Τρίτη, 19 Μαρτίου, 2024

20 τρόποι για να αυξήσεις την ασφάλεια στο WordPress

Share

Μιας και το WordPress είναι η δημοφιλέστερη CMS πλατφόρμα παγκοσμίως, η ασφάλεια είναι ένα από τα πιο σημαντικά ζητήματα. Όσο περισσότερο αυξάνεται η χρήση της πλατφόρμας, τόσo πιο πολλές ιστοσελίδες γίνονται στόχοι από hackers. Για να αποτρέψεις ένα τέτοιο περιστατικό, θα πρέπει πρώτα να λάβεις τα απαραίτητα μέτρα.

Δεν έχει ιδιαίτερη σημασία τι ιστοσελίδα έχεις. Είτε έχεις ένα blog, είτε μια στατική σελίδα, είτε ένα ηλεκτρονικό κατάστημα, υπάρχουν ορισμένα πράγματα που πρέπει να κάνεις για να διατηρείς την ασφάλεια του WordPress όσο πιο υψηλή γίνεται. Κανένας δεν θέλει άλλωστε να ξυπνήσει ένα χαρούμενο πρωινό μόνο για να δει την ιστοσελίδα του χακαρισμένη ή γεμάτη από malware.

Διάβασε επίσης: Δημιουργία WordPress blog (Οδηγός για αρχάριους)

Γιατί είναι σημαντικό να διατηρείς εσύ την ασφάλεια στο WordPress;

Αν και από μέρους τους οι web hosting εταιρείες παρέχουν έναν τοίχο ασφάλειας, στην περίπτωση όπου χακαριστεί η ιστοσελίδα σου ή δεχτεί επίθεση πάνω σε θέματα τα οποία αφορούν κακόβουλα plugins, κρακαρισμένα θέματα ή πρόσθετα, έλλειψη από ουσιώδης ενέργειες που θα έπρεπε να κάνεις νωρίτερα για να αποφύγεις τέτοιου είδους σκηνικά κ.ο.κ, δεν θα αναλάβει την ευθύνη. Αυτό σημαίνει πως θα χρειαστεί στη συνέχεια είτε να εντοπίσεις το πρόβλημα και να καθαρίσεις όλα τα χακαρισμένα αρχεία της ιστοσελίδας σου, είτε να προσλάβεις έναν προγραμματιστή, είτε να πληρώσεις την ίδια την hosting εταιρεία για να επαναφέρει την ιστοσελίδα σου.

Μεγάλα hacks μπορούν επίσης να διαγράψουν όλο το περιεχόμενο της ιστοσελίδας σου, να πάρουν τον πλήρη έλεγχο, να δημοσιεύουν δικά τους άρθρα ή ακόμα και να σου ζητάνε ένα χρηματικό ποσό σε Bitcoin για να σου παρέχουν και πάλι την πρόσβαση ή το περιεχόμενο που διέγραψαν. Για να αποφύγεις τέτοιες άτυχες περιπτώσεις, καλό είναι είναι να κάνεις μερικές μικρές αλλά βασικές αλλαγές ώστε να αυξήσεις αρκετά την ασφάλεια στο WordPress.

Την τελευταία δεκαετία έχω ασχοληθεί με αμέτρητες χακαρισμένες ιστοσελίδες και οι περισσότερες από αυτές θα μπορούσαν να είχαν γλιτώσει από πολύ χρόνο, κόπο και χρήμα, αν είχαν κάνει μόλις μερικές απλές αλλαγές στο WordPress τους. Δεν χρειάζεται να είσαι ειδικός για να αυξήσεις την ασφάλεια στο WordPress site σου και τα περισσότερα από τα παρακάτω μπορούν να γίνουν σε λίγα μόλις λεπτά.

Πως να αυξήσεις την ασφάλεια στο WordPress

Υπάρχουν αρκετοί τρόποι για να αυξήσεις την ασφάλεια στο WordPress site σου, καθώς επίσης και ορισμένα πράγματα που θα πρέπει να αποφύγεις.

