INFINIUS

WordPress savjeti – sigurnost (plugin-ovi)

staying human
[Creative Commons Licensephoto credit: pastaboy sleeps]

Loše stvari se događaju, htjeli mi to ili ne – radilo se o upadu u sustav preko ukradenih korisničkih lozinki ili pak o gubitku podataka uslijed kvara servera. Iako nikad ne možemo biti potpuno sigurni, ovih nekoliko plugin-ova će pomoći da se šteta smanji, ako čak i ne izbjegne u potpunosti.

Secure WordPress

http://wordpress.org/extend/plugins/secure-wordpress/

Jedan od najkorisnijih plugin-ova ovdje – uz skrivanje verzije WordPress-a i zaštite od prikaza osjetljivih datoteka Secure WordPress će sakriti podatke na formi prijave koji bi mogli uputiti na postojeće korisničko ime ali i blokirati napadačke upite (block bad queries). Ukoliko instalirate samo jedan od ovdje navedenih plugin-ova kao zaštitu od napada preporuka bi bila za ovaj zbog višestrukih stvari koje rješava.

Login LockDown

http://wordpress.org/extend/plugins/login-lockdown/

Login LockDown vas štiti da netko ne upadne preko forme za prijavu pogađajući lozinke – što i nije toliko teško ukoliko ste bili lijeni ostavljali neke lako pamtljive (“admin”, ime domene, vaše ime i slično). Radi na principu blokiranja IP adresa nakon prevelikog broja neuspješnih pokušaja – možete sami definirati postavke iako su i zadane primjerene za početak; nakon tri neuspješna pokušaja prijave unutar pet minuta se  IP adresa s koje je neuspješna prijava pokušana blokira (čak i ako se upiše prava lozinka prijava će biti odbijena).

Stealth Login

http://wordpress.org/extend/plugins/stealth-login/

Gotovo svi koji su radili s WordPress-om znaju da je prijava moguća preko wp-admin ili wp-login.php adresa. Stealth login to mijenja i tako zbunjuje eventualnog napadača koji neće lako moći naći novu adresu za formu prijave - za prijavu (a i registraciju i odjavu) možete postaviti željene adrese te na taj način zamijeniti barem standardne wp-admin i wp-login.php adrese. Jedna napomena za postavljanje – potrebno je malo dublje proučiti dokumentaciju i forume kako bi plugin proradio (mnogi ga proglase nevažećim za određenu verziju WordPress-a iako je riječ o banalnim stvarima u konfiguraciji).

One-Time Password

http://wordpress.org/extend/plugins/one-time-password/

Ukoliko se često prijavljujete na svoju instalaciju WordPress-a preko tuđih računala i otvorenih mreža ovo je plugin koji će vam sigurno trebati – prijava jednokratnom lozinkom. Njegova upotreba će vas podsjetiti na prijavu u e-banking, jedino što ćete umjesto tokena dobiti popis parova pitanje-odgovor koji možete ispisati kako bi vam taj papir bio uvijek pri ruci. Za one koji više vole token pristup umjesto papirića – kompatibilna java aplikaciju za mobilne telefone (OTPGen) je ponuđena na stranici plugina te možete i s njom generirati odgovore lozinke prema ponuđenom kodu prilikom prijave.

WP Security Scan

http://wordpress.org/extend/plugins/wp-security-scan/

Unatoč njegovom imenu, WP Security Scan vam pomaže u osiguravanju WordPress instalacije više od samog skeniranja za sigurnosnim propustima – sakriti će prikaz greški baze ukoliko se dogode te također i verziju WordPress-a unutar html koda. Vezano direktno uz ime – nakon skeniranja cjelokupne instalacije će prikazati prijedloge vezane uz poboljšanje stanja (promjene dozvola na datotekama i direktorija i slično).

Exploit Scanner

http://wordpress.org/extend/plugins/exploit-scanner/

Plugin koji će pregledati instalaciju WordPress-a za sumnjivim stvarima – uključujući datoteke, plugin-ove i cjelokupnu bazu. Kao ni WP Security Scan, ni Exploit Scanner se neće upustiti u popravak nađenog – samo će vas upozoriti na sumnjive stvari, korisnik bi sam trebao prema rezultatima odlučiti o svojem postupku (moguće je i da će biti navedeni “lažni sumnjivci” pa bolje da ništa ne preuzimate bez pomoći iskusnijih ukoliko vam navedeni dio koda nije jasan).

