WordPress sigurnost: kako zaštititi stranicu od hakera

Utorak, sedam i deset ujutro. Točite prvu kavu i usput otvarate svoju stranicu, čisto da provjerite jučer objavljenu ponudu. Umjesto naslovnice dočeka vas zid reklama za tablete, na turskom. U Google rezultatima ispod vašeg imena stoji upozorenje da je stranica možda hakirana. Telefon već zvoni: kupac pita kakav mu je to čudan mail stigao s…

Utorak, sedam i deset ujutro. Točite prvu kavu i usput otvarate svoju stranicu, čisto da provjerite jučer objavljenu ponudu. Umjesto naslovnice dočeka vas zid reklama za tablete, na turskom. U Google rezultatima ispod vašeg imena stoji upozorenje da je stranica možda hakirana. Telefon već zvoni: kupac pita kakav mu je to čudan mail stigao s vaše adrese. WordPress sigurnost upravo je postala vaša najhitnija tema, točno sedam minuta prije prvog sastanka.

Ovakva jutra ne događaju se velikim korporacijama s IT odjelom. Događaju se salonu, apartmanima, knjigovodstvenom servisu, obrtu s pet zaposlenih. Ljudima koji su bili sigurni da su premali da bi ikoga zanimali. Ako ste to pomislili barem jednom, ovaj vodič pisan je za vas.

U nastavku dobivate cijeli sustav WordPress sigurnosti, bez tehničkog žargona: šest mjera koje zaustavljaju veliku većinu napada, tablicu prijetnji i obrana, mjesečnu checklistu od 15 minuta i točan redoslijed poteza ako se provala ipak dogodi. Pisano za vlasnika, ne za programera.

Tehničar poboljšava WordPress sigurnost poslovne web stranice

Što ćete pronaći u ovom vodiču

“Mene nema tko hakirati, premali sam”: rečenica koju botovi obožavaju

Krenimo od mita koji ošteti više hrvatskih stranica nego sve ranjivosti zajedno. “Tko bi hakirao servis za klime iz Zadra?” Zvuči razumno. I promašeno je u samoj srži, jer pretpostavlja da s druge strane sjedi čovjek koji vas je odabrao. Ne sjedi. WordPress sigurnost počinje rušenjem upravo te zablude.

Veliku većinu napada izvode automatizirani botovi, programi koji češljaju internet kao skener registarskih tablica: milijune adresa dnevno, bez imena i bez lica. Bot traži jedno: poznatu rupu. Zastarjeli dodatak, lozinku iz 2019., otključana vrata za prijavu. Kad je nađe, uđe. Svejedno mu je iznajmljujete li apartmane u Zadru ili prodajete vijke u Varaždinu.

Ne vjerujete? Zamolite bilo koga tko održava stranice da vam pokaže dnevnik prijava. Vidjet ćete pokušaje iz pola svijeta, u tri ujutro, na stranici lokalnog obrta koji se nikad nije oglašavao dalje od svoje županije. To nije osobno. To je industrija.

A što će ikome vaša mala stranica? Puno toga. Ona je resurs: s nje se šalje spam, na njoj se skrivaju lažne stranice banaka, u tekstove se ubacuju linkovi prema kockarnicama, a server u pozadini rudari kriptovalute. Vi plaćate hosting, netko drugi ga koristi. Veličina vašeg posla u tom računu ne postoji.

Zato sigurnost WordPress stranice nije pitanje “hoće li netko pokušati”. Pokušat će, vjerojatno još danas. Pravo pitanje glasi: što će zateći kad pokuša?

Što vas hakirana stranica stvarno košta (popravak je najjeftinija stavka)

Prva pomisao uvijek je trošak popravka. Paradoksalno, to je najmanji dio računa. Hakirana stranica naplaćuje se kroz kanale koje ne vidite odmah, i zato boli mjesecima.