Απέφυγε την χρήση nulled themes

Το να κατεβάζεις και να χρησιμοποιείς nulled themes επειδή τα βρήκες δωρεάν σε μια ιστοσελίδα και δεν χρειάζεται να αγοράσεις την επίσημη έκδοση τους είναι ο πιο εύκολος τρόπος για να δεις την ιστοσελίδα σου χακαρισμένη. Ως προγραμματιστής, σχεδόν οποιαδήποτε ιστοσελίδα και αν χρησιμοποίησα για να δοκιμάσω τα nulled themes που παρείχαν, ήταν όλα τιγκαρισμένα από holes / backdoors στον κώδικα, ενώ αρκετά περιλαμβάνουν το wp-vcd malware.

Αν μέσα στον ίδιο server υπάρχουν και άλλες ιστοσελίδες στον ίδιο root φάκελο, τότε το malware θα πάει σε όλα τα αρχεία κάθε ιστοσελίδας και όχι μόνο στην σελίδα που έχει εγκατασταθεί το theme. Η διαδικασία για να αφαιρέσεις το malware απαιτεί αρκετές γνώσεις και δεν είναι εύκολη, καθώς εξαρτάται από το malware που θα εισχωρήσει, πως λειτουργεί και σε ποια αρχεία έβαλε κώδικα. Το χειρότερο είναι πως οι hosting εταιρείες δεν παρέχουν τεχνική υποστήριξη για χακαρισμένες ιστοσελίδες που δεν χακαρίστηκαν λόγο ασφάλειας από πλευράς του server. Το ακόμα χειρότερο είναι πως μια hosting εταιρεία έχει την δυνατότητα να βάλει τον λογαριασμό σου σε άμεση αναστολή (suspended account) αν θεωρήσει πως το πρόβλημα είναι μεγάλο, ενώ μπορεί να διαγράψει τον λογαριασμό σου εφόσον δεν πάρεις γρήγορα τα απαραίτητα μέτρα.

Κράτα ενημερωμένο το WordPress, τα plugins και themes

Οι ενημερώσεις είναι ύψιστης σημασίας. Αν και δεν σου προτείνω να βάλεις τις αυτόματες ενημερώσεις, κάνε ό,τι είναι απαραίτητο για να κρατάς όλα τα πρόσθετα ενημερωμένα, καθώς επίσης και το WordPress. Τα themes συχνά διορθώνουν προβλήματα και προσθέτουν νέες δυνατότητες, αλλά διάβαζε τα changelog για να γνωρίζεις πότε μια ενημέρωση παρέχει και διορθώσεις στην ασφάλεια.

Για να ενημερώσεις τα πρόσθετα, πάνε Πρόσθετα -> Εγκατεστημένα και κάνε κλικ στο “Ενημέρωση τώρα” και περίμενε έως ότου ολοκληρωθεί η ενημέρωση. Για τα themes, η διαδικασία είναι πιο περίπλοκη. Πάνε στην καρτέλα Εμφάνιση -> Θέματα και έλεγξε αν γράφει πάνω από το theme σου “Ενημέρωση τώρα“. Αν δεν γράφει, τότε πάνε στην ιστοσελίδα από την οποία κατέβασες ή αγόρασες το theme και έλεγξε αν έχουν βγάλει νέες ενημερώσεις. Αν υπάρχει νέα ενημέρωση, τότε θα χρειαστεί να ανεβάσεις και να αντικαταστήσεις τα παλιά αρχεία του theme με τα καινούργια. Θα επανέλθω σε αυτό στο επόμενο άρθρο.

Χρησιμοποίησε ισχυρούς κωδικούς πρόσβασης

Ακόμα σε κοινωνικά δίκτυα με άπιαστα συστήματα ασφάλειας, το μεγαλύτερο ποσοστό των λογαριασμών που πιάνονται στα χέρια hackers είναι λόγο αδύναμων κωδικών πρόσβασης. Το ίδιο φυσικά συμβαίνει και με τις WordPress ιστοσελίδες, όπου για να αυξήσεις την ασφάλεια με έναν απλό τρόπο, είναι να βάλεις έναν ισχυρό κωδικό πρόσβασης. Ο κωδικός για να είναι ισχυρός, θα πρέπει να αποτελείται από 8 έως 16 χαρακτήρες και να περιλαμβάνει κεφαλαία και μικρά γράμματα, νούμερα και σύμβολα.

Για να δημιουργείς ισχυρούς κωδικούς πρόσβασης, μπορείς να χρησιμοποιήσεις το Bitwarden, το οποίο παρέχει δωρεάν πακέτο και αποθηκεύει όλους τους κωδικούς σου και σε βοηθάει να δημιουργείς ισχυρούς κωδικούς για ιστοσελίδες. Αν δεν θέλεις να χρησιμοποιείς κάποια υπηρεσία, τότε μπορείς να χρησιμοποιήσεις τον Password Generator του LastPass για να δημιουργείς ισχυρούς κωδικούς πρόσβασης.

Επέλεξε μια αξιόπιστη hosting εταιρεία

Η ασφάλεια δεν βρίσκεται μόνο στα χέρια του blogger, αλλά και στα χέρια της web hosting υπηρεσίας και των μέτρων που έχει λάβει ενάντια σε επιθέσεις. Απέφευγε να χρησιμοποιείς Shared Hosting πακέτα και εστίασε σε managed πακέτα που παρέχουν ύψιστη ασφάλεια και έχουν βελτιστοποιηθεί για να τρέχουν σωστά στο WordPress.

Προτού επιλέξεις μια hosting εταιρεία, έλεγξε τις αξιολογήσεις που έχει λάβει από τους πελάτες της. Αν μια εταιρεία έχει κακή φήμη για την ασφάλεια, την ταχύτητα ή την υποστήριξη που παρέχει, θα το μάθεις από ανθρώπους που χρησιμοποίησαν τις υπηρεσίες της. Μην εμπιστευτείς μια εταιρεία η οποία έχει χαμηλή βαθμολογία αλλά οικονομικά πακέτα. Προτίμησε να διαβάζεις reviews από ιστοσελίδες όπως το TrustPilot.

Εγκατέστησε plugins για μέγιστη ασφάλεια

Αν θέλεις να αυξήσεις την ασφάλεια στο WordPress site σου με ευκολία, αλλά και να είσαι σε θέση να βλέπεις στατιστικά, ειδοποιήσεις και συμβουλές, μπορείς να χρησιμοποιήσεις κάποιο plugin ασφάλειας. Αν και τα περισσότερα είναι freemium, που σημαίνει πως παρέχουν δωρεάν εκδόσεις αλλά και επί πληρωμής εκδόσεις με περισσότερα χαρακτηριστικά και δυνατότητες, κάνουν αρκετά καλή δουλειά σε ορισμένα βασικά πράγματα.

Αν έχεις κάποιον προγραμματιστή, τότε δεν χρειάζεται να εγκαταστήσεις κάποιο plugin, καθώς θα τα κάνει όλα αυτός μέσα στον κώδικα αλλά και μέσα από τον server. Αν δεν έχεις όμως, τότε τα plugins είναι μονόδρομος. Βέβαια, έχουμε κατά νου πως τα περισσότερα plugins ασφάλειας για το WordPress είναι αρκετά βαριά, οπότε ίσως δεις την ταχύτητα στο διαχειριστικό να μειώνεται – εκτός αν βρίσκεσαι σε καλό server.

Μερικά από τα καλύτερα δωρεάν plugins ασφάλειας που μπορείς να χρησιμοποιήσεις είναι το Wordfence Security (θεωρώ πως είναι το καλύτερο στο είδος του), το iThemes Security και το Sucuri Security.

Βάλε όριο στις προσπάθειες σύνδεσης

Αντί να επιτρέπεις στους hackers να προσπαθούν να συνδεθούν απεριόριστες φορές με διαφορετικά στοιχεία έως ότου εντοπίσουν τον κωδικό σου, μπορείς να μειώσεις τις προσπάθειες τους, μπλοκάροντας τις IPs τους κάθε φορά που ξεπερνάνε το όριο προσπαθειών σύνδεσης. Φυσικά, αυτό σημαίνει πως αν κάνεις και εσύ λάθος τον κωδικό σου, θα σε μπλοκάρει η ιστοσελίδα και θα χρειαστεί να κάνεις μια επανεκκίνηση το Router σου.

Για να θέσεις ένα όριο προσπαθειών για τις συνδέσεις στο WordPress και να αυξήσεις άμεσα την ασφάλεια, χρησιμοποίησε δωρεάν plugins όπως το Limit Login Attempts Reloaded. Ο προτεινόμενος αριθμός προσπαθειών σύνδεσης για μέγιστη ασφάλεια είναι οι τρεις φορές.

