Πώς να βελτιώσετε την ασφάλεια του WordPress: 22 τρόποι να προστατέψετε την ιστοσελίδα σας

Το WordPress είναι ο απλούστερος και πλέον δημοφιλής τρόπος να δημιουργήσετε τη δική σας ιστοσελίδα ή blog εύκολα, γρήγορα και χωρίς καμία γνώση προγραμματισμού ή κώδικα. 

Στην πραγματικότητα πάνω από το 43% του συνόλου των ιστοσελίδων αυτή τη στιγμή στο διαδίκτυο τροφοδοτούνται από το WordPress.

Η δημοφιλία του όμως αυτή έχει και το ανάλογο τίμημα…

Αν και γενικά θα λέγαμε ότι το WordPress είναι αρκετά ασφαλές, εντούτοις ως ένα CMS ανοιχτού κώδικα παραμένει ευάλωτο με αρκετά τρωτά σημεία ασφαλείας, τα οποία εκμεταλλεύονται οι επίδοξοι hackers για να μας δημιουργήσουν πάσης φύσεως προβλήματα. 

Και αν τώρα σκέφτεστε ότι εσείς με ένα προσωπικό blog ή μία μικρή ιστοσελίδα δεν έχετε κανένα λόγο να φοβάστε ότι θα γίνετε στόχος κακόβουλου λογισμικού ρίξτε μία ματιά σε αυτά τα στοιχεία: 

• Κάθε λεπτό πραγματοποιούνται πάνω από 90.000 επιθέσεις σε WordPress sites, εκ των οποίων το 97% γίνονται αυτοματοποιημένα.
• Κάθε μέρα δημιουργούνται 300.000 νέα κακόβουλα προγράμματα.
• Παγκοσμίως, 30.000 ιστοσελίδες παραβιάζονται καθημερινά.
• Κάθε εβδομάδα η Google θέτει σε “μαύρη λίστα” πάνω από 70.000 ιστοσελίδες λόγω ζητημάτων ασφαλείας.
• Σύμφωνα με την Kinsta, το 83% των συνολικών επιθέσεων σε ιστοσελίδες αφορούν το WordPress.
• Η μεγαλύτερη παραβίαση ασφαλείας που έπληξε ποτέ το WordPress συνέβη το 2011 με πάνω από 18 εκατομμύρια μολυσμένα websites λόγω ενός κοινού plugin που ονομάζεται TimThumb.

Μπορεί τα στατιστικά να τρομάζουν, αυτό βεβαίως δεν σημαίνει ότι είστε εντελώς απροστάτευτοι, αρκεί να λάβετε προληπτικά κάποια μέτρα ασφαλείας που θα μειώσουν κατά πολύ τον κίνδυνο μόλυνσης και παραβίασης της σελίδας σας από κάθε είδους επιθέσεις.

Πριν όμως προχωρήσουμε και δούμε αναλυτικά όλα εκείνα τα μέτρα που πρέπει να υιοθετήσετε για να κάνετε την ιστοσελίδα σας πιο ασφαλή, θα πρέπει να προηγουμένως να κατανοήσετε γιατί η ασφάλειά της είναι τόσο σημαντική. 

Γιατί είναι σημαντική η ασφάλεια του WordPress;

Mία παραβιασμένη ιστοσελίδα WordPress μπορεί να προκαλέσει σοβαρή ζημία στα έσοδα και τη φήμη της επιχείρησής σας.

Οι χάκερς μπορούν να κλέψουν προσωπικά δεδομένα χρηστών, κωδικούς πρόσβασης, να εγκαταστήσουν κακόβουλο λογισμικό ή να διανείμουν κακόβουλο λογισμικό στους χρήστες σας και η λίστα δυστυχώς συνεχίζεται…

Ακόμα χειρότερα, μπορεί να χρειαστεί να πληρώσετε λύτρα σε ένα hacker μόνο και μόνο για να αποκτήσετε ξανά πρόσβαση στη δική σας σελίδα! 

Στα παραπάνω συνυπολογίστε επίσης το κόστος για την επαναφορά της σωστής λειτουργίας της αλλά και τις επιπτώσεις -μερικές φορές μόνιμα, στην κατάταξή της στα αποτελέσματα των μηχανών αναζήτησης.

Πώς παραβιάζονται οι ιστοσελίδες WordPress;

Η Google πρόσφατα δημοσίευσε μια λίστα με τους πιο συχνούς τρόπους πρόσβασης των spammers σε ιστοσελίδες.

Ας δούμε τους σημαντικότερους από αυτούς πιο αναλυτικά:

• Παραβιασμένοι κωδικοί πρόσβασης: Οι επιθέσεις ωμής βίας ή Brute force attacks όπως συχνότερα τις συναντάμε, είναι ένας από τους πλέον συνηθισμένους τρόπους με τους οποίους οι χάκερς παραβιάζουν έναν ιστότοπο. Χρησιμοποιούν bots για να δοκιμάσουν διαφορετικά ονόματα χρήστη και κωδικούς πρόσβασης -χιλιάδες συνδυασμούς ανά δευτερόλεπτο, μέχρι να βρουν τον σωστό.

• Μη ασφαλή themes και plugins: Τα τρωτά σημεία που εντοπίζονται σε plugins και WordPress themes είναι ένας σχετικά εύκολος τρόπος να εισέλθουν κακόβουλοι χρήστες στην ιστοσελίδα σας. Οι προγραμματιστές θεμάτων και προσθέτων υψηλής ποιότητας εκδίδουν τακτικά updates που βελτιώνουν ακριβώς αυτές τις ευπάθειες, αλλά δυστυχώς δεν είναι λίγοι οι διαχειριστές που παραλείπουν να ενημερώσουν αντίστοιχα την ιστοσελίδα τους με τις τελευταίες εκδόσεις. 

• Nulled plugins και themes: Ίσως οι όροι “πειρατικό” ή “σπασμένο” σας είναι πιο οικείοι. Πρόκειται στην ουσία για premium πρόσθετα και θέματα εμφάνισης που διατίθενται δωρεάν και περιέχουν τρύπες ασφαλείας στον κώδικα δίνοντας τη δυνατότητα στους χάκερς να συνδεθούν εξ αποστάσεως στην ιστοσελίδα σας και να αποκτήσουν πλήρη έλεγχο.

