Kaj je CSRF ranljivost WordPressa?

CSRF (Cross-Site Request Forgery znan tudi kot Napad z enim klikom ) je napogostejša ranljivost na vtičnikih in temah.

Verzije starejše od 4.0. so ranljive za CSFR – posodobite svoj WP!

Kako lahko uporabimo NONCE?

NONCE (Number used ONCE) .NONCE se uporablja na zahtevo in prepreči nepooblaščen dostop tako, da uporabi skrivni “ključ” in to preveri vsakič, ko se uporabi koda.

Nonce lahko ustvarite in ga dodate v niz poizvedb v URLju, lahko ga dodate v skrito polje v formi ali ga uporabite kako drugače. Če ga boste uporabili v AJAX-u potem ga dodajte v skrito polje, iz kjer ga JavaScript lahko pridobi.

Upoštevati je potrebno, da so Nonce-nci edinstveni za trenutnega uporabnika seje, tako da, če se le ta logira ali odlogira asinhrono noben Nonce-ns na strani ne bo več veljaven.

Kako ga uporabite?
https://codex.wordpress.org/WordPress_Nonces

1. DODAJANJE

  • Dodajanje v URL

Kličite
wp_nonce_url()
navedite čisti URL in niz, ki predstavlja dejanje.

Primer: $complete_url = wp_nonce_url( $bare_url, ‘trash-post_’.$post->ID );

Poskrbite, da bo niz, ki predstavlja dejanje kar se da natančen.

wp_nonce_url() privzeto doda polje z imenom
 _wpnonce,
ime lahko spremenite pri klicu funkcije:
$complete_url = wp_nonce_url( $bare_url, ‘trash-post_’.$post->ID, ‘my_nonce’ );

  •  Dodajanje v formo

Kličite
wp_nonce_field()
natančno določite niz, ki predstavlja dejanje.
wp_nonce_field() privzeto generira dva skrita polja (eno katerega vrednost je Nonce in enega katerega vrednost je trenuten URL (the referrer), kar se odraža kot rezultat)).

Napr:
wp_nonce_field( ‘delete-comment_’.$comment_id );
Morda celo nekaj takega:
<input type=”hidden” id=”_wpnonce” name=”_wpnonce” value=”796c7766b1″ />
<input type=”hidden” name=”_wp_http_referer” value=”/wp-admin/edit-comments.php” />
Bolj podrobno: https://codex.wordpress.org/Function_Reference/wp_nonce_field

Poskrbite, da bo niz, ki predstavlja dejanje karseda natančen.

  • Ustvarjanje Nonce-nsa za uporabo na drug način

Kličite
wp_create_nonce()
natančno določite niz, ki predstavlja dejanje.

Napr:
$nonce = wp_create_nonce( ‘my-action_’.$post->ID );
Kar enostavno vrne nazaj Nonce:
Napr: 295a686963

2. PREVERJANJE

  •  Nonce, ki je bil poslan v URL iz admin zaslona

Kličite
check_admin_referer()
natančno določite niz, ki predstavlja dejanje.

Napr: check_admin_referer( ‘delete-comment_’.$comment_id );

Ta klic preverja Nonce in napotitelja (referrer), če pregled ni uspešen potem se izvede normalna akcija (zaključeno izvjanje skript s “403 Forbidden” odzivom in sporočilo o napaki).

Če niste uporabili privzetega imena polja  (_wpnonce), ko ste ustvarili Nonce, potem določite ime polja:
check_admin_referer( ‘delete-comment_’.$comment_id, ‘my_nonce’ );

  • Nonce, ki je bil poslan v AJAX zahtevo

Za preverjanje kličite
check_ajax_referer()
natančno določite niz, ki predstavlja dejanje.

Napr: check_ajax_referer( ‘process-comment’ );

Če niste uporabili privzetega imena polja (_wpnonce ali _ajax_nonce), ko ste ustvarili Nonce lahko določite dodatne parametre.
Za več glejte: https://codex.wordpress.org/Function_Reference/check_ajax_referer

  • Preverjanje nonce-nsa za uporabo na drug način

Kličite
wp_verify_nonce() določite nonce in niz, ki predstavlja dejanje.

