Loading...

WordPress – online

Kreiranje baze podataka WordPress MySQL
Ako ste preskočili prethodna poglavlja i želite raditi online, najprije preuzmite WordPress na poveznici: http://hr.wordpress.org/ i raspakirajte instalacijski paket.

Kreiranje baze podataka i korisnika
Napravite bazu podataka za WordPress na web poslužitelju, kao i korisnika MySQL koji ima ovlasti pristupa i uređivanja baze rabeći cPanel ili phpMyAdmin. Prijavite se u svoj cPanel i kliknite na MySQL baze.

Upišite korisničko MySQL korisnika, MySQL korisničko ime i lozinku. Kliknite Napravite.
Zapišite naziv baze MySQL, korisnika MySQL i naziv hosta MySQL.

 

Instalacija WordPressa

Kopiranje datoteka na mrežni poslužitelj
Sada je potrebno kopirati cijeli sadržaj mape wordpress kopirati na web poslužitelj. Upotrijebite neki FTP program poput FileZilla i slično. Osobno rabim WinSCP koji možete preuzeti na poveznici: http://winscp.net/eng/download.php

Nakon instalacije kliknite New Site, odaberite protokol FTP, popunite podatke: Host name, User name i Password. Sada se morate odlučiti kamo na web poslužitelju želite smjestiti WordPress:

– u root direktoriju svog sitea (npr. http://primjer.com/)
– u poddirektoriju svog sitea (npr. http://primjer.com/blog/)

Napomena: Lokacija vašeg web root-direktorija na vašem web poslužitelju može se razlikovati od jednog do drugog pružatelja usluga i operacijskih sustava. Provjerite kod svog pružatelja usluga ili sistemskog administratora, ako ne znate gdje se nalazi.

Root-direktorij
Ako trebate preslikati datoteke na web poslužitelj, upotrijebite FTP klijent da biste preslikali sav sadržaj direktorija wordpress (ali ne i sam direktorij wordpress) u root-direktorij svog web sitea. Ukoliko rabite WinSCP,  jednostavno označite sav sadržaj iz mape wordpress s lijeve strane i povucite udesno u public_html ili kako je kod vas predviđeno mjesto za udomljavanje web sitea.

Poddirektorij
Ako trebate kopirati datoteke na web poslužitelj, preimenujte direktorij wordpress u željeni naziv, a zatim sa FTP-klijentom kopirajte cijeli direktorij na željenu lokaciju u root-direktorij svog web sitea.

 

Konfiguriranje postavki

Napomena: ukoliko imate hosting koji pruža automatsku instalaciju WordPressa, preskočite sljedeće radnje i prijeđite na poglavlje Pokretanje instalacijske skripte. Možete sami urediti i snimiti wp-config.php datoteku, no to možete i preskočiti i prepustiti WordPressu da to napravi za vas kada pokrenete instalacijsku skriptu.

 

Pokretanje instalacijske skripte
Da biste započeli instalaciju, usmjerite svoj web preglednik na instalacijsku skriptu. Ako ste smjestili datoteke WordPress u root-direktorij, onda posjetite http://primjer.com/wp-admin/install.php. Ako ste smjestili datoteke WordPress u poddirektorij nazvan, na primjer blog, onda posjetite

http://primjer.com/blog/wp-admin/install.php.

Ako WordPress ne može pronaći wp-config.php datoteku, prijavit će vam to i ponuditi da sam kreira i uredi datoteku. Slijedite upute. WordPress će vas upitati ime baze podataka, korisničko ime, lozinku i host baze podataka i zapisati ih u novu wp-config.php datoteku. Popunite tražene podatke i kliknite Pošalji. Ako ovaj dio instalacije ne prođe dobro, vratite se na poglavlje Konfiguriranje postavki i sami podesite datoteku wp-config.php.