Απενεργοποίηση της επεξεργασίας αρχείων μέσω του WordPress

Κάθε χρήστης του WordPress έχει την δυνατότητα να επεξεργαστεί τον κώδικα από κάθε theme ή plugin που έχει εγκατεστημένο. Πηγαίνοντας Εμφάνιση -> Επεξεργασία θα βρεις διαθέσιμο τον κώδικα κάθε θέματος και πρόσθετου. Αν κάποιος αποκτήσει πρόσβαση σε έναν διαχειριστικό λογαριασμό, δεν χρειάζεται να συνδεθεί και στον server, καθώς έχει όλο τον κώδικα διαθέσιμο στις παλάμες των χεριών του.

Μόλις η ιστοσελίδα σου γίνει διαθέσιμη προς όλους, προτείνεται να απενεργοποιήσεις την επεξεργασία αρχείων μέσα από το WordPress. Έτσι, ακόμα και αν ένας hacker αποκτήσει πρόσβαση στον διαχειριστικό σου λογαριασμό, δεν θα έχει την δυνατότητα να εισάγει κακόβουλο κώδικα ή malware στα αρχεία σου.

Για να απενεργοποιήσεις την επεξεργασία αρχείων μέσα από το WordPress, πρόσθεσε την παρακάτω εντολή στο wp-config.php αρχείο (αν δεν γνωρίζεις πως να βρεις το συγκεκριμένο αρχείο, μπορείς να ζητήσεις από την hosting εταιρεία ή τον προγραμματιστή σου να το προσθέσει):

define(‘DISALLOW_FILE_EDIT’, true);

Απενεργοποίησε τα wp-config.php και .htaccess αρχεία

Μιας και βρίσκεσαι ήδη στο wp-config.php αρχείο που ανέφερα παραπάνω, μπορείς επίσης να βάλεις τις παρακάτω εντολές ώστε να απενεργοποιήσεις την πρόσβαση στο wp-config.php και στο .htaccess, δύο άκρως σημαντικά αρχεία για την σωστή λειτουργία του WordPress.

Απενεργοποίηση πρόσβασης στο wp-config.php:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Απενεργοποίηση πρόσβασης στο .htaccess:

<Files .htaccess>
order allow,deny
deny from all
</Files>

Είναι ιδιαίτερα σημαντικό να κρατήσεις πρώτα ένα backup. Αλλά στην περίπτωση που κάποιος από τους παραπάνω κώδικες μπλοκάρει κάποιο plugin, μπορείς απλά να τους αφαιρέσεις με τον ίδιο τρόπο που τους έβαλες.

Εγκατέστησε ένα SSL Πιστοποιητικό

Ένα από τα πιο σημαντικά πράγματα για την ασφάλεια κάθε ιστοσελίδας (αλλά και το SEO πλέον) είναι να έχει ένα SSL πιστοποιητικό ενεργό. Αυτό σημαίνει πως όλοι οι σύνδεσμοι της ιστοσελίδας βρίσκονται σε ασφαλή HTTPS σύνδεση.

Έχω αναφερθεί στο παρελθόν για το SSL και τη σημασία του. Μπορείς είτε να αγοράσεις ένα επαγγελματικό SSL πιστοποιητικό, είτε ακόμα και να εγκαταστήσεις ένα δωρεάν μέσω του Let’s Encrypt. Διαχειριστικά Περιβάλλοντα όπως το Plesk και το cPanel παρέχουν εύκολους τρόπους για να εγκαταστήσεις ένα SSL πιστοποιητικό. Εναλλακτικά, μπορείς να ρωτήσεις την hosting εταιρεία ή τον προγραμματιστή σου αν παρέχουν SSL Πιστοποιητικά.

Έλεγχος ταυτότητας 2 παραγόντων

Για να πας την ασφάλεια στο WordPress στο επόμενο επίπεδο, χρησιμοποίησε το 2-Factor Authentication plugin. Έτσι, κάθε φορά που θα προσπαθείς να συνδεθείς, θα χρειαστεί να παρέχεις και τον έξτρα κωδικό που θα σου έρχεται στο email ή σε SMS.

Την ίδια λειτουργία χρησιμοποιούν και μεγάλα κοινωνικά δίκτυα και εταιρείες για να αυξήσουν την ασφάλεια των λογαριασμών των χρηστών τους.

