Svaki haker vrlo dobro zna da je prilikom instalacije WordPressa zadano korisničko ime administratora admin. Na žalost , mnogo web stranica ne mjenja defaultne postavke prilikom instalacije pa stoga ostavlja svoju web stranicu otvorenu za tzv. brute force napade. Naime, ukoliko znate korisničko ime, onda se možete posvetiti isključivo probijanju lozinke.
Što je to brute force napad?
[blockquote]Brute force napad je metoda pogađanja lozinke ili kriptografskog ključa koja se temelji na isprobavanju svih mogućih kombinacija znakova s ciljem odgonetanja lozinke. Efikasnost napada uvelike ovisi o dužini lozinke ili ključa te veličini skupa znakova korištenih za njihovo stvaranje. Povećanjem lozinke ili ključa za samo jedan znak eksponencijalno se povećava broj kombinacija koje je potrebno provjeriti prilikom obavljanja brute force napada. Efikasnost napada se može umanjiti korištenjem ključeva koji se sastoje od slučajnog niza znakova, čime se napadaču uvelike otežava posao. – Carnet[/blockquote]
Zašto promjeniti korisničko ime admin?
Hakeri i slična gamad mogu na više načina (probati) dobiti pristup vašem webu. Nemojte im olakšavati posao. Naime, vrlo je jednostavno doznati da li web stranica ima korisnika s korisničkim imenom admin. Ukoliko na login stranici u polje korisničko ime upišemo admin a u polje lozinka napišete bilo što (tj. pogrešnu lozinku), WordPress će javiti da ste pogriješili lozinku za korisnika admin. Koja nebuloza!! Shame on you WP što to još uvijek niste izmjenili! BTW, kasnije u članku ćemo objasniti kako to zaobići.
Kako promjeniti zadano korisničko ime admin?
Najbrži način je otvaranje novog korisničkog računa s administratorskim ovlastima, brisanje admin računa te dodjela članaka, stranica i sl. novootvorenom korisničkom računu. Preporučujemo korištenje tog računa isključivo za, pazi čuda, administraciju web stranice. Za sve ostalo, poput objave članaka, stranica, komentara, koristite korisnički račun sa statusom Editor.
No, život nije uvijek jednostavan (ili jest ali ga ljudi često kompliciraju) pa se neki pitaju ima li drugi način za promjenu admin korisničkog računa. Postoji li plugin za ovu zadaću? Naravno da postoji a mi ćemo se danas dotaknuti dva koja su vrijedna spomena.
[hr]
Admin Renamer Extended
Korak 1 – Instalirajte Admin Renamer Extended plugin
U nadzornoj ploči odite u Pluginovi -> Dodajte novi, potražite “Admin Renamer” i kliknite Instaliraj. Druga je opcija downloada iz službenog WordPress plugin repozitorija i upload/instalacija plugina u .zip formatu. Plugin je službeno testiran do verzije 3.5.2 ali nama je besprijekorno radio na verziji 3.6.1. Nakon instalacije kliknite na Aktiviraj. FYI, plugin podržava multisite instalacije.
Korak 2 – Promjenite korisničko ime administratora
Nakon aktivacije plugina, u kartici Pluginovi ćete vidjeti novu opciju (Admin renamer extended). Klikom na istu vidjeti ćete slijedeće:
Upišite novo administratorsko korisničko ime (slobodno koristite kriptična imena) i kliknite Update. Ako je proces prošao uspješno , trebati ćete se ponovno logirati koristeći nove korisničke podatke (korisničko ime i lozinka).
Korak 3 – Promjenite administratorski Nickname i Display name (Opcionalno)
Admin renamer extended mjenja isključivo korisničko ime. Ukoliko želite promjeniti administratorski nadimak (Nickname) i Javno se predstavljaj pod imenom (Display name) odite u karticu Korisnici -> Vaš profil i promjenite podatke. Preporučljivo je da se ovi podaci razlikuju od korisničkog imena i da ne asociraju na administratorske ovlasti jer, ukoliko objavljujete članke koristeći ovaj korisnički račun, to će ime biti vidljivo kao autor članka.
