WordPress sigurnost: kompletan vodič

WordPress sigurnost: Wordfence i Cloudflare kompletan vodič kako zaštititi website besplatno!

Ako koristiš WordPress za blog, firmu, portfolio ili online shop, pitanje više nije da li će neko pokušati da upadne na tvoj sajt, već kada. Dobra vest je da uz kombinaciju Wordfence plugina i Cloudflare zaštite možeš da postigneš veoma jak nivo sigurnosti čak i na jeftinom hostingu ili VPS-u.

Ovaj vodič pokazuje korak po korak kako da zaštitiš svoj WordPress sajt koristeći Wordfence i Cloudflare, bez preterano tehničkih izraza. Cilj je da i neko ko nije sysadmin može da uradi sve sam, prateći uputstvo.

---

Zašto je WordPress sigurnost važna i za male sajtove?

Česta zabluda je: „Moj sajt je mali, koga briga za mene?“. Nažalost, hakeri ne traže samo velike portale. Većina napada na WordPress sajtove je automatska – roboti skeniraju hiljade domena dnevno i traže:

• zastarele pluginove i teme,
• slabe ili kompromitovane lozinke,
• otvorene fajlove poput xmlrpc.php ili wp-login.php,
• poznate sigurnosne rupe u popularnim dodacima.

Čak i „nebitan“ sajt može da im posluži kao:

• platforma za spam (slanje neželjene pošte sa tvog servera),
• phishing stranica (lažne login stranice za krađu podataka),
• botnet čvor (tvoj server učestvuje u napadima na druge).

Rešenje je da imaš dva sloja zaštite:

1. Wordfence – štiti sam WordPress i fajlove na serveru.
2. Cloudflare – filtrira saobraćaj pre nego što uopšte stigne do servera.

---

Prvi sloj zaštite: Wordfence – sigurnost direktno na WordPress sajtu

Instalacija i osnovno podešavanje Wordfence plugina

Instalacija je klasična, kao i za svaki drugi WordPress plugin:

1. Uđi u WordPress admin (npr. tvoj-sajt.rs/wp-admin).
2. Idi na Plugins > Add New.
3. U polje za pretragu upiši: Wordfence Security.
4. Klikni na Install Now, zatim Activate.

Kada aktiviraš Wordfence, pojaviće se kratki meni za podešavanja:

• Unesi email adresu na koju želiš da stižu sigurnosna obaveštenja.
• Obavezno čekiraj da se slažeš sa uslovima.
• Izaberi da li želiš da primaš newsletter (nije obavezno).

Posle toga ćeš u meniju levo videti novu stavku Wordfence. Najvažnije sekcije su: Firewall, Scan i Login Security.

Podesavanje Firewall-a (WAF) u Wordfence-u

Firewall (WAF – Web Application Firewall) je „prva linija fronta“ unutar tvog WordPress-a. On blokira pokušaje zloupotrebe ranjivosti u pluginovima, temama i samom WordPress-u.

Da bi radio kako treba, potrebno je da uradiš sledeće:

1. Otvori Wordfence > Firewall.
2. Na vrhu će verovatno pisati Learning Mode (modus učenja).
3. Klikni na dugme Optimize the Wordfence Firewall (ili slično u zavisnosti od verzije).
4. Wordfence će ti ponuditi da preuzmeš backup fajla (.htaccess ili .user.ini) – obavezno preuzmi i sačuvaj.
5. Prihvati predlog i dopusti pluginu da automatski optimizuje firewall.

Nakon nekoliko dana (obično 1–7 dana), kada Wordfence „nauči“ šta je normalni saobraćaj tvog sajta, prebaci Firewall Mode sa Learning Mode na Enabled and Protecting ili ostavi da on to sam učini kada misli da je naučio dovoljno.

Brute Force Protection – zaštita od pogađanja lozinke

Brute force napadi su pokušaji da se pogodi lozinka (često preko wp-login.php). Wordfence ima ugrađenu zaštitu od ovakvih napada.

Idi na Wordfence > All Options i pronađi sekciju Brute Force Protection. Preporučene postavke za male sajtove:

• Lock out after how many login failures: 5–10
• Lock out after how many forgot password attempts: 3–5
• Count failures over what time period: 5–10 minuta
• Amount of time a user is locked out: 30–60 minuta (ili više ako si često meta napada)

Možeš uključiti i opciju da se blokiraju korisnici koji pokušavaju da se uloguju sa nepostojećim korisničkim imenima (npr. „admin“, „test“, „root“), ali vodi računa da ti i saradnici uvek znate tačno korisničko ime.

