Analiza konkurencije i SEO strategija – SVE informacije
November 5, 2025
Analiza web stranica i optimizacija – Detaljni vodič
November 6, 2025
Radim s WordPressom već godinama i znam točno gdje stvari krenu po zlu. Stranica postane spora kao puž, ili što je još gore, hakiraju te i onda se probudiš s nenormalnim passwordima koji ne rade ili, u najgorem slučaju, s frontpage koja je zapravo nečija trgovina lažnim Rolex satovima.
Za sigurniji i brži WordPress potrebno je redovito ažurirati jezgru, teme i dodatke, brisati nekorištene plugine, koristiti jake lozinke i dvofaktorsku autentifikaciju, postaviti sigurnosne headere, sakriti login stranicu i aktivirati zaštitu od brute force napada.
Mnogi korisnici misle da je WordPress “sigurna platforma” odmah iz kutije, ali istina je, bez preventivnih koraka, ostavlja se prostor za prijetnje koje mogu uništiti mjesece, pa i godine truda u izgradnju weba. Ovdje ću vam pokazati sedam konkretnih trikova koji štite i ubrzavaju rad stranice, bez nebitnih floskula i teorija, samo ono što funkcionira u praksi.
1. Redovito ažuriranje
Znam, ažuriranje zvuči dosadno. Ali stvarno, to je kao mijenjanje ulja u autu: propustiš li ga, motor će ti zaštekati ili još gore.
Svaki update WordPressa, bilo da je riječ o jezgri, temama ili dodacima, dolazi s razlogom. Developeri ne izbacuju nove verzije radi zabave, ispravljaju sigurnosne rupe, zakrpavaju propuste koje su hakeri otkrili i optimiziraju kod za bolje performanse. Ignoriranje tih promjena znači da ostavljaš vrata otvorena poznatim exploit-ovima koje botovi masovno skeniraju.
Dugogodišnje iskustvo mi je pokazalo: stranice koje se ne ažuriraju redovito brže završe kao meta napada. Vidjela sam nekoliko primjera gdje je starija verzija plugina (a govore o popularnim pluginima, ne nekakvim no-name alatima) bila ulazna točka za backdoor. Kad jednom uđe netko izvana, možeš gubiti dane, ili čak tjedne, u čišćenju malwarea.
Dakle, što napraviti?
Uključi automatska ažuriranja za minor verzije. WordPress već nudi opciju automatskih minor updatea (npr. 6.3.1 na 6.3.2). To ne mijenja funkcionalnost, ali ispravlja kritične bugove.
Major ažuriranja testiraj na staging okruženju. Za veće skokove (recimo s 6.2 na 6.4) dobro je imati kopiju stranice na kojoj prvo provjeriš kompatibilnost tema i plugina. Preporučujem usluge kao što su lokalni razvoj sa Local by Flywheel ili staging funkcionalnost u većini managed hosting rješenja.
Ažuriraj dodatke i teme odmah. Plugins i themes često dolaze s vlastitim changelog-ovima, pročitaj ih. Ako piše “security fix”, ne čekaj. Automatske notifikacije u admin dashboardu su tu s razlogom.
Živimo 2025. godinu i nije više opcija raditi “ažuriranje jednom godišnje”. Skeneri bota su svakodnevni i ciljaju upravo one koji su zaostali sa verzijama. U praksi, postavi si rutinu: jednom tjedno provjeravaj dostupne updateove. Već par minuta tjedno može uštedjeti ogromne glavobolje.
2. Brisanje nekorištenih dodataka
Ovaj je trik briljantan u svojoj jednostavnosti, ali ga ljudi redovito ignoriraju.
Svaki plugin koji instaliraš dodaje kod koji se izvršava na svakom učitavanju stranice. Čak i deaktivirani plugin ostaje u folderu i predstavlja potencijalnu sigurnosnu rupu. Ako ga ne koristiš, nema razloga da ostane na serveru.
Razmisli ovako: nekorišteni dodaci su kao stare kutije u podrumu koje nikad ne otvoriš, tamo se gomilaju prašina i paučina (ili u digitalnom smislu, stara koda koja više nema podršku). Hakeri pokušavaju exploitati poznate ranjivosti u popularnim pluginima. Ako ga ne ažuriraš, a on je još uvijek na serveru, to je otvoreni prozor.
Jednom sam radila s klijentom koji je imao 23 plugina instalirana, od čega je njih 11 bilo deaktivirano. Kad smo konačno izbrisali sve nekorištene, stranica se učitavala brže i sigurnosni sken je prestao prikazivati upozorenja. Magija? Ne, jednostavno smanjivanje surface area za napade.
