WordPress sigurnost – uvod
WordPress je fantastična platforma: fleksibilan, moćan i prikladan za sve – od osobnih blogova do ozbiljnih poslovnih web stranica. Istovremeno, upravo zato što je toliko popularan, WordPress je stalna meta automatiziranih napada, skeniranja i pokušaja iskorištavanja sigurnosnih rupa.
Dobra vijest je da već s nekoliko ključnih koraka – poput skrivenog admin linka, kvalitetnog sigurnosnog plugina i dvofaktorske autentifikacije – možeš drastično smanjiti rizik od hakiranja bez da postaneš sistemac ili sigurnosni stručnjak.
Zašto je WordPress siguran – i zašto je istovremeno ranjiv
Sama WordPress jezgra (core) razvija se i održava godinama, uz redovite sigurnosne zakrpe i nadogradnje. To znači da je „van kutije“ riječ o prilično sigurnom sustavu koji se koristi na milijunima web stranica diljem svijeta. Problem nastaje onog trenutka kada se na tu jezgru počnu nadograđivati teme, plugini i razne prilagodbe koje nisu uvijek jednako kvalitetno napisane ili redovito održavane.
Većina napada na WordPress stranice nije osobna, nego automatizirana. Botovi svakodnevno skeniraju tisuće domena u potrazi za istim, već poznatim rupama u sigurnosti – zastarjelim pluginom, javno dostupnim login ekranom, slabom lozinkom ili nesigurnom temom. Ako se tvoja stranica slučajno nađe na tom popisu, jedina razlika između „sve je u redu“ i „stranica je hakirana“ bit će to koliko si ozbiljno shvatio WordPress sigurnost.
Najčešće sigurnosne prijetnje za WordPress stranice
Bruteforce napadi na /wp-admin i /wp-login.php
Jedna od najčešćih prijetnji su bruteforce napadi na login stranicu. Botovi neumorno isprobavaju kombinacije korisničkog imena i lozinke, najčešće ciljajući „admin“ i jednostavne lozinke poput „password123“. Ako je tvoj login URL javan, a lozinka slaba, pitanje nije hoće li netko pokušati provaliti, nego kada.
Zlonamjerni ili zastarjeli pluginovi i teme
Druga velika kategorija problema su pluginovi i teme. Neki su loše napisani, drugi prestanu dobivati nadogradnje, a treći su jednostavno zlonamjerni od prvog dana. Svaki dodatni plugin je još jedan komadić koda koji može imati sigurnosnu rupu. Korištenje „nulled“ tema i plugina posebno je rizično, jer često dolaze s ugrađenim malwareom.
Zastarjela verzija WordPressa i PHP-a
Ako WordPress jezgru, teme i plugine ne ažuriraš redovito, tvoja stranica vrlo vjerojatno ima barem jednu poznatu sigurnosnu rupu. Isto vrijedi i za PHP verziju na serveru – starije verzije više ne dobivaju sigurnosne zakrpe, što ih čini lakom metom. Napadačima je dovoljno pogledati „changelog“ od plugina i usporediti ga s tvojom instalacijom.
Slaba ili nikakva zaštita servera
Jeftin hosting bez dodatnih sigurnosnih slojeva, loše postavljeni permissioni na datotekama ili potpuno otvoreni portovi dodatno povećavaju rizik. Čak i najbolja WordPress konfiguracija bit će ugrožena ako je server sam po sebi nesiguran ili ako na njemu vrtite više webova bez ikakve izolacije.
Ključni koraci za poboljšanje WordPress sigurnosti
Sakrivanje admin linka i ograničavanje login pokušaja
Prvi, vrlo jednostavan korak je skrivanje standardnog login URL‑a. Umjesto da svi imaju pristup /wp-login.php ili /wp-admin, možeš koristiti prilagođeni URL za prijavu. Time smanjuješ broj automatiziranih pokušaja logiranja, jer botovi najčešće testiraju upravo zadane putanje.
Uz to, važno je ograničiti broj neuspjelih pokušaja prijave po IP adresi. Nakon nekoliko pogrešnih unosa, IP bi trebao biti privremeno blokiran ili usporen. Kombinacija skrivenog login URL‑a, ograničavanja pokušaja i jake lozinke već je ogroman korak naprijed u odnosu na „default“ stanje.
