Υποστήριξη
Web Development

Πως να ασφαλίσετε την Wordpress ιστοσελίδα σας

Η ασφάλεια της WordPress ιστοσελίδας σας είναι ένα θέμα που καλό θα ήταν να έχετε πάντα στο μυαλό σας καθότι όπως και σε άλλα λογισμικά ανοιχτού κώδικα, ενδέχεται να προκύψουν κενά ασφαλείας αν δεν πάρετε τις απαραίτητες προφυλάξεις. Παρακάτω θα δούμε τις πιο κοινές μορφές ευπαθειών, και τι μπορείτε να κάνετε για να έχετε μια κατά το δυνατό ασφαλή εγκατάσταση WordPress.

Τι είναι η ασφάλεια?

Η ασφάλεια μιας εφαρμογής είναι η μείωση του κινδύνου που διατρέχει και όχι η οριστική εξάλειψη του. Πρόκειται για τους ελέγχους και τις ενέργειες που θα μπορούσαν να βελτιώσουν την συνολική κατάσταση της σελίδας σας αναφορικά με την ασφάλεια και ως αποτέλεσμα να μειώσουν τις πιθανότητες να γίνετε στόχος και ίσως θύμα κακόβουλων χρηστών.

Φιλοξενία του website σας (Website Hosting)

Ο χώρος φιλοξενίας σας (server) παίζει σημαντικό ρόλο για την ασφάλεια της ιστοσελίδας σας. Ο διαχειριστής θα πρέπει να ελέγχει την επάρκεια πόρων, την ιδιωτικότητα και ακεραιότητα του server. Επίσης θα πρέπει να φροντίζει ώστε ο server να είναι εφοδιασμένος με τις πιο πρόσφατες σταθερές (stable) εκδόσεις των λογισμικών που τρέχει και να έχει αξιόπιστες μεθόδους δημιουργίας αντιγράφων ασφαλείας και επαναφοράς αυτών.

Εφαρμογές Website

Οι εταιρείες φιλοξενίας (hosters) είναι υπεύθυνες για τον server όπου φιλοξενείται η ιστοσελίδα σας κάτι όμως το οποίο δεν ταυτίζεται με την ίδια την ιστοσελίδα σας. Ο ρόλος του τεχνικού υπευθύνου ενός ιστοτόπου είναι διαφορετικός από αυτόν του διαχειριστή του server. Πολλές φορές ελλείψει προγραμματιστή, χρέη τεχνικού υπευθύνου αναλαμβάνει ο καθένας από εμάς που κάνει ένα απλό site, το οποίο διαχειρίζεται και ενημερώνει / αναβαθμίζει, συνεπώς ο καθένας μας είναι ένας εν δυνάμει ή εν ενεργεία τεχνικός υπεύθυνος ιστοτόπου.

Η σημασία της ενημέρωσης / αναβάθμισης ενός ιστοτόπου είναι μεγάλη και μερικές από τις πρακτικές που θα μπορούσατε να ακολουθήσετε ως τεχνικός υπεύθυνος του ιστοτόπου σας, είναι οι ακόλουθες:

  • Το περιβάλλον διαχείρισης της ιστοσελίδας σας να είναι στην τελευταία έκδοση.
  • Η διατήρηση αντιγράφων ασφαλείας (backups) της εγκατάστασης σας να γίνεται τακτικά έτσι ώστε η ανάκτηση της εγκατάστασης σας σε περίπτωση καταστροφής να είναι πολύ εφικτή και κατά το δυνατό γρήγορη. 
  • Η αποφυγή λήψης πρόσθετων (plugins) ή θεμάτων (themes) από μη αξιόπιστες πηγές που μπορεί να οδηγήσουν σε προβλήματα. Μια αξιόπιστη πηγή είναι το repository του Wordpress.

Ευπάθειες του υπολογιστή σας

Βεβαιωθείτε ότι οι υπολογιστές που χρησιμοποιείτε είναι απαλλαγμένοι από spyware και ιούς. Προτείνουμε να διατηρείτε το λειτουργικό σας σύστημα και το λογισμικό του, ειδικά τους web browser σας, ενημερωμένα και αν είναι δυνατόν να αποφεύγετε την περιήγηση σε τοποθεσίες του διαδικτύου που θεωρούνται μη αξιόπιστες.