Skeniranje sajta (Scan) – pronalaženje malvera i problema

Wordfence Scan proverava fajlove na serveru, pluginove i teme, tražeći poznati malver, sumnjive izmene i potencijalne probleme.

Kako da pokreneš skeniranje:

1. Otvori Wordfence > Scan.
2. Klikni na Start New Scan.
3. Sačekaj da skeniranje završi (može potrajati par minuta ili više zavisno od veličine i brzine sajta/hostinga).

Najčešće vrste upozorenja:

• Modified core file – neki od WordPress osnovnih fajlova je izmenjen.
• Possible malware – sumnjiv kod u nekom fajlu (često .php).
• Plugin has been removed from wordpress.org – plugin je izbačen iz repozitorijuma, potencijalno nesiguran.
• Out of date plugin or theme – koristiš zastarelu verziju teme/plugina sa poznatim/mogućim ranjivostima.

Šta raditi kada Wordfence otkrije problem:

• Za izmenjene WordPress core fajlove – koristi opciju Repair (Wordfence će preuzeti originalnu verziju).
• Za sumnjive fajlove plugina/teme – ako nisi 100% siguran, bolje je da kontaktiraš hosting ili programera, ili da zameniš plugin pouzdanijim.
• Za zastarele pluginove/teme – ažuriraj ih odmah, ili ih obriši ako ih ne koristiš.

Login Security i 2FA (dvofaktorska autentifikacija)

Čak i najbolja lozinka može da „iscuri“ (data breach, phishing, keylogger). Zato je 2FA (Two-Factor Authentication) jedan od najjačih načina da zaštitiš admin nalog.

Kako da uključiš 2FA u Wordfence-u:

1. Otvori Wordfence > Login Security.
2. Na tabu Two-Factor Authentication pronađi svoj admin korisnički nalog.
3. Skroluj do QR koda i skeniraj ga aplikacijom kao što su Google Authenticator, Authy ili Microsoft Authenticator.
4. Unesi kod iz aplikacije u predviđeno polje i snimi podešavanja.
5. Sačuvaj backup kodove na sigurno mesto (za slučaj da izgubiš telefon).

Od sada, i da neko pogodi tvoju lozinku, bez koda iz aplikacije neće moći da uđe u admin panel.

---

Drugi sloj zaštite: Cloudflare – štit ispred tvog servera

Šta je Cloudflare i zašto ga koristiti i na malom sajtu?

Cloudflare je servis koji stoji između posetilaca i tvog servera. Radi kao kombinacija:

• CDN – kešira statičke fajlove (slike, CSS, JS) i isporučuje ih sa servera bližeg posetiocu,
• reverse proxy – krije pravu IP adresu tvog servera,
• web firewall – filtrira sumnjiv saobraćaj pre nego što stigne do sajta.

Za male WordPress sajtove, besplatan Cloudflare plan je više nego dovoljan da drastično smanji broj napada, spam botova i opterećenje servera.

Dodavanje sajta na Cloudflare (besplatan plan)

1. Otvori cloudflare.com i napravi nalog (ako već nemaš).
2. Klikni na Add a Site i unesi svoj domen (bez https:// – samo npr. sajbersfera.in.rs).
3. Izaberi Free (besplatan plan).
4. Cloudflare će skenirati postojeće DNS zapise – proveri da li su A i CNAME zapisi ispravni.
5. Na kraju će ti prikazati dva nova nameservera (NS) koja treba da podesiš kod registra domena (npr. kod Loopia, GoDaddy, Namecheap…).
6. U kontrol panelu registra promeni NS zapise na one koje ti je Cloudflare dao.
7. Sačekaj propagaciju (nekad par minuta, nekad par sati, retko do 24h).

Kada Cloudflare potvrdi da je domen aktivan, sav saobraćaj ka tvojem sajtu ide kroz Cloudflare mrežu.

SSL/TLS podešavanja za WordPress

Idi na SSL/TLS sekciju u Cloudflare kontrol panelu. Najbezbednija i preporučena opcija (ako tvoj server ima validan sertifikat) je:

• Full (strict)

Ako hosting koristi Let’s Encrypt ili drugu validnu CA, postavi na Full (strict). Ako nemaš SSL na serveru, kao prelazno rešenje možeš koristiti Flexible, ali dugoročno je bolje da imaš pravi sertifikat i uključen Full/Strict mod.

Osnovna firewall pravila na Cloudflare-u za WordPress

Najveća prednost Cloudflare-a je mogućnost da blokiraš napade pre nego što dođu do Wordfence-a. Nekoliko jednostavnih pravila može da ti smanji brute force i skeniranja za 80%+.

