Advanced security measures

Sigurnost

Prevencija je najbolja zaštita: Kako osigurati svoju WordPress web stranicu od napada?

Nikola Čakelić // August 10, 2025

U današnjem digitalnom dobu, vaša web stranica nije samo online prisutnost; ona je temelj vašeg poslovanja, vaša digitalna izložba, pa čak i vaša primarna platforma za prodaju. Za milijune tvrtki diljem svijeta, WordPress je postao preferirani izbor za izgradnju i upravljanje ovom vitalnom imovinom, pokrećući preko 43% svih web stranica globalno. Njegova popularnost proizlazi iz jednostavnosti korištenja, fleksibilnosti i bogatog ekosustava dodataka i tema. Međutim, upravo ta popularnost čini ga primamljivom metom za cyber napadače.  

Kao što je istaknuto u našem prethodnom izvješću, posjedovanje web stranice ili web trgovine više nije prednost, već nužnost za uspješno poslovanje. Ali što se događa kada je ta nužnost ugrožena? Posljedice cyber napada mogu biti razorne: gubitak podataka, financijski gubici, narušen ugled, pad prodaje i gubitak povjerenja kupaca. Zato je prevencija ključna. Sigurnost web stranice nije jednokratni zadatak, već kontinuirani proces. U ovom ćemo članku detaljno istražiti kako možete proaktivno zaštititi svoju WordPress web stranicu od napada, osiguravajući njezin nesmetan rad i dugoročni uspjeh.  

Zašto je WordPress meta napada?

WordPress je, zbog svoje široke rasprostranjenosti, stalna meta cyber napada. Napadači neprestano traže ranjivosti koje mogu iskoristiti. Te ranjivosti često proizlaze iz zastarjelog softvera, loših konfiguracija ili čak previda u postavkama. Ljudski faktor također igra značajnu ulogu, čineći 88% svih incidenata kibernetičke sigurnosti. Pogreške poput korištenja slabih lozinki ili nasjedanja na phishing prevare mogu ostaviti vašu stranicu ranjivom.  

Uobičajeni napadi na WordPress web stranice uključuju:

  • Brute Force napadi: Napadači pokušavaju pogoditi korisnička imena i lozinke koristeći automatizirane alate. Slabi podaci za prijavu olakšavaju im pristup administratorskoj ploči i osjetljivim podacima.  
  • Cross-Site Scripting (XSS) napadi: Jedan od najčešćih i najštetnijih napada, gdje hakeri ubrizgavaju zlonamjerne skripte u vašu web stranicu, često iskorištavajući nedostatak validacije korisničkog unosa.  
  • SQL injekcije (SQLi): Ovi napadi ciljaju bazu podataka vaše WordPress stranice umetanjem zlonamjernih SQL upita u polja za unos, omogućujući napadačima pristup osjetljivim podacima.  
  • Distributed Denial-of-Service (DDoS) napadi: Cilj je preplaviti poslužitelj vaše WordPress stranice prekomjernim prometom, uzrokujući usporavanje ili pad stranice.  
  • Malware i virusi: Zlonamjerni softver dizajniran za infiltraciju i nanošenje štete vašoj WordPress stranici i posjetiteljima. Može uključivati trojanske konje, spyware ili SEO spam.  
  • Phishing napadi: Prevaranti se predstavljaju kao legitimni izvori kako bi prevarili pojedince da otkriju osjetljive informacije poput lozinki ili financijskih podataka.  
  • Enumeracija: Tehnika kojom napadači prikupljaju detaljne informacije poput važećih korisničkih imena ili detalja o OS-u, što im može poslužiti kao početna točka za daljnje napade.  
  • Indeksiranje direktorija: Izlaže osjetljiv sadržaj ako web stranica nema index.html datoteku, otkrivajući strukture direktorija i potencijalno ranjive datoteke.  

Razumijevanje ovih prijetnji prvi je korak prema učinkovitoj obrani.