  • Pad Google pozicija: čim Google nanjuši spam ili malware, pozicije koje ste gradili godinama počnu toniti. Oporavak se mjeri mjesecima, ne danima.
  • Crvena stranica upozorenja: preglednik posjetitelje dočeka porukom da stranica vara ili širi zlonamjerni softver. Rijetko tko klikne “svejedno nastavi”.
  • Mailovi u spamu: zaražena stranica šalje spam, vaša domena završi na crnim listama, a onda ni vaše regularne ponude više ne stižu kupcima u inbox.
  • Slomljeno povjerenje: kupac koji je jednom vidio upozorenje na vašoj stranici dvaput će razmisliti prije nego vam ostavi broj kartice ili upit.
  • Trošak čišćenja: hitna intervencija stručnjaka pod pritiskom uvijek košta više od godine mirnog, urednog održavanja.

Za web trgovine račun je još deblji. Ako procure podaci kupaca, uz štetu na ugledu dolaze i zakonske obveze oko zaštite osobnih podataka. Nitko ne želi kupcima slati poruku koja počinje s “obavještavamo vas o sigurnosnom incidentu”. Jeftinije ju je nikad ne morati napisati.

Postavite si iskreno pitanje: koliko tjedana bez upita s weba vaš posao izdrži bez posljedica? WordPress sigurnost zato nije IT stavka. To je osiguranje prihoda.

Zdravlje web stranice: redovite sigurnosne provjere i ažuriranja

Šest stupova na kojima stoji WordPress sigurnost

Dobra vijest: ne trebate postati sistemski administrator. WordPress sigurnost u praksi počiva na šest navika, i sve ih možete uvesti sami, još ovaj tjedan. Sve se poklapaju sa službenim WordPressovim preporukama za očvršćivanje stranice, samo prevedene s tehničkog na poduzetnički.

Stup 1. Zastarjeli dodaci su vrata koja ste zaboravili zaključati

Stranica bez ažuriranja je auto bez servisa: vozi, sve dok ne stane, i to na najgorem mogućem mjestu. Razlika je u tome što auto barem škripi unaprijed. Stranica šuti.

Evo kako to funkcionira iznutra. Kad se u dodatku ili temi otkrije sigurnosna rupa, autor objavi zakrpu. Ta objava ujedno je i javni recept za provalu: botovi od tog trenutka skeniraju internet i traže stranice koje zakrpu još nisu instalirale. Svaki dan kašnjenja je dan otvorenih vrata. Nijedna druga navika ne vraća WordPress sigurnosti više od redovitog ažuriranja.

Što konkretno napraviti? Uključite automatska ažuriranja za manje verzije WordPressa. Jednom mjesečno, uz svježi backup, ručno ažurirajte sve dodatke i teme. I zapamtite detalj koji većina previdi: deaktiviran dodatak nije bezopasan, njegov kod i dalje leži na serveru. Ne koristite ga? Obrišite ga.

Stup 2. Lozinka “salon2020” je ključ ispod otirača

Botovi za pogađanje lozinki rade danonoćno i isprobavaju tisuće kombinacija u minuti. Ime firme plus godina? To probaju među prvima, odmah nakon “123456”. Lozinka koju možete izgovoriti u razgovoru napamet nije zaštita, nego formalnost.

Slaba lozinka: salon2020, Ivana1985, Zadar!123. Sve što sadrži ime, firmu, grad ili godinu. Jaka lozinka: Krafna-svira-trubu-38! Četiri nasumične riječi, broj i znak: botu nedostižna, vama pamtljiva.

Za sve račune koristite upravitelj lozinki i pravilo “jedna stranica, jedna lozinka”. Zatim uključite dvofaktorsku autentifikaciju (2FA): uz lozinku, za prijavu treba i kod s vašeg mobitela. Ukradena lozinka time postaje pola ključa, a pola ključa ne otvara ništa. U WordPressu je 2FA najlakše uključiti kroz Wordfence. Postavljanje traje desetak minuta i najbrža je pojedinačna pobjeda u cijeloj WordPress sigurnosti.

Stup 3. Backup nije backup dok ga jednom niste vratili

Sigurnosna kopija vaš je izlaz u nuždi. Uz dobar backup, i najgora provala je neugodnost od pola dana. Bez njega, ista provala znači graditi stranicu ispočetka i moliti se da netko negdje ima stare tekstove. Da bi nešto vrijedila, kopija mora sadržavati sve tri stvari:

  • Bazu podataka: tekstovi, narudžbe, korisnici, komentari, postavke.
  • Mapu wp-content: tema, dodaci i sve slike koje ste ikad prenijeli.
  • Konfiguracijske datoteke: wp-config.php i .htaccess.