Άλλαξε τον σύνδεσμο του wp-login

Από προεπιλογή, κάθε WordPress ιστοσελίδα παρέχει τον ίδιο σύνδεσμο για να μπεις και να συνδεθείς, όπως το example.com/wp-admin. Αφήνοντας τον σύνδεσμο ίδιο, επιτρέπεις σε hackers να προσπαθήσουν να κάνουν brute force επίθεση ώστε να εντοπίσουν το username και τον κωδικό πρόσβασης του διαχειριστικού σου λογαριασμού.

Αν επιτρέπεις σε άλλους χρήστες να κάνουν επίσης εγγραφή, θα λαμβάνεις επίσης πολλά spam emails από εγγραφές bots. Για να τα αποτρέψεις όλα αυτά, μπορείς απλά να αλλάξεις τον σύνδεσμο σύνδεσης και έτσι θα αυξήσεις την ασφάλεια στο WordPress. Για να το κάνεις αυτό, μπορείς να χρησιμοποιείς το WPS Hide Login, το οποίο έχει περισσότερα από 1 εκατομμύριο κατεβάσματα.

Άλλαξε το username από admin

Σε πολλές περιπτώσεις, αρκετοί διαχειριστές συνδέονται στο WordPress με username “admin”. Το πρόβλημα εδώ και με την ασφάλεια στο WordPress είναι πως πολλά αυτοματοποιημένα λογισμικά για hacking ιστοσελίδων δοκιμάζουν να εντοπίσουν τον κωδικό πρόσβασης σου και το βρίσκουν πολύ πιο εύκολα όταν γνωρίζουν ήδη το username σου. Στην προκειμένη περίπτωση, είναι πανεύκολο για κάποιον να εντοπίσει το username ενός διαχειριστικού λογαριασμού όταν είναι ακόμα “admin”.

Μπορείς να παρακολουθήσεις το βίντεο που ανέβασα στο YouTube για να δεις πως να δημιουργείς και να διαγράφεις χρήστες στο WP. Στη συνέχεια, απλά δημιούργησε έναν καινούργιο διαχειριστικό λογαριασμό και διέγραψε το “admin”. Κατά τη διάρκεια της διαγραφής θα ερωτηθείς αν θέλεις να μεταφερθούν όλα όσα έκανε και έγραψε ο “admin” στο νέο χρήστη. Μετέφερε τα πάντα στο νέο χρήστη και διέγραψε τον λογαριασμό “admin” για ύψιστη ασφάλεια.

Αυτόματη αδράνεια χρηστών

Αν και δεν θα μπούμε στην τεχνική πλευρά των πραγμάτων, όταν ένας διαχειριστής αφήνει τον λογαριασμό του ανοιχτό και φεύγει, χωρίς να έχει τον έλεγχο της ιστοσελίδας του, πολλά μπορούν να συμβούν. Αρκετές μεγάλες ιστοσελίδες, όπως αυτές των τραπεζών, σου παρέχουν μερικά δευτερόλεπτα ενεργής κατάστασης. Αυτό σημαίνει πως – για παράδειγμα – 10 λεπτά αργότερα αν δεν κουνήσεις το ποντίκι ή δεν πατήσεις κάπου, σε αποσυνδέουν αυτόματα.

Αν έχεις ηλεκτρονικό κατάστημα, blog με πολλαπλούς συντάκτες ή γενικότερα επιτρέπεις στους χρήστες να εγγράφονται και να συνδέονται, τότε μπορείς να χρησιμοποιήσεις το Inactive Logout για να τους βάζεις αυτόματα σε αδράνεια κάθε φορά που αφήνουν ανοιχτό τον λογαριασμό τους για αρκετά λεπτά.

Προγραμμάτισε αυτόματα αντίγραφα ασφαλείας

Τα αντίγραφα ασφαλείας (backups) είναι ίσως το πιο σημαντικό κομμάτι για κάθε κάτοχο ιστοσελίδας. Κάθε διαχειριστικό περιβάλλον, όπως το Plesk και το cPanel ή οποιοδήποτε άλλο σου παρέχει η hosting εταιρεία, σου επιτρέπει να κρατάς αυτόματα αντίγραφα ασφαλείας, ή το έχει ρυθμίσει ήδη η εταιρεία.

Μην χρησιμοποιείς άδικα plugins για να κρατάς backups, καθώς τα περισσότερα είναι αναξιόπιστα (χρόνια εμπειρία πάνω σε αυτά), καθυστερούν την ιστοσελίδα και καταναλώνουν αρκετούς πόρους από τον server κατά τη διάρκεια του backup. Επιπλέον, αν δεν κρατάς τα backups σε κάποια cloud υπηρεσία, θα καταναλώνουν επιπλέον χώρο από το hosting πακέτο σου.