Temelj sigurnosti: Hosting i ažuriranja

Sigurnost vaše WordPress web stranice počinje s čvrstim temeljima.

Siguran hosting

Odabir pouzdanog i sigurnog hosting providera ključan je. Dobar hosting provider trebao bi nuditi:

  • Vatrozide poslovne klase i DDoS zaštitu: Za filtriranje štetnog prometa prije nego što dođe do vaše stranice.  
  • Automatsko skeniranje i uklanjanje zlonamjernog softvera: Za hvatanje infekcija prije nego što se prošire.  
  • Sigurnu izolaciju poslužitelja: Kako bi se osiguralo da kompromitacija jedne stranice ne utječe na druge.  
  • Automatska ažuriranja softvera i zakrpe: Osiguravajući da je vaše poslužiteljsko okruženje uvijek ažurirano.  
  • Dnevne sigurnosne kopije i opcije vraćanja: Omogućujući vam da odmah vratite svoju stranicu u slučaju napada ili slučajnog gubitka podataka.  
  • Besplatnu SSL enkripciju: Za zaštitu svih podataka razmijenjenih između vaše stranice i posjetitelja.
  • Praćenje rada u stvarnom vremenu: Za otkrivanje problema prije nego što postanu veliki problemi.  

Redovita ažuriranja

Jedan od najjednostavnijih, ali najučinkovitijih načina za poboljšanje sigurnosti WordPressa je redovito ažuriranje svega. To uključuje:  

  • WordPress jezgru: Programeri redovito objavljuju ažuriranja kako bi popravili sigurnosne ranjivosti, poboljšali performanse i dodali nove značajke.  
  • Dodatke (plugins): Zastarjeli dodaci su čest izvor ranjivosti. Uvijek ažurirajte svoje dodatke na najnoviju verziju.  
  • Teme: Kao i dodaci, teme mogu sadržavati ranjivosti ako nisu ažurirane.  

Također, uklonite sve neiskorištene ili zastarjele dodatke i teme sa svoje web stranice, jer mogu predstavljati sigurnosni rizik ako sadrže ranjivosti ili stražnja vrata.  

Sakrivanje verzije WordPressa

Iako je to mala mjera, sakrivanje verzije WordPressa koju koristite može otežati napadačima ciljanje poznatih ranjivosti specifičnih za tu verziju.  

Korištenje najnovije PHP verzije

WordPress se temelji na PHP-u. Korištenje najnovije stabilne verzije PHP-a ne samo da poboljšava performanse vaše stranice, već i zatvara poznate sigurnosne rupe prisutne u starijim verzijama.  

Jačanje pristupnih točaka: Prijava i korisnici

Vaša stranica za prijavu i korisnički računi su primarne mete za napadače.

Jake lozinke i korisnička imena

Ovo je osnovna, ali često zanemarena sigurnosna praksa.

  • Kombinirajte velika i mala slova, brojeve i simbole.  
  • Izbjegavajte osobne podatke poput imena, adrese ili datuma rođenja.  
  • Koristite lozinku dugu najmanje 8 znakova.  
  • Izbjegavajte uobičajene, jednostavne ili ponovno korištene lozinke poput “password123” ili “admin2023”.  
  • Nikada nemojte koristiti zadano korisničko ime “admin”.  
  • Koristite upravitelj lozinki za stvaranje i sigurno pohranjivanje složenih lozinki.  

Dvofaktorska autentifikacija (2FA)

2FA dodaje dodatni sloj zaštite vašem procesu prijave na WordPress. Umjesto da se oslanjate samo na lozinku, 2FA zahtijeva dodatni korak provjere kako bi se osiguralo da samo ovlašteni korisnici mogu pristupiti vašoj stranici. Ovaj drugi faktor je obično jedinstveni kod poslan putem SMS-a, email-a, telefonskog poziva ili generiran putem aplikacije za autentifikaciju. Čak i ako napadač nekako dođe do vaše lozinke, bez drugog faktora ne može pristupiti vašem računu.  

