Безбедноста на WordPress страница не е случајност, туку резултат на добра конфигурација, дисциплина во управување и оптимална инфраструктура. Ако вашата веб-страница е хостирана на LiteSpeed сервер (како што нуди GoHost.mk), имате предност – овој веб-сервер нуди подобра перформанса и одлична поддршка за заштитни мерки преку .htaccess и специфични функционалности.
Овој водич ќе ви помогне да имплементирате најдобрите практики за харденирање – од фајлови и серверски правила, до приклучоци и автоматизирана заштита.
1. АЖУРИРАЊА СЕ НАЈВИСОК ПРИОРИТЕТ
- Ажурирајте го WordPress core, темите и приклучоците веднаш штом има нова верзија.
- Избегнувајте напуштени приклучоци (plugins) и теми со повеќе од 6 месеци без ажурирање.
2. СИЛНИ ЛОЗИНКИ И ДВОФАКТОРСКА АВТЕНТИКАЦИЈА (2FA)
- Користете лозинки од 12+ карактери (букви, броеви, симболи).
- Инсталирајте приклучок како WP 2FA или Wordfence Login Security за двофакторска заштита.
3. LITESPEED SECURITY HEADERS ПРЕКУ .HTACCESS
Додадете ги следниве HTTP заглавја во .htaccess:
# HTTP SECURITY HEADERS Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "SAMEORIGIN" Header set X-XSS-Protection "1; mode=block" Header set Referrer-Policy "no-referrer-when-downgrade" Header set Content-Security-Policy "default-src 'self'; script-src 'self';"
LiteSpeed автоматски ги поддржува овие заглавја. Тие спречуваат XSS, clickjacking и MIME sniffing.
4. ЗАШТИТА НА WP-CONFIG.PHP
Во .htaccess, блокирајте пристап до wp-config.php:
order allow,deny deny from all
Додатно, преместете го wp-config.php едно ниво над public_html.
5. ДЕАКТИВИРАЈТЕ FILE EDITOR ВО АДМИН ПАНЕЛОТ
Во wp-config.php додадете:
define('DISALLOW_FILE_EDIT', true);
6. ДЕАКТИВИРАЈТЕ XML-RPC (АКО НЕ ГО КОРИСТИТЕ)
order deny,allow deny from all
Или користете приклучок: Disable XML-RPC
7. ОГРАНИЧЕТЕ ДОСТАП ДО WP-LOGIN.PHP СО IP WHITELIST
Order Deny,Allow Deny from all Allow from YOUR.IP.ADDRESS.HERE
За поголеми тимови, користете 2FA наместо IP ограничување.
8. ОГРАНИЧУВАЊЕ НА ОБИДИ ЗА НАЈАВА
Користете приклучок:
- Limit Login Attempts Reloaded
- Или Wordfence – кој вклучува login protection + firewall
9. ИНСТАЛИРАЈТЕ LITESPEED CACHE ЗА СИГУРНОСТ + ПЕРФОРМАНС
LiteSpeed Cache не е само кеш приклучок – содржи и:
- Anti-DDoS механизми
- Object cache, image optimization, CDN интеграција
- Brute-force заштита на login
Активирајте го преку GoHost.mk и оптимизирајте ја целата инфраструктура.
10. WORDPRESS FIREWALL И АНТИВИРУС
Инсталирајте еден од следниве:
- Wordfence – најкомплетно решение (free & premium)
- iThemes Security – лесен за користење
- MalCare – одличен за автоматски clean-up
11. СКЕНИРАЊЕ НА СЕРВЕРСКО НИВО СО IMUNIFYAV
Доколку користите GoHost.mk хостинг со cPanel, ImunifyAV од контролниот панел:
- Скенира вируси, backdoor скрипти, shell access обиди
- Може автоматски да чисти заразени датотеки (ImunifyAV+)
12. HTTPS Е ЗАДОЛЖИТЕЛЕН
Во .htaccess додадете пренасочување:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
SSL сертификатите се бесплатни преку Let's Encrypt (вклучени во GoHost.mk хостинг).
13. ДЕИНСТАЛИРАЈТЕ НЕПОТРЕБНИ ПРИКЛУЧОЦИ И ТЕМИ
Секој неактивен приклучок е потенцијална ранливост.
- Избришете ги сите теми освен активната и една резервна (на пр. Twenty Twenty-Four).
На GoHost.mk, голем дел од „основната“ заштита веќе доаѓа од инфраструктурата (LiteSpeed веб-сервер, CloudLinux изолација, backup систем и други серверски контроли – зависно од пакет). Затоа овој водич е фокусиран на она што реално најчесто е причина за инциденти: компромитиран cPanel/е-пошта, слаб админ пристап, ризични plugins, погрешни дозволи и небезбедни патеки во WordPress.
1) Прво правило: заштити го cPanel акаунтот (ова е „master key“)
1.1 Силна лозинка + 2FA (ако е достапно)
Ако некој влезе во cPanel, може да менува фајлови, бази, e-mail, DNS и backups. Затоа: лозинка 12–16+ карактери и 2FA каде што е овозможено.
Патека (ако ја имаш): cPanel → Two-Factor Authentication.
1.2 Забрани „споделување“ на пристап и користи најмал потребен пристап
Не праќај лозинки по Viber/FB. За работа со девелопер/агенција: користи привремен пристап, ограничен на потребното (пример: само WordPress админ, не cPanel), и по завршување веднаш смени лозинки.