Napr: wp_verify_nonce( $_REQUEST[‘my_nonce’], ‘process-comment’.$comment_id );

Če je rezultat napačen ne nadaljujete s procesom, raje kličite wp_nonce_ays(), kar bo naredilo “403 Forbidden” odziv v brskalniku z error sporočilom: “Are you sure you want to do this?”.

3. SPREMINJANJE NONCE SISTEMA

Nonce sistem lahko prilagodite tako, da dodate različna dejanja in filtre.

  • Spreminjanje Error sporočila

function my_nonce_message ($translation) {
 if ($translation == ‘Are you sure you want to do this?’)
    return ‘No! No! No!’;
  else
    return $translation;
  }

add_filter(‘gettext’, ‘my_nonce_message’);

  • Izvajanje dodatne verifikacije (preverjanja)

Dodajte
check_admin_referer dejanje.
Napr:
function my_additional_check ( $action, $result ) { … }
add_action( ‘check_admin_referrer’, ‘my_additional_check’, 10, 2 );

Za pregled check_ajax_referer() dodaj check_ajax_referer dejanje na isti način.

  • Spreminjanje Nonce Lifetime

Privzeto ima Nonce “življensko dobo” enega dneva, po tem času Nonce ni več veljaven četudi se ujema z nizom dejanj (akcije).

Če želite spremeniti lifetime dodajte
nonce_life
filter in določite lifetime v sekundah.

Napr:
add_filter( ‘nonce_life’, function () { return 4 * HOUR_IN_SECONDS; } );

4. VARNOST

Nonce je generiran tako, da uporablja KEY in SALT, ki sta edinstvena za vašo stran, če ste namestili WP pravilno.
Definirana sta v wp-config.php datoteki (datoteka vsebije komentarje, ki vam bodo dali več informacij).

Nonce se nikoli ne sme sklicevati na avtentikacijo ali avtorizacijo kontole dostopa.
Zaščitite funkcijo z uporabo current_user_can().

Vtičniki za zaščito:

Zadnje ranljivosti lahko spremljate na:

 

Viri:

Kako preusmerim svojo WordPress spletno stran iz HTTP na HTTPS

Ko imate na strežniku nameščen SSL certifikat za varno povezavo preko HTTPS je potrebno vašo spletno stran preusmeriti iz HTTP na HTTPS.

Na primer, da imate domeno vasadomena.nekaj, ki se prikazuje takole; http://www.vasadomena.nekaj

Spletno stran ustvarjeno v WordPress lahko preusmerite na dva načina:

  • preko vtičnika (plug-in) ali
  • preko .htaccess datoteke, ki se nahaja na vašem strežniku.

Ko boste preusmerili vašo spletno stran na HTTPS se bo vaša povezava prikazovala takole; https://www.vasadomena.nekaj
 

POZOR, VAŠA DOMENA MORA IMETI SSL CERTIFIKAT!
SSL certifikati so vam na voljo na naši spletni strani > SSL certifikati
Pri izbiri pravega vam z veseljem pomagamo, pišite nam na info@zabec.net.

  • Preusmeritev spletne strani preko vtičnika (plug-in)

Če ste začeli z uporabo SSL od prvega dane objave vaše spletne strani, potem so že vse statične datoteke (npr. slike) že objavljene tako, da uporabljajo HTTPS.

Če ste si uredili SSL certifikat kasneje, pa imate spletno stran na kateri je veliko statičnih datotek, ki so objavljene na strani z »NON-HTTPS«, torej HTTP naslovi. V tem primeru jih boste morali spremeniti. Če tega ne uredite bo brskalnik prikazal opozorilo o varnostni težavi, tudi če imate na samem strežniku že nameščen SSL certifikat.

Vtičnik »Easy HTTPS Redirection Plugin« vam omogoči, da lahko »na silo« preusmerite statične datoteke na varno povezavo, HTTPS. Tako bo vaša spletna stran v celoti združljiva s SSL certifikatom.

Uporaba vtičnika omogoči samodejno preusmeritev na HTTPS (Enable automatic redirection to the HTTPS).