Možete je omogućiti instaliranjem dodatka za 2FA (npr. WP 2FA, miniOrange’s Google Authenticator, Rublon).  

Ograničavanje pokušaja prijave

Ograničavanje broja neuspjelih pokušaja prijave može značajno smanjiti šanse za uspješan brute force napad. Dodaci poput Limit Login Attempts Reloaded mogu vam pomoći u tome.  

Promjena zadane URL adrese za prijavu

Promjena zadane WordPress URL adrese za prijavu (npr. s /wp-admin ili /wp-login.php na jedinstvenu URL adresu) može otežati napadačima pronalazak vaše stranice za prijavu. Dodaci poput WPS Hide Login mogu to olakšati.  

CAPTCHA ili sigurnosna pitanja

Dodavanje CAPTCHA-e ili sigurnosnih pitanja na vašu stranicu za prijavu može odvratiti automatizirane botove od pokušaja prijave.  

Automatska odjava neaktivnih korisnika

Automatska odjava neaktivnih korisnika pomaže u sprječavanju neovlaštenog pristupa ako netko zaboravi odjaviti se. Dodaci poput Inactive Logout mogu to postaviti.  

Definiranje korisničkih uloga i ograničavanje pristupa

WordPress korisničke uloge definiraju što svaka osoba može raditi na nadzornoj ploči vaše stranice. Nedefinirane korisničke uloge mogu otvoriti put zlouporabi. Korisnik s previše privilegija može nenamjerno napraviti štetne promjene, ili, još gore, to može dovesti do namjerne štete ili povrede podataka u rukama nekoga sa zlonamjernom namjerom. Uvijek dodijelite odgovarajuće korisničke uloge i ograničite pristup samo onima kojima je to potrebno (princip najmanje privilegije).  

Konfiguracija datoteka i direktorija: Hardening

Osim osnovnih mjera, “hardening” vaše WordPress instalacije uključuje naprednije konfiguracije datoteka i direktorija.

SSL/HTTPS

Osiguravanje vaše WordPress stranice s SSL-om (Secure Sockets Layer) i HTTPS-om (Hypertext Transfer Protocol Secure) ključno je za zaštitu osjetljivih podataka i izgradnju povjerenja kod vaših posjetitelja. SSL šifrira podatke prenesene između vaše web stranice i njezinih korisnika, sprječavajući neovlašteni pristup informacijama poput podataka za prijavu, osobnih podataka i podataka o plaćanju. Osim sigurnosti, Google je potvrdio da je HTTPS faktor rangiranja za SEO.  

Pravilne dozvole datoteka i direktorija

Nepravilne dozvole datoteka mogu biti velika sigurnosna rupa. Previše dopuštene dozvole su poput ostavljanja vrata vaše kuće širom otvorenima.  

  • Sve datoteke: Trebale bi biti postavljene na 644 ili 640.  
  • Svi direktoriji: Trebali bi biti 755 ili 750.  
  • wp-config.php: Ova je datoteka iznimno osjetljiva i trebala bi imati dozvole 440 ili 400 kako bi se spriječilo da je drugi korisnici na poslužitelju čitaju.  
  • Nikada nemojte koristiti dozvole 777 za bilo koji direktorij, čak ni za direktorije za prijenos datoteka.  

Možete ih promijeniti putem FTP klijenta (npr. FileZilla) ili upravitelja datoteka vašeg hostinga.  

Onemogućavanje uređivanja datoteka iz nadzorne ploče

Onemogućavanje izravnog uređivanja tema i dodataka iz WordPress nadzorne ploče je ključna sigurnosna mjera. To sprječava neovlaštene korisnike ili zlonamjerne skripte da ubrizgaju zlonamjerni kod u vašu stranicu putem ugrađenih uređivača.  

