Када говоримо о побољшању безбедности WP сајта, једна ствар мора да вам буде јасна – никада нећете моћи да „закључате“ сајт како би био 100% безбедан. Ма колико вам разни додаци приказивали катанчића и зелених чекбоксова.
Овде ћу размотрити неколико битних ствари о којима би требало да поведете рачуна:
Хостинг сервер
Уколико је сервер на ком се сајт налази небезбедан, нећете имати пуно користи од осталих безбедносних мера које предузимате. Када је у питању хостинг компанија, поведите рачуна код кога закупљујете хостинг, поготово уколико је у питању дељени хостинг пакет. Потражите информације о томе да ли су у прошлости имали масовних инфекција сајтова (услед шупљих сервера), каква им је политика по питању инфицираних сајтова, да ли их уклањају или упозоравају кориснике или не предузимају ништа.
Битна је и верзија софтвера на серверу – PHP 7.x је сигурнији и бржи од ранијих верзија. Наравно, ту је и MySQL и остали софтвер који користите на просечном хостинг налогу (cPanel, phpMyAdmin итд). Све би требало да буде на најновијој стабилној верзији, што доприноси не само сигурности и стабилности, већ доноси и најновије опције/алате/могућности које вам могу бити од користи.
На дељеном хостингу углавном не можете утицати на поменуте ствари, дакле можете само одабрати хостинг који одржава своје сервер ажурираним. Код VPS и сервера које закупљујете, можете и сами ажурирати, додавати и уклањати ствари (уколико знате како), али уколико вам не треба толико ресурса за неки мањи сајт, најекономичније решење је дељени (shared) хостинг.
WordPress
И птице на грани знају да теме, додаци и сам WordPress треба увек да буду ажурирани. Можете укључити аутоматско ажурирање (мада се неки проблеми могу јавити услед грешака при истом), или користити неки алат уколико имате више сајтова које треба ажурирати (ManageWP, InfiniteWP).
Non-wordpress.org теме и додаци
Уколико користите тему или додатак који се не налазе у WordPress репозиторијуму, могуће је да немају опцију аутоматске провере да ли постоји најновија верзија и може се врло лако десити да користите веома стару тему/додатак а да то и не знате док се не јаве проблеми. Уколико знате да користите такве теме или додатке, требало би повремено да на сајту одакле сте их преузели или купили, проверите да ли је доступна новија верзија и да их ручно преузмете и ажурирате уколико јесте. Ово је веома чест проблем и разлог због ког сајтови завршавају хаковани, тако да иако је нешто компликованије и захтева времена, веома је битно за безбедност целокупног сајта.
Security додаци
Иако се представљају као свемогући, додаци за побољшање безбедности (WordFence, BulletProof Security, All In One WP Security, iThemes Security) заправо нуде тек основни ниво сигурности, док у плаћеним верзијама нуде неке сервисе који се већ могу сматрати напреднијим. Сами по себи нису лоши, мада ако претерате са подешавањима истих, то може довести до проблема на сајту – конфликти, блокирање легитимних захтева итд. Моје мишљење је да сви ти бесплатни додаци знају да буду корисни у смислу да су нека подешавања на само клик од вас и имате леп графички интерфејс са зеленим катанцима и сличном козметиком, али не представљају озбиљно а понајмање свеобухватно решење за безбедност на сајту.
Firewall, CDN
Фајервол врши филтрирање свог саобраћаја на вашем сајту и може бити јако користан и спречити неке нападе које ни један серверски софтвер неће. Постоје разна решења, попут: SiteLock, Sucuri, Cloudflare Firewall и слични. Осим крпљења безбедносних рупа на сајту, они нуде и заштиту од DDoS напада које је јако тешко сузбити другачије, а уз све ово иде и CDN услуга која ће побољшати брзину сајта.
Ваше понашање
Наравно, највећи део одговорности за безбедност сајта је и на његовом власнику. Посећивање сумњивих сајтова, уношење корисничког имена и лозинке без претходне провере сајта, безбедносни пропусти на личним уређајима којe користите за администрацију сајта/сервера, коришћење исте лозинке на више места итд… Све су то лоше навике које такође могу довести до крађе података, упада на сајт и сличних ситуација.
У основи, све се своди на то колико сте времена и новца спремни да потрошите на безбедност сајта, то јест колико вам је његово функционисање битно.