Ženska dela na prenosniku v dnevni sobi.

Kako lahko sama zavaruješ svojo WordPress spletno stran?

Večina vdorov v spletne strani se zgodi zaradi uporabniških napak. Če ne želiš ostati brez vsega, jo lahko sama zavaruješ že z nekaj preprostimi ukrepi …

Seveda je pomembno, da se za varnost poskrbi že ob sami izdelavi WordPress strani, a vsi naprednejši varnostni ukrepi so lahko zaman, če uporabniki ne upoštevajo osnovnih varnostnih ukrepov, kar je najpogostejši razlog za uspešne vdore.

Hekerji namreč zlorabljajo znane ranljivosti v WordPress sistemu in vtičnikih, zelo pogosto pa računajo prav na neprevidnost uporabnikov z administratorskim dostopom.

Kaj lahko sama narediš, da zaščitiš svojo WordPress stran?

Izberi kakovostno gostovanje

Gostovanje je tisto, ki lahko dramatično vpliva na hitrost in varnost spletne strani. Varnostne nastavitve, ki jih ponudniki uporabljajo za zaščito samih strežnikov (npr. požarni zid), in funkcije, ki jih omogočajo, se lahko med ponudniki izjemno razlikujejo.

Zato naj pri izbiri gostovanja ne odtehta samo cena, nikakor pa ne uporabljaj brezplačnega gostovanja! Preden se dokončno odločiš, pri različnih ponudnikih preveri, kakšno vrsto zaščite omogočajo, ali se na strežniku vsakodnevno shranjujejo varnostne kopije (po možnosti na ločeni lokaciji), je v paketu vključen SSL certifikat in ali je možno vklopiti dvojno preverjanje za vstop v nadzorno ploščo.

Če se odločiš za izdelavo spletne strani pri Spletkarijah, ti lahko pomagam izbrati kakovostno gostovanje. 

Uporabljaj zahtevna gesla in dvostopenjsko avtentikacijo

Nezapletena gesla in tista, ki jih uporabljaš na več različnih straneh, so najlažji način, da hekerji dobijo dostop do tvoje spletne strani in lahko počnejo z njo, kar želijo.

Ker pa so računalniki vedno hitrejši in lahko ‘zlomijo’ tudi zahtevnejša gesla, je dobro poskrbeti za dodatno plast zaščite.

Dvostopenjska avtentikacija ali Two-Factor Authentication (2-FA) je dodatna zaščita prijave s spreminjajočo se dostopno kodo in je za varnost spletne strani lahko ključnega pomena. Tudi če bi hekerjem uspelo priti do tvojih prijavnih podatkov, jim ne bo uspelo prebiti druge plasti zaščite.

Če je tvoja stran žrtev brute-force napada, pri katerem hekerji poskušajo uganiti kombinacijo uporabniškega imena in gesla, se lahko z uporabo dvojnega preverjanja vdoru izogneš. Če uporabljaš katero od pogostih uporabniških imen (admin, administrator, user, login) in pri tem ne poskrbiš za zahtevno geslo, hekerji z enostopenjsko prijavo ne bodo imeli težkega dela.

Kako se uporablja dvostopenjska avtentikacija?

Če le-ta na spletni strani še ni aktivna, prosi razvijalca oz. osebo, ki je izdelala spletno stran, da jo omogoči. Če uporabljaš WordPress, lahko za vklop dvojnega preverjanja poskrbijo tudi Spletkarije.

Ko je dvostopenjska avtentikacija vklopljena, je potrebno uporabniški račun na spletni strani povezati z aplikacijo za generiranje gesel (npr. Google Authenticator). Ko se želiš prijaviti, kot običajno vpišeš prijavne podatke, nato pa sistem od tebe zahteva še dodatno kodo, ki jo generira aplikacija na tvojem telefonu in se spreminja vsakih 30 sekund.

Omejitev dostopa do administracije

Iz varnostnih razlogov je pomembno, da ima dostop do administracije in gostovanja spletne strani čim manj oseb. Če zaradi narave dela to ni mogoče, poskrbi, da bodo dostop dobile samo zaupanja vredne osebe. Prav tako je pomembno, da vsi uporabljaljo zahtevna gesla in dvojno preverjanje ter dostopajo iz varnih naprav.

Pomembno je, da se vsaki osebi posebej določi pravice znotraj administracije spletne strani, saj se tako zmanjša možnosti za težave.

Oseba, ki skrbi za naročila v WooCommerce, na primer, ne potrebuje dostopa do ostalih administracijskih možnosti znotraj WordPressa. Prav tako oseba, ki piše blog objave, ne potrebuje dostopa do naročil ali urejanja vtičnikov.

