Η ασφάλεια μιας ιστοσελίδας είναι πάρα πολύ σημαντική για την σωστή της λειτουργία, αλλά και για την προστασία του περιεχομένου της και ειδικά στις μέρες μας που οι επιθέσεις είναι όλο και πιο συχνές.
Γι’ αυτό και οι περισσότεροι αναθέτουν αυτή τη δουλειά στους developers τους, οι οποίοι σίγουρα γνωρίζουν το τι πρέπει να κάνουν. Όποιος όμως θέλει να βελτιώσει την ασφάλεια του WordPress site του, αλλά δεν γνωρίζεις τι να κάνει, μπορεί να ακολουθήσει τα tips που ακολουθούν τα οποία θα τον βοηθήσουν να το πετύχει!
Δες επίσης: Τα 7 καλύτερα προγράμματα για να σπάσεις κωδικούς WiFi!
Τι μπορείς να κάνεις για την ασφάλεια ενός WordPress site
1. Έλεγξε την ασφάλεια.
Το Websynthesis οποίο ξεκινάει τον έλεγχο μόνο όταν πρέπει να γίνει, με αποτέλεσμα ότι κενά υπάρχουν εκτός του WordPress, όπως για παράδειγμα στο υλικό και το λογισμικό, να επηρεάζουν το ίδιο το CMS.
2. Χρησιμοποίησε καλά και γνωστά εργαλεία.
Όταν θα θέλεις να επιλέξεις ένα plugin ή ένα θέμα για το WordPress, καλό θα ήταν να χρησιμοποιήσεις αξιόπιστες πηγές οι οποίες ανανεώνονται συχνά και παρακολουθούν την ασφάλεια τους.
Είναι πολύ συχνό να ελέγχεις το πότε έγινε το τελευταίο update του plugin και του θέματος, ώστε να μην βάλεις σε κίνδυνο το WordPress blog σου.
3. Δημιούργησε προσαρμοσμένα μυστικά κλειδιά
Το αρχείο wp-config.php αποθηκεύει όλα τα μυστικά κλειδιά της εγκατάστασης του WordPress. Αποθηκεύει το username από την βάση δεδομένων της MySQL, αλλά και τον κωδικό πρόσβασης της βάσης.
Μπορείς να δημιουργήσεις το μυστικό κλειδί αν πατήσεις F5 μόλις μπεις στην σελίδα, ώστε να κάνεις ανανέωση.
4. Ενημέρωσε τα πάντα
Τα WooThemes μας υπενθυμίζουν ότι πρέπει να ενημερώνουμε τα πάντα και να μην δίνουμε βάση μόνο στο ίδιο το WordPress. Τόσο τα θέματα όσο και τα plugins παίζουν πολύ σημαντικό ρόλο για την ασφάλεια του site σου.
Επίσης, θα πρέπει να ξέρεις ότι οι περισσότεροι hackers χτυπάνε στις πιο παλιές εκδόσεις του WordPress και των plugins, οπότε όσο πιο πρόσφατη έκδοση έχεις τόσο το καλύτερο.
5. Προστάτεψε το από κακόβουλα URLs
Αυτός ο κώδικας θα σε βοηθήσει πολύ να αποτρέψεις τις επιθέσεις:
global $user_ID; if($user_ID) {
if(!current_user_can(‘administrator’)) {
if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||
stripos($_SERVER[‘REQUEST_URI’], “eval(“) ||
stripos($_SERVER[‘REQUEST_URI’], “CONCAT”) ||
stripos($_SERVER[‘REQUEST_URI’], “UNION+SELECT”) ||
stripos($_SERVER[‘REQUEST_URI’], “base64”)) {
@header(“HTTP/1.1 414 Request-URI Too Long”);
@header(“Status: 414 Request-URI Too Long”);
@header(“Connection: Close”);
@exit;
}
}
}
6. Σταμάτα το PHP Execution στο WP-Content
Η καλύτερη συμβουλή εδώ είναι να τοποθετήσεις ένα htaccess μέσα στον wp-content κατάλογο χρησιμοποιώντας με την σειρά το deny from all και το allow from all.
Αυτό θα εμποδίσει τα PHP αρχεία, ώστε να μην εκτελεστούν στο εσωτερικό του καταλόγου αυτού.