• “Χαλαρή” πολιτική ασφάλειας:  H παροχή πρόσβασης σε άτομα ενώ δεν είναι αναγκαίο, η δημιουργία αδύναμων κωδικών πρόσβασης, η μη ενεργοποίηση του πρωτοκόλλου HTTPS και το ανέβασμα αρχείων από χρήστες χωρίς προηγούμενο έλεγχο, επιτρέπουν στους εισβολείς να παραβιάσουν την ιστοσελίδα σας με σχετικά εύκολο τρόπο.

Σύμφωνα άλλωστε και με σχετική έρευνα του Wordfence, οι παραπάνω 4 παράγοντες φαίνεται πως ευθύνονται σε ποσοστό άνω του 80% των συνολικών παραβιάσεων ιστοσελίδων WordPress, ενώ αξίζει να σημειωθεί ότι το 61,5% των ερωτηθέντων απάντησε ότι δεν γνωρίζει καν πως παραβιάστηκε η ιστοσελίδα του!

Βεβαίως το ερώτημα που εδώ τίθεται, και αντίστοιχα πρέπει να απασχολήσει τον καθένα μας, είναι πως κάποιος μπορεί να καθαρίσει μία μολυσμένη ιστοσελίδα και να είναι σίγουρος ότι το πρόβλημα εξαφανίστηκε πλήρως από τη στιγμή που δεν γνωρίζει την αιτία που το προκάλεσε…

Γιατί όμως κάποιος να χακάρει μία ιστοσελίδα;

Πώς να βελτιώσετε την ασφάλεια του WordPress

Σε αυτό το σημείο, και αφού προηγουμένως αναλύσαμε το τι, πως και γιατί περί ασφάλειας ιστοσελίδων, ήρθε η ώρα να δούμε με ποιο τρόπο θα μειώσετε τον κίνδυνο μίας ενδεχόμενης επίθεσης στη δική σας σελίδα WordPress. 

Αρχικά, θα καλύψουμε κάποιες βασικές τεχνικές, ενώ όσο προχωράμε θα προσθέτουμε επιπλέον βήματα σε περίπτωση που θεωρείτε ότι η ιστοσελίδα σας κινδυνεύει ιδιαίτερα ή θέλετε να προχωρήσετε ακόμη βαθύτερα.

Για να φτάσετε σε ένα ικανοποιητικό επίπεδο ασφάλειας, σας συνιστώ να τηρήσετε όσο το δυνατόν περισσότερες από τις παρακάτω πρακτικές. 

Πίνακας περιεχομένων:

• #1: Επιλέξτε έναν ποιοτικό πάροχο φιλοξενίας
• #2: Ασφαλίστε τη διαδικασία σύνδεσης
  • #2.1: Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης
  • #2.2: Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων
  • #2.3: Μην χρησιμοποιείτε ποτέ ως username το “admin”
  • #2.4: Περιορίστε τον αριθμό των προσπαθειών σύνδεσης
  • #2.5: Προσθήκη Captcha
  • #2.6: Ενεργοποίηση αυτόματης αποσύνδεσης
• #3: Εγκαταστήστε ένα ή περισσότερα πρόσθετα ασφαλείας
• #4: Ενημερώνετε τακτικά το WordPress core, themes και plugins
• #5: Ενημέρωση στην πιο πρόσφατη έκδοση της PHP
• #6: Ενεργοποίηση SSL για κρυπτογράφηση δεδομένων
• #7: Εγκαταστήστε ένα τείχος προστασίας (Firewall)
• #8: Λάβετε τακτικά αντίγραφα ασφαλείας (Backups)
• #9: Αλλάξτε την προεπιλεγμένη διεύθυνση URL σύνδεσης στο WordPress
• #10: Διαγραφή θεμάτων και προσθέτων που δεν χρησιμοποιούνται
• #11: Αποκρύψτε την τρέχουσα έκδοση του WordPress
• #12: Παρακολουθήστε τη δραστηριότητα στην ιστοσελίδα σας
• #13: Πραγματοποιήστε τακτικές σαρώσεις ασφαλείας
• #14: Απενεργοποιήστε την επεξεργασία αρχείων
• #15: Απενεργοποιήστε την εκτέλεση αρχείων PHP σε συγκεκριμένους καταλόγους
• #16: Αλλαγή του default προθέματος στη βάση δεδομένων του WordPress
• #17: Απενεργοποιήστε το Directory Indexing και Browsing
• #18: Περιορίστε τα δικαιώματα κάθε χρήστη
• #19: Προστατέψτε το αρχείο wp-config.php
• #20: Ορίστε προσεκτικά τα δικαιώματα καταλόγου (Directory Permissions)
• #21: Αποτροπή Hotlinking
• #22: Απενεργοποιήστε το XML-RPC

• Πώς θα καταλάβετε εάν η ιστοσελίδα σας έχει παραβιαστεί
• Τι να κάνετε εάν η ιστοσελίδα σας παραβιαστεί;

Επιλέξτε έναν ποιοτικό πάροχο φιλοξενίας

Η εταιρεία φιλοξενίας παίζει πρωταρχικό ρόλο σε όλα όσα θα συζητήσουμε σε αυτό το άρθρο, καθώς είναι υπεύθυνη για την ασφάλεια της ιστοσελίδα σας σε επίπεδο server. 

Αυτό στην πράξη σημαίνει ότι όσο καλά και να βελτιστοποιήσετε από τη δική σας μεριά ένα site, αν ο πάροχος φιλοξενίας σας δεν εφαρμόζει τις βέλτιστες πρακτικές ασφαλείας η σελίδα θα εξακολουθεί να παραμένει εκτεθειμένη σε ένα μεγάλο μέρος της.

