WordPress varnost (1. del) – Redne posodobitve

WordPress je najbolj popularna CMS platforma na spletu, saj poganja kar 24% vseh spletnih strani in je zaradi tega priljubljena izbira za napadalce spletnih strani. V veliki meri lastniki WordPress strani ali blogov ne skrbijo za varnost in posodabljanje vtičnikov, tem in različice WordPress-a. Posledica tega so vdori v spletne strani, ki se lahko kažejo kot pošiljanje vsiljene pošte iz vaše spletne strani, prenehanju delovanja spletne strani, … Zaradi pošiljanja SPAM sporočil preko vaše spletne strani lahko vaš IP naslov konča na blacklistah vseh večjih ponudnikov internetnih in e-poštnih storitev, kar  pomeni, da vaše e-pošte prejmeniki ne bodo prejemali.

V seriji prispevkov bomo poizkusili zapisati nekaj nasvetov, ki bodo izboljšali varnost vaše WordPress spletne strani. V prvem delu bomo pogledali nekaj bolj osnovnih ukrepov, v nadaljevanju pa bolj napredne nastavitve za izboljšanje varnosti.

Posodabljanje vtičnikov in tem

Glede na raziskavo, ki so jo opravili pri WP White Security, so za več kot 50% vseh vdorov krive neposodobljene teme oziroma vtičniki. Napadalci lahko vstavijo eval base 64 decode kodo, katera jim omogoča zaganjanje PHP skript na vašem spletnem gostovanju.

Redno posodabljanje vtičnikov je torej ključnega pomena pri zagotavljanju varnosti WordPress-a. Posodobitve lahko izdelujete ročno nekajkrat mesečno, lahko pa uporabite tudi vtičnik za avtomatsko posodabljanje.

Avtomatske posodobitve vtičnikov.

Za posodabljanje tem obstaja avtomatizirana rešitev samo za teme, ki so naložene na WordPress repozitorij. Za aktivacijo samodejnih posodobitev je potrebno dodati eno vrstico kode v datoteko wp-config.php. Datoteko najdete v mapi, kjer je nameščen WordPress.

add_filter( 'auto_update_theme', '__return_true' );

Vklop avtomatskih posodobitev WP tem.

Posodabljanje WordPress-a

Vsaka nova različica WordPress-a vsebuje varnostne popravke za napake, ki jih vsebujejo predhodne različice. Od različice 3.7 naprej se kritične varnostne posodobitve izvajajo samodejno, lahko pa si jih vklopite tudi za jedro WordPress-a. S tem poskrbimo, da nikoli ne zamujamo s posodobitvami, vendar to ni primerno prav za vse spletne strani. V primeru, da ste spreminjali samo jedro WordPress-a vam lahko avtomatske posodobitve uničijo določeno funkcionalnost ali pa celo povzročijo nedelovanje celotne strani. Dodatna pozornost je potrebna tudi pri temah in vtičnikih, ki jih razvijalci ne posodabljajo redno in lahko pride do konflikta med vtičnikom in novo različico WordPress-a.

V kolikor menite, da avtomatske posodobitve ne bodo škodovale vaši spletni strani, jih lahko vklopite tako, da dodate spodnjo vrstico kode v datoteko wp-config.php.

define( 'WP_AUTO_UPDATE_CORE', true );

Avtomatsko posodabljanje jedra WordPress-a.

Povzetek

Posodabljanje WordPressa, tem in vtičnikov je ključnega pomena pri zagotavljanju varnosti vaše spletne strani in podatkov. S pomočjo prej omenjenih nasvetov boste sami najlažje ugotovili, katere nastavitve vam najbolj ustrezajo. V naslednjem prispevku si bomo ogledali kako pomembno je, da ne uporabljate privzetega uporabniškega administratorskega imena admin in kako ga lahko spremenimo na obstoječi spletni strani ali blogu.

Seznam vseh prispevkov o WordPress varnosti:

5.0
05

Komentiranje prispevka

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja