .htaccess fajla kako bi redirektovali sve posete, izuzev sa vaše IP adrese ka 404 strani. Na taj način botovi koji budu skenirali vaš sajt dobiće odgovor da wp-admin folder ne postoji.

💡 Izmenite 11.22.33.44 u kodu sa vašom javnom IP adresom.

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ 11\.22\.33\.44$
RewriteRule ^(.*)$ - [R=403,L]

Takođe možete i javno zabraniti pristup wp-admin folderu sa svih IP adresa sem vaše, dodavnajem sledećeg koda u .htaccess fajl unutar wp-admin foldera:

## .htaccess fajl unutar wp-admin foldera
order deny,allow
deny from all
allow from 11.22.33.44

IZMEŠTANJE wp-config.php FAJLA

wp-config.php fajl sadrži najvažnije podatke vašeg sajta, kao što su npr. pristupni podaci za mysql bazu podataka i salts koje WordPress koristi za sve kolačiće na sajtu. Ukoliko se napadači dočepaju ovih podataka mogu bez ikakvih problema preuzeti potpunu kontrolu nad vašim WordPress sajtom.

Dobra bezbednosna praksa, oko koje su i dalje mišljenja podeljena u WordPress zajednici,  je prebacivanje fajla wp-config.php folder iznad (van /public_html foldera).

 

1. KORAK Kopiranje wp-config.php fajla u drugi folder

U ovom primeru sajt se nalazi u folderu public_html i odatle ćemo fajl wp-config.php kopirati folder iznad:

Nakon što smo kopirali fajl, sledeći korak je izmena originalnog wp-config.php fajla:

 

2. KORAK Izmena sadržaja originalnog wp-config.php fajla

Otvorite fajl u editoru i obrišite sav sadržaj, potom postavite samo sledeći kod:

<?php
include('/home/cpanel-username/wp-config.php');

💡 Izmenite cpanel-username sa vašim username.

Sačuvajte fajl i testirajte sajt. Ukoliko je putanja do novog fajla urendo unešena ne bi trebalo da ima ikakvih problema.

Na kraju izmena bi ste trebali da imate 2 wp-config.php fajla:

  • – /home/username/public_html/wp-config.php – koji samo poziva drugi wp-config.php fajl
  • – /home/username/wp-config.php – novi wp-config.php fajl vam public_html foldera

DODAVANJE CSP-a

Content Security Policy (CSP) je dodatni način zaštite sajta koji je u osnovi dodanti kod koji se doda unutar .htaccess fajla. Pomoću CPS-a određujete sa kojih se sve domena mogu učitavati fajlovi na vašem sajtu, i na taj način blokirate potencijalne XSS napade.

💡 Pre bilo kakvih izmena na sajtu napravite bekap!

Kako bi ste na WordPress sajt definisali CSP, dodajte sledeći kod u .htaccess fajl sajta:

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: *.gravatar.com; scrip-src 'self' 'unsafe-inline' http: https: *.google-analytics.com;"
</IfModule>

Ovim kodom na sajtu je dozvoljeno učitavanje fajlova isključivo sa vašeg domena, Gravatara (slike naloga) i Google Analytics. Svi ostali fajlovi sa drugih sajtova neće biti prikazivani.

Ukoliko na sajtu koristite dodatne alate koji pozivaju fajlove sa svojih domena, npr. Jetpack koristi domen https://i0.wp.com/ za generisanje slika, onda je potrebno i taj domen dozvoliti u polisi: scrip-src 'self' 'unsafe-inline' http: https: *.wp.com;.

Ukoliko na sajtu dodate CSP, prepoučujemo da ga ipak isključite za wp-admin sekciju dodavanjem koda u wp-admin/.htaccess:

<IfModule mod_headers.c>
Header unset Content-Security-Policy
</IfModule>

⚠️ Da bi ovaj kod funkcionisao, na serveru headers modul mora biti aktivan. Na svim našim Web hosting paketima ovo je već uključeno.


PODEŠAVANJE 2FA

Dvostruka autentifikacija (Engl. Two Factor Authentication) je dodatni sloj zaštite gde za pristup nalogu pored lozinke potreban je i kod koji može biti prosleđen SMS porukom ili generisan od strane aplikacije na telefonu 📱.

Od 2020. godine Two-factor authentication (2FA) dostupan je i na korisničkom panelu i cPanel-u, uputstvo za podešavanje: https://panel.unlimited.rs/index.php?rp=/announcements/5/Two-factor-authentication-2FA-na-panelu-i-cPanel-u.html

Na WordPress.org sajtu možete naći detaljno uputstvo koje pokriva 2FA kao i listu WordPress plugina koje možete dodati na sajtu kako bi ste podesili dvostruku autentifikaciju.