Πριν λοιπόν επιλέξετε το πρώτο φθηνό πακέτο web hosting που θα βρείτε στο διαδίκτυο, εξετάστε αν η εταιρεία προσφέρει κατ’ ελάχιστον τα εξής χαρακτηριστικά:

• Αυτοματοποιημένα αντίγραφα ασφαλείας (backups), σε ποια συχνότητα (ημερήσια, εβδομαδιαία κτλ.) και εάν υπάρχει επιπλέον χρέωση ή όχι.
• Δωρεάν πιστοποιητικά SSL, τα οποία προστατεύουν τα δεδομένα των επισκεπτών της ιστοσελίδας σας.
• Τεχνική υποστήριξη 24/7 σε περίπτωση που η ιστοσελίδα σας μολυνθεί, και ποια είναι η πολιτική της εταιρείας σε αυτή την περίπτωση (πχ. αναλαμβάνει την επαναφορά και καθαρισμό της σελίδας σας, και εάν ναι, με επιπλέον κόστος ή όχι και ποιο;)
• Ένα ενσωματωμένο τείχος προστασίας (Firewall), το οποίο προστατεύει τα αρχεία και τη βάση δεδομένων σας στο server και συγχρόνως προστασία anti-DDoS.
• Σαρώσεις ασφαλείας για κακόβουλα λογισμικά, ransomware κτλ. και άμεση ενημέρωση για ύποπτη δραστηριότητα στην ιστοσελίδα σας.
• Καλή φήμη. Οι κριτικές και αξιολογήσεις είναι συχνά ο καλύτερος τρόπος για να προσδιορίσετε την ποιότητα μίας εταιρείας φιλοξενίας.

Διαβάστε ακόμα: Οδηγός Web Hosting – Τα πάντα για τη φιλοξενία ιστοσελίδων

Ασφαλίστε τη διαδικασία σύνδεσης

Αναμφισβήτητα το σημαντικότερο βήμα για την ασφάλεια της ιστοσελίδας σας είναι να διατηρήσετε τους λογαριασμούς σας ασφαλείς από κακόβουλες προσπάθειες σύνδεσης.

Για να γίνει αυτό:

• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Μπορεί να ακούγετε αυτονόητο, αλλά ακόμα και σήμερα δεν είναι λίγοι αυτοί που χρησιμοποιούν κωδικούς τύπου “12345678” ή κάτι παρόμοιο. Ένας ισχυρός κωδικός πρέπει να αποτελείτε τουλάχιστον από 12 χαρακτήρες (έως και 50) και να είναι συνδυασμός γραμμάτων, αριθμών και συμβόλων. Επίσης ιδανικά θα πρέπει να αλλάζει κάθε 120 ημέρες. Ένα δωρεάν online εργαλείο που θα σας βοηθήσει να δημιουργήσετε ισχυρούς κωδικούς είναι το Lastpass.

• Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων: Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) απαιτεί από τους χρήστες να επαληθεύουν τη σύνδεσή τους με μια δεύτερη συσκευή. Αυτό είναι ένα από τα απλούστερα, αλλά και πιο αποτελεσματικά εργαλεία για την ασφάλεια της σύνδεσής σας. Για την ενεργοποίηση της λειτουργίας, εγκαταστήστε προηγουμένως το πρόσθετο WP 2FA και εν συνεχεία από το μενού του WordPress dashboard στα αριστερά σας πηγαίνετε Users > Profile, βρείτε την ενότητα ‘WP 2FA Settings’ και κάντε τις αντίστοιχες ρυθμίσεις.

• Μην χρησιμοποιείτε ποτέ ως username το “admin”: Αυτό είναι πιθανότατα το πρώτο όνομα χρήστη που θα χρησιμοποιήσουν οι εισβολείς σε μία απόπειρα σύνδεσης με τη μέθοδο του Brute force attack. Εάν έχετε ήδη δημιουργήσει το λογαριασμό σας με αυτό το όνομα μπορείτε πολύ εύκολα να τον αλλάξετε πηγαίνοντας Users > Add New, εισάγετε το νέο username και αφού ορίσετε το ρόλο σας σε “administrator” πατήστε “Add New User”.

• Περιορίστε τον αριθμό των προσπαθειών σύνδεσης: Ο ορισμός ενός ανώτατου ορίου προσπαθειών εισαγωγής λανθασμένων κωδικών για συγκεκριμένο χρονικά διάστημα, θα αποτρέψει τους χάκερς από το να εξαναγκάσουν βιαίως τη σύνδεση (Brute force attack). Κάποιες ποιοτικές υπηρεσίες φιλοξενίας και τείχη προστασίας (firewalls) θα φροντίσουν για αυτό, αλλά μπορείτε επίσης να εγκαταστήσετε ένα πρόσθετο όπως το Limit Login Attempts για να είστε απόλυτα σίγουροι.

• Προσθήκη Captcha: Πιθανότατα έχετε δει αυτή τη δοκιμή ασφαλείας σε πολλές άλλες ιστοσελίδες. Τα Captcha προσθέτουν ένα επιπλέον επίπεδο ασφάλειας στη σύνδεσή σας, επιβεβαιώνοντας ότι είστε πράγματι άνθρωπος και όχι ένα κακόβουλο bot. Μπορείτε να χρησιμοποιήσετε διάφορα plugins για να προσθέσετε ένα captcha στη σελίδα σας. Το reCaptcha από BestWebSoft και Simple Google reCAPTCHA είναι τα δύο που σας προτείνω.

• Ενεργοποίηση αυτόματης αποσύνδεσης: Αν και θα πρέπει πάντα να αποσυνδέεστε από το διαχειριστικό περιβάλλον του WordPress κάθε φορά που τελειώνετε την εργασία σας, η αυτόματη αποσύνδεση θα σας προφυλάξει από κακόβουλες ενέργειες σε περίπτωση που το ξεχάσετε. Για να την ενεργοποιήσετε δοκιμάστε ένα πρόσθετο όπως το Inactive Logout.

Εγκαταστήστε ένα ή περισσότερα πρόσθετα ασφαλείας

Σας συνιστώ ανεπιφύλακτα να εγκαταστήσετε τουλάχιστον ένα αξιόπιστο security plugin. 

Αυτό θα σας γλυτώσει χρόνο -και κόπο, καθώς θα κάνει για εσάς μεγάλο μέρος της χειροκίνητης εργασίας όπως αυτόματες σαρώσεις για απόπειρες διείσδυσης, αλλαγές σε αρχεία που μπορούν να αφήσουν τη σελίδα σας εκτεθειμένη, επαναφορά της σε περίπτωση παραβίασης και αποτροπή κλοπής του περιεχομένου σας με τη μέθοδο του hotlinking. 

