WordPress sigurnost · 8. maj 2026.

WordPress sigurnost 2026 — 15 obaveznih koraka da vam sajt ne hakuju

Marko Čović · CEO Happy Media · Vreme čitanja 11 min

Šta su najčešći WordPress hack-ovi 2026 — i zašto se to dešava

Pre nego što krenemo sa koracima, moramo da razumemo neprijatelja. WordPress drži oko 43% svih sajtova na svetu i oko 30% u Srbiji (po našim procenama iz industrije). To ga čini najomiljenijom metom napadača — ne zato što je nesiguran, već zato što ga ima toliko mnogo da i mali procenat ranjivih predstavlja milione meta.

U 2026. godini, najčešći tipovi napada na srpske WordPress sajtove su:

1. Brute-force napadi na admin login (oko 35% pokušaja). Bot mreže pokušavaju hiljade lozinki dnevno na /wp-admin stranici. Ako koristite "admin" kao username i lozinku tipa "Sajt2025" — već ste meta.

2. Eksploatacija starih pluginova (oko 30% uspešnih hack-ova). Plugin koji nije ažuriran 6+ meseci često ima poznatu ranjivost koja je javno objavljena. Napadači tačno ciljaju te verzije.

3. SQL injection i XSS preko kontakt formi (oko 15%). Stari Contact Form 7 plugin sa lošom validacijom je klasika.

4. Malware injection preko nulled tema/pluginova (oko 10%). Skinete "premium" plugin sa torrenta i instalirate backdoor zajedno sa njim.

5. Ostalo — DDOS, pharma hacks, JavaScript skimmer-i, cryptocurrency mining skripte.

Većina napada nije ciljana protiv vas lično. To su scan-and-exploit botovi koji rutinski proveravaju milione IP adresa za poznate ranjivosti. Cilj ovog vodiča je da vas izbace iz "lakog plena" segmenta. Ako ozbiljno razmišljate o profesionalnom rešenju, naša usluga održavanja sajta uključuje sve sigurnosne korake iz ovog vodiča.

Korak 1–3: Backup strategija — vaš najvažniji štit

Nećete biti veran sebi ako kažete "meni se neće desiti". Desiće se. Pitanje je samo da li ćete biti spremni. Backup je jedina stvar koja garantuje da možete da se vratite na čist sajt u 30 minuta umesto 30 dana.

Korak 1: Postavite automatske backup-ove (svakodnevne za baze, sedmične za fajlove)

Najpopularniji pluginovi:

• UpdraftPlus (besplatan + premium €70/god) — najjednostavniji, šalje na Google Drive, Dropbox, S3. Dobar za 90% slučajeva.
• BlogVault (€89/god) — premium rešenje sa real-time backup-ima i jednim klikom za vraćanje. Brzina vraćanja je najbolja na tržištu.
• WP Time Capsule (€49/god) — incremental backup-i, ne usporava sajt.

Naša preporuka: ako imate budget, BlogVault. Ako nemate, UpdraftPlus Free + Google Drive integracija pokriva 80% potreba.

Korak 2: Drugu kopiju čuvajte van hosting servera (cloud)

Ovo je tačka koju 70% korisnika zaboravi. Ako napadač uđe na vaš hosting server, on može i da obriše backup koji se čuva tamo. Backup uvek mora da postoji na drugom mestu:

• Amazon S3 (oko €0.50 mesečno za sajt do 5GB)
• Google Drive (besplatno do 15GB)
• Dropbox (besplatno do 2GB)
• BackBlaze B2 (€0.30 mesečno za 5GB — najjeftiniji)

Pravilo 3-2-1: 3 kopije, na 2 različita medija, 1 van lokacije. Ovo je standard koji koristimo za sve klijente.

Korak 3: Testirajte vraćanje barem jednom mesečno

Backup koji niste testirali nije backup — to je nada. Jedan od najgorih scenarija koji smo videli: klijent imao "automatske backup-ove" 2 godine, hakovan, hteo da vrati — a backup arhive bile prazne (pluginov bug). Test vraćanja na staging environment je 15 minuta posla mesečno koji vam može spasiti biznis.

Korak 4–6: Plugin audit — najveći izvor ranjivosti

Plugin pluginu nije isti. Statistika za 2026: oko 30% svih WordPress hack-ova dolazi preko ranjivih pluginova. Plugin koji niko ne ažurira 12 meseci je tempirana bomba.

Korak 4: Inventarisajte sve pluginove

Otvorite wp-admin → Plugins → Installed Plugins. Za svaki plugin, proverite:

• Datum poslednjeg ažuriranja — ako je >6 meseci, ozbiljan crveni signal
• Kompatibilnost sa vašom WordPress verzijom — vidi se na WordPress.org stranici plugina
• Broj aktivnih instalacija — pluginovi sa <1.000 aktivnih su rizik (mali audit, mali resursi za održavanje)
• Ocena — <4 zvezdice je sumnjivo

Korak 5: Uklonite neaktivne pluginove (i teme)

Plugin koji je deaktiviran ali instaliran — i dalje postoji na serveru. I dalje može imati ranjivost koja se eksploatiše bez aktiviranja. Pravilo: ako ne koristite, obrišite. Isto važi i za teme — ostavite samo aktivnu temu i jednu default WordPress temu kao fallback.

