Održavanje WordPress sajtova

Kad se radi o održavanju sajta najčešće pitanje koje dobijam je; “Šta tu ima da se održava?” Većina posle izrade sajta misli da je time sav posao završen i da će sajt raditi bez problema godinama. Ali nije tako jer održavanje WordPress sajta mora biti redovno. U to spada:

  1. Održavanje WP verzije sajta
  2. Održavanje teme i dodataka
  3. Nadogradnja PHP verzije sajta
  4. Lozinke i korisničke dozvole
  5. Saveti

1. Održavanje WP verzije sajta

WP sistem se nadograđuje nekoliko puta godišnje čime se ispravljaju greške prethodnih verzija. Od hakovanih WordPress stranica, 39,3% je koristilo zastareli WordPress softver u vreme incidenta. Evo podataka Sucuri izveštaja. Takođe i prema WPScan Wulcan Database , ~ 74% poznatih ranjivosti koje su otkrivene nalaze se u osnovnom softveru WordPress-a. Nažalost – samo 62% WordPress sajtova koristi najnoviju verziju, zbog čega su mnoge web stranice i dalje nepotrebno ranjive na napade. Npr. WordPress 4.7.1  je imao više ranjivosti koje su korišćene za napade na sajtove. Ali… nekoliko sedmica pre nego što su te ranjivosti iskorištene, izašao je WordPress 4.7.2  kako bi popravio te nedostatke. Naveo bih i da ako sajt nije održavan duže vremena više se isplati napraviti novi nego ispravljati brojne greške u kodu. Ujedno je to i dobra prilika za redizajn. 

2. Održavanje teme i dodataka 

Jedna od stvari koje ljudi vole kod WordPressa je veliki broj tema i dodataka. U ovom trenutku WordPress  ima više od 56.000 raznih tema i dodataka i stalno izlaze novi.

Teme i dodaci su dobri za korišćenje ali svako proširenje je novi potencijalni ulaz za zlonameran kod. Iako programeri WordPress -a redovno rade  ažuriranja i ispravljaju nedostatke, postoji nekoliko potencijalnih problema:

  • Dodatak ili tema imaju ranjivost i ta ranjivost još nije otkrivena.
  • Programer je prestao da radi na proširenju, ali ga ljudi i dalje koriste.
  • Programer je popravio problem, ali ljudi ga jednostavno ne ažuriraju.

U istraživanju Wordfencea o hakovanim sajtovima, većina vlasnika web stranica koji su znali kako je haker ušao pripisalo je to ranjivosti dodatka ili teme. Iako su ranjivosti već bile zakrpljene – vlasnici web stranica jednostavno nisu ažurirali temu ili dodatak kako bi zaštitili svoj sajt. 

p.s. Da ne bude zabune, sajt može biti hakovan ili zaražen virusom i ako su ažurirane teme i dodaci, ali ako je redovno održavan šanse za tako nešto su mnogo manje.

3. Nadogradnja PHP verzije sajta 

Iako PHP 8 nudi mnoga sigurnosna poboljšanja u odnosu na PHP 7, samo ~ 20% WordPress sajtova koristi PHP 8 ili noviji. Starije verzije kao što je PHP 5 već godinama nemaju sigurnosnu podršku. I pored toga čak ~ 28% WordPress stranica i dalje koristi PHP verzije ispod 5.6, što je veliki problem za sigurnost istih. Ovde se ne radi samo o sigurnosti, novije PHP verzije su brže, stabilnije i mogu izdržati više poseta sajtu u isto vreme.

4. Lozinke i korisničke dozvole

Najčešći pokušaji hakovanja WordPress-a su preko lozinke. To možete otežati korištenjem jakih lozinki koje su jedinstvene za Vaš sajt. Ne samo za administratorsko upravljanje WordPress-a, već i za FTP račune, bazu podataka, WordPress hosting račun i prilagođene adrese e -pošte koje koriste naziv domena vaše web lokacije. Drugi način za smanjenje rizika je da nikome ne date pristup svom WordPress administratorskom nalogu, osim ako to ne morate. Zapamtite, ništa nije 100% sigurno. Ako se vladine web stranice mogu hakovati, onda može i vaša.

5. Saveti

  • Napravite rezervnu kopiju sajta
  • Redovno ažurirajte WordPress softver, pluginove i teme .
  • Instalirajte softver samo sa sigurnih izvora. Ne koristite nulovane teme i dodatake.
  • Ako imate izbor između FTP -a i SFTP -a, uvek koristite SFTP.
  • Koristite jake lozinke za WordPress, kao i za svoje hosting i SFTP naloge.
  • Nemojte koristiti “admin” za svoje korisničko ime.
  • Dodavanjem Cloudflare-a ili Sucurijevog WAF-a Vaš sajt će biti sigurniji.
  • Promenite URL za prijavu u WordPress kako bi izbegli bruteforce napad na sajt.
  • Koristite TLS certifikat (HTTPS) kako bi sva komunikacija s Vašom WordPress web lokacijom bila šifrirana.
  • Koristite SSH ključeve. Ovo pruža sigurniji način prijavljivanja na server i eliminiše potrebu za lozinkom.
  • Izaberite dobar hosting i koristite najnovije tehnologije poput PHP 8, LiteSpeed, Cloudflare…

Ne morate trošiti sate na učenje web dizajna, imati veliki budžet, ili IT odeljenje da biste ažurirali vaš sajt. Ažuriramo Vaš web sajt sa novim alatima,  i funkcijama i radimo izmene po potrebi. Naše usluge održavanja sajta su obimne i sveobuhvatne.