Ορισμένα μάλιστα από αυτά, θα καλύψουν σχεδόν τα πάντα σε αυτή τη λίστα.

Σε κάθε περίπτωση, όποιο πρόσθετο ασφαλείας και αν αποφασίσετε να ενεργοποιήσετε βεβαιωθείτε προηγουμένως ότι είναι απολύτως αξιόπιστο και βεβαίως νόμιμα. 

Μερικά security plugins που αξίζει να δείτε είναι τα παρακάτω: 

• Wordfence Security – Firewall & Malware Scan
• All In One WP Security and Firewall
• Defender
• iThemes Security
• Sucuri
• Jetpack

Ενημερώνετε τακτικά το WordPress core, themes και plugins

Κάθε νέα έκδοση του WordPress έρχεται για να αντιμετωπίσει ζητήματα ασφάλειας που εντοπίστηκαν σε μία προηγούμενη.

Ένας εύκολος τρόπος για να μειώσετε τα τρωτά σημεία στην ιστοσελίδα σας είναι να βεβαιωθείτε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοσή του.

Πολλοί χάκερς βασίζονται στο γεγονός και οι διαχειριστές ιστοσελίδων παραμελούν αυτό το καθήκον τους (σύμφωνα με το Sucuri κατά 61%) και εκμεταλλεύονται σφάλματα που στην ουσία έχουν ήδη διορθωθεί!

Επομένως, εάν χρησιμοποιείτε οποιοδήποτε προϊόν WordPress, ενημερώστε το τακτικά.

Πρόσθετα, θέματα, τα πάντα.

Τα καλά νέα είναι ότι το WordPress κυκλοφορεί αυτόματες ενημερώσεις για τους χρήστες του, επομένως θα λάβετε ένα email που θα σας ειδοποιεί για κάθε νέα ενημέρωση.

Σε ότι αφορά τα plugins, ο σωστός τρόπος για να προχωρήσετε σε μία ενημέρωση είναι αρχικά να δημιουργήστε ένα αντίγραφο ασφαλείας και εν συνεχεία να ελέγξετε χειροκίνητα ότι αυτά είναι συμβατά με τη νέα έκδοση του WordPress και να ενημερώσετε ανάλογα. 

Εναλλακτικά, θα μπορούσατε να επιλέξετε ένα ποιοτικό πρόγραμμα Managed WordPress Hosting, όπου μαζί με πολλές άλλες δυνατότητες και βελτιώσεις ασφαλείας, θα σας προσφέρει επίσης αυτόματες ενημερώσεις για όλα τα στοιχεία της ιστοσελίδας σας.

Ενημέρωση στην πιο πρόσφατη έκδοση της PHP

Η αναβάθμιση της PHP στην πιο πρόσφατη έκδοση της είναι ένα εξίσου σημαντικό βήμα για να διατηρήσετε ασφαλές το WordPress site σας. 

Όταν η αναβάθμιση είναι έτοιμη θα λάβετε σχετική ειδοποίηση μέσα από τον πίνακα ελέγχου. Στη συνέχεια, θα πρέπει να κατευθυνθείτε στον λογαριασμό φιλοξενίας σας για να ολοκληρώσετε τη διαδικασία. Αν δεν έχετε πρόσβαση, επικοινωνήστε με τον προγραμματιστή σας ή την εταιρεία φιλοξενίας και ζητήστε να το κάνουν αυτοί για εσάς.

Ενεργοποίηση SSL για κρυπτογράφηση δεδομένων

Στις μέρες μας, η χρήση ενός πιστοποιητικού ασφαλείας αποτελεί βασικό προαπαιτούμενο για κάθε τύπο ιστοσελίδας.

Το SSL είναι η τεχνολογία που κρυπτογραφεί την ανταλλαγή δεδομένων μεταξύ της σελίδας σας και του προγράμματος περιήγησης των επισκεπτών, καθιστώντας δύσκολο για τους χάκερς να παραβιάσουν τη σύνδεση ή να πλαστογραφήσουν τις πληροφορίες σας.

Επίσης επηρεάζει θετικά τη θέση της ιστοσελίδας στα οργανικά αποτελέσματα καθώς η Google τείνει να κατατάσσει τους ιστότοπους με SSL υψηλότερα σε σχέση με αυτούς που δεν διαθέτουν την αντίστοιχη κρυπτογράφηση.

Μόλις ενεργοποιήσετε ένα SSL, η σελίδα σας θα χρησιμοποιεί το πρόθεμα HTTPS αντί του HTTP, ενώ θα εμφανιστεί και ένα εικονίδιο λουκέτου μπροστά από το URL στο πρόγραμμα περιήγησης.

Προσωπικά χρησιμοποιώ το δωρεάν πιστοποιητικό ανοιχτού κώδικα Let’s Encrypt στις περισσότερες τόσο δικές μου ιστοσελίδες όσο και αυτές των πελατών μου. Άλλωστε, οποιαδήποτε ποιοτική εταιρεία φιλοξενίας, όπως η Hostinger.gr, θα σας προσφέρει ένα δωρεάν πιστοποιητικό Let’s Encrypt SSL με κάθε πακέτο φιλοξενίας της.

Η ενεργοποίησή του (σε περίπτωση που δεν είναι ήδη προεγκατεστήμενο) είναι πολύ απλή διαδικασία μιας και στο 99% των περιπτώσεων το μόνο που χρειάζεται να κάνετε είναι να εγκαταστήσετε το Really Simple SSL plugin και να το ενεργοποιήσετε. Δεν απαιτούνται άλλες ρυθμίσεις.

Εγκαταστήστε ένα τείχος προστασίας (Firewall)

Με εγκατεστημένο ένα τείχος προστασίας (Firewall), μειώνεται κατά πολύ ο κίνδυνος χακαρίσματος ενός site. 

Τα firewalls παρακολουθούν στενά όλη την εισερχόμενη και εξερχόμενη κίνηση μίας ιστοσελίδας και λειτουργούν ως εμπόδιο στην κακόβουλη επισκεψιμότητα προτού καν αυτή φτάσει σε εσάς. Αν συναντήσουν κάτι ασυνήθιστο, θα το αποκλείσουν από το να προχωρήσει περαιτέρω.