Απενεργοποίηση των Trackbacks και Pingbacks

Ένας από τους σημαντικότερους λόγους για να απενεργοποιήσεις τα trackbacks και pingbacks είναι για να αποφύγεις DDoS επιθέσεις. Επιπλέον, απενεργοποιώντας αυτές τις δύο λειτουργείες, θα πάψεις να λαμβάνεις άχρηστα σχόλια με συνδέσμους από άλλα άρθρα σου, καθώς επίσης και σχόλια με blogs που έχουν βάλει τον σύνδεσμο σου σε κάποιο κείμενο τους (άλλωστε το δεύτερο το παρακολουθείς και από το Google Analytics).

Για να απενεργοποιήσεις και τις δύο λειτουργείες, πήγαινε στις Ρυθμίσεις -> Συζήτηση και απενεργοποίησε τις επιλογές: “Να γίνεται προσπάθεια ειδοποίησης ιστολογίων στα οποία γίνεται σύνδεση από το άρθρο” και “Να επιτρέπονται οι ειδοποιήσεις συνδέσμων από άλλα ιστολόγια (παραθέματα και παραπομπές) σε νέα άρθρα” και πάτα Αποθήκευση.

Σύνδεσε την CloudFlare για μεγαλύτερη ασφάλεια στο WordPress

Με servers σε περισσότερες από 200 πόλεις, σε πάνω από 100 διαφορετικές χώρες και με τη παροχή ενός δωρεάν πακέτου, η CloudFlare είναι ο πιο αποτελεσματικός τρόπος για να αυξήσεις την ταχύτητα της ιστοσελίδας και την ασφάλεια στο WordPress site σου. Εκατομμύρια ιστοσελίδες τρέχουν πλέον μέσω της CloudFlare και η εταιρεία λαμβάνει καθημερινά συνεχώς νέες ενημερώσεις για επιθέσεις. Αυτό την έχει βοηθήσει τα τελευταία χρόνια ώστε να βρει νέους αποτελεσματικούς τρόπους για να προστατεύει ακόμα περισσότερο και καλύτερα κάθε ιστοσελίδα.

Έχοντας την CloudFlare συνδεδεμένη, αυξάνεις σημαντικά την ασφάλεια στο WordPress καθώς η εταιρεία σε διαφυλάσσει από DDoS επιθέσεις επιπέδου 3 και 4. Επιπλέον, η CloudFlare χρησιμοποιεί AI τεχνολογία η οποία γίνεται ολοένα και εξυπνότερη και πιο αποτελεσματική στο να ανιχνεύει και να καταπολεμάει επιθέσεις από hackers. Με περισσότερα από 25 εκατομμύρια HTTP requests ανά δευτερόλεπτο, μπορείς εύκολα να καταλάβεις για το πόσο ισχυρό έχει γίνει το εργαλείο τους τα τελευταία χρόνια. Άλλες εξαιρετικές premium CDN υπηρεσίες είναι φυσικά και το Gumlet.

Ενημέρωσε την PHP στην πιο πρόσφατη έκδοση

Η ενημέρωση της PHP έκδοσης είναι μια εύκολη και γρήγορη διαδικασία την οποία μπορεί να κάνει ακόμα και ένας αρχάριος χρήστης. Η διαδικασία γίνεται μέσα από το cPanel ή το Plesk, στην ενότητα “Ρυθμίσεις PHP”, και απλά επιλέγεις την πιο πρόσφατη έκδοση και πατάς στο “Αποθήκευση”. Η ιστοσελίδα δεν θα είναι προσβάσιμη για περίπου 10 δευτερόλεπτα και θα επανέλθει αυτόματα. Μπορείς επίσης να ζητήσεις από την web hosting εταιρεία ή τον προγραμματιστή σου να ενημερώσουν την PHP.