7. Αφαίρεσε plugins και θέματα που δεν χρησιμοποιείς
Και εδώ ισχύει το ίδιο που λέγαμε προηγουμένως, μιας και οι περισσότεροι κρατάνε έτσι διάφορα θέματα, τα οποία όμως δεν έχουν ενημερωθεί για καιρό άρα μπορεί να είναι ο εύκολος στόχος. Και να θυμάσαι ότι δεν αρκεί απλά να τα απενεργοποιήσεις!
8. Χρησιμοποίησε ισχυρούς κωδικούς πρόσβασης
Προφανώς και αυτό το βήμα δεν χρειάζεται περαιτέρω ανάλυση, μιας και όλοι μας γνωρίζουμε ότι όσο πιο δυνατό κωδικό έχουμε, τόσο πιο δύσκολο είναι να μας τον σπάσουν.
9. Διέγραψε τους περιττούς λογαριασμούς
Όταν κάποιος λογαριασμός παύει να χρησιμοποιείτε θα πρέπει να τον διαγράφεις, για να αποφύγεις την περίπτωση ότι κάποιος θα τον ξανά χρησιμοποιήσει. Επίσης, θα πρέπει να τσεκάρεις και τυχόν λογαριασμούς που έχουν φτιάξει οι developers, καθώς χρησιμοποιούν συνήθως πολύ φτωχούς κωδικούς.
10. Έλεγξε τα δικαιώματα των αρχείων
Όταν το WordPress κάνει αυτόματη ενημέρωση όλα τα αρχεία μπορούν να επεξεργαστούν μόνο από τον χρήστη και να διαβαστούν από όλους τους άλλους. Άρα θα πρέπει να τα τσεκάρεις για να τα αλλάζεις, ώστε να μην έχουν πολλοί πρόσβαση.
11. Άλλαξε τις ρυθμίσεις ασφαλείας της PHP
Αν και υπάρχει περίπτωση όλα αυτά να μην λειτουργήσουν στο site σου, το wpsecure.net προτείνει αυτή την λίστα των αλλαγών:
display_errors = Off //safe to disable on live site
register_globals = Off //off by default but a good reminder to check
expose_php = Off //safe to disable
allow_url_fopen = Off //might break something
allow_url_include = Off //might break something
log_errors = On //logging errors is always a good idea if you check them
error_log = /var/log/phperror.log
enable_dl = Off //might break something
disable_functions=”popen,exec,system,passthru,proc_open,shell_exec,show_source,php
file_uploads = Off //will most likely break something
Πριν δοκιμάσεις κάτι από όλα αυτά θα πρέπει σίγουρα να έχεις κάνει ένα backup καλού κακού, γιατί ποτέ δεν ξέρεις το αν θα δουλέψουν σε σένα.
12. Απόκτησε καλύτερο Hosting
Είναι πολύ σημαντικό η ιστοσελίδα σου να φιλοξενείτε σε έναν καλό server, για να μην χάνεις δεδομένα. Αυτό που πρέπει να κάνεις είναι να ρωτάς τι τύπο δίσκου χρησιμοποιούν και αν δεν είναι RAID ή SAN, να ψάχνεις για άλλο Hosting.
13. Όρισε την SSL χρήση
Αφού πρώτα τσεκάρεις ότι ο διακομιστής μπορεί να χειριστεί τα SSL, άνοιξε το αρχείο wp-config.php και κάνε επικόλληση την σειρά που ακολουθεί:
define(‘FORCE_SSL_ADMIN’, true);
Με τη χρήση των HTTPS, μπορείς να προσθέσεις τουλάχιστον ένα ακόμη επίπεδο ασφάλειας.
14. Βρες τα WordPress αρχεία που έχουν χακάρει
Μερικά από τα καλύτερα εργαλεία για να δεις το ποια αρχεία σου έχουν πειράξει είναι τα εξής:
- Exploit Scanner
- Sucuri
- Wordfence
- WordPress File Monitor Plus
15. Επανεξέτασε τα Plugins ασφαλείας
Πολλές φορές όταν δεν γνωρίζεις ακριβώς το πως να χρησιμοποιήσεις ένα plugin ασφαλείας μπορεί να προκαλέσεις περισσότερα προβλήματα, αντί να βρεις μια λύση στο πρόβλημα σου. Οπότε θα ήταν καλό να τα ξανά ελέγξεις μαζί με έναν προγραμματιστή για να δείτε ότι όντως όλα είναι ρυθμισμένα σωστά.
[adrotate banner=”12″]Έχεις να προσθέσεις κάποια άλλη χρήσιμη συμβουλή σχετική με την ασφάλεια των WordPress sites;
>> Δες όλα τα άρθρα από την Τεχνολογία!