Pokretanje vlastite WordPress stranice ovih je dana prilično jednostavno. Nažalost, neće trebati dugo da hakeri počnu ciljati vašu web-lokaciju.

Najbolji način da WordPress stranicu učinite sigurnom je razumjeti svaku točku ranjivosti koja dolazi od pokretanja WordPress stranice. Zatim instalirajte odgovarajuću sigurnost da blokirate hakere na svakoj od tih točaka.

U ovom ćete članku naučiti kako bolje zaštititi svoju domenu, svoju prijavu na WordPress te dostupne alate i dodatke za osiguranje vaše WordPress stranice.

Napravite privatnu domenu

Danas je previše lako pronaći dostupnu domenu^{(find an available domain)} i kupiti je po vrlo niskoj cijeni. Većina ljudi nikada ne kupuje dodatke za domenu za svoju domenu. Međutim, jedan dodatak koji biste uvijek trebali uzeti u obzir je zaštita privatnosti^{(Privacy Protection)} .

Postoje tri osnovne razine zaštite privatnosti s GoDaddyjem^(GoDaddy) , ali one se također podudaraju s ponudama većine davatelja domena.

• Osnovno^(Basic) : Sakrijte svoje ime i kontakt podatke iz WHOIS imenika. Ovo je dostupno samo ako vam vaša vlada dopušta skrivanje podataka za kontakt domene.
• Potpuno^(Full) : Zamijenite vlastite podatke alternativnom adresom e-pošte i podacima za kontakt kako biste prikrili svoj stvarni identitet.
• Ultimate : dodatna sigurnost koja blokira zlonamjerno skeniranje domene i uključuje nadzor sigurnosti web stranice za vašu stvarnu web lokaciju.

Obično, nadogradnja vaše domene na jednu od ovih sigurnosnih razina zahtijeva samo odabir nadogradnje s padajućeg izbornika na stranici s popisom domene.

Osnovna^(Basic) zaštita domene je prilično jeftina (obično oko 9,99 USD godišnje), a više razine sigurnosti nisu puno skuplje.

Ovo je izvrstan način da spriječite pošiljatelje neželjene pošte da uklone vaše kontakt podatke iz WHOIS baze podataka ili druge sa zlonamjernim namjerama koji žele pristupiti vašim kontakt podacima.

Sakrij^(Hide) datoteke wp-config.php i .htaccess

Kada prvi put instalirate WordPress^{(install WordPress)} , morat ćete uključiti administrativni ID i lozinku za vašu WordPress SQL bazu podataka u datoteku wp-config.php. 

Ti se podaci šifriraju nakon instalacije, ali također želite blokirati hakere da ne mogu uređivati ​​ovu datoteku i razbiti vašu web stranicu. Da biste to učinili, pronađite i uredite datoteku .htaccess u korijenskoj mapi svoje stranice i dodajte sljedeći kod na dno datoteke.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Kako biste spriječili promjene u samom .htaccessu, dodajte i sljedeće na dno datoteke.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Spremite datoteku i izađite iz uređivača datoteka.

Također biste mogli razmisliti o tome da desnom tipkom miša kliknete svaku datoteku i promijenite dopuštenja kako biste u potpunosti uklonili pristup pisanju za sve .^(Write)

Dok to radite na datoteci wp-config.php ne bi trebalo uzrokovati probleme, ako to učinite na .htaccessu, moglo bi uzrokovati probleme. Pogotovo ako koristite bilo koje sigurnosne WordPress dodatke koji će možda trebati urediti .htaccess datoteku umjesto vas.

Ako primite bilo kakve pogreške od WordPressa^(WordPress) , uvijek možete ažurirati dopuštenja kako biste ponovno dopustili pristup^(Write) pisanju u .htaccess datoteci.

Promijenite URL za prijavu na WordPress

Budući da je zadana stranica za prijavu za svaku WordPress stranicu vaša domena/wp-admin.php, hakeri će koristiti ovaj URL kako bi pokušali hakirati vašu stranicu.

Oni će to učiniti kroz ono što je poznato kao "brute force" napadi gdje će poslati varijacije tipičnih korisničkih imena i lozinki koje mnogi ljudi obično koriste. Hakeri se nadaju da će imati sreće i dobiti pravu kombinaciju.