Korak 6: Skidajte pluginove SAMO iz zvaničnih izvora

Ovo je najveći izvor problema u Srbiji: ljudi traže "free Yoast Premium download" i instaliraju nulled verzije sa torrenta. Te verzije imaju backdoor u 90% slučajeva. Ako je plugin premium — kupite ga ili nemojte koristiti. €50-€100 godišnje je beznačajna cifra u poređenju sa kompromitovanim sajtom.

Zvanični izvori:

• WordPress.org/plugins za besplatne
• Direktni sajt developer-a za premium (npr. yoast.com, wpastra.com)
• Code Canyon za premium pluginove sa marketplace-a

Korak 7–9: Korisnici i lozinke — često zanemareno

Najtužnija statistika: oko 25% hakovanih WordPress sajtova ima nalog sa username "admin" i lozinkom kraćom od 10 karaktera. Ovo je čisto poklon napadačima.

Korak 7: Obrišite "admin" username (ili ga preimenujte)

WordPress vam tradicionalno daje "admin" kao default username. To je prva kombinacija koju botovi probaju. Rešenje:

1. Kreirajte novi admin nalog sa nasumičnim username-om (npr. vlasnik_xy7k)
2. Obrišite stari "admin" nalog i prebacite sve njegove postove na novi

Bonus: koristite različita imena za display name (ono što se vidi javno) i username (login). Ako vam display name kaže "Marko Čović" a username je "marko_covic" — botovi imaju polovinu kombinacije.

Korak 8: Jake lozinke (minimum 16 karaktera)

Lozinka tipa "MojSajt2025!" je crackovana za sekunde. Pravilo: minimum 16 karaktera, mix slova/brojeva/specijalnih znakova, generisana password manager-om. Preporučujemo:

• Bitwarden (besplatan, open-source) — ako sami održavate
• 1Password (€3/mes) — ako imate tim
• KeePass (besplatan, lokalni) — za paranoične

Lozinka koja se može zapamtiti je lozinka koja se može hack-ovati. Nemojte je pamtiti — koristite menadžer.

Korak 9: Two-Factor Authentication (2FA) za sve admin naloge

2FA je verovatno najefikasniji jedan korak koji možete da uradite. Čak i ako napadač pogodi vašu lozinku, ne može da uđe bez koda sa vašeg telefona.

Pluginovi:

• Wordfence Login Security (besplatan) — najjednostavniji, integracija sa Google Authenticator
• Two Factor Authentication (besplatan, by Plugin Vault) — minimalist
• WP 2FA (premium €29/god) — najprijatniji UX, podržava grace period za kolege

Iskreno: ako uradite samo jednu stvar iz ovog vodiča, neka to bude 2FA na admin nalozima. To rešava 80% brute-force napada.

Korak 10–12: Firewall i WAF — sloj iznad WordPress-a

WordPress sam po sebi nema firewall. Morate da ga dodate. Tu se izdvajaju tri ozbiljne opcije:

Korak 10: Wordfence ili Solid Security (aplikacijski firewall)

Plugin koji radi unutar WordPress-a, blokira sumnjive zahteve pre nego što stignu do PHP koda.

Plugin	Cena	Najjača strana	Slabija strana
Wordfence Free	€0	Najveća baza pretnji, 5M+ instalacija	Real-time pravila samo u Premium (€99/god)
Solid Security (raniji iThemes)	€80/god	Najprijatniji UX, dobar za netehničke	Slabiji firewall od Wordfence-a
All In One WP Security	€0	Besplatan, sveobuhvatan	Učenje krive, može da slomi sajt ako se ne razume
MalCare	€89/god	Cloud-based skeniranje (ne usporava sajt)	Manja zajednica

Korak 11: Cloudflare ili Sucuri (DNS-level firewall)

Ovo je sloj iznad WordPress-a. Zahtev prvo prolazi kroz Cloudflare/Sucuri server, koji ga skenira i — ako je sumnjiv — blokira pre nego što stigne do vašeg hostinga. Ovo je daleko efikasnije od plugin firewall-a.

• Cloudflare Free — DDoS zaštita, basic firewall pravila, CDN. Pokriva 80% potreba malih sajtova.
• Cloudflare Pro (€20/mes) — pravi WAF sa OWASP pravilima, image optimizacija. Najbolje za većinu klijenata.
• Sucuri (€199/god) — specijalizovano za WordPress, uključuje malware cleanup ako vas hakuju.