WP DBManager

http://wordpress.org/extend/plugins/wp-dbmanager/

Iako nije direktno vezan uz sigurnost već uz upravljanje WordPress-ovom bazom podataka, ovaj plugin ima funkcionalnost koja zasjenjuje većinu ostalih backup plugin-ova – backup baze će vam poslati direktno na e-mail (backup je samo jedna od funkcionalnosti koju plugin ima – uz optimizaciju i popravak moguće je i vraćanje starih podataka iz backup-a). Možda vam na prvi pogled to izgleda nebitno, no ukoliko svi podaci (zajedno s datotekama backup-a koje najčešće backup pluginovi samo spremaju lokalno) nestanu sa servera biti ćete vrlo zadovoljni što su vam svi podaci na e-mailu (Google ili Yahoo Mail stvarno nije teško postaviti pa makar samo i za ovu svrhu). Istina je da bi i sami mogli periodično napraviti backup preko ftp-a sa servera koji bi eliminirao potrebu za ovakvom e-mail funkcionalnošću no budimo iskreni – tko je dovoljno discipliniran da to odradi sam svaki dan/tjedan?

SI CAPTCHA Anti-Spam

http://wordpress.org/extend/plugins/si-captcha-for-wordpress/

Vjerovatno nikome nije potrebno posebno objašnjavati CAPTCHA princip zaštite formi – uz generiranu sliku je potrebno upisati slova i brojke koja se pojavljuju na slici. U velikoj većini slučajeva će ovo odvratiti automatizirane bot-ove da upišu neki spam komentar, pokušaju prijavu ili da vam se direktno jave preko kontakt forme. Iako je dostupno nekoliko sličnih plugin-ova, zbog funkcionalnosti i kompatibilnosti s ostalim plugin-ovima naša preporuka ide za SI CAPTCHA Anti-Spam.

Akismet

http://wordpress.org/extend/plugins/akismet/

Ukoliko imate problema s velikim brojem spam komentara i prijava – Akismet je plugin koji će vam pomoći da ih više ručno ne brišete. Plugin nije potrebno dodatno instalirati na WordPress – on je već dostupan unutar osnovne instalacije, samo ga je potrebno aktivirati. Budući da se radi o plugin-u koji upotrebljava Akismet servis na koji je potrebna prijava (za komercijalne stranice – provjerite i uvjete korištenja!) za njegovu aktivaciju se prvo registrirajte na Akismet stranicama, ukucajte dobiveni API ključ te nakon toga povremeno ispraznite Spam sandučić – nikakva posebna konfiguracija nije potrebna.

Za kraj…

Osim ovih, postoje još plugin-ovi za enkripciju lozinki prilikom slanja, SSL prijavu i slično, no svatkoi će sam odlučiti kako da zaštiti svoju instalaciju – ovisno o potrebi i razini očekivane sigurnosti.

Imate li i vi neki plugin koji nije ovdje spomenut a da ga redovno upotrebljavate? Slobodno ga navedite i opišite u komentarima, vjerovatno će nekome pomoći.




Tagovi: , ,

 
  • http://www.mojportal.com.hr Robi

    Odličan članak. Vjerujem da će mnogima pomoći.

  • http://www.mojportal.com.hr Robi

    Odličan članak. Vjerujem da će mnogima pomoći.

  • http://www.iznajmljivaci20.com/ Darko Kontin

    +1

    Lijepa kolekcija korisnik pluginova

  • http://www.iznajmljivaci20.com/ Darko Kontin

    +1

    Lijepa kolekcija korisnik pluginova

  • http://www.blogger3.tk Zdenko

    Dobar post, mene zanima kako blokirati neku ip adresu u wordpress-u jer mi jedu CPU previse dali ima neka skripta ili sta vec

  • http://www.infinius.hr/blog/ darkmares

    Ovo je najbolje riješiti putem zabrane u .htaccess datoteci ako je riječ baš o nekoj statičkoj IP adresi, ili pak postaviti neki od caching pluginova (WP Cache, W3 Total Cache…) koji će smanjiti stalno pretraživanje sadržaja u bazi.