Η PHP είναι ο βασικότερος κώδικας της WP ιστοσελίδας σου και είναι άκρως σημαντικό να έχεις πάντοτε την πιο πρόσφατη έκδοση. Κάθε μεγάλη έκδοση της PHP συχνά παρέχει έως και 2 χρόνια υποστήριξης, μέσα στα οποία λαμβάνει συνεχώς ενημερώσεις για την επίλυση bugs (προβλημάτων), θέματα ασφάλειας και διορθώσεις στην σταθερότητα, τη λειτουργικότητα και την ταχύτητα. Αυτή την στιγμή που γράφεται το άρθρο, η PHP 7.4 είναι η πιο πρόσφατη έκδοση και σύντομα θα δούμε την PHP 8. Μπορείς να δεις τις τωρινές εκδόσεις της PHP εδώ.

Μην χρησιμοποιείς plugins που δεν λαμβάνουν άλλο υποστήριξη

Σε πολλές περιπτώσεις, ένα plugin μπορεί να σταματήσει να λαμβάνει νέες ενημερώσεις επί αορίστου. Αυτό συμβαίνει όταν το plugin έχει κατασκευαστεί από κάποιον προγραμματιστή ο οποίος δεν έχει πλέον χρόνο για να συνεχίζει να το συντηρεί. Σε αυτές τις περιπτώσεις, πρέπει να απενεργοποιούμε το πρόσθετο και να το αντικαθιστάμε με άλλο που συνεχίζει να ενημερώνεται.

Ο πιο εύκολος τρόπος για να μένεις ενημερωμένος/νη και να μην κοιτάς κάθε φορά όλα τα plugins ένα προς ένα για να δεις αν συνεχίζουν να ενημερώνονται, είναι με τη χρήση του WordFence Security plugin. Το πρόσθετο σε ενημερώνει πότε υπάρχουν διαθέσιμες ενημερώσεις για τα εγκατεστημένα plugins που έχεις, καθώς επίσης και ποια φαίνεται να μην λαμβάνουν πλέον υποστήριξη. Είναι επίσης εξαιρετική ιδέα να διαγράφεις όσα plugins έχεις απενεργοποιημένα και να απενεργοποιείς όσα δεν είναι απαραίτητα.

Απόκρυψη της WordPress έκδοσης

Το να κρύβεις την έκδοση του WordPress που έχεις εγκατεστημένη είναι μια εύκολη διαδικασία η οποία αν και δεν θα αυξήσει ιδιαίτερα πολύ την ασφάλεια της ιστοσελίδας σου, θα κάνει την δουλειά ενός hacker λίγο πιο δυσάρεστη. Όσα λιγότερα γνωρίζει ένας hacker για την ιστοσελίδα σου, τόσο το καλύτερο. Το να κρύβεις την έκδοση του WP σημαίνει πως αν τρέχεις σε μια έκδοση η οποία έχει ακόμα κάποιο κενό ασφάλειας, ο hacker δεν θα το γνωρίζει για να προχωρήσει άμεσα σε επίθεση στοχεύοντας το συγκεκριμένο κενό ασφάλειας.

Για να αφαιρέσεις την έκδοση του WordPress, βρες το function.php αρχείο και επικόλλησε τον παρακάτω κώδικα:

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Μπορείς επίσης να χρησιμοποιήσεις το δωρεάν πρόσθετο “Asset CleanUp: Page Speed Booster” για να αποκρύψεις την έκδοση και ορισμένα ακόμα πράγματα τα οποία θα αυξήσουν την ασφάλεια στο WordPress.

Μπορείς επίσης να ελέγξεις και το readme.html αρχείο το οποίο περιλαμβάνεται με κάθε έκδοση του WordPress. Το αρχείο βρίσκεται στον root φάκελο με τα υπόλοιπα αρχεία του WordPress και περιλαμβάνει την έκδοση της πλατφόρμας. Αυτό ισχύει όμως αποκλειστικά για τις παλαιότερες εκδόσεις της πλατφόρμας και όχι γι ‘αυτούς που τρέχουν το WordPress 5.0 ή νεότερη έκδοση.

Απενεργοποίησε το XML-RPC

Το XML-RPC είναι ένα ιδιαίτερο χαρακτηριστικό του WordPress το οποίο επιτρέπει την απομακρυσμένη πρόσβαση και δημοσίευση άρθρων. Αν και χρήσιμο σε ορισμένες περιπτώσεις, είναι ένα χαρακτηριστικό το οποίο αποτελεί επίσης μεγάλο πρόβλημα στην ασφάλεια του WordPress. Αν δεν δημοσιεύεις άρθρα με τη χρήση τρίτων εργαλείων και υπηρεσιών, τότε προτείνεται να απενεργοποιήσεις το XML-RPC για να αυξήσεις την ασφάλεια στο WordPress.