Naša praksa: za 90% klijenata kombinujemo Cloudflare Pro + Wordfence Free. To je optimalno €20/mes po sajtu.

Korak 12: Sakrijte wp-admin i wp-login

Default WordPress login URL je /wp-admin ili /wp-login.php. To znaju svi botovi. Promenom URL-a (npr. na /moj-secret-login) odmah eliminišete 95% automatskih brute-force napada — botovi neće znati gde da kucaju.

Pluginovi za to:

• WPS Hide Login (besplatan, 1M+ instalacija)
• Solid Security ima ovo ugrađeno

Ovo je tzv. security through obscurity — ne zamenjuje pravu sigurnost, ali drastično smanjuje šum napada na vašem sajtu.

Korak 13–15: Monitoring i log analiza — vidite napad pre nego što se desi

Korak 13: Uptime monitoring

Ako vam sajt padne u 03:00 ujutru, hoćete da znate odmah — ne sutradan u 10:00 kada otvorite mejl. Servisi:

• UptimeRobot (besplatan do 50 monitora) — provera svakih 5 minuta, šalje na email/SMS
• BetterStack (€18/mes) — najlepši dashboard, provera svake minute
• Pingdom (€10/mes) — klasika

Korak 14: File integrity monitoring

Ako napadač uspe da modifikuje fajl na vašem serveru, hoćete da znate odmah. Wordfence i Solid Security imaju ovo ugrađeno — porede vaše fajlove sa zvaničnim WordPress checksums i alarmiraju kada nešto odstupa.

Najčešći scenario napada: skripta dodaje malicious kod u wp-config.php ili u temu. File integrity monitor to prijavi za sat vremena, umesto za dva meseca kad konačno primetite probleme sa SEO-om.

Korak 15: Brute-force i login alarmi

Wordfence (besplatan) automatski blokira IP adrese koje pokušaju neuspešni login više od 5 puta. Možete podesiti i email alarm da znate kada se to desi. Tipičan sajt vidi 50–200 pokušaja dnevno — ako vidite 5.000 odjednom, to je ozbiljan ciljani napad.

Hosting security — koji srpski provider je najsigurniji

Hosting je temelj. Ako je hosting nesiguran, sve ostalo je rebusi. Pre svega — koliko košta održavanje sajta direktno zavisi od kvaliteta hostinga, jer loš hosting znači više vremena za debugging i čišćenje.

Procena srpskih provajdera (po našem iskustvu sa 80+ klijenata):

• mts (Telekom Srbija) hosting — solidan za male sajtove, ali nema dedicated WordPress optimizaciju. Korisnička podrška spora. Ocena: 6/10.
• EUnet — vrlo dobar za enterprise klijente, dobra podrška, skupiji. Ocena: 8/10.
• mCloud — moderan provider, brzi serveri, prihvatljiva cena. Ocena: 8/10.
• Loopia — švedski provider sa srpskim klijentima, dobra cena. Ocena: 7/10.

Za ozbiljnije sajtove, naša preporuka je specijalizovani WordPress hosting: Kinsta (€30/mes), WP Engine ($25/mes), ili SiteGround GoGeek ($15/mes). Svi imaju ugrađen daily backup, malware skeniranje i CDN.

Ako planirate izradu novog sajta, hosting izaberite pre nego što kreirate sajt. Migracija je uvek bol.

Šta uraditi ako vam je sajt već hakovan — emergency plan

Ako čitate ovo i sumnjate da ste hakovani — ne paničite. Pratite ovaj redosled:

1. Skinite sajt sa neta. Ne dajte napadaču više vremena. Maintenance mode plugin ili .htaccess pravilo da pokaže "Site under maintenance" stranicu.

2. Promenite SVE lozinke odmah:

• WordPress admin (svi nalozi)
• FTP/SFTP nalog na hostingu
• cPanel ili hosting kontrol panel
• Lozinka baze podataka (u wp-config.php)
• Email povezani sa admin nalozima

3. Vratite najnoviji čisti backup. Ako ne znate koji je čist (kada je počeo hack), vratite od pre mesec dana — bezbednije.

4. Ažurirajte sve. WordPress core, sve teme, sve pluginove. Obrišite sve što ne koristite.

5. Skenirajte sajt pomoću Wordfence ili Sucuri SiteCheck (besplatan online alat).

6. Prijavite Google-u preko Search Console — Manual Actions sekcija. Tražite reindeksiranje kad ste sigurni da je čisto.

7. Pozovite stručnjake. Iskreno — ako niste sigurni šta radite, ovo nije DIY problem. Cleanup obično košta €200-€800 u Srbiji 2026, ali može vam spasiti reputaciju i SEO. Možete nas kontaktirati na stranici za kontakt ili pogledati našu WordPress održavanje uslugu.

FAQ — često postavljana pitanja o WordPress sigurnosti