Για την ενεργοποίηση των firewalls, απλά αναζητήστε την αντίστοιχη επιλογή σε ένα από τα παραπάνω πρόσθετα ασφαλείας.

Λάβετε τακτικά αντίγραφα ασφαλείας (Backups)

Ανεξάρτητα από το πόσο προστατευμένη είναι η ιστοσελίδα σας πάντα να θυμάστε ότι τίποτα δεν είναι 100% ασφαλές. 

Τα αντίγραφα ασφαλείας (backups) είναι η πρώτη γραμμή άμυνας ενάντια σε οποιαδήποτε μορφή επίθεσης καθώς σας επιτρέπουν άμεσα να επαναφέρετε τη σελίδας σας σε κατάσταση λειτουργίας και το κυριότερο χωρίς απώλεια πολύτιμων δεδομένων.

Και σε αυτή την περίπτωση, ένα αξιόλογο πακέτο managed WordPress hosting θα κάνει τη δουλειά για εσάς, με αυτοματοποιημένα backups και δυνατότητα επαναφοράς ολόκληρου του site με ένα κλικ.

Βεβαίως, για μέγιστη ασφάλεια θα σας συνιστούσα να δημιουργείτε και τα δικά σας backups σε ημερήσια ή εβδομαδιαία βάση με τη βοήθεια ενός plugin όπως το UpdraftPlus ή BlogVault, που θα αποθηκεύετε σε off-site τοποθεσία σε περίπτωση που κάτι πάει στραβά με το server σας.

Αλλάξτε την προεπιλεγμένη διεύθυνση URL σύνδεσης στο WordPress.

Όλοι γνωρίζουν την τυπική διεύθυνση URL της σελίδας σύνδεσης στο διαχειριστικό περιβάλλον του WordPress.

Η πρόσβαση στο backend γίνεται από εκεί και αυτό είναι το σημείο όπου οι χάκερς προσπαθούν να εισέλθουν στη σελίδα σας με τη μέθοδο του brute force attack. Απλώς προσθέστε /wp-login.php ή /wp-admin/ στο τέλος του domain name και τη βρήκατε…

Αυτό που προτείνω είναι να προσαρμόσετε τη default διεύθυνση URL σε κάτι μοναδικά δικό σας ώστε να αποκρύψετε τη σελίδα σύνδεσης από κακόβουλη δραστηριότητα και να παραχωρείτε πρόσβαση μόνο σε άτομα που εμπιστεύεστε.

Προσωπικά, αυτό είναι από τα πρώτα πράγματα που κάνω όταν αρχίζω να ασχολούμαι με την ασφάλεια μιας ιστοσελίδας.

Ένα πρόσθετο για να κάνετε εύκολα και γρήγορα την αλλαγή στο URL είναι το WPS Hide Login, ενώ και τα περισσότερα από τα πιο πάνω security plugins που ήδη αναφέραμε θα σας δώσουν αυτή την επιλογή.

Διαγραφή θεμάτων και προσθέτων που δεν χρησιμοποιούνται

Όσα περισσότερα themes και plugins έχετε εγκατεστημένα τόσο περισσότερες ευκαιρίες δίνετε σε επίδοξους hackers να παραβιάσουν την ιστοσελίδα σας.

Ενώ τα plugins είναι ένας πολύ καλός τρόπος να προσθέσετε επιπλέον λειτουργικότητα, αφιερώστε λίγο χρόνο και αφαιρέστε αυτά που πλέον δεν χρησιμοποιείται. Το ίδιο ισχύει για θέματα εμφάνισης που είναι αποθηκευμένα και δεν έχετε ενεργοποιήσει.

Η διαγραφή τους παράλληλα θα βελτιώσει και την ταχύτητα φόρτωσης της σελίδας σας!

Αποκρύψτε την τρέχουσα έκδοση του WordPress

Όπως αναφέραμε και προηγουμένως, πρέπει πάντα να ενημερώνετε το WordPress στην πιο πρόσφατη έκδοσή του.

Ακόμα όμως και σε περίπτωση που το αμελήσετε πρέπει η τρέχουσα έκδοση να μην είναι ορατή καθώς αν οι χάκερς γνωρίζουν ποια έκδοση του WordPress χρησιμοποιείτε, είναι πιο εύκολο γι ‘αυτούς να προσαρμόσουν την τέλεια επίθεση.

Μπορείτε να αποκρύψετε τον αριθμό της έκδοσης με σχεδόν κάθε πρόσθετο ασφαλείας WordPress που ήδη αναφέραμε.

Παρακολουθήστε τη δραστηριότητα στην ιστοσελίδα σας

Όταν έχετε ένα αρχείο καταγραφής με όλα όσα συμβαίνουν στην ιστοσελίδα σας, μπορείτε εύκολα να το διαβάσετε και να εντοπίσετε οτιδήποτε το ύποπτο.

Και αν η σελίδα σας παραβιαστεί, μπορείτε επίσης να προσδιορίσετε την ώρα που συνέβη, να μάθετε ποιες ενέργειες έγιναν και από ποιον λογαριασμό.

Για παράδειγμα, το αρχείο καταγραφής δραστηριοτήτων του Jetpack παρακολουθεί όλες τις σημαντικές αλλαγές που συμβαίνουν, από προσπάθειες σύνδεσης και δημοσιευμένες σελίδες έως διαγραμμένα πρόσθετα, ενημερώσεις θεμάτων και αλλαγές στις ρυθμίσεις. Για κάθε συμβάν, υπάρχει και μια χρονική σήμανση, τον χρήστη που έκανε την αλλαγή και μια περιγραφή του τι έκανε.

Στη συνέχεια, μπορείτε να χρησιμοποιήσετε αυτές τις πληροφορίες για να αντιμετωπίσετε καλύτερα τυχόν προβλήματα αφού θα ξέρετε ακριβώς το αίτιο που τα προκάλεσε.

Πραγματοποιήστε τακτικές σαρώσεις ασφαλείας

Μια σάρωση ασφαλείας ελέγχει τα αρχεία της ιστοσελίδας σας και εντοπίζει ύποπτο ή επιβλαβή κώδικα που τοποθετείται από εισβολείς. Ορισμένα security scanners επισημαίνουν επίσης πιθανές ευπάθειες ασφαλείας, όπως αδύναμους κωδικούς πρόσβασης ή παλιά αρχεία και παρέχουν στους χρήστες συστάσεις για τη διόρθωσή τους.