Uz to idu tri pravila. Kopija se sprema izvan vašeg servera, na Google Drive, Dropbox ili sličan servis, jer backup na istom serveru izgori zajedno s kućom. Radi se automatski, ne kad se sjetite. I jednom u kvartalu probajte je stvarno vratiti na probnoj lokaciji: backup koji nikad niste vratili je nada, ne osiguranje. Besplatni UpdraftPlus pokriva sve navedeno. Web trgovine neka rade dnevnu kopiju, mirne prezentacijske stranice tjednu.

Stup 4. Hosting od tri eura čuva posao od sto tisuća. Vidite li nesrazmjer?

Na hostingu se štedi refleksno, jer “ionako svi rade isto”. Ne rade. Najjeftiniji paketi trpaju stotine stranica na isti server bez prave izolacije: kad se zarazi susjed, bolujete i vi. A podrška koja odgovara tri dana u krizi je vječnost.

Kvalitetan hosting donosi vatrozid na razini servera, izolaciju računa, automatski dnevni backup, svježe PHP verzije i čovjeka koji se javi kad zagusti. To je temelj WordPress sigurnosti: sve ostale mjere stoje na njemu. Koga odabrati i koliko to realno košta, razradili smo u usporedbi web hostinga u Hrvatskoj.

Stup 5. Svaki dodatak su jedna vrata više

Dodaci su najčešća ulazna točka provala u WordPress. To je jednostavna matematika: više tuđeg koda na stranici, više potencijalnih rupa. Trideset dodataka znači trideset vrata koja netko mora održavati. Minimalizam je najpodcjenjenija strana WordPress sigurnosti.

Prije instalacije novog dodatka provjerite tri stvari: kad je zadnji put ažuriran, koliko aktivnih instalacija ima i odgovara li autor na pitanja u podršci. Godinu dana bez ažuriranja i bez odgovora autora? Tražite alternativu. I nikad, doslovno nikad, ne instalirajte “besplatnu” premium temu skinutu s piratskih stranica. To nije ušteda od 60 eura, to je provala koju ste sami instalirali, s malwareom uključenim u cijenu.

Zato kod izrade WordPress stranica biramo minimalan set provjerenih dodataka: manje pokretnih dijelova danas, manje briga sljedećih pet godina.

Stup 6. SSL i HTTPS: lokot koji prvo pogleda Google, a onda kupac

SSL certifikat šifrira sve što putuje između posjetitelja i stranice: lozinke, podatke iz kontakt forme, brojeve kartica. Bez njega ti podaci putuju kao razglednica koju svatko usput može pročitati. Preglednici to znaju, pa uz adresu bez HTTPS-a upišu “Nije sigurno”. Vaš kupac tu poruku vidi prije nego vidi ponudu.

Danas za SSL nema isprike: Let’s Encrypt certifikat je besplatan i većina hostinga uključuje ga u par klikova. Ako ga vaš hosting naplaćuje kao premium uslugu, to vam govori nešto o hostingu. Za sloj više, besplatni Cloudflare stane ispred stranice i filtrira poznati zlonamjerni promet prije nego uopće dotakne vaš server.

To je svih šest stupova. Nijedan ne traži više od sat vremena za postavljanje, a zajedno dižu WordPress sigurnost iznad razine velike većine hrvatskih stranica. Bot koji naiđe na 2FA, ažurirane dodatke i vatrozid ne inati se. Ode dalje, tamo gdje je lakše.

HTTPS lokot i SSL certifikat kao temelj zaštite WordPress stranice

Prijetnja, ulaz, obrana: kako napadi izgledaju u praksi

Da sve sjedne na mjesto, evo kako WordPress sigurnost izgleda s druge strane: najčešći scenariji koje viđamo na hrvatskim stranicama i obrana koja svaki od njih zaustavlja.