TESTIRANJE BEZBEDNOSTI

Nažalost, u današnjem Svetu, kada hakeri iz dana u dan postaju sve inovativniji, nije moguće jednom postaviti plugine za bezbednost i dodati kod na WordPress sajtu i potom ga zanemariti. Već je potrebno redovno testirati sigurnost WordPress sajta i preventivno je unapređivati.

Ukoliko na vašem sajtu postoji bezbednosni propust koji napadači mogu iskoristiti, uvek je bolje da taj propust Vi prvi otkrijete i popravite.

Za WordPress postoji više alata odnosno skenera kojima možete skenirati svoj sajt na poznate ranjivosti i dobiti dodatne savete za unapređenje bezbednosti, neki od najpoznatijih su:


Sa ovim završavamo (manje poznate) savete za dodatnu zaštitu WordPress sajta od hakera. Ukoliko je Vaš sajt već kompromitovan ispratite sledeće uputstvo za detaljno čišćenje i dodatnu optimizaciju WordPress-a: Kako očistiti hakovan WordPress sajt?

 

Šta je reCAPTCHA i zašto treba da je koristite na vašem sajtu?

ReCAPTCHA je nešto čemu smo izloženi dok svakodnevno koristimo internet. Nekad i toliko često da smo svi u jednom trenutku pomislili – koja je i poenta ovog, “I am not a robot” dugmeta 😂

Razlog zašto je ReCAPTCHA najčešći alat koji se koristi prilikom online prijava ili popunjavanja obrazaca jeste upravo sprečavanje neželjene pošte (spam) i zloupotrebe web stranice. CAPTCHA je zapravo skraćenica od – Completely Automated Public Turing test to tell Computers and Humans Apart. Zanimljivo, zar ne? 

 

Šta CAPTCHA zapravo radi?

CAPTCHA sprečava spam ili botove da unose podatke u polja na vašoj web stranici. To može uključivati lažne komentare na postovima, lažne email adrese ili lažne transakcije i prijave.

CAPTCHA možete videti u različitim formama:

1. Kao slagalicu zasnovanu na tekstu

2. Slagalicu zasnovanu na slici

3. Ili kao standardnu “I am not a robot” ReCAPTCHA

To su jednostavni i laki zadaci koji mogu sprečiti da vaša web stranica bude preplavljena botovima.

ReCAPTCHA je u vlasništvu Google-a. Koristi naprednu tehnilogiju, a najnovija verzija može da filtrira sumnjive posetioce bez prethodnog rešavanja slagalice. Pregledanjem istorije unosa u ReCAPTCHA sa vaše IP adrese, nalaze se “tragovi” koji mogu odrediti da li ste bot ili ne.

 

Da li je ReCAPTCHA zaista efikasna?

Ukoliko vaša web stranica ima online formu/obrazac bez dugmeta CAPTCHA, moguće je da ćete primiti veliki broj neželjenih poruka (spam). Ovo svakako može predstavljati problem, ali ima i nekoliko drugih posledica s kojima se možete suočiti ako ne koristitke CAPTCHA sistem.

Kao što su:

1. Veće naknade stope za transakcije

2. Stroži sigurnosni protokoli za vaš nalog

3. Moguća suspenzija ili ukidanje vašeg naloga 

Naravno, uvek postoji i negativna strana. Na primer, za rešavanje CAPTCHA slagalice potrebno je u proseku deset sekundi, što može dovesti do toga da korisnik na vašoj web stranici prosto izgubi interesovanje. Takođe, često se dešava da korisnici i ne razumeju samu slagalicu, te ukoliko je CAPTCHA unos više puta netačan, korisnik prosto odustane i napusti stranicu.

 

Da li mi je potrebna reCAPTCHA?

Ako je vaš sajt često izložen botovima, a mail sanduče preplavljeno spam porukama, onda da, trebalo bi da se registrujete za CAPTCHA. Google sugeriše da najnovija verzija pruža još veću sigurnost, kao i bolje korisničko iskustvo (uglavnom preskakanjem potrebe za rešavanjem slagalice). S obzirom na to da se softver može lako dodati, bez dodatnih troškova, dodavanje reCAPTCHA je jednostavan i lak način da zaštitite svoj sajt i email sanduče.

Želite da stupite u kontakt sa nama?

KONTAKTIRAJTE NAS
+381 11 428 08 08
[email protected]
Pokreni odmah