Ko omogočite to možnost se bo vaša spletna stran http://www.vasadomena.nekaj avtomatsko preusmerila na varno povezavo https://www.vasadomena.nekaj , tako vas bodo obiskovalci vaše spletne strani obiskali preko varne povezave.

Ko namestite vtičnik, ga poiščite v Nastavitvah (Settings) in izberite HTTPS Redirection.

Ko imate pred seboj nastavitve vtičnika pri prvi izbiri določite, da se vaša stran usmeri na HTTPS, pri drugi izbiri pa omogočite, da se vse statične datoteke (slike) prikazuje preko HTTPS povezave.

Vtičnik vas vpraša ali želite preusmeriti celotno stran na HTTPS ali samo določene strani – izberite preusmeritev celotne strani (Whole page) in kliknite Shrani (Save).

  • Preusmeritev vaše spletne strani preko .htaccess datoteke

Če želite vašo spletno stran preusmeriti »ročno« na varno povezavo HTTPS, to storite z urejanjem .htaccess datoteke na vašem gostovanju in pa z urejanjem povezave v administraciji WordPress-a vaše spletne strani.

V administraciji spletne strani poiščite Nastavitve (Settings) in Splošno (General) – Tukaj uredite Naslov za WordPress ((URL) (WordPress Address (URL)) in Naslov spletišča ((URL) (Site Address (URL))

Uredite jih tako, da pri http://www.vasadomena.nekaj spremenite http v https.

Ko ste naredili sledeče, morate v kontrolni plošči urediti še .htaccess datoteko – odprete .htaccess datoteko, ki se nahaja v public_html mapi in čisto na začetku dodate naslednje vrstice:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.vasadomena.nekaj/$1 [R,L]

</IfModule>

Bodite pozorni, da »https://www.vasadomena.nekaj« spremenite v vašo kupljeno domeno.

V wp-config.php dodamo še zapis:

define(‘FORCE_SSL_ADMIN’, true);

Čisto na koncu pa ne pozabite dodati vašo https stran ponovno v Google Webmaster Tools, tako boste Googla obvestili o spremembi, ki ste jo naredili.

10 najpogostejših WordPress napak (errors) in rešitve zanje

Pred odpravo napak ali spreminjanjem si ustvarite backup!

1.     Internal Server Error ali tudi “500 Internal Server Error”

Takšna napaka se pojavi kadar strežnik ne more idetificirati težave. Ker nam tudi sama napaka tako ne pove kje iskati težavo je iskane rešitve oteženo, vendar ne nemogoče.

Napaka je največkrat povezana:
* s funkcijami vtičnikov ali teme,
* s PHP memory limit ali
* corrupted .htaccess file.

Možne rešitve

Corrupted .htaccess file > probajte preimenovati glavno .htaccess datoteko v nekaj drugega, naprimer .htaccess_new ali .htaccess_old
Ko ste datoteko preimenovali ponovno osvežite vašo spletno stran.
V kolikor je to pomagalo ne pozabite preimenovati Permalinkov (Settings > Permalinks > Save).

PHP memory limit > Glejte rešitev za napako pod številko 6

Če vidite to napako izključno takrat, ko se želite prijaviti v WP admin ali kadar želite naložiti sliko v wp-admin potem poizkusite sledeče:
1. Ustvarite prazno tekstovno datoteko imenovano php.ini
2. Prilepite kodo memory=64MB vanjo
3. Shranite
4. Preko FTPja jo naložite v /wp-admin/ folder
Ta napaka se zgodi kadar nekaj izčrpava vaš spomin, navadno je to slaba koda vtičnika ali teme.

Vtičniki (Plugins) > v kolikor nič drugega ni delovalo je napaka skoraj sigurno povezana z enim od vaših naloženih vtičnikov ali morda v nekompatibilnosti dveh različnih vtičnikov, ki sta vključena istočasno.
Deaktivirajte vse vaše vtičnike naenkrat. Če se napaka ne pojavi več, potem ste skoraj že odkrili vzrok. Vključite vtičnik po vtičnik nazaj, tako boste našli tistega (ali kombinacijo), ki vam povzroča težave.
Najbolje je, da takšno napako prijavite avtorju vtičnika, da jo ta lahko odpravi.