1.3 FTP/SSH хигиена
Користи SFTP/SSH ако е вклучено, избегнувај „стари“ FTP клиенти и оставени акаунти. Избриши непотребни FTP акаунти и редовно ротирај лозинки.
2) E-mail безбедност (најчест реален влез за WordPress компромитација)
2.1 Админ e-mail за WordPress мора да е максимално заштитен
Password reset линковите одат таму. Ако е-поштата е компромитирана, WordPress паѓа без „хак“ на сервер. Вклучи 2FA на mail провајдерот, не користи истата лозинка на други сервиси и внимавај на phishing.
2.2 cPanel Mail: не оставај стари уреди/клиенти со зачувана лозинка
По било каков сомнеж: смени лозинка на mailbox, одјави ги уредите и провери “Forwarders/Filters” да не има скриено препраќање.
3) Backups: професионален минимум (и како да знаеш дека навистина си сигурен)
3.1 Backup не е „опција“, туку безбедносна контрола
На GoHost.mk обично имаш backup систем (пример JetBackup – според пакет). Професионално правило: не е доволно да постои backup — мора да има тест restore и јасен период на задршка (14–30 дена, според важноста).
3.2 Практичен процес
1) Пред update: направи backup/restore point • 2) По update: проверка на фронт и админ • 3) Месечно: тест restore на staging/друга локација (ако имаш).
4) WordPress „access control“ (најголем ROI за безбедност)
4.1 2FA за сите админи (задолжително)
Ова е најбрзата и најсилната мерка против компромитирани лозинки. Препорака: WP 2FA или Wordfence Login Security.
4.2 Минимизирај админи и исклучи непотребни корисници
Нека има 1–2 админи максимум. За содржина користи Editor/Author. Избриши „test“ корисници.
5) wp-config.php: „production mode“ (реално hardening)
5.1 Исклучи уредување од WP админ
/* wp-config.php */
define('DISALLOW_FILE_EDIT', true);
5.2 (Опционално) Исклучи инсталации/updates од WP панел
Ова е професионална мерка за продукција ако update-ите ги правиш контролирано (преку технички процес). Ако самиот клиент редовно инсталира plugins од панел, не ја користи оваа опција.
/* wp-config.php (optional, production) */
define('DISALLOW_FILE_MODS', true);
6) .htaccess за LiteSpeed (само прецизни правила што не прават хаос)
6.1 Блокирај директен пристап до чувствителни фајлови
<FilesMatch "^(wp-config\.php|readme\.html|license\.txt)$">
Require all denied
</FilesMatch>
6.2 Забрани PHP во uploads (најважно против webshell)
Креирај .htaccess во: /wp-content/uploads/
<FilesMatch "\.(php|phtml|php3|php4|php5|php7|phps)$">
Require all denied
</FilesMatch>
Options -Indexes
6.3 XML-RPC: исклучи ако не го користиш
Ако не користиш Jetpack/стари интеграции, ова го намалува нападниот простор.
<Files "xmlrpc.php">
Require all denied
</Files>
6.4 Security headers (само ако веќе не се поставени серверски)
На managed хостинг често дел од овие headers се веќе активни. Ако не се, ова е „safe baseline“ што ретко крши функционалност.
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
</IfModule>
6.5 Форсирај HTTPS (ако веќе не е решено)
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
7) Дозволи (permissions): тивка мерка што спречува масовни инфекции
7.1 Практичен минимум
Фолдери: 755 • Фајлови: 644 • wp-config.php: 600/640 (ако е дозволено). Никогаш 777.
7.2 cPanel практика
Ако нешто бара 777 за да работи — тоа е аларм. Решението е корекција на ownership/конфигурација, не „отворени“ дозволи.
8) Plugins: професионално правило — еден главен security пакет, не 3 што се судираат
8.1 Препорачана конфигурација за GoHost.mk сценарио
Бидејќи серверот веќе има WAF/защитни слоеви (зависно од пакет), во WordPress најчесто ти треба: 2FA, brute-force лимит и file integrity monitoring. Практичен избор: Wordfence (или само Wordfence Login Security + друг scanner), но избегнувај да мешаш повеќе firewall plugins истовремено.
9) ImunifyAV/Server scan (ако е вклучено во пакетот)
9.1 Кога има смисла
Ако имаш сомнеж за инфекција (непознати фајлови, редиректи, “unknown admin”, warnings), направи серверско скенирање од cPanel (ако е достапно во твојот пакет) и паралелно WP scan.
10) „Pro Checklist“ за GoHost.mk cPanel корисник (брзо, без аматеризам)
10.1 Access
cPanel лозинка силна • 2FA каде што е достапно • админ e-mail со 2FA • минимален број WP админи • 2FA во WordPress.
10.2 Hardening
DISALLOW_FILE_EDIT • uploads PHP блокирано • xmlrpc блокирано ако не се користи • без 777 permissions.
10.3 Operations
Неделни controlled updates • backup пред промени • периодичен test-restore • мониторинг на “нови админи” и промени во фајлови.
Заклучок
На GoHost.mk инфраструктурата веќе носи силна основа. Професионалниот резултат се добива кога cPanel акаунтот, е-поштата и WordPress пристапот се под строга контрола, а WordPress е „production-hardened“ со минимален write-access и прецизни правила во .htaccess. Така не добиваш само „заштитен сајт“, туку систем што е управлив, проверлив и стабилен во продукција.