Kliknite na Osvježi profil.
[hr]
Promjena URL-a stranice autora
Iako ste promjenili korisničko ime iz admin u nešto drugačije, postoji način da jednostavno doznate korisničko ime autora članka. Naravno, ako tema koju koristite to podržava (a veliki postotak tema podržava tu opciju!). Ovisno o temi, na vrhu ili dnu članka možete vidjeti tko je autor. Klikom na to ime otvara se stranica autora. Zadani WordPress URL autora članka izgleda ovako:
http://primjer.hr/autor/korisnickoime/ ili ukoliko imate instalaciju na engleskom http://primjer.hr/author/username/
Korištenjem (još jednog) plugina pod nazivom Edit Author Slug to možete ne samo zaobići, nego i kreirati personalizirane slugove za autore pa URL-ovi mogu izgledati ovako: http://primjer.hr/ninja/master-ninja/
Klikni za uvećani prikaz
Čudno da WordPress nije riješio ovu nepotrebnu ranjivost. Čemu onda nickname i display name kada na ovaj način doznamo username ? No, dok to ne riješi verzija 3.7 ili 3.8 (koje uskoro izlaze), pobrinite se da sakrijete bitne podatke od zločestih ljudi i strojeva.
[hr]
Još nekoliko savjeta za sigurnu web stranicu
Ovaj članak pokriva samo jednu od stavki na koje treba paziti prilikom povećavanja sigurnosti Vaše WordPress stranice. Korisno štivo je članak iz WordPress codexa (na engleskom jeziku) pod nazivom Hardening WordPress. Uskoro ćemo detaljnije obraditi još neke savjete za održavanje ili povećavanje sigurnosti Vaše web stranice a do tada evo par savjeta (random redoslijed):
1. Uvijek koristite najnoviju verziju WordPressa, tema i pluginova. Nove verzije redovito sadrže zakrpe za sigurnosne propuste.
2. Promjenite prefiks baze podataka iz zadanog “wp_” u nešto drugo. Najjednostavnije odraditi prilikom instalacije ali postoje načini kako to učiniti naknadno.
3. Zaštite wp-config.php i htaccess datoteke (pomoću pravila u htaccessu na Vašem serveru).
4. Sakrijte koju verziju WordPressa koristite ( iz meta generatora u headeru, iz RSS feedova i uklonite readme.html).
5. Ne objavljujte članke koristeći administatorski račun.
6. Koristite pluginove poput Limit Login Attempts pomoću kojeg ograničavate broj neuspjelih pokušaja logiranja (dodatno miče nedostatak naveden na početku teksta – otkrivanje postojanja admin računa) i Easy Captcha (nudi opciju korištenja jednostavne captcha funkcije na login i registracijskoj stranici, stranici za zaboravljenu lozinku i stranici komentara) kako biste dodatno ojačali front i back end.
7. Koristite verifikaciju ili autentifikaciju novih korisnika. Zvuči komplicirano ali u biti nije. Prijedlog: koristeći Pie Register plugin možete, između ostalog, koristiti opciju verifikacije novog računa putem emaila. Svaki novi korisnik nakon registracije na email adresu koju je naveo prilikom registracije prima maila sa verifikacijskim linkom. Ukoliko je korisnik upisao ispravan mail, klikom na aktivacijski link završava proceduru registracije. Simple, zar ne?
8. Koristite moćnu lozinku (velika i mala slova, znakovi i brojevi i najmanje 15 znakova) i redovito je mjenjajte!
9. Zadnje, ali ništa manje bitno, izrađujte sigurnosne kopije Vaše web stranice! O tome kako backupirati u cloud , pročitajte u članku Backup WordPressa u Dropbox.