Vedno je treba pravice določati glede na funkcije, ki jih uporabnik nujno potrebuje in administracijski dostop potrebuje res malo oseb (npr. oseba, ki skrbi za vzdrževanje strani).

Previdno z uporabo vtičnikov

Ker je WordPress izjemno priljubljen CMS za spletne strani, obstaja ogromno vtičnikov, ki ti omogočajo, da strani dodajaš posebne funkcionalnosti. Trenutno je v WordPressovi knjižnici na voljo več kot 59.000 brezplačnih vtičnikov. Plačljivih vtičnikov pa je še veliko, veliko več.

Žal pa vsi vtičniki niso enakovredni. Tudi če zanje plačaš, to ne zagotavlja avtomatske kakovosti (in varnosti). Če sama nameščaš vtičnike na svoj WordPress, je pomembno, da upoštevaš te varnostne ukrepe.

Pred dodajanjem novega vtičnika je dobro preveriti, kdo je razvijalec (gre za verodostojno podjetje, so razvili že več uspešnih vtičnikov?), kako dolgo je vtičnik že na trgu, kakšne so ocene uporabnikov, koliko težav so uporabniki prijavili in koliko jih je bilo rešenih ter kdaj je bil vtičnik nazadnje posodobljen. 

Pogosto se namreč zgodi, da razvijalci vtičnik dajo na trg, nato pa ga iz različnih razlogov nehajo posodabljati. To lahko v najboljšem primeru pomeni, da bo vtičnik po določenem času nehal delovati ali ne bo več kompatibilen z WordPressom in ostalimi vtičniki. V najslabšem primeru pa lahko pomeni resno varnostno grožnjo.

Vedno izberi vtičnike, ki jih razvijalci redno posodabljajo, saj to pomeni, da se razvijajo, prilagajajo novim funkcionalnostim in da se redno odpravljajo napake in morebitne varnostne težave. Vsi vtičniki v WordPressovi knjižnici imajo navedeno tudi različico WordPressa, do katere so testirani – vedno izberi le take, ki preverjeno delujejo z zadnjo različico sistema, sicer lahko tvegaš nekompatibilnost in nepravilno delovanje spletne strani.

Če želiš uporabljati plačljive vtičnike, moraš kupiti licenco. Te so lahko enkratne ali letne. Nikdar ne prenašaj plačljivih vtičnikov iz spletnih strani, ki ti obljubljajo “brezplačno” različico. To so t.i. nulled verzije, ki največkrat vsebujejo tudi viruse, ki bodo ogrozili varnost tvoje spletne strani.

Če prenehaš z uporabo določenega vtičnika, ga izbriši. Neaktivni vtičniki so prav tako pogost razlog za uspešne vdore.

Redno izvajaj posodobitve

Neposodobljen WordPress, vtičniki in teme so najpogostejši krivci za uspešne vdore. Pri posodobitvah razvijalci zakrpajo varnostne luknje, ko so te odkrite, in če jih ne namestiš, si lahko žrtev hekerjev, ki iščejo neposodobljene sisteme.

Hekerji ne vdirajo v tvojo stran na podlagi tvojega imena, ampak na podlagi varnostnih ranljivosti!

Škoda, ki jo hekerji na tak način lahko na strani napravijo, je odvisna od varnostne luknje in načina, kako ogrozijo spletno stran. Če so v vdoru ogroženi tudi osebni podatki, pa ti to prinese tudi cel kup birokratskih težav, lahko pa tudi kazen.

V vsakem primeru je bolje in tudi veliko ceneje preprečiti, kot težave kasneje odpravljati.

Kako pogosto izvajati posodobitve? Idealno vsakič, ko se pojavi nova različica. A to v realnosti pomeni, da lahko skoraj vsak dan izvajamo posodobitve. Zato je najbolje najti neko sredinsko pot. Niso vse posodobitve varnostne narave, kar pomeni, da s tistimi ni potrebno tako zelo hiteti. 

Če ni varnostnih posodobitev, po mojih izkušnjah zadošča posodabljanje enkrat mesečno. Če so varnostne posodobitve, je le-te treba opraviti takoj, ko so na voljo.

Pomembno! Pred posodobitvijo je obvezno napraviti varnostno kopijo v primeru, da gre kaj narobe. Ker verjemi, da stvari lahko gredo narobe. Se ne zgodi pogosto, se pa in takrat je varnostna kopija edini rešitelj. 

WordPress je sam po sebi dokaj varen sistem, a je treba redno upoštevati navedene ukrepe, da lahko še naprej ostaja varen.

Picture of Andreja Roškar

Andreja Roškar

Strokovnjakinja za WordPress spletne strani in etični digitalni marketing z 20-letnimi izkušnjami na področju medijev, marketinga in spletnih trgovin.

– OGLAS –