Kako Zaštititi Sajt od Hakera u 2026

Prema statistikama, svaki dan se hakuje preko 30.000 web sajtova širom svijeta. Mali i srednji sajtovi su najčešće mete jer ih vlasnici smatraju "previše malim da bi bili zanimljivi hakerima". Istina je suprotna - upravo mali sajtovi sa slabom zaštitom su najlakše mete. U ovom vodiču ćemo vam pokažati konkretne korake za zaštitu vašeg sajta u 2026. godini.

1. Koristite jake i jedinstvene lozinke

Brute force napadi pokušavaju hiljade kombinacija lozinki svake sekunde. Slaba lozinka poput "admin123" može biti probijena za manje od jedne sekunde. Koristite lozinke od minimum 12 karaktera sa kombinacijom velikih i malih slova, brojeva i specijalnih znakova. Koristite password manager (Bitwarden, 1Password) za generisanje i čuvanje jakih lozinki. Nikada ne koristite istu lozinku za više naloga.

2. Aktivirajte dvofaktorsku autentifikaciju (2FA)

Čak i ako neko sazna vašu lozinku, 2FA zahteva drugi faktor verifikacije - obično kod sa mobilnog telefona. Za WordPress, koristite Wordfence ili Google Authenticator plugin. Za cPanel na BeoHosting-u, 2FA se aktivira jednim klikom u sigurnosnim podešavanjima. Ovo je jedna od najefektivnijih mjera zaštite.

3. Redovno ažurirajte CMS, teme i plugine

Preko 60% hakovanja WordPress sajtova dešava se kroz zastarele plugine i teme. Svako ažuriranje sadrži zakrpe za otkrivene bezbjednosne propuste. Aktivirajte automatska ažuriranja za WordPress core i plugine. Na BeoHosting WordPress hosting paketima, automatska ažuriranja su podešena po difoltu. Uvijek imajte aktivan backup pre ažuriranja za slučaj inkompatibilnosti.

4. Instalirajte Web Application Firewall (WAF)

WAF filtrira zlonamerne zahteve pre nego što stignu do vašeg sajta. BeoHosting koristi Imunify360 - AI-powered sigurnosni sistem koji blokira SQL injection, XSS, file inclusion i druge napade u realnom vremenu. Više o zaštiti pročitajte u vodiču za zaštitu sajta. Za dodatnu zaštitu, Cloudflare nudi besplatan WAF koji štiti od najčešćih napada na nivou CDN-a.

5. Zaštitite WordPress admin panel

Standardna WordPress login stranica (/wp-admin ili /wp-login.php) je prva meta hakera. Primijenite ove mjere:

• Promijenite admin URL - Koristite WPS Hide Login plugin da promijenite URL login stranice na nešto nestandardno
• Ograničite login pokušaje - Wordfence ili Limit Login Attempts plugin blokira IP adresu nakon 3-5 neuspešnih pokušaja
• Zabranite "admin" korisničko ime - Kreirajte administratorski nalog sa jedinstvenim korisničkim imenom
• IP whitelist - Dozvolite pristup admin panelu samo sa vaših IP adresa

6. Koristite SSL sertifikat (HTTPS)

SSL sertifikat enkriptuje svu komunikaciju između servera i pregledača, sprječavajući presretanje lozinki i podataka. BeoHosting uključuje besplatan Let's Encrypt SSL sa svim paketima. Bez SSL-a, lozinke se šalju u plain tekstu i mogu biti presretnute na javnim Wi-Fi mrežama.

7. Pravite redovne backup-e

Čak i sa najboljom zaštitom, hakovanje je uvijek moguće. Redovni backup-i su vaša posljednja linija odbrane. BeoHosting pravi automatske dnevne backup-e sa čuvanjem do 30 dana. Naučite kako napraviti rezervnu kopiju sajta. Dodatno, koristite UpdraftPlus plugin za WordPress backup na Google Drive ili Dropbox. Testirajte restore proceduru bar jednom godišnje - backup koji se ne može obnoviti je beskoristan.

8. Skeniranje malware-a

Mnogi hakeri ne uništavaju sajt direktno - umjesto toga, ubacuju malware koji krade podatke ili koristi vaš server za slanje spam emailova. BeoHosting Imunify360 automatski skenira fajlove za malware i stavlja zaražene fajlove u karantin. Dodatno, Wordfence Security plugin za WordPress vrši redovne skenove i upozorava vaš na sumnjive promjene u fajlovima.

9. Bezbjedni fajl dozvole (File Permissions)

Nepravilne fajl dozvole mogu dozvoliti hakerima da menjaju fajlove vašeg sajta. Pravilne dozvole za WordPress su:

• Folderi: 755 (vlasnik može čitati/pisati/izvršavati, ostali samo čitati/izvršavati)
• Fajlovi: 644 (vlasnik može čitati/pisati, ostali samo čitati)
• wp-config.php: 600 (samo vlasnik može čitati/pisati)
• .htaccess: 644

Na BeoHosting-u, ove dozvole se postavljaju automatski pri instalaciji WordPress-a kroz Softaculous.

10. Zaštita od SQL Injection napada

SQL injection je tehnika gdje napadač ubacuje zlonamerni SQL kod kroz forme na sajtu (search, login, kontakt forma) da pristupi bazi podataka. Mjere zaštite uključuju: korišćenje prepared statements u PHP kodu, validaciju i sanitizaciju svih korisničkih inputa, ograničavanje MySQL korisničkih privilegija na minimum potreban za rad sajta, i aktiviranje WAF-a koji blokira poznate SQL injection pattern-e.

11. Monitoring i logovanje

Ne možete zaštititi ono što ne pratite. Aktivirajte detaljno logovanje pristupa sajtu i analizirajte logove za sumnjive aktivnosti. Obratite pažnju na: neočekivane login pokušaje iz stranih zemalja, masovne zahteve na wp-login.php ili xmlrpc.php, promjene u fajlovima sajta koje niste vi napravili, i neobičan porast u CPU/RAM korišćenju na serveru.

12. Onemogućite nepotrebne servise

WordPress ima neke funkcije koje su korisne za developere ali predstavljaju bezbjednosni rizik za produkcijske sajtove:

• XML-RPC - Koristite Disable XML-RPC plugin. XML-RPC se koristi za brute force napade i DDoS pojačavanje.
• REST API - Ograničite pristup REST API-ju samo za autentifikovane korisnike
• File editing - Dodajte define('DISALLOW_FILE_EDIT', true) u wp-config.php
• Directory listing - Onemogućite listanje direktorijuma sa Options -Indexes u .htaccess

Zaključak

Bezbjednost sajta je kontinuiran proces, a ne jednokratna akcija. Kombinacija kvalitetnog poslovnog hostinga sa ugrađenom zaštitom (kao što je BeoHosting sa Imunify360), redovnih ažuriranja, jakih lozinki i osnovnih bezbjednosnih praksi značajno smanjuje rizik od hakovanja. Primijenite ove savjete danas i zaštitite svoj sajt i podatke vaših korisnika.