Εσείς, ο ιδιοκτήτης του site, πρέπει να δώσετε προσοχή σε αυτούς τους πιθανούς κινδύνους, ώστε να διατηρήσετε το site σας ασφαλές.
Έχοντας αυτό κατά νου, εδώ είναι 10 πράγματα που μπορείτε να κάνετε για να βελτιώσετε την ασφάλεια του WordPress σας.
10 συμβουλές για να βελτιώσετε την ασφάλεια του wordpress
1. Χρησιμοποιήστε ασφαλείς χώρους φιλοξενίας
Δεν είναι όλοι οι πάροχοι φιλοξενίας στο διαδίκτυο εξίσου ασφαλείς, και κατ’ουσίαν, τα τρωτά των χώρων φιλοξενίας έχουν ευθύνη για τις περισσότερες από τις παραβιάσεις ασφαλείας των WordPress site.
Όταν επιλέγετε πάροχο φιλοξενίας στο διαδίκτυο, μην επιλέξετε απλά τον φτηνότερο που θα βρείτε. Κάντε έρευνα, και βεβαιωθείτε ότι χρησιμοποιείτε μία καλά αναγνωρισμένη εταιρεία, με καλή φήμη σε θέματα ασφαλείας.
Είναι πάντα καλύτερο να πληρώσετε λίγο περισσότερο, ώστε να γνωρίζετε ότι το site σας είναι σε ασφαλή χέρια.
Εδώ σας παρέχουμε μερικές προτεινόμενες λύσεις φιλοξενίας.
2. Ενημερώστε όλα τα πράγματα
Κάθε νέα έκδοση του WordPress περιλαμβάνει ενημερώσεις και διορθώσεις που αντιμετωπίζουν πραγματικά ή πιθανά τρωτά σημεία. Εάν δεν διατηρήσετε το site σας ανανεωμένο με τη νεότερη διαθέσιμη έκδοση του WordPress, είναι πιθανό να αφήνετε το site σας απροστάτευτο σε επιθέσεις.
Κάποιοι χάκερ στοχεύουν επίτηδες σε παλαιότερες εκδόσεις του WordPress, με γνωστά θέματα ασφαλείας, οπότε όταν λαμβάνετε ειδοποίησεις στον πίνακα ελέγχου σας, μην αγνοείτε τα μηνύματα ‘Please update now’ (παρακαλώ ενημερώστε τώρα).
Το ίδιο ισχύει και για τα θέματα και τα plugin (πρόσθετα). Βεβαιωθείτε ότι ενημερώνετε στις νεότερες εκδόσεις, όταν γίνονται διαθέσιμες. Εάν διατηρείτε τα πάντα στο site σας ενημερωμένα, είναι λιγότερο πιθανό να δεχτείτε επίθεση.
3. Ισχυροποιήστε τα password σας
Με βάση αυτό το διάγραμμα, περίπου το 8% των παραβιασμένων WordPress site παραβιάστηκαν εξαιτίας αδύναμων password.
Εάν το password διαχείρισης του WordPress σας είναι κάτι σαν ‘letmein’, ‘abc123’, ή ‘password’ (όλα τους πολύ πιο συχνά απ’όσο νομίζετε!), πρέπει να το αλλάξετε σε κάτι ασφαλές το συντομότερο δυνατό.
Για ένα password που είναι εύκολο να θυμάστε, αλλά δύσκολο να παραβιαστεί, προτείνω να σκεφτείτε μία καλή συνταγή για password.
Εάν βαριέστε να το κάνετε, μπορείτε επίσης να δημιουργήσετε έναν διαχειριστή password, όπως το LastPass, ο οποίος θα θυμάται όλα σας τα password για εσάς. Εάν χρησιμοποιήσετε αυτή τη μέθοδο, βεβαιωθείτε ότι το κεντρικό σας password είναι καλό και ισχυρό.
4. Ποτέ μη χρησιμοποιείτε “admin” ως το όνομα χρήστη σας
Νωρίτερα αυτό το χρόνο, υπήρξε μία πληθώρα κτηνωδών επιθέσεων σε WordPress site σε όλο το διαδίκτυο, που αποτελούνταν από επαναλαμβανόμενες προσπάθειες σύνδεσης χρησιμοποιώντας το όνομα χρήστη ‘admin’, σε συνδυασμό με πάρα πολλά κοινά password.
Εάν χρησιμοποιείτε το “admin” ως το όνομα χρήστη σας, και το password σας δεν είναι αρκετά ισχυρό (βλέπε #3), τότε το site σας είναι πολύ τρωτό από κακοήθεις επιθέσεις. Είναι προτεινόμενο να αλλάξετε το όνομα χρήστη σας σε κάτι λιγότερο προφανές.
Μέχρι την έκδοση 3.0, κατά την εγκαστάσταση του WordPress αυτόματα γινόταν η δημιουργία ενός χρήστη με “admin” ως το όνομα χρήστη. Αυτό άλλαξε στην έκδοση 3.0, και έτσι μπορείτε πλέον να επιλέξετε το δικό σας όνομα χρήστη. Πολλοί χρήστες εξακολουθούν να χρησιμοποιούν το “admin”, καθώς έχει γίνει το πρότυπο, και είναι εύκολο να το θυμάστε. Κάποιοι χώροι φιλοξενίας επίσης χρησιμοποιούν script αυτόματης εγκατάστασης που εξακολουθούν να δημιουργούν το όνομα χρήστη ‘admin’ από προεπιλογή.
Μπορείτε πολύ απλά να το διορθώσετε αυτό, δημιουργώντας έναν νέο λογαριασμό διαχειριστή, με ένα διαφορετικό όνομα χρήστη, και κατόπιν μπορείτε να συνδεθείτε ως αυτός ο νέος χρήστης, και να διαγράψετε τον αρχικό λογαριασμό “admin”.
Εάν έχετε δημοσιεύσει κάποια άρθρα με τον λογαριασμό “admin”, όταν τον διαγράψετε, μπορείτε να αντιστοιχίσετε όλα τα υπάρχοντα άρθρα με το νέο σας λογαριασμό χρήστη.
5. Κρύψτε το όνομα χρήστη σας από το αρχείο
Ένας άλλος τρόπος να επιτεθεί κάποιος στο site σας είναι βρίσκοντας το όνομα χρήστη σας από τις σελίδες αρχείου του site σας.
Από προεπιλογή το WordPress εμφανίζει το όνομα χρήστη σας στο URL της σελίδας αρχείου σας. Π.χ. εάν το όνομα χρήστη σας είναι joebloggs, η σελίδα αρχείου σας θα είναι http://yoursite.com/author/joebloggs
Αυτό δεν είναι και ιδανικό, για τους ίδιους λόγους που εξηγήσαμε παραπάνω για το όνομα χρήστη “admin”, οπότε είναι καλή ιδέα να αποκρύψουμε την καταχώρηση user_nicename στην βάση δεδομένων σας, όπως περιγράφεται εδώ.
6. Περιορίστε τις Προσπάθειες Σύνδεσης
Στην περίπτωση που ένας χάκερ ή ένα ρομπότ επιχειρήσει να επιτεθεί για να σπάσει το password σας, είναι πολύ χρήσιμο να περιορίσετε τον αριθμό αποτυχημένων προσπαθειών σύνδεσης από την ίδια διεύθυνση IP.
Ο Περιορισμός Προσπαθειών Σύνδεσης κάνει ακριβώς αυτό, σας επιτρέπει να καθορίσετε πόσες προσπάθειες θα επιτρέπονται, και για πόσο χρόνο μία IP θα κλειδώνεται μετά από πολλαπλές αποτυχημένες προσπάθειες σύνδεσης.
Υπάρχουν τρόποι να προσπεραστεί αυτό, καθώς κάποιοι χάκερ χρησιμοποιούν ένα μεγάλο αριθμό διαφορετικών διευθύνσεων IP, αλλά ωστόσο είναι καλό να το κάνετε ως ένα πρόσθετο μέτρο ασφαλείας.
7. Απενεργοποιήστε την επεξεργασία αρχείων μέσω του πίνακα διαχείρισης
Σε μία εγκατάσταση του WordPress από προεπιλογή μπορείτε να πλοηγηθείτε στο Appearance (εμφάνιση) > Editor (επεξεργαστής) και να επεξεργαστείτε οποιοδήποτε από τα αρχεία του θέματος σας μέσα από τον πίνακα διαχείρισης.
Το πρόβλημα είναι, εάν ένας χάκερ κατάφερνε να έχει πρόσβαση στον πίνακα διαχείρισης, θα μπορούσε επίσης να επεξεργαστεί τα αρχεία σας κατ’αυτό τον τρόπο, και να εκτελέσει οποιονδήποτε κώδικα θέλει.
Οπότε είναι καλή ιδέα να απενεργοποιήσετε αυτή τη μέθοδο επεξεργασίας αρχείων, προσθέτοντας το παρακάτω στο wp-config.php αρχείο σας:
define( ‘DISALLOW_FILE_EDIT’, true );
8. Προσπαθήστε να αποφύγετε τα δωρεάν θέματα
Είμαστε βέβαιοι ότι τα δωρεάν θέματα μας έχουν καλή ποιότητα και ασφάλεια. Ωστόσο ως γενικό κανόνα, είναι καλύτερο να αποφεύγετε τη χρήση δωρεάν θεμάτων, κατά το δυνατό, ιδιαίτερα εάν δεν έχουν δημιουργηθεί από κάποιον ευυπόλυπτο προγραμματιστή.
Ο κύριος λόγος για αυτό είναι ότι τα δωρεάν θέματα συχνά μπορούν να περιέχουν πράγματα όπως κωδικοποίηση base64, που μπορεί να χρησιμοποιηθεί ώστε να εισάγει με ύπουλο τρόπο spam συνδέσμους στο site σας, ή κάποιον άλλο κακόβουλο κώδικα που μπορεί να προκαλέσει οποιουδήποτε είδους προβλήματα, όπως φαίνεται σε αυτό το πείραμα, όπου 8 στα 10 site που προσφέρουν δωρεάν θέματα περιέχουν κωδικοποίηση base64.