Μια ενδελεχής σάρωση θα ελέγξει τον πυρήνα του WordPress (τα αρχεία που χρησιμοποιεί το ίδιο το WordPress για να εκτελεστεί), το τρέχον θέμα και όλα τα εγκατεστημένα πρόσθετα για επικίνδυνο κώδικα και κενά ασφαλείας. Αυτές οι ολοκληρωμένες σαρώσεις δίνουν ένα επιπλέον επίπεδο ασφάλειας, καθώς ποτέ δεν ξέρετε ποιο μέρος του website σας θα μπορούσε να παραβιαστεί.

Στόχος σας είναι να διενεργείται αυτούς τους ελέγχους τουλάχιστον μία φορά το μήνα.

Εδώ είναι πέντε δημοφιλή WordPress security scanners που σας προτείνω:

• Sucuri SiteCheck
• Wordfence
• Defender Security
• iThemes Security
• Titan

Απενεργοποιήστε την επεξεργασία αρχείων

Το WordPress διαθέτει μία ενσωματωμένη λειτουργία επεξεργασίας κώδικα που σας επιτρέπει να παρεμβαίνετε στα αρχεία των θεμάτων και προσθέτων απευθείας από την περιοχή διαχείρισης του WordPress.

Σε λάθος χέρια, αυτή η δυνατότητα μπορεί να αποτελέσει κίνδυνο για την ασφάλεια, γι’ αυτό συνιστώ να την απενεργοποιήσετε.

Μπορείτε να το κάνετε εύκολα προσθέτοντας τον ακόλουθο κώδικα στο αρχείο wp-config.php.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Εναλλακτικά, μπορείτε να επιλέξετε την αντίστοιχη επιλογή σε ένα από τα πρόσθετα ασφαλείας που αναφέραμε παραπάνω.

Απενεργοποιήστε την εκτέλεση αρχείων PHP σε συγκεκριμένους καταλόγους

Ένας άλλος τρόπος για να ενισχύσετε περαιτέρω την ασφάλεια του WordPress site σας είναι απενεργοποιώντας την εκτέλεση αρχείων PHP σε καταλόγους όπου δεν χρειάζεται, όπως το /wp-content/uploads/.

Για να απενεργοποιήσετε την εκτέλεση PHP σε καταλόγους WordPress, δημιουργήστε ένα κενό αρχείο .htaccess και επικολλήστε τον παρακάτω κώδικα μέσα σε αυτό:

<Files *.php>
deny from all
</Files>

Στη συνέχεια, ανεβάστε αυτό το αρχείο στους καταλόγους /wp-content/uploads/ και /wp-includes/.

Επίσης και εδώ, μπορείτε να προχωρήσετε στην παραπάνω ενέργεια με τη βοήθεια ενός προσθέτου ασφαλείας.

Αλλαγή του default προθέματος στη βάση δεδομένων του WordPress

Από προεπιλογή, το WordPress χρησιμοποιεί το πρόθεμα wp_  σε όλους τους πίνακες της βάσης δεδομένων.

Εάν χρησιμοποιείτε το default πρόθεμα, τότε διευκολύνετε τους χάκερς να μαντέψουν ποιο είναι το όνομα του πίνακά σας και να επιτεθούν με τη μέθοδο του SQL injection.

Αυτό επιτρέπει σε έναν εισβολέα να προβάλλει πληροφορίες που ανήκουν σε άλλους χρήστες ή ακόμα να διαγράψει και να τροποποιήσει αυτά τα δεδομένα.

Τέτοιες επιθέσεις μπορούν να αποτραπούν αλλάζοντας το wp_ σε κάποιον άλλο όρο. Για παράδειγμα, μπορείτε να το κάνετε mywp_ ή wpnew_.

Πρόσθετα όπως το WP-DBManager ή το iThemes Security θα σας βοηθήσουν να κάνετε τη δουλειά με το πάτημα ενός κουμπιού.

Σημαντικό! Βεβαιωθείτε ότι έχετε δημιουργήσει προηγουμένως αντίγραφα ασφαλείας της ιστοσελίδας σας πριν κάνετε αλλαγές στη βάση δεδομένων.

Απενεργοποιήστε το Directory Indexing και Browsing

Από προεπιλογή, οι περισσότεροι servers όπως οι Apache, NGINX και LiteSpeed έχουν ενεργοποιημένη την περιήγηση καταλόγου, λειτουργία που χρησιμοποιείται συχνά από χάκερς για να ανακαλύψουν τυχόν αρχεία με γνωστά τρωτά σημεία που μπορούν να εκμεταλλευτούν για να αποκτήσουν πρόσβαση.

Μπορεί επίσης να χρησιμοποιηθεί από τρίτους για να εξετάσουν τα αρχεία σας, να αντιγράψουν εικόνες και να ανακαλύψουν τη δομή της σελίδας σας. Αυτός είναι ο λόγος για τον οποίο συνιστάται να απενεργοποιήσετε την ευρετηρίαση και περιήγηση του καταλόγου.

Για να δείτε εάν η περιήγηση καταλόγου είναι ενεργοποιημένη στο δικό σας website, πληκτρολογήστε:

http://yoursitename.com/wp-includes/ (όπου yoursitename.com αντικαταστήστε με το δικό σας domain name).

Εάν το directory browsing είναι πράγματι ενεργοποιημένο, θα δείχνει κάπως έτσι:

Σε περίπτωση που λάβετε ένα μήνυμα “403 Forbidden” ή παρόμοιο μήνυμα, σημαίνει ότι η περιήγηση στον κατάλογο είναι ήδη απενεργοποιημένη.

Για να απενεργοποιήσετε την καταχώρηση καταλόγου, θα χρειαστεί να προσθέσετε ένα κομμάτι κώδικα στο αρχείο .htaccess.

Για να αποκτήσετε αρχικά πρόσβαση στο αρχείο, θα χρειαστείτε έναν FTP client ή εναλλακτικά μπορείτε να χρησιμοποιήσετε την εφαρμογή διαχείρισης αρχείων στον πίνακα ελέγχου φιλοξενίας του WordPress.