V kolikor zaradi napake ne morete dostopati do same administracije, lahko vtičnike deaktivirate tudi ročno, tako da se na strežnik povežete preko FTP protokola in preimenujete mape, ki se nahajajo v wp-content/plugins/ mapi. Vsaka mapa je svoj vtičnik, ko mapo preimenujete (npr. myplugin v myplugin_test) se vtičnik avtomatično deaktivira.

Če nič od tega ne pomaga je najbolje, da preverite error log v vaši kontrolni plošči gostovanja, za kar je najbolje, da se obrnete na razvijalca.

2.    Syntax Error

Napaka se največkrat pojavi, ko preizkušamo kaj novega na naši WP strani, posebej pogosta je pri začetnih uporabnikih, navadno gre za to, da smo pozabili kakšno piko, oklepaj…prav tako pa je to za začetnike tudi najbolj straša nakapa, saj povzroči nedosegljivost spletne strani….vendar brez panike.

Poglejte si najpogosteše napake, ki ste jih lahko storili tukaj.

Možne rešitve

Da napako lahko odpravite je potrebno popraviti kodo kar lahko storite preko FTPja. Prijavite se preko FTPja na vašo stran ter poiščite datoteko, ki jo je potrebno poraviti. V kolikor ste vmes pozabili kje se ta koda nahaja poglejte error code > napaka vam bo pokazala v kateri datoteki in katero vrstico kode je potrebno popraviti.

Kodo, ki ste jo nazadnje dodali in je pokvarjena lahko odstranite ali jo popavite. Ko boste storili željeno, shranite stvari ter jih popravljene naložite nazaj na strežnik. Osvežite vašo stran.

Kako uporabljati FTP (Prav tako kot na posnetku, tudi mi priporočamo Filezillo.)

3.    Error Establishing a Database Connection

Kot že sama napaka pove se stran ne more povezati s podatkovno bazo.
To se največkrat zgodi zaradi napačnih vstopov ali prilagoditev v database host, database username in database password.

1. Preverite ali se vam pojavi enaka napaka na front-end (stran) in back-end (wp-admin) > “Error establishing a database connection”.

Možne rešitve

Database password sprememba


Database username


Database host


2. Če napaka ni enaka potem boste morali popraviti vašo podatkovno bazo.
Kar lahko storite tako, da dodate vrstico
define(‘WP_ALLOW_REPAIR’, true); v wp-config.php. pred stavkom ‘That’s all, stop editing! Happy blogging’

Ko ste to storili pojdite na
http://www.vasastran.koncnica /wp-admin/maint/repair.php
Uporabite možnost Repair and Optimize Database. Po tem ne pozabite odstraniti Repaira iz vašega wp-config.php.

4. White Screen

Ena najbolj nadležnih napak, ki ne pokaže težave, poleg tega pa vas še zaklene ven iz WP kontrolne plošče.

1. Če ste stran nalagali na strežnik in se vam pojavi bela stran potem je vrjetno prišlo do napake v izvajanju PHP kode, bodisi zaradi manjkajočega modula ali zaradi napake.  Prvi korak je iskanje vzroka za kar vam bo v veliko pomoč “error log”, ki ga najdete v kontrolni plošči gostovanja.

2. Če se vam kar naenkrat pokaže bela stran pa je pri WP največkrat takšna težava zaradi PHP memory limit, napačno delovanje vtičnika ali slabe kode teme, ki jo uporabljate.

Možne rešitve

Povečajte PHP memory limit, če to ni pomagalo (ali je vaš limit že nastavljen na 256M oz. 512M) potem preverite vtičnike. Izklop in počasen vklop vseh vtičnikov (podroben opis najdete pri napaki pod številko 1), če še to ne reši težave probajte vašo temo nadomestiti s privzeto temo.

Kako nadomestim mojo temo s privzeto?
Naredite backup datoteke Theme folder. Nato izbrišite temo, WP bi tako moral avtomatsko namestiti privzeto temo na vašo stran.