PrijetnjaKako ulaziVaša obrana
Pogađanje lozinke (brute force)Bot isprobava tisuće kombinacija na stranici za prijavuJaka lozinka, 2FA, ograničenje broja pokušaja
Ranjivi dodatak ili temaJavno poznata rupa u staroj verzijiRedovita ažuriranja, minimalan broj dodataka
Phishing mailLažna poruka “od WordPressa” vodi na lažnu prijavuNikad se ne prijavljujte klikom iz maila
Piratska (nulled) temaMalware ugrađen u “besplatnu” premium temuTeme isključivo iz službenih izvora
SEO spam injekcijaPreuzeti admin račun ubacuje skrivene linkoveSigurnosni skener, redovit pregled stranice
Zaraženi susjed na serveruJeftin hosting bez izolacije računaKvalitetan hosting s izolacijom

Primijetite obrazac: nijedna obrana iz desnog stupca ne traži programersko znanje. WordPress sigurnost zbir je odluka i navika, ne tehnološko čudo.

Tko sve ima ključeve vaše stranice? Admin higijena u deset minuta

Brzo pitanje: koliko administratorskih računa ima vaša stranica, napamet? Većina vlasnika ne zna. A svaki administratorski račun komplet je ključeva od cijele kuće: developer od prije tri godine, studentica koja je slagala blog, agencija s kojom više ne surađujete. Deset minuta admin higijene podiže WordPress sigurnost više od ijednog plaćenog alata.

Pravilo je jednostavno. Tko ovaj mjesec ne radi na stranici, ovaj mjesec nema pristup. Suradnicima koji samo pišu dajte ulogu urednika, administratora zadržite za onoga tko stranicu stvarno održava. Stare račune obrišite odmah, ne “kad bude vremena”.

Dvije brze pobjede usput. Ako vam je korisničko ime “admin”, botu ste poklonili pola kombinacije; otvorite novi račun s neutralnim imenom pa stari uklonite. Zatim ograničite broj pokušaja prijave (Wordfence to radi sam): tri promašaja i pauza. Bot koji smije probati tri lozinke umjesto trideset tisuća prestaje biti prijetnja.

Ostaje najpodmuklija stvar: nitko vam ne mora provaliti ako mu sami date ključ. Phishing mail “od WordPressa” izgleda otprilike ovako:

“Poštovani, vaša WordPress licenca istječe za 24 sata. Prijavite se ovdje i potvrdite račun kako biste izbjegli suspenziju stranice.” Pošiljatelj: support@wordpress-verify.top

Sve je lažno. WordPress nema licencu koja istječe i nitko vas legitiman neće mailom požurivati da se hitno prijavite preko linka. Zlatno pravilo glasi: u svoju stranicu ulazite isključivo tako da adresu utipkate sami. Link iz maila za vas ne postoji.

Sigurnosni dodaci: što stvarno rade, a što je marketinška magla

“Instalirao sam Wordfence, sad sam miran.” Ne baš. Sigurnosni dodatak ne kupuje WordPress sigurnost na rate; on je alarm i dobra brava. Ako pritom spavate s otvorenim prozorom, dakle sa zastarjelim dodacima i lozinkom “salon2020”, alarm će vašu provalu samo uredno dokumentirati. Evo što kvalitetan sigurnosni dodatak stvarno radi:

  • Vatrozid (WAF): prepoznaje i blokira poznate obrasce napada prije nego stignu do stranice.
  • Skener: uspoređuje vaše datoteke s originalima i javlja svaku sumnjivu izmjenu.
  • Zaštita prijave: ograničava pokušaje, uvodi 2FA, blokira poznate zloćudne IP adrese.
  • Obavijesti: mail kad se dogodi nešto što odudara od normale.

A što ne radi? Ne krpa rupu u zastarjelom dodatku. Ne radi backup umjesto vas. Ne poništava slabu lozinku. I ne isporučuje “stopostotnu zaštitu” iz reklame, jer takvo što ne postoji ni za velike novce. Tko vam je obeća, prodaje maglu.