Αφού συνδεθείτε στην ιστοσελίδα σας, ανοίξτε τον “δημόσιο φάκελο” (public folder) και βρείτε το αρχείο .htaccess. Κατεβάστε το στην επιφάνεια εργασίας και στη συνέχεια ανοίξτε το αρχείο με ένα πρόγραμμα επεξεργασίας κειμένου όπως το Notepad.

Στο κάτω μέρος του, απλώς προσθέστε τον ακόλουθο κώδικα:

Options -Indexes

Μόλις τελειώσετε, αποθηκεύστε το αρχείο .htaccess και ανεβάστε το ξανά στον server χρησιμοποιώντας to FTP.

Αυτό είναι.

Τώρα, αν επισκεφτείτε την ίδια διεύθυνση URL http://example.com/wp-includes/, θα λάβετε ένα μήνυμα “403 Forbidden” ή παρόμοιο.

Περιορίστε τα δικαιώματα κάθε χρήστη

Σκεφθείτε, σε πόσους ανθρώπους θα δίνατε τα κλειδιά του σπιτιού σας και θα επιτρέπατε να μπαίνουν οπουδήποτε αυτοί θέλουν;

Το ίδιο συμβαίνει και με το διαχειριστικό περιβάλλον της ιστοσελίδας σας…

Εάν το site σας έχει πολλούς λογαριασμούς χρηστών, σας συνιστώ να αλλάξετε το ρόλο του κάθε χρήστη και να περιορίσετε την πρόσβαση του στο βαθμό που κρίνεται αναγκαίο.

Για παράδειγμα, αν διαχειρίζεστε ένα blog μπορεί να θέλετε και άλλοι συντάκτες να γράφουν και να δημοσιεύουν άρθρα -αλλά μέχρι εκεί. Ή έχετε ένα ηλεκτρονικό κατάστημα και θέλετε κάποιος υπάλληλός σας να ανεβάζει προϊόντα και να επεξεργάζεται τις παραγγελίες αλλά παράλληλα να μην έχει πρόσβαση και στα οικονομικά σας στοιχεία.

Μπορείτε να αλλάξετε εύκολα το ρόλο κάθε χρήστη που έχει πρόσβαση στη σελίδα σας ή να δημιουργήσετε έναν νέο λογαριασμό πηγαίνοντας στο πεδίο “Users” και κάνοντας τις αντίστοιχες ρυθμίσεις.

Προστατέψτε το αρχείο wp-config.php

Το αρχείο wp-config.php περιέχει κρίσιμες πληροφορίες σχετικά με την εγκατάσταση του WordPress και είναι το πιο σημαντικό αρχείο στον root κατάλογο της ιστοσελίδας σας.

Η προστασία του σημαίνει ότι προστατεύετε τον πυρήνα του WordPress site σας.

Αυτή η τακτική δυσκολεύει τους κακόβουλους χρήστες από το να παραβιάσουν μία σελίδα, καθώς έτσι το αρχείο wp-config.php καθίσταται απρόσιτο σε αυτούς.

Η διαδικασία προστασίας είναι πραγματικά εύκολη. Μέσα από το File Manager πάρτε το αρχείο wp-config.php και απλά μετακινήστε το σε υψηλότερο επίπεδο από τον root κατάλογο.

Ορίστε προσεκτικά τα δικαιώματα καταλόγου (Directory Permissions)

Τα λανθασμένα δικαιώματα καταλόγου μπορεί να είναι καταστροφικά, ειδικά αν εργάζεστε σε ένα κοινόχρηστο περιβάλλον φιλοξενίας.

Σε μια τέτοια περίπτωση, η αλλαγή στα δικαιωμάτων των αρχείων και καταλόγου είναι μια καλή κίνηση για την ασφάλεια της ιστοσελίδας σας σε επίπεδο φιλοξενίας.

Η ρύθμιση των δικαιωμάτων καταλόγου σε “755” και των αρχείων σε “644” προστατεύει ολόκληρο το σύστημα αρχείων – καταλόγους, υποκαταλόγους και μεμονωμένα αρχεία.

Αυτό μπορεί να γίνει είτε χειροκίνητα μέσω του File Manager από τον πίνακα ελέγχου του πακέτου φιλοξενίας σας είτε μέσω του τερματικού (συνδεδεμένο με SSH) – χρησιμοποιήστε την εντολή “chmod”.

Αποτροπή Hotlinking

Το Hotlinking είναι η μέθοδος σύνδεσης με μια εικόνα (ή άλλο αρχείο πολυμέσων) που φιλοξενείται σε έναν εξωτερικό διακομιστή (δηλαδή σε μία άλλη ιστοσελίδα), χωρίς να κάνετε λήψη του αρχείου της εικόνας και να το φιλοξενήσετε στον δικό σας server.

Για παράδειγμα, ας υποθέσουμε ότι ο διαχειριστής του website Α φιλοξενεί μια συγκεκριμένη εικόνα στον server του. Ο  διαχειριστής του website Β που του αρέσει αυτή η εικόνα αποφασίζει να την εμφανίζεται και στο δικό του website. 

Ωστόσο, αντί να κατεβάσει την εικόνα και εν συνεχεία να τη φιλοξενήσει στο δικό του server, ο διαχειριστής του website Β συνδέεται απευθείας με το domain name του website Α.

Με αυτόν τον τρόπο, η εικόνα ενσωματώνεται στην ιστοσελίδα του Β αλλά φιλοξενείται από τον αρχικό διακομιστή, κλέβοντας το εύρος ζώνης (Bandwidth) του Α.

Ο πιο εύκολος τρόπος για την αποτροπή του hotlinking είναι η χρήση ενός πρόσθετου ασφαλείας όπως το All In One WP Security and Firewall, το οποίο θα επεξεργαστεί αυτόματα το αρχείο .htaccess για να αποτρέψει τη δημιουργία hotlinks.

Απενεργοποιήστε το XML-RPC

Η λειτουργία XML-RPC επιτρέπει σε απομακρυσμένους χρήστες του WordPress να ανεβάζουν αρχεία στην ιστοσελίδα τους.

