WordPress sigurnost

WordPress svijet je ogroman. To je najpopularniji CMS (Sustav za upravljanje sadržajem) na svijetu, koji trenutno zauzima 63,6% CMS tržišnog udjela.

To je trend u porastu – u 2019. godini tržišni udio iznosio je 60,8%. Gotovo 30% korisnika interneta radi na WordPressu! Ovdje ne govorimo o Dark Webu!

Na drugom mjestu je Shopify, popularni jednostavan za korištenje eCommerce CMS, koji je tijekom prošle godine zabilježio porast tržišnog udjela s 2,9% na 4,5%.

Svi ostali poznatiji CMS-ovi imaju negativan trend u svom tržišnom udjelu. Wix, Joomla, Drupal, Magento, Squarespace svi su u negativnoj putanji (broj web stranica i dalje se povećava).

Infographic: How Many Websites Are There? | Statista

Na grafikonu iznad možete otprilike vidjeti broj aktivnih web stranica širom svijeta. Vidite da se tijekom posljednjih 5 godina broj web stranica udvostručio!

Zašto WordPress?

WordPress je CMS koji je odabran zbog mnogih čimbenika, a glavni je činjenica da je 100% otvoren izvor. To znači da se može besplatno preuzeti, besplatno koristiti, s tisućama besplatnih tema i dodataka samo na svom službenom repertoaru WordPress.org.

Velika mogućnost kostumizacije

Uz besplatni prilagodljivi sadržaj dolaze plaćeni dodaci i paketi tema koji će dodatno poboljšati funkcionalnost vaših web stranica. Nakon što shvatite kako WordPress djeluje, naučit ćete da uistinu ima trik u gotovo svemu.

S WordPressom možete izraditi sljedeće:
• Osobni blog
• Web stranice za restorane
• Direktorij oglasa / poslova
• Kompletne web trgovine
• Nagradna igra / web mjesto natjecanja
• Koristite njegov backend za izradu aplikacija
I puno više!

Zaista postoji priključak za sve!

Gdje kreću brige

Ako nitko nema vašu bazu podataka ili korisničko ime i lozinku za administratora WordPressa, kako može naštetiti vašoj web lokaciji? A zašto bi to učinio? Pa, nismo stručnjaci za etike hakiranja, ali pretpostavljam da to jednostavno rade. A budući da to jednostavno čine, napravit će gadne botove da napadnu vašu stranicu.

Pa, što možete učiniti da se obranite? Mnogo je čimbenika koji utječu na vašu sigurnost. U nastavku ćemo ih navesti nekoliko i dati savjete kako uzeti volan u svoje ruke te pokušati pokriti što više baza.

Čimbenici ranjivosti / sigurnosni slojevi
# 1 Hosting Provider

Tu bih volio konačno naglasiti da kibernetička sigurnost nije bogom dana niti je besplatna. U većini slučajeva samo želite zadržati svoje mjesto takvo kakvo je i imati dobro, neprekidno vrijeme rada.

Vaš je davatelj usluga hostinga broj 1 na popisu, jer se WordPress najčešće koristi na shared paketu hostinga. Dijeljeni hosting vrsta je hostinga gdje dijelite resurse fizičkog stroja (računala / poslužitelja). Svi su korisnici smješteni na istom disku s fizičkom memorijom. Vjerojatno razumijete što se događa kada se račun hostinga na vašem planu zajedničkog hostinga ugrozi.

Uz to postajete kompromitirani. Ali ne ako hosting tvrtka ozbiljno shvati sigurnost!

Ostali računi za hosting koji se nalaze na vašem zajedničkom hostingu mogu se upuštati u ilegalne aktivnosti, instalirati zlonamjerni kod ili jednostavno ugrožavati sve ostale jer svoj softver ne ažuriraju.

Srećom, postoje hosting ponuđači poput našeg, Vins koji sigurnost shvaćaju vrlo ozbiljno i daju sve od sebe da osiguraju taj sloj neposredne opasnosti. To mogu biti: automatizirani DDOS ili zaštita od napada grubom silom, izolacija / kaveziranje okoline, sigurnosne kopije, nadzor ljudi i još mnogo toga. Upravljanje zajedničkim hostingom može biti sjajno ako ste u pravim rukama.

Pa, koje je rješenje za ovo? Skuplje planove hostinga možete kupiti tamo gdje dobijete namjenske poslužitelje ili VPN hosting. Oni su skuplji i koriste se za operacije većih razmjera, ali pružaju dodatne sigurnosne slojeve.

Također, trebate imati na umu da su upravljani hosting planovi savršeni jer pružaju upravljačka softverska rješenja poput cPanela, koji je pun dobrih stvari gdje možete dodatno poboljšati svoju sigurnost ili kvalitetne 24/7 podrške koja će vam odmah uskočiti ako se dogodi nešto neočekivano.

#2 WordPress ažuriranja

WordPress se često ažurira, kao i njihovi dodaci i teme. Glavni razlog tome su dodane funkcionalnosti i značajke, ali one koje se često previđaju su sigurnosne zakrpe.