Ograniči pristup wp-login.php

Ako većina urednika sajta dolazi sa iste IP adrese (npr. kancelarija ili tvoja kućna IP), možeš da ograničiš pristup wp-login.php samo na te IP adrese.

1. U Cloudflare panelu, otvori Security > WAF (ili Firewall Rules).
2. Klikni na Create rule.
3. Nazovi pravilo npr. Limit wp-login access.
4. U uslovima izaberi:
   • URI Path contains /wp-login.php
   • AND IP Source Address is not in tvoja IP adresa (ili IP range).
5. Akcija: Block ili Managed Challenge (captcha).

Ako nemaš statičnu IP adresu, alternativno možeš:

• ograničiti wp-login.php samo na određene države (npr. dozvoli Srbiju, blokiraj ostalo), ili
• koristiti jaču zaštitu preko Wordfence-a i 2FA bez ovakvog pravila, ali makar dodaj challenge za sumnjive zemlje (npr. Rusija, Kina, Brazil, Singapur…).

Blokiraj ili ograniči xmlrpc.php

Fajl xmlrpc.php često koriste botovi za brute force i DDoS napade na WordPress. Ako ne koristiš Jetpack, daljinsko objavljivanje ili neke specifične integracije, najbolje je da ga potpuno blokiraš.

1. Kreiraj novo firewall pravilo: npr. Block xmlrpc.
2. Uslov:
   • URI Path contains /xmlrpc.php
3. Akcija: Block.

Uključi Bot Fight Mode i osnovnu zaštitu

Na besplatnom planu vredi uključiti i:

• Bot Fight Mode – dodatna zaštita od poznatih loših botova.
• Security Level – nema podešavanja na besplatno planu osim default i I’m Under Attack.
• Under Attack Mode – privremeno uključi samo ako vidiš veliki talas napada ili DDoS (svi posetioci dobijaju kratki JS challenge pre ulaska na sajt, a botovi ne mogu proći).

---

Kako da Wordfence i Cloudflare rade zajedno (bez konflikata)

Kada koristiš Cloudflare kao proxy, WordPress i Wordfence po difoltu vide IP adresu Cloudflare servera, a ne stvarnog posetioca. Ako to ne namestiš ispravno, Wordfence može pogrešno blokirati ili neprepoznati napade.

Ispravno dobijanje IP adrese posetioca u Wordfence-u

1. Otvori Wordfence > All Options.
2. Skroluj do sekcije General Wordfence Options.
3. Pronađi opciju How does Wordfence get IPs (ili slično ime).
4. Postavi na opciju koja koristi CF-Connecting-IP header (obično piše „Use the Cloudflare ‘CF-Connecting-IP’ HTTP header…“).
5. Sačuvaj podešavanja.

Na ovaj način, Wordfence vidi pravu IP adresu posetioca, i može korektno da radi blokiranje i logovanje. Ovo možeš proveriti da li radi odmah jer će ispisati tvoju IP adresu ispod podešavanja.

Gde se Cloudflare završava, a gde počinje Wordfence

Praktično raspoređeno:

• Cloudflare:
  • blokira sumnjive države, IP opsege i botove,
  • ograničava pristup wp-login.php i xmlrpc.php,
  • ubrzava sajt kroz CDN i caching.
• Wordfence:
  • štiti sam WordPress (plugini, teme, core fajlovi),
  • detektuje malver, backdoor skripte i zaražene fajlove,
  • čuva login stranicu kroz brute force zaštitu i 2FA.

Kada oba sloja rade kako treba, broj napada koji uopšte stignu do WordPress-a je znatno manji, a ako se nešto i provuče, Wordfence ima šansu da ga uhvati.

---

Dodatni saveti za WordPress sigurnost koje ne treba ignorisati

Ažuriranje WordPress-a, tema i plugina

Ogroman broj hakovanja dešava se preko zastarelih pluginova i tema. Najlakši i najefikasniji korak za sigurnost je redovno ažuriranje.

• Uključi automatska ažuriranja za ključne pluginove ako im veruješ.
• Pluginove koje ne koristiš – deaktiviraj i obriši, ne ostavljaj ih samo deaktivirane.
• Ne koristi „nulled“ (krekovane) teme i plugine – često sadrže malver.

Snažne i jedinstvene lozinke

Za admin naloge koristi lozinke koje nisu „ime + godina rođenja“. Najbolje je koristiti password manager (npr. Bitwarden, 1Password, KeePass) i generisati duge nasumične lozinke (16+ karaktera).