Instalacija će vas sad odvesti na ekran na kojem morate unijeti osnovne informacije o svojoj stranici. Trebate unijeti naziv svoje web stranice, svoju e-adresu kao i želite li da se vaša web stranica pojavljuje na mrežnim tražilicama kao što su Google, Bing, Yahoo, itd. Pobrinite se da ste upisali ispravnu e- adresu jer će te na nju dobiti podatke za pristup vašoj instalaciji WordPressa kao i sve ostale obavijesti. Na ovoj stranici također možete izabrati svoje korisničko ime i lozinku. Dobro razmislite o korisničkom imenu jer kasnije sve možete promijeniti, osim korisničkog imena.

Nakon što unesete sve potrebne podatke kliknite gumb Instaliraj WordPress, i  time će se pokrenuti završni dio instalacije. Ukoliko se pojavi pogreška provjerite svoju wp-config.php datoteku i podatke koje ste unijeli u prethodnom koraku i zatim pokušajte ponovno. Nakon završetka instalacije pojavit će se ekran s podacima za prijavu. Kliknite na gumb Prijava za prijavu u upravljački dio WordPressa i prijavite se svojim korisničkim imenom i lozinkom. Nakon što se uspješno prijavite, otvorit će vam se Nadzorna ploča odakle možete upravljati svojom instalacijom WordPressa. Instalacija WordPressa je time gotova.

 

Podešavanje osnovnih postavki WordPressa
Podešavanjem osnovnih postavki WordPressa ujedno ćemo učiti sve prednosti WordPressa u odnosu na ostale CMS-ove (Content Management System). Pogledajmo na koji ćemo način izvršiti inicijalno podešavanje te instalaciju dodataka (pluginova) i tema. Prijavite se u WP admin sučelje na adresi http://primjer.com/wp-admin/. Unesite korisničko ime i lozinku koje ste definirali tijekom instalacije. Ukoliko smatrate da niste postavili dovoljno jaku i pouzdanu lozinku tijekom instalacije za glavnog admin usera, preporučujem da odmah nakon prve prijave u WP admin pod Nadzorna ploča zatim korisnici te Vaš profil i izmijenite lozinku.

Pod Postavke zatim Općenito podesite i osnovne parametre novonastale web stranice (naziv, adresa, vremenska zona, oblik nadnevka i vremena). Pripazite na prefikse www pod Adresa WordPressa (URL) te Adresa Web-stranice (URL) po njima će na Googleu biti indeksirane sve stranice. Podesite izgled linkova pod Postavke i Stalne veze.

Za definiranje stila izgleda web stranice kliknite na Izgled pa na Teme. Klikom na Dodaj novu temu pronađite temu koja vam odgovara za izgled web stranice. Instalirajte, aktivirajte i prilagodite postavke. Nakon toga kliknite na Posjeti web-stranicu da biste vidjeli novi izgled web stranice.

Za kreiranje vlastite teme potražite više informacija na službenoj stranici WordPress Codex.
Nakon postavljanja izgleda web stranice, pridodat ćemo više funkcionalnosti samom WordPressu s dodacima (pluginovima). Kliknite na Dodaci zatim na Dodaj novi.

 

Sigurnosne postavke WordPressa
WordPress je zasigurno najpopularniji od postojećih CMS (Content Management System) sustava na kojem se, prema procjenama, „vrti“ svaki šesti web site. Upravo je zbog toga WP izrazito privlačna meta hakerima.

Iskorištavanjem sigurnosnih propusta same aplikacije i pluginova kojima se koriste na istoj, oni pokušavaju (nerijetko i uspijevaju) na poslužitelje postaviti maliciozni sadržaj. Tim sadržajem su u mogućnosti pokretati DDOS napade, slati velike količine spama ili uzrokovati manje probleme koji utječu na rad poslužitelja na kojemu se nalazi kompromitirana web stranica ili weba stranica drugih poslužitelja koje će ciljati njihov napad.

No, gotovo sve sigurnosne rupe su uzrokovane „lošom praksom” prilikom početne instalacije WP-a ili kasnijim izostankom redovitog održavanja aplikacije.