Για να απενεργοποιήσεις τη λειτουργία, χρησιμοποίησε το “Asset CleanUp: Page Speed Booster” που ανέφερα παραπάνω ή το Disable XML-RPC plugin.

Οι παραπάνω συμβουλές θα σε βοηθήσουν να αυξήσεις την ασφάλεια στο WordPress και να αποφύγεις τυχόν δυσάρεστες περιπέτειες με επιθέσεις και hacking. Στην περίπτωση που χρειαστείς βοήθεια με κάποιο από τα παραπάνω, μη διστάσεις να αφήσεις το σχόλιο σου στο τέλος του άρθρου και ευχαρίστως να σε βοηθήσω.

Προσέλαβε έναν προγραμματιστή

Ενώ υπάρχουν αρκετά πράγματα που μπορείς να κάνεις μόνος/νη σου για να αυξήσεις την ασφάλεια στο WordPress, μπορείς να φτάσεις έως ένα σημείο. Από εκεί και πέρα, ένας καλός προγραμματιστής θα αυξήσει ακόμα περισσότερη την ασφάλεια, τόσο μέσα από το WordPress, όσο και τον server που σε φιλοξενεί.

Αν έχεις ένα απλό blog, απλά φρόντιζε να κρατάς σε καθημερινή βάση αντίγραφα ασφαλείας. Αν παρόλα αυτά έχεις ένα πολύ μεγάλο blog, ένα ηλεκτρονικό κατάστημα ή μια ιστοσελίδα για την επιχείρηση σου, τότε ένας προγραμματιστής είναι απαραίτητος για να κάνει μια πρώτη βελτιστοποίηση της ασφάλειας, ελέγχοντας τα δικαιώματα στους φακέλους, τις ρυθμίσεις του WAF στον server, τον κώδικα, όλους τους φάκελους και τα αρχεία στην root τοποθεσία, τα plugins που έχεις εγκατεστημένα και αρκετά ακόμα.

Σύνοψη…

Πριν από αρκετά χρόνια, είχα μια ιστοσελίδα με αρκετούς χιλιάδες μηνιαίους αναγνώστες η οποία είχε χακαριστεί από μια ομάδα τούρκων harckers. Όταν μπήκα το πρωί για να γράψω άρθρο, είδα κάτι κινούμενα ανθρωπάκια να χορεύουν, μια αστεία μουσική να παίζει στο παρασκήνιο και στοιχεία με Bitcoin λογαριασμό για να τους πληρώσω. Φυσικά, κατάφερα να αποκτήσω και πάλι πρόσβαση στον server και να επαναφέρω την ιστοσελίδα, αλλά η διαδικασία ήταν χρονοβόρα και όπως καταλαβαίνεις, έβγαζε άσχημη εικόνα για την ασφάλεια της ιστοσελίδας.

Θα μπορούσα να αποφύγω εκείνη την επίθεση τότε, αν έκανα έστω και τα μισά από τα παραπάνω που έχω αναφέρει στην λίστα.


Εσύ ασχολήθηκες ποτέ με την ασφάλεια στο WordPress site σου; Πόσα από τα παραπάνω που αναφέρω στην λίστα έχεις κάνει και πόσα όχι; Σκέφτηκες ποτέ τι θα γινόταν σε μια δυσάρεστη περίπτωση επίθεσης;

Featured Image Credits: Michael Geiger στο Unsplash.

Παναγιώτης Σακαλάκης
Παναγιώτης Σακαλάκηςhttps://inkstory.gr
Ο Παναγιώτης Σακαλάκης, με βάση το Κιλκίς, είναι Web Designer & Blogger, ιδρυτής της Inkstory Ο.Ε., του TechGuides και του TechWise Insider, καθώς επίσης & Host στα «The Blogging Dispatch» & «TechGuides» Podcasts. Όποτε δεν γράφει, βρίσκεται σε κάποιο βουνό με το Hard-Trail ποδήλατο του.
0 0 ψήφοι
Article Rating
Εγγραφή
Ειδοποίηση για
guest
0 Comments
Ενσωματωμένα σχόλια
Δείτε όλα τα σχόλια

Περιεχόμενο

Διαβάστε Επίσης

Αναζητάς περισσότερα;