WordPress varnost (1. del) – Redne posodobitve
WordPress je najbolj popularna CMS platforma na spletu, saj poganja kar 24% vseh spletnih strani in je zaradi tega priljubljena izbira za napadalce spletnih strani. V veliki meri lastniki WordPress strani ali blogov ne skrbijo za varnost in posodabljanje vtičnikov, tem in različice WordPress-a. Posledica tega so vdori v spletne strani, ki se lahko kažejo kot pošiljanje vsiljene pošte iz vaše spletne strani, prenehanju delovanja spletne strani, … Zaradi pošiljanja SPAM sporočil preko vaše spletne strani lahko vaš IP naslov konča na blacklistah vseh večjih ponudnikov internetnih in e-poštnih storitev, kar pomeni, da vaše e-pošte prejmeniki ne bodo prejemali.
V seriji prispevkov bomo poizkusili zapisati nekaj nasvetov, ki bodo izboljšali varnost vaše WordPress spletne strani. V prvem delu bomo pogledali nekaj bolj osnovnih ukrepov, v nadaljevanju pa bolj napredne nastavitve za izboljšanje varnosti.
Posodabljanje vtičnikov in tem
Glede na raziskavo, ki so jo opravili pri WP White Security, so za več kot 50% vseh vdorov krive neposodobljene teme oziroma vtičniki. Napadalci lahko vstavijo eval base 64 decode kodo, katera jim omogoča zaganjanje PHP skript na vašem spletnem gostovanju.
Redno posodabljanje vtičnikov je torej ključnega pomena pri zagotavljanju varnosti WordPress-a. Posodobitve lahko izdelujete ročno nekajkrat mesečno, lahko pa uporabite tudi vtičnik za avtomatsko posodabljanje.
Za posodabljanje tem obstaja avtomatizirana rešitev samo za teme, ki so naložene na WordPress repozitorij. Za aktivacijo samodejnih posodobitev je potrebno dodati eno vrstico kode v datoteko wp-config.php. Datoteko najdete v mapi, kjer je nameščen WordPress.
add_filter( 'auto_update_theme', '__return_true' );
Posodabljanje WordPress-a
Vsaka nova različica WordPress-a vsebuje varnostne popravke za napake, ki jih vsebujejo predhodne različice. Od različice 3.7 naprej se kritične varnostne posodobitve izvajajo samodejno, lahko pa si jih vklopite tudi za jedro WordPress-a. S tem poskrbimo, da nikoli ne zamujamo s posodobitvami, vendar to ni primerno prav za vse spletne strani. V primeru, da ste spreminjali samo jedro WordPress-a vam lahko avtomatske posodobitve uničijo določeno funkcionalnost ali pa celo povzročijo nedelovanje celotne strani. Dodatna pozornost je potrebna tudi pri temah in vtičnikih, ki jih razvijalci ne posodabljajo redno in lahko pride do konflikta med vtičnikom in novo različico WordPress-a.
V kolikor menite, da avtomatske posodobitve ne bodo škodovale vaši spletni strani, jih lahko vklopite tako, da dodate spodnjo vrstico kode v datoteko wp-config.php.
define( 'WP_AUTO_UPDATE_CORE', true );
Povzetek
Posodabljanje WordPressa, tem in vtičnikov je ključnega pomena pri zagotavljanju varnosti vaše spletne strani in podatkov. S pomočjo prej omenjenih nasvetov boste sami najlažje ugotovili, katere nastavitve vam najbolj ustrezajo. V naslednjem prispevku si bomo ogledali kako pomembno je, da ne uporabljate privzetega uporabniškega administratorskega imena admin in kako ga lahko spremenimo na obstoječi spletni strani ali blogu.
Seznam vseh prispevkov o WordPress varnosti:
-
Google reCAPTCHA in zaščita WordPress spletnih obrazcev
Se tudi vam dogaja, da na e-poštni naslov svoje spletne strani vsakodnevno dobivate veliko -
WordPress varnost (2. del) – Močni prijavni podatki
Napadalci spletnih strani za napad z ugibanjem gesel (bruteforce attack) najprej preverijo uporabniško ime