Upotreba Admin-korisnika
Prilikom instalacije WP-a nudi se izbor naziva administratorskog korisnika koji će imati pristup svim stavkama aplikacije koju ćete rabiti. Mnoge skripte automatski pokušavaju napasti nazivdomene/wp-admin pristupno sučelje uporabom standardnih (admin, Admin, administrator, Administrator, root ili Root) korisničkih imena pa je preporučljivo koristiti se nekim alternativnim nazivom za glavni login.

Upotreba kompleksne lozinke
Standardna sigurnosna preporuka je upotreba kombinacije velikih i malih slova, brojeva i posebnih znakova, duljine od 10  znakova i više da biste otežali posao automatiziranim invazivnim skriptama. Najkorištenijih pet automatskih pokušaja probijanja lozinki upotrijebljenih u masovnim napadima su bili: admin, 123456, 111111, 666666, i 12345678. Iako su zbog jednostavnosti ove (i slične) lozinke vrlo privlačne, također se njima otvara nepotrebna vrlo iskoristiva sigurnosna rupa kojom ćete uzrokovati probleme. Zato vrijedi truda upamtiti (ili zapisati) složeniju lozinku oblika 4vXlZn3!2$.

Promjena WP nicknamea
Automatizirane skripte će često pregledati sve postove objavljene na vašoj web stranici u potrazi za oznakama, odnosno nazivima autora te pokušati upotrijebiti navedene nazive za pristup administraciji stranice. Da biste izbjegli problem, u WP administraciji, pod Profile ili Users dodajte Nickname i za vrijednost Display name publicly as odaberite različitu vrijednost od one koju rabite za pristup.

Promjena prefiksa instalacije u bazi
Prilikom nove instalacije WP-a sama aplikacija će vam ponuditi prefiks u bazi podataka wp_, koji je preporučljivo promijeniti da biste otežali posao skripti koja će eventualno pokušati provesti napade na samu bazu podataka.

Ograničavanje korištenja raznih pluginova, dodataka i tema
Osim podizanja razine nesigurnosti sustava, upotreba mnogih dodataka i tema u vašoj aplikaciji može uzrokovati i sporiji rad same web stranice. Ograničite upotrebu pluginova samo na one koje zaista  rabite te obrišite sve nekorištene dodatke i teme da biste smanjili mogućnost upada na stranicu. Također je važno instalirati sve najnovije nadogradnje za navedene dijelove aplikacije da biste održali razinu sigurnosti. Ako se neki od pluginova prestane nadograđivati ili postane nekompatibilan s novijim verzijama WP-a, svakako ga obrišite i pronađite zamjenu. Ako dođe do e-upada, održavanje „čistog” sustava (brisanjem svih nekorištenih komponenti) omogućit će vam lakše i bezbolnije dijagnosticiranje i otklanjanje problema.

Uklanjanje informacija o verziji aplikacije
Uklanjanje informacija o tome koju verziju aplikacije rabite je mali, ali ipak koristan korak u otežavanju posla automatiziranim skriptama koje se rabe za napade na WP. Da biste to učinili, u functions.php datoteci temi koju rabite dodajte:

// uklanjanje informacija o verziji
function complete_version_removal() {
return ”;
}
add_filter(‘the_generator’, ‘complete_version_removal’);

Onemogućavanje registracije novih korisnika
Ako vodite blog ili web stranicu u kojoj nije predviđeno registriranje više korisnika, osim samog administratora, unutar administracije General settings onemogućite registraciju novih korisnika Membership,  isključite Anyone can register. Također, da biste izbjegli daljnje moguće automatizirane napade, obrišite datoteku wp-register.php unutar vaše aplikacije ili ju preimenujte ako se pokaže potreba za daljnjom uporabom.