Samo oko 30% WordPress web stranica redovito se ažurira i pokreće najnoviju verziju WordPressa. Ako ubrojite i dodatke, broj pada znatno nisko.

Prema podacima s Wordfence, gotovo 56% ugroženih WordPress web stranica napadnuto je putem ranjivosti dodataka.

Kao i svi dijelovi softvera, WordPress može sadržavati “rupe” koje neupotrebljivači mogu iskoristiti. Redovito ažuriranje smanjuje šanse za hakiranje.

Ovdje također trebate filtrirati kreatore dodataka / tema. Većina marketing tvrtki  ozbiljno shvaća njihovo stvaranje i ažuriranje. No, tu je i sadržaj za preuzimanje koji objavljuju pojedinci ili slobodnjaci. Trebali biste provjeriti je li dodatak kompatibilan i testiran s vašom trenutnom verzijom WordPressa i ne vraća li se najnovije ažuriranje dulje od 3 mjeseca. Ako nisu kompatibilni / testirani / nedavno ažurirani, preporučio bih da ih se klonite.

Također, Envato Market i njihovi affiliati imaju najveći izbor plačenih, testiranih i održavanih priključaka, tema i sadržaja.

#3 SSL certificates

What is an SSL certificate?

Simply put, it’s a cryptographic service that contains the information about your domain, identity and location. It is used to serve a secure connection between you and the server – the message is encrypted and can only be accessed via a key that only your browser has, therefore being un-interceptable and unbreakable.

This is why SSL certificates have become a staple technology widely used on the World Wide Web.
They are also publicly available for FREE under most shared hosting plans.
NOTE: If your hosting company doesn’t provide free access to SSL certificate installation (via cPanel installation or automatic), find a new one who does immediately.

Sites with SSL certificates also get higher SEO ratings.

#4 Hide WordPress folders & login pages

Since WordPress infrastructure is well-known to security threats, some tricks can single-handedly save you from many automated bots.
WordPress has a certain folder organisation that can be easily rewritten by FREE plugins.

This is an example of a plugin that will allow you to run a simple setup to rename your WordPress folders to random strings (you can also do it manually). Be sure to hide & rewrite your /wp-admin page as well!

#5 Firewall

A firewall is a vigilant feature, and you are probably familiar with the name due to the Microsoft Windows Firewall.

It serves to protect your site/server from security threats.

When we talked about the hosting providers, I have mentioned that firewalls can be a security feature offered with your hosting plan.

The firewall here is another layer of security, now being the one that secures your website and it’s directories from brute force attacks, mass login attempts or DDOS attacks. It comes in the form of a cloud firewall feature via CDN (Content Delivery Network).

Take Cloudflare for an example. Our server uses Cloudflare’s service for two reasons, first being security, and the latter caching.

If you are wondering if or which CDN a site uses, you can check it on CDN Planet. Be sure to type in domains in the form of “www.domain.tld”. TLD stand for Top Level Domain, such as .com or .org .

Two other popular options are all-in-one security plugins, such as Sucuri or WordFence.

#6 Backups

Backups are an important digital strategy part, added security being just one of the benefits.

Automated backup service is critical to your online missions, as they are doing the job for you, saving the incremental database backups on external storages.

This is where your hosting provider also comes into play. Do they offer incremental backups that are easy to access? Again, if the answer is no, you should change your hosting provider.

The standards change rapidly, and you shouldn’t be paying for a service that no longer meets the demands of the 203rd decade.

 

#7 PHP updates on the server

Your hosting server will most likely run on a certain PHP version.

PHP is a programming language on which WordPress is built. WordPress is a system of thousands of PHP loops.

PHP updates are almost regular, delivering speed improvements and security updates. Did I mention SEO rankings?

Be sure to update your PHP version in the cPanel or any other software your provider is using, when a new one rolls out. The new version will be mostly backwards-compatible and will not cause any problems with your current WordPress installations.

#8 Disable comments if not necessary

Bots love spamming. Your website doesn’t necessarily have to get the spammy comment published for you to know that there are spam bots around.It has probably been filtered by your, hopefully by now, multiple security layers. Disabling the comments via your theme options or plugins will save tons of bandwidth on your server.

#9 Limit bot crawling/login attempts

Another wise option to turn on a STOP bad bots feature. It usually comes in the form of a lightweight plugin, or along with other security of SEO plugins on the market.

Also, the best practices dictate to limit login attempts to your site, to stop unwanted attackers or bots accessing your files.

Final Thoughts

We use all of the aforementioned strategies and security layers to provide maximum security to our partners. When making a new website, all of these features come included, be they for large eCommerce sites or simple company brochure sites.

WordPress itself is only, excuse me here, a means to an end. The overall security of your website and data is only regarded as safe as the security bases covered. Be sure to implement everything you can to be properly safeguarded.

If you have any questions, comments or have found an incorrect statement, send us a message via email or social media.