Ευπάθειες του WordPress

Το WordPress ως λογισμικό, ενημερώνεται τακτικά για να αντιμετωπίσει κενά ασφαλείας που ενδέχεται να προκύψουν. Για τον σκοπό αυτό καλό θα ήταν να το κρατάτε ενημερωμένο στην τελευταία έκδοση αποφεύγοντας να μείνετε σε μια παλαιότερη έκδοση του.

Η τελευταία έκδοση του WordPress είναι πάντα διαθέσιμη από την επίσημη ιστοσελίδα του, και θα συνιστούσαμε να μην το κατεβάσετε ή το εγκαταστήσετε από κάπου αλλού. Για να διευκολυνθείτε μπορείτε να χρησιμοποιήστε την λειτουργία αυτόματων ενημερώσεων που υποστηρίζει το Wordpress.

Κωδικοί πρόσβασης

Πολλές πιθανές ευπάθειες μπορούν να αποφευχθούν αν έχετε έναν ισχυρό κωδικό πρόσβασης. 

Κατά την επιλογή κωδικού πρόσβασης καλό θα είναι να έχετε υπόψη σας:

  •  Να μην κάνετε χρήση του πραγματικού σας ονόματος, του ονόματος χρήστη, του ονόματος της εταιρείας ή της ιστοσελίδας σας.
  • Να μην χρησιμοποιήσετε αυτούσια λέξη από το λεξικό οποιασδήποτε γλώσσας.
  • Ο κωδικός πρόσβασης να μην είναι πολύ μικρός.
  • Ο κωδικός σας να περιλαμβάνει αριθμούς, χαρακτήρες και σύμβολα.

Επίσης μια καλή ιδέα είναι να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο σταδίων (two factor authentication) ως πρόσθετο μέτρο ασφαλείας.

Plugins

Βεβαιωθείτε ότι τα plugins σας είναι ενημερωμένα στην τελευταία έκδοση. Αν δεν χρησιμοποιείτε κάποια από αυτά, θα ήταν καλύτερα να τα διαγράψετε από το σύστημα σας.

Ασφάλεια μέσω απόκρυψης 

Η απόκρυψη πληροφοριών στο Wordpress είναι άλλος ένας τρόπος που μπορεί να βοηθήσει στην ασφάλεια του. Δύο εύκολοι τρόποι για να γίνει αυτό είναι οι εξής:

  1. Η μετονομασία του λογαριασμού διαχειριστή: Κατά την δημιουργία ενός λογαριασμού διαχειριστή, προσπαθήστε να αποφύγετε εύκολους όρους όπως τα admin,administrator ή webmaster ως ονόματα χρηστών. 
  2. Η αλλαγή του προθέματος του πίνακα (table_prefix): Πολλές επιθέσεις SQL injection υποθέτουν πως το προεπιλεγμένο πρόθεμα του πίνακα της βάσης σας table_prefix είναι wp_. Η αλλαγή στο πρόθεμα σε κάτι διαφορετικό μπορεί να εμποδίσει τουλάχιστον μερικές από αυτές τις επιθέσεις.

Αντίγραφα ασφαλείας δεδομένων

Ένας ακόμη τρόπος προστασίας είναι τα συχνά αντίγραφα ασφαλείας των δεδομένων της ιστοσελίδας σας και των MySQL βάσεων δεδομένων και η διατήρηση τους σε μια αξιόπιστη θέση.

Αρχεία καταγραφής συμβάντων

Ένα αρχείο καταγραφής συμβάντων (log file) σας επιτρέπει να δείτε τι έγινε, από ποιον και πότε. Επίσης σας επιτρέπει να προσδιορίσετε την IP και τις ενέργειες που έκανε ο εισβολέας, χωρίς όμως να σας πει το όνομα χρήστη που συνδέθηκε. 

Μέσω των αρχείων καταγραφής μπορείτε να δείτε επιθέσεις όπως - Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI), προσπάθειες brute force attack κ.ά. Επίσης μπορείτε να δείτε πότε οι συντάκτες θεμάτων και προσθέτων του wordpress χρησιμοποιήθηκαν, πότε κάποιος ενημέρωσε τα widgets σας και πότε προστέθηκαν δημοσιεύσεις και σελίδες. Μια επίθεση αφήνει πάντα ίχνη, είτε σε αρχεία καταγραφής ή στο σύστημα αρχείων (νέα αρχεία, τροποποιημένα αρχεία, κ.λπ.).

IPGLOBAL IKE   |  IP.GR   Web Hosting and Domain Name registration services in Greece