Употребувајте само квалитетни теми и плагини

 

Користете само квалитетни теми (графички симболи и решенија) и плагини (додатоци, програмчиња, карактеристики кои го прават програмот покомплексен за употреба)

Според WPScan, 52% од слабите точки на сајтовите се заради плагините, додека 11 % се должат на темите. Комбинирано, тоа е над 60 % од сигурноста на WordPress.

Најлесен начин да се осигурате дека вашите теми и плагини можат да ги издржат нападите е да ги симнете (превземете) од сигурен извор. Тоа ги вклучува WordPress.org  и првокласните провајдери. Ако ги симнувате од сомнителни произведувачи на софвер кои вградуваат штетни и опасни кодови во своите теми и плагини ќе си го доведете својот сајт во опасност. Ако не сте сигурни дали сајтот од кој би сакале да симнете софтвер е сигурен, побарајте рецензии и критики за истиот за да бидете сигурни дека производот што ви треба е квалитетен.

Истотака, осигурајте се темите и плагините што ги користите да имаат добра подршка и редовно да се ажурираат. Ако една тема или плагин подолго време не е ажуриран, постои голема веројатност да содржи продирања во неговата сигурност кои не се закрпени па дури и штетен код кој ќе ве направи неотпорен на напади.

И последно,зачувајте ги само они плагини и теми кои навистина ви требаат и ги користите. Колку се повеќе на број, толку ви е помала отпорноста. Затоа редовно проверувајте ја листата на плагини и теми и деактивирајте ги и избришете ги оние што не ви требаат.

 

Редовно ажурирајте ги WordPress Core, темите и плагините

 

WordPress е софтвер кој е јавно достапен и развиен и одржуван од заедница на волонтери од цел свет. Со секоја нова верзија што станува достапна, сигурносните дупки се закрпуваат (со закрпи= patches).

По дифолт, WordPress автоматски инсталира мали ажурирања (на пр. WordPress 4.9.4). Но кога се пуштаат поголеми програмски пакети (на пр. WordPress 4.9), треба мануелно да се ажурира и симне последната верзија.

 

Бидете сигурни вашиот сајт постојано да ја користи последната верзија на WordPress.

Овие главни ажурирања (на јадрото на програмот, што е главната функционалност на платформата) се критични за сигурноста и перформансите на вашиот сајт. Затоа секако редовно ажурирајте си го сајтот и применете ги главните новини на главниот пакет кога ќе станат достапни.

Истотака, многу е важно редовно да ги ажурирате плагините и темите за да постојано користите најнова и најсигурна верзија на софтверот.

Немојте да го користите зборот “Admin” како корисничко име

 

Немојте да го користите зборот Admin kako Username (корисничко име) на вашиот сајт. Раните верзии на WordPress користеа “admin” како пропишано корисничко име, што го направи полесен за откривање од хакерите кои така имаа една загатка помалку во сложувалката при многу силни напади. Но во новите објавени верзии на WordPress ова се промени, давајќи им можност на корисниците да смислат свое username при инсталацијата. Сепак, некои корисници сеуште преферираат да користат “admin” отколку некое оригинално корисничко име. Едноставно така милуваат.

Вие сакате да им ја отежните работата на малициозните напаѓачи кои сакаат да навлезат на вашиот сајт, па на овој начин нападите траат подолго и така или вие или домаќинот на сајтот можете да ги идентификувате нападите пред да станат ефикасни и да ги спречите (запрете).

 

Користете силна лозинка

 

Секогаш на вашиот WordPress користете силна и уникатна лозинка за вашата сметка во својство на администратор, на датабазата и сметката на хостот (домаќинот), email адресата и која и да е FTP сметка. Како и корисничкото име, лозинките се уште едно парче од сложувалката која хакерите се обидуваат да ја погодат и колку е посилна лозинката, толку е потешко за нив успешно да се логираат на вашиот сајт.

При инсталацијата, WordPress ќе ви наложи силна лозинка и ако ставите лесна, ќе побара од вас да си го проверите полето во кое ја впишувате. Вие можете да смислите своја варијанта на лозинка, но на следниов линк постои програмче кое генерира силна лозинка за вас Secure Password Generator.

 

Користете двојна автентификација (препознавање)

 

Дури и со силна лозинка и корисничко име, безмилосни силни напади се проблем на многу сајтови. Овде може да помогне дојното препознавање. Тоа додава уште еден чекор при процесот на најава, принудувајќи ги корисниците да употребат код испратен на нивните мобилни телефони покрај вообичаените најавувачки детаљи. Ова  може да ги одбие автоматските нападите и да го осигура вашиот сајт да не стане жртва на хакери.

Плагините и темите како што се iThemes Security може да имплементираат двојно препознавање. Истотака постојат бесплатни плагини како што се Two Factor Authentication кои може да додадат уште едно ниво на сигурност на вашиот сајт.

