Zaštitita WordPress Bloga

WordPress trenutno je vrlo popularano CMS rešenje i kao takav obično je na udaru raznih sumnjivih lica. Nije na odmet poduzeti i neke dodatne korake kako bi dodatno poboljšali sigurnost. Internet kao mreža u sebi sadrži niz opasnosti koje ostavljaju korisnika dostupnog za napade od strane lamera i tzv. Hakera. Nemoguće je da sprečite sve oblike napada na vaš sajt, ali postoji par stvari koje možete preduzeti da im “otežate posao” ili čak da većinu “nasilnika” odbijete.





Instalacija



Promenite prefikse tabla Podrazumevano ime tabela je WP_ promenite u nesto drugo npr. a12p_



Username i password



Ne koristite korisnička imena tipa: “root“,”admin“, “Administrator” i slične.

Koristite komplikovanije lozinke sa simbolima tipa: #”!~&@ i sl.


CHMOD Permissions – Dozvole foldera i fajlova (posle instalacije)



  • Folderi – 755
  • Fajlovi – 644
  • .htaccess – 644
  • WP-config.php – 644


Koristite Robots.txt da blokirate pristup botovima.




User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/


Koristite .htaccess fajl da zaštitite WordPress Blog




Otvorite vaš htaccess fajl i dodajte sledeće da se zaštitite od script injections:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|<).*script.*(\>|>) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]


Zaštitite wp-config.php



order allow,deny
deny from all


Zaštitite .htaccess



order allow,deny
deny from all


Kreirajte nov htaccess fajl i u njega upišite

Options -Indexes


Taj htaccess kopirajte u ostale foldere (wp-content, wp-includes, uploads…) Da zabranite pregledanje foldera na hostu kao FTP, ukoliko izlistaju folder sa pluginovima, mogu pronaći exploit da vas hakuju preko određenog plugina.

Osigurajte WP-Admin


Opcije:
Instalirajte AskApache Password – Enkriptuje lozinku koja je zapisana u .htpasswd. I blokira pristup wp-admin folderu bez korisničkog imena i lozinke.
Zaštitite WP-Admin folder iz cpanela, izaberete opciju Password Protect Directories, i izaberete wp-admin folder i postavite korisničko ime i lozinku.
Ograničite broj pogrešnih prijava, tj. broj pokušaja pristupu WP-Admin, npr. pluginom Login LockDown

Zabranite izmene fajlova dodavanjem u wp-config.php sledećih linija:


define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);


U .htaccess fajlu u wp-admin folderu dodajte



Order allow,deny
Allow from all
Satisfy any


Još par saveta za sigurnost:
Promenite naziv ili obrišite install.php Redovno vršite update WordPress-a i Pluginova. Redovno backup-ujte blog.

Izvori: WordPress.org & dobri stari čika Google
, ,