Kako osigurati WordPress od napada i što kada se napad ipak dogodi?

Nekoliko je strategija kojima zlonamjerni hacker može ući u administracijsko sučelje WP instance i od tamo uzrokovati probleme i glavobolje vlasniku stranice.

Ovisno o strategiji napada razlikuje se i način prevencije, a uz par mjera predostrožnosti možete si osigurati miran san.

Prevencija napada

1. Ne koristite defaultni korisnički username

96% WP instalacija koriste isti admin username “admin”. Upravo tu činjenicu hackeri vole iskoristiti pri brute-force napadima (napadi koji brojem pokušaja nadoknađuju nepoznavanje lozinke). Najbolje je koristiti neko nestandardno korisničko ime, npr. marko umjesto admin.

2. Koristite kompleksne lozinke na svim razinama

Pomoću password generatora napravite lozinku za wp-admin. Na isti način ju napravite i za spajanje na bazu, ftp account i za pristup cPanelu.

3. Korisni Pluginovi

BruteProtect – plugin koji sprečava višestruke neuspješne pokušaje ulogiravanja s iste IP adrese

Better-wp-security – plugin koji radi razne preinake kako bi otežao posao napadaču http://wordpress.org/plugins/better-wp-security/

4. Održavanje instalacije

Bitno je redovito update-ati na novu verziju WordPressa, izbrisati sve teme i pluginove koji se ne koriste, te redovno update-ati one koji se koriste.

Što kad vas napadnu?

Ukoliko ste došli do točke gdje ste u location bar upisali naziv vaše stranice i na ekranu ugledali poruke palestinskih terorista umjesto očekivanog sadržaja (imao sam jednom taj slučaj) onda je vaša stranica pretrpjela uspješan napad.

Na vama je da napravite sljedeće:
  • Aktivirate posljednji backup koji imate prije napada. Ukoliko ga nemate kod sebe pitajte hosting providera koji vjerojatno automatski periodično generira backupove.
  • Odmah promijenite sve šifre (cpanel, ftp, baza, wp-admin).
  • Pobrišete pluginove koje ne koristite i update-ate sve koje koristite.