Ove napade možete u potpunosti zaustaviti mijenjanjem URL-a za prijavu na WordPress^{(WordPress login URL)} u nešto nestandardno.

Postoji mnogo WordPress dodataka koji će vam pomoći u tome. Jedan od najčešćih je WPS Hide Login .

Ovaj dodatak dodaje odjeljak na karticu Općenito^(General) pod Postavke^(Settings) u WordPressu.

Tamo možete upisati bilo koji URL za prijavu koji želite i odabrati Spremi promjene^{(Save Changes)} da biste ga aktivirali. Sljedeći put kada se želite prijaviti na svoju WordPress stranicu, upotrijebite ovaj novi URL .

Ako netko pokuša pristupiti vašem starom wp-admin URL - u, bit će preusmjeren na 404 stranicu vaše stranice.

Napomena^(Note) : ako koristite dodatak za predmemoriju, svakako dodajte svoj novi URL za prijavu na popis web-mjesta za ne^(not) predmemoriju. Zatim svakako očistite predmemoriju prije nego što se ponovno prijavite na svoju WordPress stranicu.

Instalirajte WordPress sigurnosni dodatak

Postoji mnogo WordPress sigurnosnih dodataka^{(WordPress security plugins)} koje možete izabrati. Od svih njih, Wordfence je najčešće preuziman, s dobrim razlogom.

Besplatna verzija Wordfencea^(Wordfence) uključuje moćni mehanizam za skeniranje koji traži prijetnje iz stražnjih vrata, zlonamjerni kod u vašim dodacima^{(malicious code in your plugins)} ili na vašoj web-lokaciji, prijetnje ubrizgavanjem MySQL -a i još mnogo toga. ^(MySQL)Također uključuje vatrozid za blokiranje aktivnih prijetnji poput DDOS napada. 

Također će vam omogućiti da zaustavite napade grube sile ograničavanjem pokušaja prijave i zaključavanjem korisnika koji čine previše netočnih pokušaja prijave.

U besplatnoj verziji dostupno je dosta postavki. Više nego dovoljno za zaštitu malih i srednjih web stranica od većine napada.

Tu je i korisna stranica nadzorne ploče koju možete pregledati kako biste pratili nedavne prijetnje i napade koji su blokirani.

Koristite WordPress Password Generator i 2FA

Posljednje što želite je da hakeri lako pogode vašu lozinku. Nažalost, previše ljudi koristi vrlo jednostavne lozinke koje je lako pogoditi. Neki primjeri uključuju korištenje naziva web-mjesta ili vlastitog imena korisnika kao dijela lozinke ili neupotrebu posebnih znakova.

Ako ste nadogradili na najnoviju verziju WordPress -a , imate pristup moćnim sigurnosnim alatima za zaporku kako biste osigurali svoju WordPress stranicu. 

Prvi korak za poboljšanje sigurnosti vaše lozinke je da odete do svakog korisnika za svoju stranicu, pomaknete se do odjeljka Upravljanje računom^{(Account Management)} i odaberete gumb Generiraj lozinku .^{(Generate Password)}

To će generirati dugu, vrlo sigurnu lozinku koja uključuje slova, brojeve i posebne znakove. Spremite ovu lozinku negdje na sigurno, po mogućnosti u dokumentu na vanjskom disku koji možete odspojiti s računala dok ste na mreži.

Odaberite Odjava svugdje drugdje^{(Log Out Everywhere Else)} kako biste bili sigurni da su sve aktivne sesije zatvorene.

Konačno, ako ste instalirali sigurnosni dodatak Wordfence , vidjet ćete gumb Aktiviraj 2FA . ^{(Activate 2FA)}Odaberite ovo da biste omogućili dvofaktorsku provjeru autentičnosti za svoje korisničke prijave.

Ako ne koristite Wordfence , morat ćete instalirati bilo koji od ovih popularnih 2FA dodataka.

• Google autentifikator^{(Google Authenticator)}
• Dvofaktorska autentifikacija^{(Two Factor Authentication)}
• Rublon dvofaktorska autentifikacija^{(Rublon Two-Factor Authentication)}
• Duo dvofaktorska autentifikacija^{(Duo Two-Factor Authentication)}

Ostala važna sigurnosna razmatranja^{(Important Security Considerations)}

Postoji još nekoliko stvari koje možete učiniti kako biste u potpunosti zaštitili svoju WordPress stranicu.

