Jump to content


Photo

Kako da zastitim wordpress pre nego sto me hakuju

Kako da zastitim wordpress how to protect wordpress wordpress hack hakovan sajt bezbednost wordpress odrzavanje sajta bezbedan wordpress hosting

  • Please log in to reply
5 replies to this topic

#1 view

view

    Željko Paunović

  • Administrators
  • 175 posts
  • Locationindjija

Posted 30 January 2013 - 02:10 PM

Po mom misljenju Wordpress je nesto malo bezbedniji sistem od joomle ali u susitni sve se to svodi na isto ako vas sajt ne odrzavate redovnp o ne preduzimate minimalne sigurnosne mere.Na bezbednosti vaseg wordpress sajta morate sami raditi i u vecini slucajeva sami ste krivi ako vas sajt bude oboren jer podesavanja servera i hosting provajder ne mogu da sprece jednostavna cak ni jednostavne nacine hakovanja ukoliko se administrator sajta ne pridrzava bar minimalnih mera bezbednosti.

 

 

Za pocetak preporucujemo vam da aktivarate besplatnu verziju Incapsula managera u vasem cpanel nalogu u sekciji Advanced.Vise o incapsuli mozete procitati OVDE

 

Minimalne mere bezbednosti vaseg wordpress sajta su:

 

Prvo i osnovno,neophodno je da radite redovan backup vaseg sajta.Mozete manuelno prekpirati fajlove iz public_html foldera u File Manager-u i u PhpMyAdmin izvrsiti export baze podataka.Naravno postoje i dodatni pluginovi i opcije za backup kao sto je npr.

 

WP-DBManager

Wponlinebackup

WordPress Backup to Dropbox

Online Backup For WordPress

myEASYbackup

 

 

Ukoliko vas mrzi da radite redovan backup kontaktirajte nas putem Support ticket-a i mi cemo vam obezbediti dnevni ili cak satni backup vaseg sajta na izdvojeni server uz veoma malu mesecnu nadoknadu.

 

Uverite se da je vas racunar bezbedan

Na ovaj problem retko kad prvo pomislimo ali u velikom broju slucajeva sami administratori na svom racunaru imaju razne viruse i key loggere koji omogucavaju hakeru da dodju do dragocenih informacija pomocu kojih mogu da vas hakuju.Postoji veliki broj ani virus i anti malware software koje je neophodno da drzite redovno updejtovane i po mogucnosti da to budu premium placene licence jer su mnogo bolje i stabilnije nego krekovane pa cak je bolje i koristiti neku free verziju nego krekovanu.

 

UPDATE,UPDATE,UPDATE,UPDATE,UPDATE

Neophodno je da redovno updejtujete vas wordpress kao i pluginove i teme.Skoro nista ne vredi da updejtujete wordpress a da pluginovi i teme ne updejtujete jer vecina hakerskih napada upravo dolazi preko starih i nesigurnih wordpress pluginova i tema.

 

Updejtovi su vrlo cesti i neophodno je pratiti i redovno updejtovati sve na vasem sajtu.U updejtovima se cesto nalaze zakrpe za sigurnosne probleme.Svaki updejt ima svoj changelog ili dokumentaciju u kojoj pise koji su sigurnosni problemi popravljeni i sta je sve izmenjeno.Koliko vama pomaze taj change log ili dokumentacija toliko i hakerima jer se oni u toj dokumentaciji informisu koji sigurnosni problemi su reseni u najnovijoj verziji i tako dobiju sve informacije na dlanu koje sigurnosne probleme ima starija verzija wordpressa ili nekog plugina/teme e zato je neophodno da svakodnevno proveravate da li ima novih updejtova i cim se pojavi oibavestenje u vasem dashboard-u da odmah izvrsite updejt koji se u ceini slucajeva zavrsava uz dva-tri klika misem.