V kolikor nič od naštetega ni pomagalo si z izkanjem napake lahko pomagate tudi tako, da uporabite WordPress debug function.
Spodnjo kodo dodajte v wp-config.php.
Na vašem sedaj praznem zaslonu se vam bodo pokazale vse napake.
1         error_reporting(E_ALL); ini_set(‘display_errors’, 1);
2
3         define( ‘WP_DEBUG’, true);

Pri whitescreenu je velikokrat lahko napaka tudi na vtičniku
Torej v poštev pride ista zgodba z ročnim izklopom in vklopom vtičnikov kot je omenjeno že zgoraj.

5.    404 Error

Zelo pogosta napaka, ki se navadno pojavi samo na eni objavi (ne na celi strani), toraj, ko uporabnik klikne na neko vašo objavo na strani, se pojavi 404 napaka.

To se navadno zgodi, če se je izbrisala datoteka .htaccess ali je šlo nekaj narobe pri prepisu pravil.

Možne rešitve 

Težavo običajno reši popravek nastavitev Permalinkov.

V svojem WP adminu pojdite pod Settings > Permalinks > Save changes (ne spreminjajte ničesar, ubistvu samo shranite nespremembo).
To bo enostavno posodobilo vaše permalinke in ponovno zagnalo prepis pravil.
V večini primerov to reši 404 napako. V kolikor je ne, potem morate najvrjetneje posodobiti ročno svojo .htaccess datoteko.

6. Memory Exhausted Error – Increase PHP Memory

Kadar vaša koda zahteva več spomina, kot je nastavljeno privzeto (kar je navadno 64MB) se vam bo pojavila sledeča napaka:

Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 2348617 bytes) in /home4/xxx/public_html/wp-includes/plugin.php on line

Možne rešitve

Spremeniti je potrebno wp-config.php datoteko vaše WP strani kar boste najlažje naredili s FTP clientom ali File Manager, ki se nahaja v kontrolni plošči gostovanja.

Prilepite kodo
define( ‘WP_MEMORY_LIMIT’, ‘256M’ );
v wp-config.php tik pred vrstico ‘That’s all, stop editing! Happy blogging.’
Kar pomeni, da ste povečali limit na 256 MB.

7. Image Upload Issue

Se vam slike v medijski knjižnici ne prikazujejo? Potem gre najvrjetneje za napačna dovoljenja kar lahko popravite preko FTP clienta (priporočamo FileZillo).

Možne rešitve

Povežite se z vašo spletno stranjo preko FTP clienta > poiščite mapo /wp-content/ > /uploads/ > v njem je file permissions.

1. Prvo si morate nastaviti dovoljenje za nalaganje > nastavite
*Numeric value na 744 (v kolikor ne bo delovalo probajte 755)
*Owner permissions > obkljukate Read, Write in Execute
* Group permissions > obkljukajte Read
* Public permissions > obkljukajte Read
* Obkljukajte Recurse into subdirectories ter Apply to directories only > OK


2. Potem morate nastaviti dovoljenje za vse datoteke v upload direktoriju
* Kliknite na uploads directory ter izberite Permissions
* Nastavite kot kaže slika


Tako sedaj se prijavite nazaj v vaš WP in naložite slikice.

8. Not Sending Email Issue

Vaša WP spletna stran ne pošilja spletne pošte. Za rešitev si je najlažje ogledati videoposnetek ter slediti navodilom v njem.

9.     Error Too Many Redirects

Pogosta napaka s katero se sreča skoraj vsak uporabnik WP, pojavi se zaradi napačno nastavljenih preusmeritev.

Sam WP, ki je SEO prijazen uporablja redirecte, prav tako jih uporabljajo nekateri vtičniki (napr. WordPress SEO, Cache…). V kolikor pride do napačno nastavljenih preusmeritev v enem od teh orodij se kaj hitro lahko zgodi, da stran prične preusmerjati uporabnike na URL, ki jih potem spet prav za prav preusmerja na klicani (že preusmerjeni) URL. V tem primeru se vaš brskalnik ujame v zanko dveh strani in se vam pojavi omenjena napaka.