Nekolicina savjeta:
Prođi kroz popis svih instaliranih dodataka. Pitaj se: jesam li ovo koristio u zadnja tri mjeseca? Ako nije, makni ga.
Ne ostavljaj deaktivirane plugine. Deaktiviran plugin je još uvijek fizički prisutan na serveru i može se exploitirati. Obriši ga.
Biraj kvalitetne, provjerene plugine s aktivnom podrškom. Plugins s zadnjim updateom prije tri godine je red flag. Ako ima loše recenzije ili nema održavanja, nemoj ga uopće instalirati.
Svaki mjesec pregledam dodatke i teme na svim svojim projektima. To traje možda 10-ak minuta, ali efekt je neizmjeran, brža stranica, manje sigurnosnih briga i čišće backend okruženje. Plus, hosting će ti biti zahvalan jer se resursi ne troše uzalud.
3. Jake i jedinstvene lozinke
Lozinke su… pa, možda najjeftinija linija obrane koju imaš. Ali ako je slaba, onda je obrana beskorisna.
Imaš li lozinku tipa “admin123” ili “password”? Odmah promijeni. Ozbiljno. Takve kombinacije hackeri provaljuju u sekundama koristeći dictionary napade i brute force skripte.
Više puta sam vidjela WordPress instalacije gdje je korisničko ime bilo “admin” s lozinkom “admin” ili sličnim varijacijama. To nije zaštita, to je gotovo pozivnica za neovlašteni pristup. Dodaj činjenicu da većina ljudi koristi istu lozinku za email, hosting i WordPress admin, i voilà, jednim provalama sve pada kao domino.
Što znači “jaka” lozinka?
Barem 12 znakova (iako 16+ je idealno), mješavina velikih i malih slova, brojeva i posebnih znakova. Nešto kao: Tz8.kW@pL3#mF9qR. Da, teško za pamćenje, zato postoje password manageri.
Koristi password manager. Alati kao što su Bitwarden, 1Password ili LastPass generiraju i čuvaju kompleksne lozinke. Ne moraš se više bojati da ćeš zaboraviti, sve je sigurno pohranjeno i šifrirano.
Promijeni korisničko ime “admin”. Ako već koristiš “admin”, stvori novog korisnika s punim administratorskim pravima i obriši staro. Ili barem preimenovati preko baze podataka (što je malo teže, ali izvedivo).
Jedinstvene lozinke za svaki servis. Ne koristi istu lozinku za hosting, email, FTP i WordPress admin. Ako jedna procuri (npr. kroz data breach neke treće platforme), sve ostale ostaju sigurne.
Lozinke su kao brave na vratima, svaka treba biti različita i dovoljno jaka da odvrati provalnike. Uložiš li par minuta u postavljanje kvalitetnih kombinacija, uštedjeti ćeš si potencijalno ogromne probleme kasnije. A vjeruj mi, oporavak od hakirane stranice nije nešto što želiš prolaziti.
4. Dvofaktorska autentifikacija
Dvofaktorska autentifikacija, ili jednostavno 2FA, je kao dodatni ključ za ulazna vrata. Čak i ako netko sazna tvoju lozinku, neće moći ući bez drugog faktora.
Princip je jednostavan: nakon što upišeš korisničko ime i lozinku, sustav traži još jedan korak provjere, obično jednokratni kod koji dobiješ na mobitel ili putem authenticator app-a (npr. Google Authenticator, Authy). Taj kod se mijenja svakih 30 sekundi i praktički je nemoguće pogoditi.
Zašto je to važno?
Lozinke se mogu ukrasti, phishing, keyloggeri, leaked databases. Ali kod iz aplikacije na tvojoj fizičkoj opremi je potpuno druga priča. Haker bi morao imati pristup i tvom računu i tvom mobitelu istovremeno, što je mnogo teže.
Jedan prijatelj je imao WordPress admin bez 2FA-e. Lozinka mu je procurila kroz neki stari forum gdje je koristio istu kombinaciju. Za dva dana, stranica je bila kompromitirana i pretrpana spam linkovima. Posao je bio brzo riješen kad smo reinstalirali 2FA, ali šteta je već bila učinjena, Google je stranici spustio ranking i trebalo je tjedne za čišćenje i ponovno indexiranje.
Kako postaviti 2FA na WordPressu?
Najlakše je instalirati plugin poput Wordfence, Two Factor Authentication ili miniOrange’s Google Authenticator. Postavljanje traje par minuta:
- Instaliraj plugin i aktiviraj ga.
- Otvori postavke i skeniraj QR kod s mobitelom koristeći authenticator app.
- Unesi generirani kod kako bi verificirao postavku.
- Gotovo, svaki sljedeći login će zahtijevati i lozinku i jednokratni kod.