Naša preporuka za male firme: besplatni Wordfence pokriva sve bitno. Sucuri je jak izbor ako želite vanjski vatrozid i tim koji profesionalno čisti zaražene stranice. Ali jedan sigurnosni dodatak, ne tri: više njih međusobno se sapliće i uspori stranicu. Kako pomiriti brzinu i zaštitu WordPressa, pokazali smo u vodiču s trikovima za brži i sigurniji WordPress.

Kako prepoznati da ste hakirani prije nego vam javi kupac

Moderna provala ne razbija izlog. Ona se useli u podrum i šuti, jer dulja nevidljivost znači više poslanog spama i više ubačenih linkova. Zato hakirane stranice često mjesecima izgledaju “normalno”. I najbolja WordPress sigurnost vrijedi malo ako ove znakove previdite:

  • Sadržaj koji niste objavili: čudni linkovi u tekstovima, stranice na stranim jezicima, proizvodi kojih nema u ponudi.
  • Preusmjeravanja s mobitela: omiljeni trik. S računala stranica izgleda uredno, a posjetitelje s mobitela šalje na sumnjive adrese.
  • Upozorenja preglednika i Googlea: crveni ekran ili oznaka o hakiranoj stranici u rezultatima pretrage.
  • Novi administratorski računi: korisnik kojeg nitko nije otvorio najglasniji je alarm od svih.
  • Čudan promet: neobjašnjiv skok posjeta iz zemalja s kojima ne poslujete ili nagli pad svega.
  • Mail od hostinga: obavijest o malwareu ili neuobičajenoj potrošnji resursa servera.
  • Poruka u Search Consoleu: kartica “Sigurnosni problemi” prestala je biti prazna.

Najjednostavnija navika za rano otkrivanje ne košta ništa: jednom tjedno otvorite vlastitu stranicu s mobitela, kroz Google, kao da ste kupac. Iznenađujuće mnogo vlasnika mjesecima ne vidi vlastitu naslovnicu očima posjetitelja.

Hakirani ste. Sedam koraka, nula panike

Dogodilo se. Prvo duboki udah: paničnim brisanjem svega “da se očisti” napravit ćete više štete nego napadač. Redoslijed je ovdje važniji od brzine.

  1. Ništa ne brišite napamet. Tragovi pokazuju kuda je napadač ušao; bez njih ćete rupu ostaviti otvorenu.
  2. Promijenite sve lozinke, s čistog uređaja: WordPress, hosting panel, FTP i mail vezan uz stranicu.
  3. Zovite podršku hostinga. Dobar hosting ima logove, skener i vlastite kopije, a ovakve situacije rješava svaki tjedan.
  4. Vratite zadnji čisti backup. Trenutak u kojem se testirana kopija isplati više od svega.
  5. Ažurirajte sve i skenirajte stranicu. Vraćena verzija ima istu rupu kroz koju se ušlo; zatvorite je odmah, inače slijedi repriza.
  6. Zatražite ponovnu provjeru u Search Consoleu ako je Google stranicu označio kao opasnu.
  7. Napravite obdukciju. Koji od šest stupova nije stajao? Popravite uzrok, ne samo posljedicu, i vratite WordPress sigurnost na višu razinu nego prije provale.

Kad zvati profesionalca? Ako nemate upotrebljiv backup, a stranica vam donosi posao, ne eksperimentirajte. Napola očišćena stranica u pravilu se ponovno zarazi za nekoliko tjedana, jer stražnja vrata (backdoor) ostanu skrivena u datotekama. To je trenutak za nekoga tko ovo radi svakodnevno.

Mjesečna sigurnosna checklista: 15 minuta koje čuvaju posao

WordPress sigurnost ne osvaja se jednom, nego održava svaki mjesec. Stavite podsjetnik u kalendar, recimo prvi ponedjeljak u mjesecu, i prođite ovaj popis. Petnaest minuta, s kavom.