Možne rešitve

To lahko rešite v wp-config.php datoteki preko FTP clienta. Ko ste tako povezani na vašo stran, poiščite wp-config.php > prenesite in uredite (download and edit) datoteko (najbolje z uporabo Notepd).
Dodajte sledeči dve vrstici datoteki:
1             define(‘WP_HOME’,’http://example.com’);
2             define(‘WP_SITEURL’,’http://example.com’);
example.com nadomestite s svojo domeno. Shranite spremembo in naložite datoteko nazaj na strežnik.

Probajte sedaj dostopiti do vaše WP strani, v kolikor še vedno ne deluje poizkustite s spremembo z dodanim www. na obeh vrsticah.

Zgoraj opisano lahko naredite tudi preko wp-admina.
Pojdite pod General Settings in poskrbite, da bosta Site URL in WP URL enaka, toraj brez www ali z www ter ista domena.

10.  Fatal Error: Maximum Execution Time Exceeded

WordPress je kodiran v PHP programskem jeziku. Za zaščito spletnih strežnikov pred zlorabo je določen rok, koliko časa lahko teče PHP skripta na strežniku.

Nekateri ponudniki gostovanj imajo te vrednosti na najvišji možni čas medtem, ko drugi na nižji čas. Ko skripta doseže maksimalen možen čas za izvedbo storitev je posledica napaka, da je »it results into maximum execution time exceeded error.« 
Presežen maksimalen čas izvajanja skripte

Možne rešitve

Obstajata dva načina kako lahko odpravimo napako. Prvi način je, da ročno uredimo .htaccess datoteko in drugi način tako, da enako lahko to storite s vtičnikom.

.htaccess datoteka se nahaja na vašem strežniku v enaki mapi kot je /wp-content in /wp-admin. V kodi je napisano, da je maksimalen čas izvedbe nastavljen na 300  sekund oz. 5 minut. Če se vam pojavi zgoraj opisana napaka, to vrednost nastavite na 600 sekund.

Če vam metoda preko .htaccess datoteke ne odgovarja, si lahko naložite WP Maximum Execution Time Exceeded vtičnik. Vtičnik avtomatično prilagaja vrednosti na 300 sekund.
Vir: http://www.wpbeginner.com/wp-tutorials/how-to-fix-error-too-many-redirects-issue-in-wordpress/

Kaj upočasnjuje mojo WordPress spletno stran?

WordPress spletne strani so mnogokrat počasne zaradi slabe optimizacije slik in kode, počasne izbrane teme, video posnetkov ali hotlinkov, velikokrat pa je stran počasna tudi zaradi samih vtičnikov, ki jih uporabljamo (ali ne).

Zakaj so ravno vtičniki lahko problem?
Vtičniki so lahko slabo konfigurirani (posamezne vtičnike so razvili/napisali različni razvijalci, ki imajo različno dobre vrline programiranja) ali pa smo jih namestili preveč (omejite se na največ 15 vtičnikov).

Vas zanima kateri vtičniki najbolj upočasnjujejo vašo spletno stran?
Namestite si Plugin Performance Profiler ali krajše kar P3, z njim boste hitro ugotovili kateri vtičnik vas upočasnjuje.

Vtičnik deluje na Firefoxu, Chromu, Operi, Safariju in IE9 (ali višja različica, na nižji ne bo deloval).

Namestitev: https://srd.wordpress.org/plugins/p3-profiler/

Po skeniranju vtičnika vaše spletne strani boste lahko na gornji strani opazili sledeče informacije – koliko vtičnikov je trenutno aktivnih na vaši strani, koliko časa je posvečenega samemu nalaganju teh vtičnikov, koliko MySQL poizvedb se izvede na obisk.


Runtime by Plugin
Prikaz najbolj potratnih vtičnikov v obliki kolača

Detailed Breakdown
V tej kategoriji si boste lahko ogledali čas, ki ga porabi vsak vaš vtičnik, tema, jedro WordPressa.

