WordPress security — kako da zaštitite sajt od napada

WordPress pokreće preko 40% svih sajtova na internetu — što ga čini najpopularnijom CMS platformom, ali i najčešćom metom hakera. Dobra vijest: WordPress je siguran ako se pravilno konfiguriše i održava. Loša vijest: većina sajtova nije dobro zaštićena. U ovom vodiču prolazimo kroz security osnove koje svaki WordPress sajt mora imati.

Najčešći tipovi napada

• Brute force — pokušaji pogađanja lozinke
• SQL injection — iskorišćavanje ranjivosti u bazi
• Cross-site scripting (XSS) — injektovanje malicioznog koda
• Malware — ubacivanje virusa kroz ranjive plugine
• DDoS — preopterećenje sajta saobraćajem

Osnovne security mjere

1. Jake lozinke

Ne “admin123”. Koristite password manager (Bitwarden, 1Password) i generišite duge, random lozinke. Posebno za admin nalog.

2. Two-factor authentication (2FA)

Dodajte 2FA sloj sa Google Authenticator-om ili sličnim. Čak i ako neko dobije lozinku, neće moći da uđe.

3. Promijenite default “admin” korisničko ime

Koristite nešto jedinstveno. “admin” je prvo što bot-ovi pokušavaju.

4. Redovna ažuriranja

WordPress core, teme, plugini — sve mora biti ažurno. 99% hakovanih WordPress sajtova je imalo zastarjeli softver.

5. Backup strategija

Dnevni automatski backup. Čuvajte ih off-site (ne na istom serveru kao sajt). Alati: UpdraftPlus, BackWPup.

6. Security plugin

Preporučujemo Wordfence ili Sucuri — firewall, malware skener, brute force zaštita. Već imate Wordfence instaliran — samo ga konfigurišite.

7. SSL sertifikat

HTTPS je obavezno. Većina hostera nudi besplatan Let’s Encrypt.

8. Ograničite login pokušaje

Blokirajte IP-ove koji pokušavaju više od 5 puta. Većina security plugina ima ovu funkcionalnost.

9. Sakrijte WordPress verziju

Hakeri prvo provjere verziju da nađu ranjivosti. Sakrivanje verzije dodaje sloj obscurity-ja.

10. Minimalno plugina

Svaki plugin je potencijalna ranjivost. Koristite samo one koje stvarno trebate i koji se redovno ažuriraju.

Napredne mjere

• Promijeniti default URL za login stranicu (/wp-admin)
• Disable file editing iz admin panela
• Disable XML-RPC ako ga ne koristite
• Konfigurisati .htaccess za dodatnu zaštitu
• Ograničiti pristup wp-config.php
• Content Security Policy headers

Šta ako je sajt već hakovan

1. Stavite sajt u maintenance mode
2. Identifikujte malware (security plugin ili ručno)
3. Obrišite inficirane fajlove
4. Vratite čist backup
5. Promijenite SVE lozinke (admin, FTP, baza, hosting)
6. Ažurirajte sve
7. Pokrenite full malware scan
8. Obavijestite korisnike ako su im podaci mogli biti kompromitovani

Često postavljana pitanja

Koliko često da radim backup?

Za aktivne sajtove — dnevno. Za statične — nedjeljno.

Da li je WordPress nesiguran po svojoj prirodi?

Ne. WordPress core je jako siguran. Problem su obično plugini i teme, ili loše konfiguracije.

Koliko košta WordPress security?

Osnove su besplatne. Napredne mjere i održavanje obično ulaze u mjesečni maintenance paket.

Treba vam zaštita WordPress sajta?

Asenvirocon obezbjeđuje i održava WordPress sajtove za crnogorske firme — od osnovnog security setup-a do kompletnog monitoring-a 24/7. Zakazite konsultacije → ili pozovite +382 68 090 161.