Το XML-RPC είναι ενεργοποιημένο στο WordPress από προεπιλογή από την έκδοση 3.5 και έπειτα. Μπορεί να είναι ιδιαίτερο χρήσιμο για προγραμματιστές, αλλά για τους υπόλοιπους από εμάς, δεν νομίζω ότι αξίζει να το διατηρήσουμε ενεργοποιημένο, καθώς μπορεί να εισάγει τρωτά σημεία.

Για να το καταργήσετε το μόνο που χρειάζεται να κάνετε είναι να εγκαταστήσετε και να ενεργοποιήσετε το πρόσθετο Disable XML-RPC.

Πώς μπορώ να ξέρω εάν η ιστοσελίδα μου έχει παραβιαστεί;

Κάποιες φορές μπορεί να μην είναι εύκολα ξεκάθαρο εάν η σελίδα σας έχει παραβιαστεί ή απλά αντιμετωπίζει κάποιου άλλου είδους πρόβλημα.

Ωστόσο, εδώ είναι μερικές ενδείξεις για πιθανή παραβίαση μιας ιστοσελίδας που θα πρέπει να σας βάλουν σε υποψίες:

• Εμφανίζεται μια προειδοποίηση ασφαλείας όταν φορτώνετε τη διεύθυνση URL σας.
• Το πρόσθετο ασφαλείας αναφέρει ένα πρόβλημα.
• Ο πάροχος φιλοξενίας σας στέλνει email για ένα πρόβλημα.
• Η ιστοσελίδα σας ανακατευθύνεται κάπου αλλού χωρίς να έχετε κάνει εσείς αυτήν την ανακατεύθυνση.
• Βλέπετε περίεργες γραμμές κώδικα στις σελίδες του site.
• Η ιστοσελίδα είναι εντελώς εκτός λειτουργίας, αν και αυτό μπορεί να οφείλεται και σε άλλες αιτίες.
• Οι διαφημίσεις σας οδηγούν σε ύποπτους ιστότοπους.
• Η σελίδα σας φορτώνει ξαφνικά πολύ αργά ή λειτουργεί παράξενα με άλλους τρόπους.

Τι να κάνω εάν η ιστοσελίδα μου παραβιαστεί;

Εάν διαπιστώσετε ότι η ιστοσελίδα σας πράγματι έχει παραβιαστεί, υπάρχουν μερικά βήματα που μπορείτε να ακολουθήσετε για να διορθώσετε το πρόβλημα και να ανακτήσετε τα αρχεία και τη βάση δεδομένων σας:

• Προσδιορίστε τι συνέβη. Ελέγξτε το αρχείο καταγραφής δραστηριοτήτων για να δείτε ποιος συνδέθηκε, πότε και τι αλλαγές έκανε. Αυτό μπορεί να σας βοηθήσει να εντοπίσετε τους παραβιασμένους λογαριασμούς και να καταλάβετε ποια αρχεία επηρεάζονται.

• Εκτελέστε μια σάρωση κακόβουλου λογισμικού. Χρησιμοποιήστε ένα security scanner plugin για να πραγματοποιήσετε αναζήτηση στα αρχεία της ιστοσελίδας για κακόβουλο λογισμικό ή άλλες ενδείξεις παραβίασης. Κάποια από αυτά τα plugins ενδεχομένως σας δίνουν τη δυνατότητα να διορθώσετε ορισμένα προβλήματα με ένα κλικ σε αυτό το στάδιο.

• Επαναφέρετε ένα αντίγραφο ασφαλείας. Εάν λαμβάνετε τακτικά backups επαναφέρετε ένα που δημιουργήθηκε πριν το συμβάν.

• Επαναφέρετε όλους τους κωδικούς πρόσβασης και διαγράψτε ύποπτους χρήστες. Επαναφέρετε όλους τους κωδικούς πρόσβασης για την ιστοσελίδα σας και τον πάροχο φιλοξενίας. Εάν δείτε ύποπτους λογαριασμούς χρηστών που δεν δημιουργήσατε εσείς, διαγράψτε τους.

• Προσλάβετε έναν ειδικό σε θέματα ασφάλειας WordPress. Εάν δεν μπορείτε να καθαρίσετε μόνοι σας το κακόβουλο λογισμικό ή απλώς θέλετε να είστε απόλυτα σίγουροι ότι είστε ασφαλής, σκεφτείτε να προσλάβετε έναν ειδικό σε θέματα ασφάλειας WordPress.

• Ενημερώστε plugins, themes και την έκδοση του WordPress. Αυτό θα βοηθήσει στη διόρθωση τυχόν ζητημάτων που θα μπορούσε να έχει εκμεταλλευτεί ο χάκερ.

• Υποβάλετε ξανά το website σας στην Google. Εάν το website σας έχει συμπεριληφθεί σε λίστα αποκλεισμού, χρησιμοποιήστε το Google Search Console και ζητήστε έλεγχο και αφαίρεση από τη λίστα.

Τελικές σκέψεις

Παρόλο που κανένα μέτρο ασφαλείας δεν μπορεί να σας υποσχεθεί 100% προστασία της ιστοσελίδας σας από κακόβουλες επιθέσεις, η τήρηση των παραπάνω 22 πρακτικών είναι ένα σημαντικό βήμα προς τη σωστή κατεύθυνση. 

Να θυμάστε πάντα ότι σε θέματα ασφάλειας ισχύει το “η πρόληψη είναι καλύτερη από τη θεραπεία”.

Τα καλά νέα είναι ότι δεν χρειάζεται να είστε ειδικός για να εφαρμόσετε τις περισσότερες από τις παραπάνω τεχνικές. Ξεκινήστε με ένα βήμα τη φορά μέχρι να φτάσετε σε ένα ικανοποιητικό επίπεδο.

Άλλωστε η βελτιστοποίηση της ασφάλειας δεν είναι μία ενέργεια που την κάνεις μία φορά και την ξεχνάς αλλά θα πρέπει να αποτελέσει αναπόσπαστο κομμάτι της καθημερινής ρουτίνας για τη σωστή φροντίδα και συντήρηση της ιστοσελίδας σας.

Βεβαίως, αν χρειάζεστε ακόμα βοήθεια μην διστάσετε να επικοινωνήστε μαζί μου.