Admin nalog neka bude jedinstven (ne „admin“), i neka se ne koristi za pisanje članaka – napravi poseban nalog autora/urednika.

Redovan backup – poslednja linija odbrane

Ni najbolji firewall ne vredi ako nemaš backup. Ako se desi najgori scenario (kompletna kompromitacija, ransomware, ili ozbiljno brljanje fajlova), jedina sigurna opcija je da vratiš sajt iz backupa.

Pravila za backup:

• Radi automatski backup makar jednom dnevno (baza + fajlovi).
• Čuvaj bar par poslednjih verzija (npr. 7–30 dana unazad).
• Drži kopiju van servera (npr. Google Drive, Dropbox, S3 ili drugi storage).

Ograničavanje broja admin naloga

Što više admin naloga, to veći rizik. Dodeljuj uloge pažljivo:

• Administrator – samo onima kojima apsolutno veruješ i koji znaju šta rade.
• Editor / Author – za one koji pišu i uređuju sadržaj.
• Subscriber – za obične korisnike.

---

Kratka check lista: šta sve treba da uradiš danas

Za kraj, brz spisak koraka koje možeš da odradiš već danas za mnogo sigurniji WordPress:

1. Instaliraj i aktiviraj Wordfence.
2. Pokreni wizard, unesi email, uključi obaveštenja.
3. Optimizuj Firewall (Learning Mode → posle par dana Enabled & Protecting).
4. Podesi Brute Force Protection.
5. Pokreni Scan i reši prijavljene probleme.
6. Uključi Two-Factor Authentication (2FA) za admin naloge.
7. Dodaj sajt na Cloudflare (Free plan) i promeni nameservere.
8. Podesi SSL/TLS na Full (Strict) ako je moguće.
9. Kreiraj firewall pravila za wp-login.php i xmlrpc.php.
10. U Wordfence podešavanjima podesi „How does Wordfence get IPs“ na Cloudflare header (CF-Connecting-IP).
11. Uvedi redovan backup i proveri da li restore zaista radi.

Ako sve ovo odradiš, tvoj WordPress sajt će imati nivo zaštite daleko iznad proseka kod nas – a sve to sa besplatnim alatima i malo vremena.

Najčešća pitanja o WordPress sigurnosti sa Wordfence i Cloudflare

Da li je dovoljno koristiti samo Wordfence za sigurnost sajta?

Wordfence je moćan alat za zaštitu direktno unutar WordPress sajta, ali sam koristi samo jedan sloj sigurnosti. Kombinovanjem sa Cloudflare-om koji filtrira saobraćaj pre servera, znatno se povećava nivo zaštite i smanjuje opterećenje servera.

Da li je Cloudflare besplatan i da li je dovoljan za male sajtove?

Da, Cloudflare ima besplatan plan koji uključuje CDN, osnovnu zaštitu od botova i firewall, što je više nego dovoljno za većinu malih i srednjih sajtova. Naprednije opcije postoje u plaćenim planovima, ali za početak besplatan Cloudflare i Wordfence čine dobru osnovu.

Da li 2FA usporava proces prijavljivanja u WordPress?

Neznatno, jer korisnik mora da unese dodatni kod sa svog mobilnog uređaja. To je mali dodatni korak koji višestruko povećava sigurnost i potpuno se isplati.

Kako mogu da znam da li je moj sajt zaražen malverom?

Wordfence automatski skenira sajt i prikazuje upozorenja o sumnjivim fajlovima. Prateći skeniranja redovno i pregledajući izveštaje pomoći će ti da na vreme otkriješ eventualne pretnje.

---

Vizuelni pregled ključnih stavki za WordPress sigurnost

Sigurnosna Komponenta	Opis	Preporučene postavke
Wordfence Firewall	Blokira napade na WordPress core i plugin fajlove.	Enabled & Protecting, Learning Mode 1-7 dana, backup fajlova (.htaccess)
Brute Force Protection (Wordfence)	Smanjuje rizik od pogađanja lozinke.	Lock out posle 5-10 neuspešnih pokušaja, trajanje blokade 30-60 min
Two-Factor Authentication (2FA)	Dodaje drugi nivo zaštite kod prijave.	Obavezno za admin naloge, koristi Google/Authy aplikaciju
Cloudflare DNS i SSL	Keširanje i šifrovanje saobraćaja, skriva pravu IP adresu.	Besplatan plan, Full (Strict) SSL, promena NS u registru domena
Cloudflare Firewall Rules	Ograničava pristup kritičnim fajlovima i blokira botove.	Blokiraj wp-login.php van poznatih IP, blokiraj xmlrpc.php, uključi Bot Fight Mode