Preporučujem 2FA za sve korisničke račune s administratorskim pravima. Za obične autore ili contributor korisnike možda nije strogo nužno, ali za admina i editore, apsolutno.
Mali dodatni korak svaki put kad se logiraš čini ogromnu razliku u razini sigurnosti. Isplati se, bez dileme.
5. Postavljanje security headera
Security headeri nisu tema o kojoj će se prosječni korisnik WordPressa puno raspitivati, ali developeri i sigurnosni stručnjaci znaju da su kritični za zaštitu od napada poput cross-site scriptinga (XSS) i clickjackinga.
U osnovi, security headeri su HTTP odgovori koje server šalje klijentu (pregledniku) kako bi postavio pravila o tome što smije, a što ne smije izvršiti na stranici. Oni su kao sigurnosni protokoli koji browser mora pratiti.
Najvažniji sigurnosni headeri:
Content-Security-Policy (CSP) ograničava koje skripte, stilove i resurse preglednik smije učitati. Time sprječavaš neželjeni kod da se izvrši, čak i ako netko uspije ubaciti maliciozni skript.
X-Frame-Options sprječava da tvoja stranica bude učitana unutar iframe-a, čime blokiraš clickjacking napade.
X-Content-Type-Options postavlja vrijednost na nosniff, sprječavajući preglednike da pogađaju MIME tipove datoteka, što smanjuje šanse za izvršavanje opasnog sadržaja.
Strict-Transport-Security (HSTS) forsira HTTPS vezu i sprječava preglednik da ikad pokuša HTTP verziju stranice.
Postavljanje ovih headera najlakše je preko konfiguracije servera, .htaccess za Apache ili nginx.conf za Nginx.
Primjer za Apache (.htaccess):
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set Content-Security-Policy "default-src 'self': script-src 'self':"
Header set Strict-Transport-Security "max-age=31536000: includeSubDomains"Za Nginx (nginx.conf):
add_header X-Content-Type-Options "nosniff":
add_header X-Frame-Options "SAMEORIGIN":
add_header Content-Security-Policy "default-src 'self': script-src 'self':":
add_header Strict-Transport-Security "max-age=31536000: includeSubDomains":Ako nemaš direktan pristup konfiguraciji servera (npr. koristiš shared hosting), neki sigurnosni plugini, poput Wordfence ili Really Simple SSL, mogu postaviti neke od ovih headera.
Kad sam prvi put konfigurirala CSP na jednoj kompleksnoj stranici, bilo je malo frustrirajuće jer su neki embedani sadržaji (YouTube videa, Google Fonts) bili blokirani. Ali to je zapravo pokazatelj da CSP radi svoj posao, moraš eksplicitno dozvoliti izvore koje koristiš. Malo testiranja i prilagođavanja, i sve radi kao sat.
Security headeri nisu “must-have” za svaku malu blog stranicu, ali za e-commerce, portale ili bilo što gdje se obrađuju osjetljivi podaci, postavljanje headera je profesionalni standard.
6. Skrivanje login stranice
Svatko zna da je standardni URL za login u WordPress /wp-admin ili /wp-login.php. A to znači da i botovi znaju, šalju tisuće automatskih zahtjeva svaki dan prema tim adresama, pokušavajući provaljivati lozinke.
Skrivanje ili preimenovanje login stranice smanjuje enormno broj napada. Ako hakeri ne znaju gdje se ulogirati, teško da će probiti.
Ja sam koristila plugin WPS Hide Login na nekoliko projekata i rezultat je bio očigledan, u logovima sam vidjela pad brute force pokušaja za preko 90% nakon što sam promijenila URL. Umjesto /wp-login.php, postavila sam nešto tipa /my-secret-entrance (naravno, ne baš to, ali shvaćaš poantu).
Kako to postaviti?
Instaliraj WPS Hide Login ili sličan plugin, aktiviraj ga i u postavkama jednostavno definiraj novi URL za login. Sve što koristiš za prijavu od sad je ta nova adresa, standardna /wp-admin će prikazivati 404 stranicu.
Dodatni bonus: možeš kombinirati skriveni login s 2FA i brute force zaštitom, tri sloja obrane istovremeno.
Važno je zapamtiti novu adresu (ili je spremiti u password manager), jer ako zaboraviš, morat ćeš deaktivirati plugin kroz FTP ili cPanel da bi se vratio na standardni login. Jednom sam to zaboravila, i paničarila pet minuta dok nisam skužila da mogu jednostavno preimenovati plugin folder privremeno.
Ovo je brz, lak trik koji drastično podiže sigurnost bez nekog velikog napora. Preporučujem svima.