Da biste to učinili, dodajte sljedeći redak koda u svoju wp-config.php datoteku, po mogućnosti ispod retka define('WP_DEBUG', false); i iznad retka /* That's all, stop editing! Happy publishing. */ :  

define( 'DISALLOW_FILE_EDIT', true );  

Onemogućavanje izvršavanja PHP datoteka u određenim direktorijima

Sprječavanje izvršavanja PHP datoteka u direktorijima poput wp-content/uploads (gdje se obično pohranjuju slike i drugi mediji) može spriječiti izvršavanje zlonamjernog koda ako napadač uspije prenijeti zlonamjernu PHP datoteku.  

Promjena prefiksa baze podataka

Zadani prefiks baze podataka za WordPress je wp_. Promjena ovog prefiksa u nešto jedinstveno može otežati SQL injekcije.  

Onemogućavanje indeksiranja direktorija

Indeksiranje direktorija omogućuje posjetiteljima da vide popis svih datoteka i poddirektorija unutar određenog direktorija ako ne postoji index.html datoteka. Onemogućavanje ove značajke sprječava napadače da pregledavaju strukturu vaše stranice i pronađu potencijalno ranjive datoteke.  

Onemogućavanje XML-RPC

XML-RPC je značajka koja omogućuje daljinsku komunikaciju s vašom WordPress stranicom. Iako je korisna za neke aplikacije, može biti i ranjivost za DDoS i brute force napade. Ako je ne koristite, preporučuje se da je onemogućite.  

Zaštita .htaccess datoteke

Datoteka .htaccess je moćna konfiguracijska datoteka koja se koristi na Apache poslužiteljima. Može se koristiti za implementaciju raznih sigurnosnih mjera:

  • Sprječavanje pristupa .htaccess datoteci: Dodajte pravila koja sprječavaju izravan pristup ovoj datoteci.  
  • Ograničavanje pristupa wp-config.php: Dodatna zaštita za vašu konfiguracijsku datoteku.  
  • Onemogućavanje hotlinkinga slika: Sprječava druge web stranice da izravno koriste vaše slike, štedeći propusnost.  
  • Blokiranje skeniranja autora: Sprječava napadače da lako pronađu korisnička imena autora.  

Sigurnosni dodaci i vatrozidi

Iako su ručne konfiguracije ključne, sigurnosni dodaci i vatrozidi pružaju sveobuhvatnu, automatiziranu zaštitu.

Važnost sigurnosnih dodataka

Sigurnosni dodaci nude sveobuhvatnu zaštitu automatskim rješavanjem prijetnji i upozoravanjem na ranjivosti, što olakšava održavanje sigurnosti vaše stranice bez stalnog ručnog nadzora. Oni mogu skenirati datoteke, pratiti ranjivosti, blokirati napade i pružati obavijesti o sigurnosnim prijetnjama.  

Web Application Firewall (WAF)

WAF je ključan alat za osiguravanje vaše WordPress stranice. Filtriranjem i praćenjem dolaznog prometa, WAF djeluje kao barijera između vaše stranice i potencijalnih prijetnji, štiteći je od raznih cyber napada, uključujući SQL injekcije, cross-site scripting (XSS) i distribuirane napade uskraćivanja usluge (DDoS). Blokiranjem zlonamjernog prometa prije nego što dođe do vašeg poslužitelja, WAF osigurava da vaša stranica ostane sigurna i dostupna legitimnim korisnicima.  