I WordPress dodaci^{(WordPress plugins)} i verzija samog WordPressa^(WordPress) trebali bi se ažurirati u svakom trenutku. Hakeri često pokušavaju iskoristiti ranjivosti u starijim verzijama koda na vašoj web-lokaciji. Ako ne ažurirate oba ova, svoju web lokaciju ostavljate u opasnosti.

1. Redovito birajte dodatke^(Plugins) i instalirane dodatke^{(Installed Plugins)} na svojoj administrativnoj ploči WordPressa . ^(WordPress)Pregledajte^(Review) sve dodatke za status koji kaže da je dostupna nova verzija.

Kada vidite neku koja je zastarjela, odaberite ažuriraj odmah^{(update now)} . Također možete razmisliti o odabiru Omogući automatska ažuriranja za svoje dodatke. 

Međutim, neki ljudi su oprezni da to rade jer ažuriranja dodataka ponekad mogu pokvariti vašu web-lokaciju ili temu. Stoga je uvijek dobra ideja testirati ažuriranja dodataka na lokalnom web-mjestu za testiranje WordPressa^{(local WordPress test site)} prije nego što ih omogućite na svojoj web-lokaciji uživo.

2. Kada se prijavite na svoju nadzornu ploču WordPressa^(WordPress) , vidjet ćete obavijest da je WordPress zastario ako koristite stariju verziju.

Opet, napravite sigurnosnu kopiju web-mjesta i učitajte je na lokalno testno mjesto na vlastitom računalu kako biste testirali da ažuriranje WordPress -a ne pokvari vašu web-lokaciju prije nego što je ažurirate na svojoj web stranici uživo.

3. Iskoristite prednosti besplatnih sigurnosnih značajki vašeg web hosta. Većina web-domaćina nudi niz besplatnih sigurnosnih usluga za web-mjesta koja tamo hostirate. Oni to čine jer ne samo da štite vašu web-lokaciju, već i čuva cijeli poslužitelj sigurnim. Ovo je posebno važno kada ste na dijeljenom hosting računu gdje drugi klijenti imaju web stranice na istom poslužitelju.

To često uključuje besplatne SSL sigurnosne^{(free SSL security)} instalacije za vašu web-lokaciju, besplatne sigurnosne kopije^{(free backups)} , mogućnost blokiranja zlonamjernih IP adresa, pa čak i besplatni skener web-mjesta koji će redovito skenirati vašu web-lokaciju u potrazi za zlonamjernim kodom ili ranjivostima.

Pokretanje web stranice nikada nije tako jednostavno kao instaliranje WordPressa^(WordPress) i samo objavljivanje sadržaja. Važno je da svoju WordPress web stranicu učinite što sigurnijom. Svi gore navedeni savjeti mogu vam pomoći da to učinite bez previše truda.

How to Make a WordPress Site Secure

Launching your own WordPress site these days іs pretty easy. Unfortυnately, it won’t take long for haсkers to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 načina da dođete do najsigurnije lozinke

• Je li vaša aplikacija za razmjenu poruka doista sigurna?

• 3 načina za snimanje fotografije ili videozapisa na Chromebooku

• Kako otkriti softver za praćenje računala i e-pošte ili špijuniranje

• Demistificirana tehnologija ravnog zaslona: TN, IPS, VA, OLED i više

• Kako popraviti Hulu kod pogreške RUNUNK13

• Kako deaktivirati Facebook račun umjesto da ga izbrišete

• Kako popraviti Disney Plus kod pogreške 83

• Ne možete unaprijed zakazati Uber? Evo što učiniti

• Kako preuzeti i instalirati Peacock na Firestick

• Možete li promijeniti svoje Twitch ime? Da, ali budi oprezan

• Kako bilo koji žičani pisač učiniti bežičnim na 6 različitih načina

• Kako otvoriti datoteku bez ekstenzije

• Kako emitirati na Roku TV s računala ili mobitela

• Kako napraviti snimku zaslona na Steamu

• Kako promijeniti jezik na Netflixu

• 10 najboljih načina da zaštitite svoje računalo od djece

• Kako popraviti grešku Steam "Transakcija na čekanju".

• 7 brzih popravaka kada se Minecraft stalno ruši

• Kako podijeliti isječak u Adobe Premiere Pro