Da biste poboljšali bezbednost svog WordPress sajta, potrebno je uvažiti određene smernice...
Kao i kod svake web aplikacije, na prvom mestu je veoma važno da uvek redovno ažurirate verziju WordPress-a, kao i svih tema i dodataka koje postoje u okviru sajta. Svaki dodatak ili temu koje se ne koriste na sajtu treba obavezno obrisati sa servera, jer dodaci i teme koji nisu u upotrebi takođe pretstavljaju bezbednosni rizik za vaš sajt i hosting nalog i takođe u nekim slučajevima mogu biti zloupotrebljeni čak i ako nisu aktivirani u samoj aplikaciji. Svako i najmanje odlaganje ovih nadogradnji značajno povećava rizik od mogućeg hakovanja sajta i zloupotrebe hosting naloga.
Ako WP instalirate preko našeg Installatrona, u prvom koraku instalacije obavezno promenite korisničko ime administratora iz podrazumevanog “admin” u nešto drugo. Ukoliko ste već ranije na taj način instalirali WP, ali tom prilikom niste promenili "admin" korisničko ime, uđite sada ponovo u Installatron i u detaljima te WP aplikacije (view/edit details > attributes > edit these values) izmenite korisničko ime administratorskog naloga.
Ako ste WordPress instalirali manuelno, ulogujte se u administratorski panel (/wp-admin) i u delu “Users” izaberite “Add New”, popunite podatke i za “Role” izaberite Administrator. Nakon toga se izlogujte i ulogujte sa podacima tog novog administratorskog naloga, a onda u “Users” sekciji obrišite korisnika “admin”.
Da biste sajt zaštitili od brute-force i drugih napada, možete koristiti plugin "iThemes Security" (Better WordPress Security), a možete ga preuzeti na sledećoj adresi... http://wordpress.org/extend/plugins/better-wp-security/
Podrazumeva se da uvek treba koristiti "jaku" lozinku za svaki WP nalog, a više o tome možete pročitati u sledećem članku: https://helpdesk.dreamweb.rs/sr/baza-znanja/article/bezbednost/kreiranje-bezbedne-lozinke
Potrebno je da atributi na svim fajlovima budu podešeni najviše na 644 (rw-r-r), odnosno na direktorijumima najviše 755 (rwx-rx-rx).
Atributi konfiguracionog fajla Wordpress-a wp-config.php, mogu biti podešeni na 600 čime bi bio potpuno zaštićen od čitanja od strane drugih korisnika na serveru. Na našim serverima su nalozi korisnika potpuno izolovani, pa ovo i nije neophodno, ali svakako ne može da škodi, dok kod nekih drugih provajdera može biti i veoma bitno.
Zavisno od metoda instalacije WordPress-a, na serveru je moguće da još postoji fajl install.php u folderu wp-admin. Obrišite ga jer bi mogao da pretstavlja sigurnosni propust.
Ukoliko na svom sajtu nemate potrebu za otvorenom registracijom novih korisnika, opciju “Anyone can register” obavezno isključite na strani “Settings -> General”.
Nikada ne ostavljate arhiviranu verziju sajta ili sql dump (backup) baze u javno dostupnom web direktorijumu.