Ogledate si lahko Simple Timeline (enostavno časovnico) in Detailed Timeline (bolj kompleksno časovnico) kjer si lahko prilagajate posamezne elemente tako, da lahko dejansko ugotovite kaj in za koliko upočasnjuje stran.

Query Timeline – ugotovite kaj povzroči oz. generira največ pozivedb.

Advanced Metrics – natančnejši časovni pregled strani, ki vam pove kje se časovno gibljete (nad povprečjem, v povprečju ali pod povprečjem).

Tako, sedaj se boste lažje odločili kateri plugin (vendar ne za vsako ceno) je potrebno odstraniti.
Vsekakor obdržite varnostne vtičnik, cache vtičnik, spam vtičnik ter se poizkušajte omejiti na največ 15 vtičnikov.
Tudi ta plugin po koncu skeniranja odstranite.

TOP 3 WordPress varnostni vtičniki

26. januarja so pri WordPressu izdali 4.7.2. security release, saj ima različica 4.7.1. kar nekaj večjih varnostih težav (med njima sta tudi SQLi ter XSS ranljivost).
Predlagamo vam, da v kolikor vaše WP splete strani še niste posodobili, da to naredite nemudoma.
Zakaj? bi se vprašali nekateri. Prav zato, da vam ne vdrejo v vašo spletno stran, vam jo ne izmaličijo in uporabijo med drugim tudi za napad na druge strani.

Poleg rednega posodabljanja in spremljajna novosti, pa vam prav tako predlagamo, da vašo WP stran zaščitite.

Predstavljamo vam (po našem mnenju) 3 najboljše varnostne vtičnike za WordPress spletne strani.
Razvrstitev vtičnikov je naključna.

Wordfence Security

Ocena: 4,8

Cena: brezplačen
(seveda pa vam ponujajo proti plačilu prav tako Premium API key s katerim pridobite premium podporo, Country Blocking, Scheduled Scans, Password Auditing, real-time updates, dvo stopenjsko avtentikacijo in preverbo vašega lastnega IP naslova-če je uporabljen pri spamanju).

Poganja ga stalno posodobljen Threat Defense Feed, njihov Web Application Firewall pa preprečuje poizkuse vdora v WP stran. Ob skeniranju strani prejmete obvestilo (na vaš email) v kolikor se dogaja karkoli čudnega, ki bi lahko ogrozilo vašo stran, prav tako pa imate možnost Live Traffic views.

Najpogostejše vprašanje, ki se pojavlaj pri tem vtičniku je:
Kaj pa, če so v mojo stran že vdrli, mi bo Wordfence pomagal?
Vtičnik ima možnost popravljanja jedra, tem in vtičnikov.
Vendar vam priporočajo, da najprej očistite vašo spletno stran potem pa ga namestite ter opravite skeniranje.

Namestitev: https://wordpress.org/plugins/wordfence/

Sucuri Security

Ocena: 4,5

Cena: brezplačen
(proti plačilu vam nudijo tudi antivirusni program, čiščenje varnostnih lukenj…)

Sucuri je svetovno znana znamka, podjetje, ki se ukvarja s spletno varnostjo, vendar so se prav bolj osredotočili na WordPress varnost.

Ponuja vam 7 glavnih varnostnih funkcij:

  • Security Activity Audit Logging
  • File Integrity Monitoring
  • Remote Malware Scanning
  • Blacklist Monitoring
  • Effective Security Hardening
  • Post-Hack Security Actions
  • Security Notifications

Namestitev: https://wordpress.org/plugins/sucuri-scanner/

BulletProof Security

Ocena: 4,7

Cena: brezplačen
(pro funkcije so vam na voljo proti plačilu – naprimer: HTTP error login, AutoRestore, Skin Changer, Plugin Firewall…)

Ponujajo celostno rešitev, od Firewall varovanja (.htaccess Website Sucurity Protection…), varne prijave (Login Security and Monitoring…), backupa (Full, Partial, Manual…)…prav tako se ujema z vsemi tipi gostovanj (deljeno, reseller, VPS…).
Nadgradite ga lahko s BPS Speed Boost Chace Code.

Namestitev: https://wordpress.org/plugins/bulletproof-security/