 

Ограничете го бројот на најави

 

По дифолт, можете да се најавите на вашата WordPress сметка онолку пати колку што сакате. Ова може да ви одговара ако сте заборавни и не успевате од прва да погодите, па дури ни од трет пат, но тоа исто така им одговара на хакерите кои превземаат силни напади и им овозможува неброено пати да се обидуваат да ви ја погодат комбинацијата на лозинка и корисничко име. Тоа лесно може да се среди со ограничување на бројот на погрешни обиди што корисникот може да си ги дозволи на својот сајт. Бесплатните плагини како што се  WP Limit Login Attempts ви овозможуваат да го ограничите бројот на погрешни обиди и привремено да блокирате IP адреси.

 

Инсталирајте SSL сертификат

 

Инсталирањето на SSL сертификат е неопходна постапка, особено ако имате електронска комерцијална продавница Тоа не само што ќе им отежни на хакерите да пресретнат важни приватни информации меѓу прелистувачот на корисникот и вашиот сервер, а и Google сега инсистира на тоа сајтовите да имаат ваков сертификат.

Почнувајќи од јули 2018 со пуштањето на Chrome 68, веб страниците кои се поставуваат без HTTPS ќе бидат означени како несигурни. Тоа значи корисниците кои се обидуваат да пристапат кон сајтови без SSL сертификат ќе добијат предупредување дека сајтот не е сигурен.

Оваа информација е многу важна според Cloudflare, бидејќи повеќе од половина од веб посетителите ќе ги видат овие предупредувања.

 

Променете го префиксот на датабазата

 

По дифолт WordPress користи wp_ како префикс за сите табели во својата датабаза на сајтот. Тоа значи дека ако го користите пропишаниот префикс, што е вообичаена пракса кај WordPress, хакерите можат лесно да погодат како е именувана вашата табела, така правејќи ја неотпорна на т.н. SQL инекции (вбризгувања на штетни кодови).

Едноставен начин како да се промени ова е со промена на префиксот во називот со случајна комбинација на симболи и букви, како на пример 5jiqtu69dg користејќи генератор на такви називи random string generator. За да ги освежите префиксите во вашата табела, отворете го фајлот  wp-config.php во базата на директориум со фајлови од вашиот сајт и најдете ја оваа равенка:

 

$table_prefix  = 'wp_';

Користејќи го примерот што ви го даваме, заменете ја таа равенка вака:

 

$table_prefix  = '5jiqtu69dg_';

 

Следно што треба да направите е да го смените префиксот што се користи во вашата датабаза. Сигурносните плагини како што се  iThemes Security можат да ви помогнат да го сторите тоа брзо и лесно, може да научите како тоа да го направите и само на овој линк learn how to do it manually via phpMyAdmin here.

 

Заштитете ги wp-config.php и .htaccess фајловите

 

Фајлот од типот wp-config.php што обично се наоѓа во основниот (системски) фолдер на вашиот сајт, содржи многу битни информации за инсталацијата на вашиот WordPress, вклучувајќи ги името, домаќинот (хостот) корисничкото име и лозинката на важата датотека. Додека пак .htaccess е скриен фајл што ја регулира конфигурацијата на ниво на серверски директориуми, овозможува многу пермалинкови, и овозможува префрлање од една во друга насока (редирект).

Лесно е да се оневозможи пристап до овие важни фајлови. Едноставно додајте го следново на вашиот .htaccess фајл за да го заштитите wp-config.php:

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Или, можете едноставно да го преместите  wp-config.php фајл еден директориум повисоко и WordPress ќе го побара автоматски таму automatically look for it there.

За да нема неовластен пристап до фајлот .htaccess, се што треба да сторите е да го промените името на фајлот вака во кодот:

 

<Files .htaccess>

order allow,deny

deny from all

</Files>

Додадете сигурносни клучеви (варијабили)

 

WordPress сигурносните клучеви и крипто податоци ги шифрираат информациите сместени во колачињата на прелистувачот, заштитувајќи ги другите важни информации. Постојат вкупно четири сигурносни клучевиAUTH_KEYSECURE_AUTH_KEYLOGGED_IN_KEY, and NONCE_KEY.

Овие клучеви за потврда на автентичност се базираат на комбинација од случајни варијабили што го отежнуваат откривањето на лозинките. Ако лозинката не е шифрирана, и ако користите збор како “wordpress” и слично, тоа не бара многу напор од напаѓачите да ја разбијат. Но долга и невообичаена комбинација на знаци во склоп на лозинката е многу потешко да се открие, налик на следнава

“L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye”

Додавањето на сигурносните клучеви и крипто податоци е лесно и се изведува рачно. Еве како да го сторите тоа:

  1. Добијте нова комбинација на сигурносните клучеви и крипто податоци што може да го генерирате на следниов линк  generate them here.
  2. Потоа, ажурирајте го вашиот wp-config.php фајл. Отворете го фајлот и лизгајте (прелистувајте) надолу сѐ додека не дојдете до ова илустрирано подолу и променете ги старите вредности на  вашите клучеви и криптирани податоци со нови:
/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY', 'add unique variables here');
define('SECURE_AUTH_KEY', 'add unique variables here');
define('LOGGED_IN_KEY', 'add unique variables here');
define('NONCE_KEY', 'add unique variables here');
define('AUTH_SALT', 'add unique variables here');
define('SECURE_AUTH_SALT', 'add unique variables here');
define('LOGGED_IN_SALT', 'add unique variables here');
define('NONCE_SALT', 'add unique variables here');

/**#@-*/

3. Запаметете го вашиот wp-config.php фајл.   Ќе бидете автоматски одлогирани од вашиот  WordPress сајт и ќе треба одново да се најавите.