Preporučeni sigurnosni dodaci

Neki od najpopularnijih i najučinkovitijih sigurnosnih dodataka za WordPress uključuju:

  • Sucuri Security: Nudi reviziju, skeniranje zlonamjernog softvera i hardening sigurnosti. Poznat je po svojoj sposobnosti brzog ublažavanja DDoS napada.  
  • Wordfence Security: Jedan od najpopularnijih dodataka, nudi robusne značajke sigurnosti prijave (uključujući 2FA, reCAPTCHA), skeniranje zlonamjernog softvera, praćenje ranjivosti i moćan Web Application Firewall.  
  • MalCare Security: Pruža dnevno skeniranje zlonamjernog softvera, proaktivni vatrozid i uklanjanje zlonamjernog softvera jednim klikom.  
  • All In One WP Security & Firewall: Sveobuhvatan dodatak s mnogo značajki za hardening sigurnosti, uključujući provjeru dozvola datoteka.  
  • BulletProof Security: Aktivno razvijen dodatak s mnogo značajki za zaštitu.  
  • Shield Security: Nudi AI-pokretani skener zlonamjernog softvera, zaštitu od brute force napada i automatizirane sigurnosne kopije.  

Mnogi od ovih dodataka nude besplatne verzije s ograničenom funkcionalnošću, što je dobar početak za većinu web stranica.  

Strategija sigurnosnih kopija

Čak i uz najbolje sigurnosne mjere, napadi se mogu dogoditi. Zato je robusna strategija sigurnosnih kopija vaša posljednja linija obrane i ključna za brzi oporavak.  

Zašto su sigurnosne kopije ključne

Ako vaša stranica bude hakirana, sigurnosne kopije su često jedini način da je vratite u prethodno stanje. Omogućuju vam brzi oporavak i minimiziranje zastoja.  

Vrste sigurnosnih kopija

  • Potpune sigurnosne kopije: Uključuju sve datoteke (teme, dodatke, prijenose) i bazu podataka (postovi, stranice, postavke).  
  • Samo baza podataka: Korisno prije ažuriranja jezgre WordPressa ili značajnih promjena sadržaja.  

Metode izrade sigurnosnih kopija

  • Dodaci za sigurnosne kopije: Preporučena metoda za većinu korisnika zbog jednostavnosti i automatizacije. Popularni dodaci uključuju UpdraftPlus, Duplicator, BackWPup i BlogVault. Omogućuju vam zakazivanje automatskih sigurnosnih kopija i pohranu na udaljene lokacije.  
  • Usluge sigurnosnih kopija hostinga: Mnogi hosting provideri nude ugrađene sigurnosne kopije kao dio svojih planova.  
  • Ručne sigurnosne kopije: Za tehnički potkovane korisnike, možete ručno preuzeti datoteke putem FTP klijenta (npr. FileZilla) i izvesti bazu podataka putem phpMyAdmina.  

Lokacije za pohranu

Uvijek pohranjujte sigurnosne kopije izvan stranice (off-site), na sigurnim lokacijama u oblaku poput Google Drivea, Dropboxa ili Amazon S3. To osigurava da su vaše sigurnosne kopije sigurne čak i ako je vaš poslužitelj kompromitiran.  

Automatizacija i testiranje

Postavite redovite, automatizirane rasporede sigurnosnih kopija (dnevno je najbolje, pogotovo za dinamične stranice). Ključno je i testirati proces oporavka kako biste bili sigurni da su vaše sigurnosne kopije funkcionalne i da se stranica može uspješno vratiti.  

Detekcija i uklanjanje zlonamjernog softvera

Unatoč svim preventivnim mjerama, ponekad se infekcije dogode. Brza detekcija i učinkovito uklanjanje su ključni.

Znakovi zaraze zlonamjernim softverom

Budite na oprezu za neobične znakove:

  • Preusmjeravanja na nepoznate stranice ili neželjene pop-upove.  
  • Sporo performanse web stranice.  
  • Google upozorenja poput “Ova stranica je možda hakirana” u rezultatima pretraživanja.  
  • Nepoznate datoteke u vašim WordPress direktorijima ili čudan kod u datotekama tema/dodataka.  
  • Neobično ponašanje prijavljeno od strane posjetitelja.  
  • Čudni pokušaji prijave u logovima poslužitelja ili iznenadni porast prometa.  
  • Nepoznati administratorski računi ili nedavne promjene korisničkih uloga.  