 

 

Pratite najsvezija obavestenja sa wordpress zvanicnog web sajta OVDE

 

Obrisite sve teme i pluginove koji vam nisu neophodni

Obavezno obrisite default wordpress temu ukoliko je ne koristite.Ona predstavlja veliki sigurnosni problem zbog svoje jednostavnosti pa cak i ako nije aktivirana u vasem dashboard-u.Takodje ukoliko ste nekad instalirali neke pluginove i teme na probni period ili ukoliko vise ne koristite neki plugin obavezno ga obrisite pa cak i ako ste ga deaktivirali u vasem dashbouard-u on moze napraviti sigurnosne probleme,dakle neophodno je u potpunoisti obrisati nepotrebne fajlove.Tekst o problemu deaktiviranih tema procitajte OVDE

 

Koristite jake lozinke,mozete iskoristiti PASSWORD ONLINE GENERATOR

Lozinke nikako ne smete da cuvate u vasem browseru i da pravite auto login u vasem browseru

 

Aktivirajte opciju Password protection directory za wordpress administratorski folder u vasem cPanel nalogu

Na ovaj nacin cete imati duplu zastitu logovanjem u administratorski nalog.Nikako ne smete da koristite ista korisnicka imena i sifre za password protect directory i za wordpress administratorski nalog

 

Login LockDown plugin mozete skinuti na OVOJ stanici.Ovaj plugin belezi ko i kada je pokusao da se uloguje u vas administratorski nalog i ako ima previse pokusaja sa netacnim login podacima blokirace pristup sa ip adrese sa koje je izvrsen pokusaj neovlascenog pristupa

 

Chmod permisije

Neophodno je da pravilno podesite chmod permisije i nikako ne smete ostaviti 777 na nekom fajlu ukoliko vam to nije neophodno da zavrsite odredjenu operaciju.Pravilne chmod permisije su

 

PHP fajlovi: 644

Config fajlovi: 666

Ostali folderi: 755

 

Vise informacija i primeri normalnih chmod permisija mozete pronaci na wordpress zvanicnom sajtu OVDE

 

Promenite wordpress MySql table prefix

Mnogi expiloti koriste wp_XXXXXX. prefikse i na taj nacin cete spreciti upotrebu klasicnih sql hakerskih skripti.Ovo je dobro uraditi pre instalacije wordpress-a jer naknadna promena moze dovesti do velikih problema tj velikih izmena u fajlovima vaseg sajta.

 

Promenite lokaciju wp-config.php fajla

Od wordpress verzije 2.6 i novije administratori imaju mogucnost pomeranja wp-config.php fajla sto vam daje mogucnost da otezate posao hakeru u nalazenju neophodnog wp-config.php fajla kako bih izvrsio ne zeljene promene na vasem sajtu

 

Nazalost pomeranje wp-config fajla je moguce samo ako se pomeranje izvrsi u srodni direktorijum npr.

 

ako se wp-config fajl nalazi u

 

public_html/wordpress/wp-config.php

Pomeranje mozete izvrsiti samo u

 

public_html/wp-config.php

Ukoliko wp-config.php fajl nepravilno pomerite u neki drugi folder dobicite greske u vasem sajtu i sajt ce biti van funkcije.

 

.htaccess zastita

Ovaj metod je dosta efikasan ali i problematican ukoliko nemate fiksnu ip adresu jer kada vas internet provajder promeni ip adresu vaseg modema necete biti u mogucnosti da pristupite administratorskom delu vaseg sajta.Vidite sa vasim internet provajderom da vam dodeli fiksnu ip adresu ili ako to nije moguce mozete editovati .htaccess fajl putem file manager-a u cPanel-u ili FTP-a svaki put kada vam se promeni ip adresa.Kreirajte .htaccess fajl u folderu /wp-admin/ u tom fajlu treba da se nalaze sledece informacije

 

AuthUserFile/dev/null
AuthGroupFile/dev/null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx

 

Umesto xxx.xxx.xxx.xxxupisite vasu IP adresu.Da bih ste proverili koja je vasa trenutna ip adresa posetite ovu stranicu www.whatismyip.com

Na ovaj nacin samo sa vase internet konekcije ce biti moguc pristup administratorskom delu vaseg sajta.