  • Ažurirajte sve (5 min): WordPress, dodatke i teme, uz svježi backup prije klika.
  • Provjerite backup (2 min): postoji li jučerašnja kopija i sprema li se izvan servera.
  • Pregledajte korisnike (2 min): računi koje ne prepoznajete ili više ne trebaju? Van.
  • Otvorite izvještaj sigurnosnog dodatka (3 min): blokirani napadi i nalazi skenera.
  • Provjerite Search Console (2 min): poruke i kartica “Sigurnosni problemi”.
  • Prošećite stranicom s mobitela (1 min): naslovnica, kontakt forma, košarica ako je imate.
  • Kvartalni bonus: jednom u tri mjeseca testirajte vraćanje backupa na probnoj lokaciji.

Česta pitanja o WordPress sigurnosti

Je li WordPress uopće siguran sustav?

Jest, i to vrlo. Sama jezgra WordPressa održava se pedantno i rupe se krpaju brzo. No zato što pokreće ogroman dio interneta, on je i najisplativija meta za botove. Provale gotovo uvijek idu kroz dodatke, teme, lozinke i loš hosting, dakle kroz stvari pod vašom kontrolom. Za WordPress sigurnost to je zapravo ohrabrujuća vijest.

Koliko košta WordPress sigurnost za malu firmu?

Osnovni sustav: nula eura. Ažuriranja, jaka lozinka, 2FA, besplatni Wordfence i UpdraftPlus te SSL kroz hosting ne koštaju ništa osim discipline. Pravi trošak je vrijeme, otprilike sat mjesečno. Plaćeni alati i profesionalno održavanje imaju smisla onog trenutka kad stranica nosi ozbiljan dio prihoda.

Je li besplatan sigurnosni dodatak dovoljan?

Za većinu malih stranica jest, uz jedan uvjet: da ostalih pet stupova stoji. Besplatan alat uz red čuva WordPress sigurnost bolje nego skupi alat uz kaos. Sigurnosni dodatak je dodatak sustavu, ne zamjena za njega.

Imam malu prezentacijsku stranicu bez trgovine. Vrijedi li sve ovo i za mene?

Vrijedi, samo je ritam blaži: tjedni backup umjesto dnevnog i ista mjesečna checklista. Botu je vaša stranica jednako korisna za slanje spama kao i velika trgovina, a Googleovo upozorenje jednako tjera vaše goste. Osnove WordPress sigurnosti nisu stvar veličine stranice, nego činjenice da je imate.

Nemam vremena ni za checklistu od 15 minuta. Što onda?

Onda je poštenije to priznati nego se zavaravati. Zaštita koja ovisi o “stići ću valjda” nije zaštita. Delegirajte: kolegi u firmi kojem to postane zaduženje s imenom i prezimenom, ili agenciji kroz mjesečno održavanje. Loša opcija je samo jedna: nitko.

Prijeđimo na kraju preko cijele slike. Botovi skeniraju sve, pa i vas. Ulaze kroz zastarjele dodatke, slabe lozinke i loš hosting. Zaustavlja ih šest stupova: ažuriranja, jake lozinke s 2FA, testiran backup izvan servera, kvalitetan hosting, minimalan broj dodataka i HTTPS. Nijedna od tih sigurnosnih mjera ne čuva sama. Sustav čuva.

Sustavno održavanje i zaštita WordPress stranice kroz mjesečni proces

Sada ste pred izborom, i oba su puta dobra. Prvi: večeras uključite 2FA, sredite backup i stavite checklistu u kalendar. Drugi: priznajte si da to nećete raditi svaki mjesec i predajte posao nekome kome je to struka. Loš je jedino treći put, onaj “vidjet ću poslije sezone”. Njega botovi najviše vole.

U Oseka Mediji upravo tako izgleda usluga održavanja web stranice: ažuriranja s provjerom, backup koji se stvarno testira, sigurnosni nadzor i mjesečni izvještaj pisan jezikom koji razumijete. Za vas WordPress sigurnost postaje riješena stavka, a ne briga koja tinja u pozadini. Vi vodite posao, mi čuvamo stranicu. Ako želite da netko baci oko na vašu situaciju prije nego išta odlučite, javite nam se. Radije razgovaramo prije provale nego poslije nje.

Besplatna procjena

Želite web stranicu koja donosi upite?

Pošaljite nekoliko informacija o projektu i dobit ćete jasan smjer: strukturu, SEO prioritete i realan opseg izrade.