Alati za detekciju

  • Sigurnosni dodaci: Reputabilni dodaci poput Wordfence, Sucuri SiteCheck ili MalCare mogu skenirati vašu stranicu na zlonamjerni softver, ranjivosti i sumnjive promjene.  
  • Ručna inspekcija: Usporedite osnovne WordPress datoteke (npr. wp-config.php, index.php, .htaccess) s čistim kopijama iz službenog WordPress repozitorija. Potražite dodani ili izmijenjeni kod. Provjerite bazu podataka na sumnjive unose (npr. skriptne oznake, iframes, neobične veze). Pregledajte korisničke račune i logove poslužitelja.  

Uklanjanje zlonamjernog softvera

Nakon detekcije, imate nekoliko opcija:

  • DIY pristup (uradi sam): To uključuje sigurnosno kopiranje vaše web stranice, a zatim ručno traženje sumnjivog koda ili korištenje skenera zlonamjernog softvera za pronalaženje zlonamjernog koda kako biste mogli ukloniti ili popraviti zaražene datoteke. To može uključivati zamjenu svih osnovnih WordPress datoteka čistom instalacijom, uklanjanje zlonamjernog koda iz   wp-config.php, ponovnu instalaciju čiste verzije vaše teme i čišćenje hakiranih baza podataka.  
  • Profesionalne usluge uklanjanja zlonamjernog softvera: Ako ne želite sami rješavati zlonamjerni softver, možete platiti profesionalne usluge. Tim stručnjaka istražit će incident zlonamjernog softvera i ukloniti zlonamjerni sadržaj s vaše stranice. Ovo se preporučuje ako vodite posao na WordPressu, pogotovo ako ste zabrinuti za zaštitu korisničkih podataka.  

Uvijek napravite sigurnosnu kopiju svoje web stranice prije pokušaja uklanjanja zlonamjernog softvera kao sigurnosnu mjeru.  

Zaključak

Sigurnost vaše WordPress web stranice nije samo tehnička obveza; to je strateška investicija u dugoročni uspjeh i ugled vašeg poslovanja. Kao što smo vidjeli, prijetnje su stvarne i stalno se razvijaju, ali s proaktivnim pristupom i pravilnim alatima, možete značajno smanjiti rizik.

Od odabira sigurnog hostinga i redovitog ažuriranja softvera, preko jačanja pristupnih točaka jakim lozinkama i dvofaktorskom autentifikacijom, do naprednih konfiguracija datoteka i korištenja moćnih sigurnosnih dodataka – svaki korak doprinosi robusnijoj obrani. Ne zaboravite na ključnu ulogu redovitih sigurnosnih kopija; one su vaša mreža spasa u najgorem scenariju.

U N&S Web Architects razumijemo složenost digitalnog krajolika i nudimo sveobuhvatna rješenja za izradu web stranica, web trgovina, SEO optimizaciju i, što je najvažnije, kontinuirano održavanje i sigurnost. Naš cilj je osnažiti vaše poslovanje da postigne digitalni uspjeh osiguravajući vašu online vidljivost i sigurnost.  

Ne čekajte da se napad dogodi. Prevencija je doista najbolja zaštita. Ako trebate profesionalnu pomoć u osiguravanju ili održavanju vaše WordPress web stranice, slobodno nas kontaktirajte.

Reference
  • https://www.networksolutions.com/blog/how-to-secure-wordpress-site/
  • https://www.virtubox.io/blog/web-development-challenges
  • https://kinsta.com/blog/wordpress-security/
  • https://www.ladybugz.com/25-major-website-pain-points-an-ultimate-guide-for-2022/
  • https://www.wpzoom.com/blog/wordpress-security-issues/
  • https://getshieldsecurity.com/blog/wordpress-attacks/

Povezane objave