 

Ukoliko ne mozete da zabranite logovanje u admin folder samo sa vase ip adrese jer se vasa ip adresa cesto menja,morate da se zastitite bar od BRUTE FORCE napada.Svaku nezasticenu admin login stranicu hakeri bar 10 - 1000 puta dnevno pokusavaju da napadnu brute force metodom.Brute forece metoda znaci da hakeri ili botovi pokusavaju da se uloguju u vas administratorski nalog pomocu svoje ogromne baze podataka standardnih lozinki pa ukoliko koristite jednostavnu lozinku verovatno ce i uspeti ukoliko ne ogranicite broj admin logovanja sa pogresnom lozinkom.Da bih ste se zastitili od BRUTE FORCE napada nephodan vam je Limit Login Attempts koji mozete skinuti OVDE

 

Sakrijte verziju vaseg wordpress-a

Wordpress prikazuje koju verziju cms trenutno koristite i to svaki haker ili posetioc vaseg sajta moze da vidi.Wordpress.org to radi sa razlogom da bih prikupljali infomacije koliko korisnika koristi odredjenu verziju wordpres-a a to je potpuno nebitno za vas i moze samo stetu da vam nanese jer ako koristite stariju verziju wordpress-a haker odmah moze da primeni poznate metode za hakovanje odredjene starije verzije wordpress-a.Da bih ste sprecili prikazivanje verzije vaseg cms-a neophodno je da dodate sledecu liniju u functions.php

 

    <?php remove_action('wp_head', 'wp_generator'); ?>  

Sakrijte vase pluginove

 

Napravite praznu index.html stranicu i uploadujte je u folder /wp-content/plugins/ i na taj nacin cete preciti da hakeri dodju do liste instaliranih pluginova.Jako je vazno da hakeri ne znaju kakve pluginove imate instalirane.

 

 

2013-01-30_1416.png

Ako ne ubacite praznu index.html stranicu hakeri ce moci da vide listu vasih pluginova na adresi http://www.vasdomen....ontent/plugins/ kao na gore prikazanoj slici.Ukoliko vide da tu nema neki9h security pluginova ili nekih lako ranjivih pluginova odmah ce znati da ce hakovanje vaseg sajta biti lagan posao za njih.Cak i da imate instalirane security pluginove bolje da hakeri za to ne znaju.

 

 

 

Virusi,malware i ostalo djubre

 

2013-01-30_1308.png

 

Na ovom sajtu http://sitecheck.sucuri.net/scanner/ mozete besplatno proveriti da li se na vasem sajtu nalaze virusi,malware i ostali ne zeljni software.Ovo skeniranje vam daje jos neke rezultate kao sto je ranjivost sajt,blacklist monitoring.

 

Jedan zanimljiv tekst u vezi zarazenih wordpress stranica mozete pogledati OVDE

VirusTotal besplatan skener

Anilizira i proverava fajlove vaseg sajta kao i URL adrese.VirusTotal Mozete posetiti na OVOJ stranici.Ovaj alat vam omogucava trazenje Virusa,crva,malware-a u fajlovima vaseg sajta brzo i potpuno besplatno

2013-01-30_1443.png

TimThumb poznati wordpress sigurnosni problem a resenje za ovaj problem mozete naci na OVOJ stranici

 

Cinjenice i saznanja o besplatnim wordpress temama OVDE

 

 

 

Korisni linkovi

 

Kako da ocistite hakovan wordpress sajt

15-step-checklist-creating-perfect-wordpress-website

Hardening WordPress

Wpsecuritylock

Wpsecuritychecklist

Wordpress trikovi

 

 

Pluginovi za zastitu vaseg wordpress web sajta

 

Better wp security

Bulletproof security

Wordfence

Ultimate Security Checker

 

Radite redovan backup vaseg sajta jer to je vasa odgovornost

Redovno updejtujte na najnoviju stabilnu verziju wordpress-a

Redovno updejtujte vase pluginove i teme

Nikad , Nikad , Nikad ne smete da koristite warez varijatne tema i pluginova

 

 

 

 

Ukoliko ste nemarni ili nemate vremena da odrzavate vas web sajt,ne treba ni da ga imate jer vasom nemarnoscu ugrozavate bezbednost i stabilnost ostalih sajtova na istom serveru

 

 

Attached File  logo.jpg   5.09K   97 downloads

Autor:

Zeljko Paunovic

http://www.hosting022.rs

30.01.2013



#2 Dastko

Dastko

    Newbie

  • Members
  • Pip
  • 5 posts

Posted 03 February 2013 - 11:05 PM

Odličan članak. Korisnici su često neoprezni, a i elementarne stvari se ne poznaju, evo prilike da se to promjeni.

Imam dosta iskustva sa WP-om, ali uvijek željan novih znanja, tako da sam po prvi put i Incapsulu akivirao, sajt www.komsiluk.org.