Εάν χρειάζεστε οπωσδήποτε ένα δωρεάν θέμα, θα πρέπει να χρησιμοποιείτε μόνο εκείνα που έχουν δημιουργηθεί από αξιόπιστες εταιρείες θεμάτων, ή εκείνα που είναι διαθέσιμα στην αποθήκη θεμάτων του επίσημου site WordPress.org.
Σημείωση: Η ίδια λογική ισχύει και για τα plugin (πρόσθετα). Να χρησιμοποιείτε μόνο plugin (πρόσθετα) που είναι κατεγραμμένα στο WordPress.org, ή έχουν δημιουργηθεί από αξιόπιστους προγραμματιστές.
9. Κρατήστε backup
Δεν μπορώ να τονίσω αρκετά πόσο σημαντικό είναι να κρατάτε συχνά backup του site σας. Αυτό είναι κάτι που πολλοί άνθρωποι αναβάλουν μέχρι να είναι πολύ αργά.
Ακόμα και με τα καλύτερα μέτρα ασφαλείας στη διάθεση σας, δε μπορείτε ποτέ να γνωρίζετε πότε θα συμβεί κάτι αναπάντεχο που μπορεί να αφήσει το site σας ευάλωτο σε μία επίθεση.
Εάν αυτό συμβεί, θέλετε να είστε βέβαιοι ότι όλο σας το περιεχόμενο έχει αντιγραφεί με ασφάλεια, ώστε να μπορείτε εύκολα να αποκαταστήσετε το site σας στο προηγούμενο μεγαλείο του.
Το WordPress Codex σας λέει ακριβώς πώς να κρατήσετε backup του site σας, και εάν αυτό σας φαίνεται επίπονο, μπορείτε να χρησιμοποιήσετε ένα plugin (πρόσθετο) όπως το WordPress Backup to Dropbox, για να προγραμματίσετε τακτά αυτόματα backup.
10. Χρησιμοποιήστε plugin (πρόσθετα) ασφαλείας
Εκτός από όλα τα παραπάνω μέτρα ασφαλείας, υπάρχουν επίσης πάρα πολλά plugin (πρόσθετα) που μπορείτε να χρησιμοποιήσετε για να ισχυροποίησετε την ασφάλεια του site σας, και να μειώσετε την πιθανότητα μίας επίθεσης.
Εδώ είναι μερικές δημοφιλείς επιλογές:
- http://wordpress.org/plugins/better-wp-security/ – προσφέρει μία ποικιλία χαρακτηριστικών ασφαλείας.
- http://wordpress.org/plugins/bulletproof-security/ – προστατεύει το site σας μέσω .htaccess.
- http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – προσθέτει ένα firewall στο site σας.
- http://wordpress.org/plugins/sucuri-scanner/ – εξετάζει το site σας για κακόβουλο λογισμικό κ.λ.π.
- http://wordpress.org/plugins/wordfence/ –plugin (πρόσθετο) ασφαλείας με πλήρη χαρακτηριστικά.
- http://wordpress.org/plugins/websitedefender-wordpress-security/ – περιεκτικό εργαλείο ασφαλείας.
- http://wordpress.org/plugins/exploit-scanner/ – εξετάζει τη βάση δεδομένων σας για τυχόν ύποπτο κώδικα.
Περαιτέρω Πηγές
Για να μάθετε περισσότερα σχετικά με την ισχυροποίηση της ασφάλειας του site σας, παρακαλώ μελετήστε αυτές τις δύο πηγές:
http://codex.wordpress.org/Hardening_WordPress
http://wp.tutsplus.com/tutorials/11-quick-tips-securing-your-wordpress-site
Επίσης συνιστούμε το Sucuri.net, εάν είστε αβέβαιοι για αυτό το ζήτημα. Το Sucuri μπορεί να σας βοηθήσει στην παρακολούθηση του site σας, να σας ειδοποιήσει για οποιαδήποτε κακόβουλη ενέργεια, και ακόμα να καθαρίσει το site σας σε περίπτωση κακόβουλης επίθεσης.
Μην Πανικοβάλεστε!
Πιθανόν όλα αυτά να ακούγονται τρομακτικά, ιδιαίτερα εάν είστε αρχάριος. Θα ήθελα να τονίσω ότι αυτό το άρθρο δεν έχει σκοπό να τρομάξει κάποιον, απλά είναι σημαντικό με μελετάμε το ζήτημα της ασφάλειας τακτικά, επειδή θέλουμε να είμαστε βέβαιοι ότι παραμένετε ένα βήμα μπροστά από τους χάκερ!
Δεν είναι απαραίτητο να ακολουθήσετε όλα τα βήματα αυτής της λίστας (παρόλο που σε κάθε περίπτωση δεν θα έβλαπτε). Ακόμη κι αν απλά αφαιρέσετε το όνομα χρήστη ‘admin’, και αρχίσετε να χρησιμοποιείτε ισχυρότερα password, το site σας θα είναι λίγο πιο ασφαλές.