Оневозможете едитирање на фајловите

 

WordPress има внатрешен код за фајловите од типот плагини и теми. Ова е корисно за администраторите кои сакаат брзи промени на фајловите, но тоа значи и хакерите и корисници со повисоко ниво на знаење можат тоа да го прават. Оваа карактеристика можете да ја најдете ако одите во Изглед/едитор  (Appearance > Editor) на вашиот WordPress admin.

Можете да го оневозможите едитирањето на вашиот wp-config.php фајл, само отворете го и додадете ја оваа линија со код:

 

define('DISALLOW_FILE_EDIT', true);

 

И понатаму ќе можете да ги едитирате фајловите од типот плагин и теми преку FTP или cPanel, само не во WordPress admin.

 

Оневозможете фајловите од типот PHP да бидат активирани (извршени)

 

Обично хакерите влегуваат во фајлот wp-content/uploads на WordPress како вообичаено место за вметнување штетен софтвер, но и во wp-includes/. За да не бидат извршени фајловите во овие фолдери, направете нов текст фајл во некој текст едитор програм и направете копи паст на овој код:

 

<Files *.php>

deny from all

</Files>

 

Потоа, меморирајте го фајлот како .htaccess и аплоудирајте го во двата фолдери и во /wp-content/uploads и во wp-includes/  преку FTP или cPanel.

 

Оневозможете ги селективно апликациите XML-RPC

 

XML-RPC,или XML Remote Procedure Call, е апликација (API) што помага да се поврзат веб апликациите и оние од мобилниот телефон со вашиот WordPress 3.5, но откриено е дека во голема мера ги зголемуваат нападите врз сајтот  significantly amplify brute force attacks.

На пример, кога хакерот би сакал да испроба 500 различни лозинки на вашиот сајт обично треба да се обиде да се најават 500 пати. Но со XML-RPC, хакерот може да ја употреби функцијата system.multicall пробувајќи голем број на можни лозинки и кориснички имиња со само едно  HTTP барање.

Лесно е едноставно да се оневозможи оваа карактеристика за целиот ваш сајт, ама тоа значи дека ќе се изгуби функционалноста на плагините, како на пример на Jetpack. Наместо тоа, најдобро е да бидете селективни во начинот на кој го користите и оневозможувате XML-RPC со користење на специјално дизајнирани плагини specially designed plugins.

 

Bonus: Најдобрите WordPress плагини за сигурност

 

Со инсталирањето на сигурносни плагини security plugin на вашиот WordPress сајт, се додава уште една одбрамбена линија наспроти можните напади. Тие нудат  широк асортиман на карактеристики за да се помогне да се заштити вашиот сајт,  вклучувајќи и скенирање на сајтот, и може да ве известуваат кога е пробиена одбраната.

Ова се трите најдобро рангирани плагини:

 

WordFence сигурносен плагин

 

WordFence е особено популарен а бесплатен сигурносен плагин со над 2+ милиони активни инсталации и достапна премиум верзија.  Ја содржи “Threat Defense Feed” (механизам за одбрана од опасности) што ги вметнува најновите правила на firewall, препознатлив ракопис на штетниот софтвер и опасни IP адреси, грижејќи се за вашиот сајт.

Веб апликација со функција на firewall го препознава и блокира штетниот нет сообраќај/трансвер,  додека IP црната листа во реално време ги блокира сите барања од штетни IP адреси,штитејќи го вашиот сајт додека во исто време го намалува неговото оптеретување.  Овој плагин штити од многу силни напади со лимитирање на обидите за логирање, со наметнување на користење силни лозинки, и други сигурносни мерки при логирање.  Ако пронајде некаков вирус на сајтот, ќе ве извести со меил. Вие истотака можете паралелно  да го проверувате сообраќајот на вашиот сајт во реално време за да проверите да не е нападнат.

 

iThemes Security (Сигурност на интернет темите)

 

Бесплатната верзија на iThemes заштитата помага да се заклучи (ограничи) WordPress, да се поправат вообичаените места на продор при напад, да се зајакне репутацијата на корисникот, а про верзијата ги содржи скоро сите можни сигурносни мерки што би ви биле потребни.

Се користи двојна аувтентификација (препознавање), се прави распоред за сканирање на навлезен штетен софтвер, и се прати логирањето на корисникот за да се види кога тој ја едитира содржината, кога се најавува, а кога одјавува. Може да ги ажурирате сигурносните клучеви и да нагодите кога лозинката би престанала да важи, и да додадете Google reCAPTCHA на својот сајт. 

Другите карактеристики вклучуваат онлајн споредување на фајловите, WP-CLI интеграција, и привремено зголемување на привилегии на пристап за да некому дадете привремена администраторска или уредничка улога на вашиот сајт

Хостинг