Mislim da sam uradio sve što sam mogao da osiguram sajt od zaigrane dječurlije. :)



#3 view

view

    Željko Paunović

  • Administrators
  • 175 posts
  • Locationindjija

Posted 04 February 2013 - 07:39 PM

Hvala.Da,korisnici su cesto neoprezni a praksa se pokazala da su u vecini ovo navike korisnika

 

- instaliraju wordpress i zaborave da su ga instalirali i da uopste treba da se updejtuje

- Instaliraju free ili warez temu

- Instaliraju free ili warez pluginove

- Postave slabe lozinke

- Uglavnom fokusiraju se na izgled i sadrzaj sajta ( Cesto i to zanemare.)

 

Kada se desi problem,neki obican klinac im difejsuje index stranicu odmah pocnu da se javljaju tehnickoj podrsci sa arogantnim nastupom i zahtevima za momentalno resenje problema a zatim u velikom broju slucajeva nemaju nikakav backup za svoj sajt.

 

Svi smo mi to nekada prosli i svi smo bili neoprezni i na greskama se uci pa zato molim sve koji su procitali prvi post u ovoj temi da preduzmu bar neke osnovne mere opreza kao sto je nadogradnja cms-a,izbacivanje warez dodataka i tema,redovan backup i jake sifre.To su neke najosnovnije stvari koje se relativno lako resavajua dosta pomazu u bezbednosti sajta.

 

Ukoliko se vas sajt nalazi na shared hostingu i ukoliko niste ulozili u proseku vise od 50 eura mesecno u vas web hosting i sigurnost vaseg sajta hakovanje morate shvatiti kao sasvim normalnu svakodnevnicu a realno najsigurnije resenje je da redovno pratiti da li je vas sajt online i da imate svez backup.Svaka dalja rasprava na tu temu je relativna.Ovo kazem iz licnog visegodisnjeg iskustva i to jeste realna situacija ma sta god drugi pricali jer sa ulaganjem od 10-20eura godisnje i nemarnim odnosom prema sajtu nemozete ni ocekivati nekakvu ozbiljnost i stabilnost.



#4 Touch

Touch

    Newbie

  • Members
  • Pip
  • 4 posts

Posted 14 April 2013 - 12:24 AM

Hvala Zeljko,Sad tek vidim koliko je moj sajt bio nezasticen.Od trenutka kada sam instalirao worddeface plugin pocelo je da mi stize masa emailova kako sa raznih ip adresa pokusavaju da se uloguju u moj admin nalog mog wordpress-a a tih napada sam se uspesno resio tako sto sam dodao .htaccsess fajl u wp-admin folder

 

AuthName "wp-admin"
AuthUserFile "/home/korisnik/.htpasswds/public_html/wp-admin/passwd"
order deny,allow
allow from MojaIPAdresa
deny from all
 



#5 johson

johson

    Newbie

  • Members
  • Pip
  • 1 posts

Posted 22 January 2015 - 12:05 AM

Po mom misljenju Wordpress je nesto malo bezbedniji sistem od joomle ali u susitni sve se to svodi na isto ako vas sajt ne odrzavate redovnp o ne preduzimate minimalne sigurnosne mere.Na bezbednosti vaseg wordpress sajta morate sami raditi i u vecini slucajeva sami ste krivi ako vas sajt bude oboPo mom misljenju Wordpress je nesto malo bezbedniji sistem od joomle ali u susitni sve se to svodi na isto ako vas sajt ne odrzavate redovnp o ne preduzimate minimalne sigurnosne mere.Na bezbednosti vaseg wordpress sajta morate sami raditi i u vecini slucajeva sami ste krivi ako vas sajt bude obo


asad


#6 webmasteryoda

webmasteryoda

    Newbie

  • Members
  • Pip
  • 2 posts

Posted 16 September 2017 - 08:02 AM

Ćao svima. 

 

Na ovoj stranici je dosta toga objašnjeno u vezi bezbednosti Wordpressa.

 

Ja sam se takođe bavio bezbednošću WP-a. Napisao sam i jedan članak, u okviru kojeg sam pokušao da iznesem sve ono o čemu treba voditi računa, kako bi sajt ostao bezbedan.

 

Evo i tog članka:

 

Zaštita Wordpress sajta

 

Veliki pozzz svim korisnicima ovog foruma.






0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users