Wordfence – dodatni sigurnosni sloj za WordPress
Wordfence je jedan od najpopularnijih sigurnosnih plugina za WordPress i s razlogom. U praksi ti daje firewall i sigurnosni skener unutar same WordPress instalacije. Koristim ga na svojim projektima upravo zato što nudi dobar balans između sigurnosti i jednostavnosti korištenja.
Wordfence može:
• blokirati sumnjive IP adrese i botove koji pokušavaju provaliti na login stranicu
• zaštititi od poznatih napada i exploit-a na plugine i teme
• skenirati datoteke na malware, neobične promjene i usporediti ih s originalnim verzijama
•pratiti aktivnost prijava i pokušaja prijava na admin račun
Za većinu malih i srednjih web stranica, pravilno podešen Wordfence predstavlja snažan dodatni sigurnosni sloj koji filtrira velik dio najčešćih prijetnji.
Dvofaktorska autentifikacija (2FA) na admin računima
Dvofaktorska autentifikacija (2FA) danas bi trebala biti standard za bilo koji ozbiljniji WordPress site. Ideja je jednostavna: čak i ako netko pogodi ili ukrade tvoju lozinku, bez drugog faktora (koda iz aplikacije, SMS‑a ili tokena) i dalje ne može ući.
Na svojim admin računima koristimo 2FA jer dramatično smanjuje rizik od neovlaštenog pristupa. U praksi, to znači da prilikom logina, osim lozinke, upišeš i jednokratni kod iz aplikacije (npr. Google Authenticator, Authy i sl.). Za napadača to postavlja dodatnu prepreku koju automatizirani botovi gotovo nikad ne mogu proći.
Redovito ažuriranje WordPressa, plugina i tema
Update nije samo „nova funkcionalnost“, nego prije svega sigurnosna zakrpa. Kad autor plugina ispravi sigurnosni propust, on vrlo često postane javno poznat – i napadači odmah kreću tražiti instalacije koje još nisu ažurirane. Zato je važno redovito:
• ažurirati WordPress jezgru
• ažurirati plugine i teme koje aktivno koristiš
• ukloniti plugine i teme koje ti više ne trebaju
Manje je više: radije imaj manji broj provjerenih dodataka nego desetke plugina koje ne koristiš, a samo povećavaju površinu napada.
Backup strategija – zadnja linija obrane
I uz sve mjere, treba računati na najgore. Dobra backup strategija je zadnja linija obrane kad se dogodi problem – bilo da je riječ o hakiranju, grešci na serveru ili slučajnom brisanju sadržaja.
Idealno, backup bi trebao biti:
• automatiziran (npr. dnevni ili tjedni)
• pohranjen na odvojenu lokaciju (ne samo na istom serveru)
• uključivati i datoteke i bazu podataka
Ako se ikada dogodi incident, mogućnost brzog vraćanja čistog backup-a često znači razliku između kratkog prekida i višednevnog kaosa.
Kako provjeriti je li vaša WordPress stranica trenutno ranjiva
Ako želiš brzo provjeriti u kakvom je stanju tvoja WordPress stranica, možeš proći kroz kratku checklistu:
• Je li WordPress jezgra ažurirana na zadnju stabilnu verziju?
• Imaš li plugine koji se dugo nisu ažurirali ili su napušteni?
• Koristiš li 2FA na admin računima ili se sve svodi na korisničko ime i lozinku?
• Je li login URL i dalje klasični /wp-login.php ili /wp-admin?
• Imaš li aktivan sigurnosni plugin (npr. Wordfence) i jesu li skenovi čisti?
• Postoji li automatizirani backup i znaš li kako ga vratiti?
Ako na većinu ovih pitanja odgovoriš s „ne“ ili „nemam pojma“, vrijeme je da se ozbiljnije pozabaviš WordPress sigurnošću.
WordPress– sigurnost kao proces, a ne jednokratna radnja
WordPress sigurnost nije jednokratni zadatak koji odradiš danas i zaboraviš. Riječ je o procesu koji kombinira dobre navike, redovito ažuriranje, nekoliko ključnih sigurnosnih alata i zdravu dozu opreza pri instalaciji novih plugina i tema. Kreni od osnovnih stvari: sakrij login URL, postavi Wordfence, uključi 2FA na admin računima, počisti nepotrebne plugine i osiguraj redovite backupove.
Ako želiš, možemo ti pomoći oko procjene trenutnog stanja i predložiti konkretne korake za tvoju WordPress stranicu – od osnovnog sigurnosnog pregleda do postavljanja zaštite i backup strategije.