Zaštita wp-config.php datoteke
Da biste onemogućili pristup datoteci wp-config.php neodobrenim korisnicima, u .htaccess datoteku svoje aplikacije možete dodati sljedeći kod:

<Files “wp-config.php”>
order allow,deny
deny from all
</Files>

Na taj način datoteka neće biti dostupna ni na koji način, osim putem ftp-a ili kroz cPanel administraciju. Drugi način zaštite je datoteku prenijeti u parent direktorij (ako ste instalirali WP unutar /public_html/ direktorija, tada prebacite wp-config.php u home direktorij). Također promijenite prava čitanja/pisanja po datoteci na 0600 da biste onemogućili ubacivanje izmjena.

Zabrana pristupa include-only datotekama
Uvedite dodatnu mjeru sigurnosti putem .htaccess datoteke te onemogućite pristup putem web preglednika dijelu aplikacije kojemu biste samo vi trebali imati pristup kroz administraciju. Dodajte sljedeće linije:

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

Na ovaj način će svaki pokušaj pristupa standardnim folderima u svakoj WP instalaciji biti onemogućen vanjskim stranama.

Omogućavanje SSL prijave
Ako na svojoj web stranici rabite SSL certifikat, dodavanjem sljedećih linija u wp-config.php datoteku omogućit ćete slanje informacija o pristupnim podacima putem zaštićene veze:

//SSL za prijavu obicnih korisnika
define(‘FORCE_SSL_LOGIN’, true);

//SSL za prijavu administratora
define(‘FORCE_SSL_ADMIN’, true); 

Brisanje readme i drugih nepotrebnih datoteka
WP i mnogi pluginovi se koriste datotekama readme.html u kojima se nalaze informacije o verzijama i drugi podaci za koje nema potrebe da su javno dostupni pa ih je dobro obrisati s poslužitelja. Također je uputno brisati sve datoteke za koje ste sigurni da ih niste sami dodali na poslužitelj.

Ostali savjeti za osnove sigurnosti korištenja WP-a:

Držite WP i pluginove na zadnjoj verziji
Držanje WP-a i pluginova na zadnjim verzijama je jedan od neophodnih postupaka održavanja sigurne aplikacije, a u najvećem broju slučajeva samo morate kliknuti Update gumb. Naime, budući da je WP besplatan, CMS javno je dostupan svim zainteresiranim stranama. Znači da i osobe s lošim namjerama, starenjem određene verzije CMS-a, imaju vremena pronaći i iskoristiti sigurnosne propuste u istom. Ako plugin kojim se koristite, razvojni tim prestane razvijati, pokušajte mu pronaći zamjenu. Budući da broj pluginova kreiranih za WP svakodnevno raste, gotovo je sigurno da ćete pronaći neki iste (ili bolje implementirane) funkcionalnosti koji će i dalje biti siguran.

Brinite se o lokalnoj sigurnosti
Rabite antivirusnu zaštitu na računalu s kojega se spajate na administraciju stranice i nemojte istoj pristupati s neprovjerenih računala. Keyloggeri (programi za praćenje utipkanih podataka na računalu) su jedan od najčešćih uzročnika proboja lozinki.

Preuzimajte pluginove i teme sa sigurnih lokacija
Tražite pluginove i teme preko same tražilice u WP administraciji ili putem službenih stranica. Većina stranica na koje naiđete potragom besplatnih dodataka za WP preko raznih tražilica je zaražena nekom vrstom malwarea, te je samo pitanje vremena kad ćete naići na probleme.

Arhiviranje podataka
Redovito arhivirajte (backup) datoteke i baze putem dodatka ili ručno. Svakako periodički snimajte lokalno, na sigurnu lokaciju, backupe cijelog root foldera aplikacije i same baze podataka. Način arhiviranja i vraćanja je vrlo jednostavan i bez uporabe posebnih dodataka od onih koje već postoje u samom WordPressu.

 

Citirat ću s wordpress.org:

„Čestitamo! A sada učinite nešto lijepo za sebe! “

One comment
Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa *