Kreiranje baze podataka WordPress MySQL
Ako ste preskočili prethodna poglavlja i želite raditi online, najprije preuzmite WordPress na poveznici: http://hr.wordpress.org/
i raspakirajte instalacijski paket.
Kreiranje baze podataka i korisnika
Napravite bazu podataka za WordPress na web poslužitelju, kao i korisnika MySQL koji ima ovlasti pristupa i uređivanja baze rabeći cPanel ili phpMyAdmin. Prijavite se u svoj cPanel i kliknite na MySQL baze.
Upišite korisničko MySQL korisnika, MySQL korisničko ime i lozinku. Kliknite Napravite.
Zapišite naziv baze MySQL, korisnika MySQL i naziv hosta MySQL.
Instalacija WordPressa
Kopiranje datoteka na mrežni poslužitelj
Sada je potrebno kopirati cijeli sadržaj mape wordpress kopirati na web poslužitelj. Upotrijebite neki FTP program poput FileZilla i slično. Osobno rabim WinSCP koji možete preuzeti na poveznici:
http://winscp.net/eng/download.php
Nakon instalacije kliknite New Site, odaberite protokol FTP, popunite podatke: Host name, User name i Password. Sada se morate odlučiti kamo na web poslužitelju želite smjestiti WordPress:
- u root direktoriju svog sitea (npr. http://primjer.com/
)
- u poddirektoriju svog sitea (npr. http://primjer.com/blog/)
Napomena: Lokacija vašeg web root-direktorija na vašem web poslužitelju može se razlikovati od jednog do drugog pružatelja usluga i operacijskih sistema. Provjerite kod svog pružatelja usluga ili sistemskog administratora, ako ne znate gdje se nalazi.
Root-direktorij
Ako trebate preslikati datoteke na web poslužitelj, upotrijebite FTP klijent da biste preslikali sav sadržaj direktorija wordpress (ali ne i sam direktorij wordpress) u root-direktorij svog web sitea.
Poddirektorij
Ako trebate kopirati datoteke na web poslužitelj, preimenujte direktorij wordpress u željeni naziv, a zatim sa FTP-klijentom kopirajte cijeli direktorij na željenu lokaciju u root-direktorij svog web sitea.
Ukoliko rabite WinSCP, jednostavno označite sav sadržaj iz mape wordpress s lijeve strane i povucite udesno u public_html ili kako je kod vas predviđeno mjesto za udomljavanje web sitea.
Konfiguriranje postavki
Napomena: ukoliko imate hosting koji pruža automatsku instalaciju WordPressa, preskočite sljedeće radnje i prijeđite na poglavlje Pokretanje instalacijske skripte.
Pomoću FTP klijenta preslikajte datoteku wp-config-sample.php na računalo i promijenite naziv datoteke u wp-config.php. Otvorite datoteku u nekom uređivaču teksta, npr. Notepad. Unesite informacije o bazi podataka ispod naznačene sekcije:
// ** MySQL postavke - informacije o postavkama možete dobiti od svog web
hosta
** //
/** Ime vaše baze podataka za
WordPress
*/
define('DB_NAME', 'ovdje_upisite_ime_baze');
/** MySQL korisničko ime baze podataka */
define('DB_USER', 'ovdje_upisite_korisnicko_ime');
/** MySQL lozinka baze podataka */
define('DB_PASSWORD', 'ovdje_upisite_lozinku');
/** MySQL naziv hosta */
define('DB_HOST', 'localhost');
/** Kodiranje znakova koje će se koristiti u kreiranju tabela baze podataka. */
define('DB_CHARSET', 'utf8');
/** Collate tip baze podataka. Ne mijenjate ako ne znate što radite. */
define('DB_COLLATE', '');
Snimite wp-config.php
datoteku i kopirajte ju nazad u direktorij WordPressa.
Pokretanje instalacijske skripte
Da biste započeli instalaciju, usmjerite svoj web preglednik na instalacijsku skriptu. Ako ste smjestili datoteke WordPress u root-direktorij, onda posjetite http://primjer.com/wp-admin/install.php
. Ako ste smjestili datoteke WordPress u poddirektorij nazvan, na primjer blog, onda posjetite
http://primjer.com/blog/wp-admin/install.php
.
Ako WordPress ne može pronaći wp-config.php
datoteku, prijavit će vam to i ponuditi da sam kreira i uredi datoteku. Slijedite upute. WordPress će vas upitati ime baze podataka, korisničko ime, lozinku i host baze podataka i zapisati ih u novu wp-config.php
datoteku. Popunite tražene podatke i kliknite Pošalji. Ako ovaj dio instalacije ne prođe dobro, vratite se na poglavlje Konfiguriranje postavki i sami podesite datoteku wp-config.php.
Instalacija će vas sad odvesti na ekran na kojem morate unijeti osnovne informacije o svojoj stranici. Trebate unijeti naziv svoje web stranice, svoju e-adresu kao i želite li da se vaša web stranica pojavljuje na mrežnim tražilicama kao što su Google, Bing, Yahoo, itd. Pobrinite se da ste upisali ispravnu e- adresu jer će te na nju dobiti podatke za pristup vašoj instalaciji WordPressa kao i sve ostale obavijesti. Na ovoj stranici također možete izabrati svoje korisničko ime i lozinku. Dobro razmislite o korisničkom imenu jer kasnije sve možete promijeniti, osim korisničkog imena. Prilikom instalacije WP-a nudi se izbor naziva administratorskog korisnika koji će imati pristup svim stavkama aplikacije kojom ćete se koristiti. Mnoge skripte automatski pokušavaju napasti nazivdomene/wp-admin pristupno sučelje uporabom standardnih (admin, Admin, administrator, Administrator, root ili Root) korisničkih imena pa je pametno i preporučljivo upotrijebiti neki alternativni naziv za glavni login.
Nakon što unesete sve potrebne podatke kliknite gumb Instaliraj WordPress, i time će se pokrenuti završni dio instalacije. Ukoliko se pojavi pogreška provjerite svoju wp-config.php
datoteku i podatke koje ste unijeli u prethodnom koraku i zatim pokušajte ponovno. Nakon završetka instalacije pojavit će se ekran s podacima za prijavu. Kliknite na gumb Prijava za prijavu u upravljački dio WordPressa i prijavite se svojim korisničkim imenom i lozinkom. Nakon što se uspješno prijavite, otvorit će vam se Nadzorna ploča odakle možete upravljati svojom instalacijom WordPressa. Instalacija WordPressa je time gotova.
Podešavanje osnovnih postavki WordPressa
Podešavanjem osnovnih postavki WordPressa ujedno ćemo učiti sve prednosti WordPressa u odnosu na ostale CMS-ove (Content Management System). Pogledajmo na koji ćemo način izvršiti inicijalno podešavanje te instalaciju dodataka (pluginova) i tema. Prijavite se u WP admin sučelje na adresi http://primjer.com/wp-admin/. Unesite korisničko ime i lozinku koje ste definirali tijekom instalacije. Ukoliko smatrate da niste postavili dovoljno jaku i pouzdanu lozinku tijekom instalacije za glavnog admin usera, preporučujem da odmah nakon prve prijave u WP admin pod Nadzorna ploča zatim korisnici te Vaš profil i izmijenite lozinku.
Pod Postavke zatim Općenito podesite i osnovne parametre novonastale web stranice (naziv, adresa, vremenska zona, oblik nadnevka i vremena). Pripazite na prefikse www pod Adresa WordPressa (URL) te Adresa Web-stranice (URL) po njima će na Googleu biti indeksirane sve stranice. Podesite izgled linkova pod Postavke i Stalne veze.
Za definiranje stila izgleda web stranice kliknite na Izgled pa na Teme. Klikom na Dodaj novu temu pronađite temu koja vam odgovara za izgled web stranice. Instalirajte, aktivirajte i prilagodite postavke. Nakon toga kliknite na Posjeti web-stranicu da biste vidjeli novi izgled web stranice.
Za kreiranje vlastite teme potražite više informacija na službenoj stranici WordPress Codex.
Nakon postavljanja izgleda web stranice, pridodat ćemo više funkcionalnosti samom WordPressu s dodacima (pluginovima). Kliknite na Dodaci zatim na Dodaj novi.
Jedna od prednosti WordPressa nad ostalim CMS-ovima upravo je velik broj dodataka koji proširuju njegovu funkcionalnost. Predlažem vam da, između ostalih, odaberete dodatke koji će:
- minimalizirati CSS i JS datoteke za brže učitavanje stranica
- generirati posebni XML sitemap koji će pomoći tražilicama poput Googlea, Yahooa, Binga,
itd. da bolje indeksiraju vaše stranice
- omogućiti uporabu vizualnih uređivača u WordPressu i dodati napredne značajke
- omogućiti uvoz postova, stranica, komentara, korisnička polja, kategorija, oznaka i svega ostaloga iz
WordPressove izvozne datoteke
- očistiti i optimizirati bazu podataka, bez potrebe phpMyAdmina.
Redovito ažurirajte podatke samog WordPressa i njegovih dodataka i tema. U WordPressu je to zaista jednostavno jer će vas sam upozoriti o postojanju novih ažuriranja.
Sigurnosne postavke WordPressa
WordPress je zasigurno najpopularniji od postojećih CMS (Content Management System) sustava na kojem se, prema procjenama, „vrti“ svaki šesti web site. Upravo je zbog toga WP izrazito privlačna meta hakerima.
Iskorištavanjem sigurnosnih propusta same aplikacije i pluginova kojima se koriste na istoj, oni pokušavaju (nerijetko i uspijevaju) na poslužitelje postaviti maliciozni sadržaj. Tim sadržajem su u mogućnosti pokretati DDOS napade, slati velike količine spama ili uzrokovati manje probleme koji utječu na rad poslužitelja na kojemu se nalazi kompromitirana web stranica ili weba stranica drugih poslužitelja koje će ciljati njihov napad.
No, gotovo sve sigurnosne rupe su uzrokovane „lošom praksom” prilikom početne instalacije WP-a ili kasnijim izostankom redovitog održavanja aplikacije. Naime, katkada primimo upite oblika: „Zašto aplikacija sada ne radi, a radila je zadnjih nekoliko godina?” To pitanje u sebi sadrži odgovor: „ Upravo zato što se rabi ista, nenadograđena aplikacija nekoliko godina.“ Ako aplikaciju ne nadograđujemo samo nekoliko mjeseci, ona postaje nesigurna. Slikovito rečeno, kao da na ulaz svoga doma stavljamo natpis: “Slobodan ulaz, nema nikoga doma!”. Hakeri često ostave poruku s potpisom: „Hej, zaboravili ste zatvoriti vrata!” Obrišu sve važne dokumente, postave maliciozne skripte na poslužitelj preko kojih se omogućuje pokretanje raznih napada, rušenje stabilnosti poslužitelja i slično.
Upotreba Admin-korisnika
Prilikom instalacije WP-a nudi se izbor naziva administratorskog korisnika koji će imati pristup svim stavkama aplikacije koju ćete rabiti. Mnoge skripte automatski pokušavaju napasti nazivdomene/wp-admin pristupno sučelje uporabom standardnih (admin, Admin, administrato r, Administrator, root ili Root) korisničkih imena pa je preporučljivo koristiti se nekim alternativnim nazivom za glavni login.
Upotreba kompleksne lozinke
Standardna sigurnosna preporuka je upotreba kombinacije velikih i malih slova, brojeva i posebnih znakova, duljine od 10 znakova i više da biste otežali posao automatiziranim invazivnim skriptama. Najkorištenijih pet automatskih pokušaja probijanja lozinki upotrijebljenih u masovnim napadima su bili: admin, 123456, 111111, 666666, i 12345678. Iako su zbog jednostavnosti ove (i slične) lozinke vrlo privlačne, također se njima otvara nepotrebna vrlo iskoristiva sigurnosna rupa kojom ćete uzrokovati probleme. Zato vrijedi truda upamtiti (ili zapisati) složeniju lozinku oblika 4vXlZn3!2$.
Promjena WP nicknamea
Automatizirane skripte će često pregledati sve postove objavljene na vašoj web stranici u potrazi za oznakama, odnosno nazivima autora te pokušati upotrijebiti navedene nazive za pristup administraciji stranice. Da biste izbjegli problem, u WP administraciji, pod Profile ili Users dodajte Nickname i za vrijednost Display name publicly as odaberite različitu vrijednost od one koju rabite za pristup.
Promjena prefiksa instalacije u bazi
Prilikom nove instalacije WP-a sama aplikacija će vam ponuditi prefiks u bazi podataka wp_, koji je preporučljivo promijeniti da biste otežali posao skripti koja će eventualno pokušati provesti napade na samu bazu podataka.
Ograničavanje korištenja raznih pluginova, dodataka i tema
Osim podizanja razine nesigurnosti sustava, upotreba mnogih dodataka i tema u vašoj aplikaciji može uzrokovati i sporiji rad same web stranice. Ograničite upotrebu pluginova samo na one koje zaista rabite te obrišite sve nekorištene dodatke i teme da biste smanjili mogućnost upada na stranicu. Također je važno instalirati sve najnovije nadogradnje za navedene dijelove aplikacije da biste održali razinu sigurnosti. Ako se neki od pluginova prestane nadograđivati ili postane nekompatibilan s novijim verzijama WP-a, svakako ga obrišite i pronađite zamjenu. Ako dođe do e-upada, održavanje „čistog” sustava (brisanjem svih nekorištenih komponenti) omogućit će vam lakše i bezbolnije dijagnosticiranje i otklanjanje problema.
Uklanjanje informacija o verziji aplikacije
Uklanjanje informacija o tome koju verziju aplikacije rabite je mali, ali ipak koristan korak u otežavanju posla automatiziranim skriptama koje se rabe za napade na WP. Da biste to učinili, u functions.php datoteci temi koju rabite dodajte:
// uklanjanje informacija o verziji
function complete_version_removal() {
return '';
}
add_filter('the_generator', 'complete_version_removal');
Onemogućavanje registracije novih korisnika
Ako vodite blog ili web stranicu u kojoj nije predviđeno registriranje više korisnika, osim samog administratora, unutar administracije General settings onemogućite registraciju novih korisnika Membership, isključite Anyone can register. Također, da biste izbjegli daljnje moguće automatizirane napade, obrišite datoteku wp-register.php unutar vaše aplikacije ili ju preimenujte ako se pokaže potreba za daljnjom uporabom.
Zaštita wp-config.php datoteke
Da biste onemogućili pristup datoteci wp-config.php neodobrenim korisnicima, u .htaccess datoteku svoje aplikacije možete dodati sljedeći kod:
<Files "wp-config.php">
order allow,deny
deny from all
</Files>
Na taj način datoteka neće biti dostupna ni na koji način, osim putem ftp-a ili kroz cPanel administraciju. Drugi način zaštite je datoteku prenijeti u parent direktorij (ako ste instalirali WP unutar /public_html/ direktorija, tada prebacite wp-config.php u home direktorij). Također promijenite prava čitanja/pisanja po datoteci na 0600 da biste onemogućili ubacivanje izmjena.
Zabrana pristupa include-only datotekama
Uvedite dodatnu mjeru sigurnosti putem .htaccess datoteke te onemogućite pristup putem web preglednika dijelu aplikacije kojemu biste samo vi trebali imati pristup kroz administraciju. Dodajte sljedeće linije:
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
Na ovaj način će svaki pokušaj pristupa standardnim folderima u svakoj WP instalaciji biti onemogućen vanjskim stranama.
Omogućavanje SSL prijave
Ako na svojoj web stranici rabite SSL certifikat, dodavanjem sljedećih linija u wp-config.php datoteku omogućit ćete slanje informacija o pristupnim podacima putem zaštićene veze:
//SSL za prijavu obicnih korisnika
define('FORCE_SSL_LOGIN', true);
//SSL za prijavu administratora
define('FORCE_SSL_ADMIN', true);
Brisanje readme i drugih nepotrebnih datoteka
WP i mnogi pluginovi se koriste datotekama readme.html u kojima se nalaze informacije o verzijama i drugi podaci za koje nema potrebe da su javno dostupni pa ih je dobro obrisati s poslužitelja. Također je uputno brisati sve datoteke za koje ste sigurni da ih niste sami dodali na poslužitelj.
Ostali savjeti za osnove sigurnosti korištenja WP-a:
Držite WP i pluginove na zadnjoj verziji
Držanje WP-a i pluginova na zadnjim verzijama je jedan od neophodnih postupaka održavanja sigurne aplikacije, a u najvećem broju slučajeva samo morate kliknuti Update gumb. Naime, budući da je WP besplatan, CMS javno je dostupan svim zainteresiranim stranama. Znači da i osobe s lošim namjerama, starenjem određene verzije CMS-a, imaju vremena pronaći i iskoristiti sigurnosne propuste u istom. Ako plugin kojim se koristite, razvojni tim prestane razvijati, pokušajte mu pronaći zamjenu. Budući da broj pluginova kreiranih za WP svakodnevno raste, gotovo je sigurno da ćete pronaći neki iste (ili bolje implementirane) funkcionalnosti koji će i dalje biti siguran.
Brinite se o lokalnoj sigurnosti
Rabite antivirusnu zaštitu na računalu s kojega se spajate na administraciju stranice i nemojte istoj pristupati s neprovjerenih računala. Keyloggeri (programi za praćenje utipkanih podataka na računalu) su jedan od najčešćih uzročnika proboja lozinki.
Preuzimajte pluginove i teme sa sigurnih lokacija
Tražite pluginove i teme preko same tražilice u WP administraciji ili putem službenih stranica. Većina stranica na koje naiđete potragom besplatnih dodataka za WP preko raznih tražilica je zaražena nekom vrstom malwarea, te je samo pitanje vremena kad ćete naići na probleme.
Naravno, ovi koraci nisu svi koje možete poduzeti da biste bili sigurni. Koje radnje vi poduzimate da bi vaša aplikacija bila sigurna?
Arhiviranje podataka
Redovito arhivirajte (backup) datoteke i baze putem dodatka ili ručno. Svakako periodički snimajte lokalno, na sigurnu lokaciju, backupe cijelog root foldera aplikacije i same baze podataka. Način arhiviranja i vraćanja je vrlo jednostavan i bez uporabe posebnih dodataka od onih koje već postoje u samom WordPressu. Pokazat ću jednostavan način ručnog arhiviranja podataka bez uporabe dodataka osim onih koje se nalaze u samom WordPressu.
Arhiviranje (backup) podataka
Pristupite cPanel-u, MySQL baze. Kliknite na MySQL baze i u listi trenutnih MySQL baza i korisnika kliknite Kopija podataka. Slijedite upute, obično u donjem desnom uglu možete vidjeti obavijest da su napravljene kopije baze podataka. Kliknite na Pogledaj rezultate, zatim na Odaberite backup dostupan za download i Preuzimanje. Spremite datoteku. Arhivirali ste MySQL bazu podataka.
Logirajte se u WordPress, u nadzornoj ploči pod Alati odaberite Izvoz. Odaberite Sav sadržaj za izvoz, kliknite na Preuzmi Izvoznu Datoteku. vaša .xml datoteka je spremljena.
To je sve što je potrebno učiniti za arhiviranje podataka. Izvezena .xml datoteka sadrži sve vaše postove, stranice, komentare, prilagodljiva polja, pojmove, navigacijske izbornike, prilagođene (custom) postove i poveznice prema mutimedijskim dodacima sadržanima u bazi podataka.
Vraćanje (restore) podataka
Prilikom vraćanja podataka, bilo zbog promjene domene ili premještanja, pratite sljedeće korake:
Napomena: točno pratite način kojim je opisan postupak vraćanja podataka!
<![if !supportLists]>1. <![endif]>Napravite čistu instalaciju WordPressa.
<![if !supportLists]>2. <![endif]>Pristupite cPanel-u, MySQL baze i odaberite Uvezite bazu.
<![if !supportLists]>3. <![endif]>U ovom, važnom koraku logirajte se u WordPress i u nadzornoj ploči uvezite i aktivirajte sve dodatke koje ste prethodno rabili. To je naročito važno kako biste kod uvoza .xml-datoteke imali aktivirane poveznice prema multimedijskim dodacima.
<![if !supportLists]>4. <![endif]>U nadzornoj ploči WordPressa pritisnite na Alati pa na Uvoz. Kliknite na Uvoz i odaberite WordPress. Instalirajte uvoznika:
Kliknite na Aktiviraj Dodatak & Pokreni Uvoznika. Odaberite .xml-datoteku sa svog računala i kliknite Prenesi datoteku i uvezi. U sljedećem koraku odaberite Download and import file attachments i kliknite Submit. U nadzornoj ploči odaberite Izgled zatim Izbornici i u postavkama izbornika uključite Gornji primarni izbornik ili kako je već podešeno, ovisno o temi koju upotrebljavate. Snimite izbornik. Posjetite web stranicu. Time je ovaj jednostavan postupak vraćanja podataka završen.
Citirat ću s wordpress.org:
„Čestitamo! A sada učinite nešto lijepo za sebe! “