Ανεβάζοντας ένα website, σημαίνει αυτομάτως ότι αυτό εκτίθεται σε μια σειρά από κινδύνους παραβίασης. Δεν έχει σημασία αν έχεις ένα πολύ μεγάλο και γνωστό eshop ή μια μικρή σελίδα προβολής της επιχείρησης σου. Τις περισσότερες φορές, οι παραβιάσεις δεν γίνονται για να προσπαθήσουν να αποκομίσουν κάποιο χρηματικό ποσό ή να κλέψουν τα στοιχεία των πελατών σου. Στην πραγματικότητα, οι hackers προχωρούν σε παραβιάσεις για να στείλουν spam μηνύματα από το website σου ή απλά επειδή μπορούν. Σε αυτό τον οδηγό, θα σου δείξουμε τι θα πρέπει να κάνεις για να μην βρεθείς στην δύσκολη θέση του να ξυπνήσεις μια ημέρα με παραβιασμένη ιστοσελίδα.
Περιεχόμενα
- Κράτα ενημερωμένο τον πυρήνα του WordPress
- Κράτα ενημερωμένα τα πρόσθετα (plugins) και το theme σου
- Δώσε σωστούς ρόλους στους χρήστες σου
- Άλλαζε συχνά κωδικούς λογαριασμών και αφαίρεσε όσους δεν χρησιμοποιούνται
- Αφαίρεσε παλιές εφαρμογές / CMS από το πακέτο φιλοξενίας σου
- Μην αφήνεις στον κύριο κατάλογο αντίγραφα της σελίδας σου
- Κράτα ασφαλές τον τοπικό υπολογιστή που συνδέεσαι στο WordPress
- Μην χρησιμοποιείς πειρατικά plugins και themes
- Χρησιμοποίησε 2-factor authentication (2FA)
- Χρησιμοποίησε πρόσθετα ασφαλείας (security plugins)
- Προστάτεψε το διαχειριστικό σου (wp-admin)
- Χρησιμοποίησε CAPTCHA για τις φόρμες σου
- Κλείσε το XML-RPC εάν δεν το χρησιμοποιείς
- Αφαίρεσε τον κακόβουλο κώδικα ή αρχείο με ασφάλεια
1. Κράτα ενημερωμένο τον πυρήνα του WordPress
Το WordPress αυτή την στιγμή, είναι το πιο δημοφιλές και ισχυρό εργαλείο για δημιουργία ιστοσελίδων και eshop. Αυτό και μόνο, το καθιστά έναν από τους πρωτεύοντες στόχους των hackers. Οι κακόβουλοι χρήστες, συχνά εκμεταλλεύονται παλιά κενά ασφαλείας για να επιτεθούν σε μη ενημερωμένες ιστοσελίδες. Κάνε λοιπόν τακτικά αναβαθμίσεις, μικρές και μεγάλες και προστάτευσε την ιστοσελίδα σου από ανεπιθύμητες επιθέσεις και προβλήματα ασφαλείας.
Μην ξεχάσεις να πάρεις backup της ιστοσελίδας σου πριν την κάθε αναβάθμιση. Μπορείς να δεις τα άρθρα για backup από εδώ.
Για παράδειγμα μπορείς να δεις πως θα πάρεις χειροκίνητο αντίγραφο του WordPress σου, μέσω cPanel από το παρακάτω video:
2. Κράτα ενημερωμένα τα πρόσθετα (plugins) και το theme σου
Όπως και ο πυρήνας του WordPress, έτσι και τα πρόσθετα αλλά και το theme σου χρειάζεται τακτικές αναβαθμίσεις. Οι ενημερώσεις δεν είναι απλώς μια προαιρετική πρακτική, αλλά ένας τρόπος να διατηρήσεις την ιστοσελίδα σου ασφαλή, αποτελεσματική και συμβατή με τις τελευταίες εκδόσεις του WordPress. Οι ενημερώσεις προσφέρουν σημαντικές διορθώσεις ασφαλείας, προλαμβάνοντας πιθανές επιθέσεις και προβλήματα. Ακόμα βελτιώνουν την απόδοση τους και προσφέρουν νέες λειτουργίες. Συνεπώς, το να κρατάς ενημερωμένα τα πρόσθετα σου είναι μια υποχρέωση για την ασφάλεια και τη σταθερότητα της ιστοσελίδας σου.
3. Δώσε σωστούς ρόλους στους χρήστες σου
Η σωστή κατανομή ρόλων στους χρήστες σου, όσο ασήμαντη και να σου φαίνεται, είναι κρίσιμη. Σε αυτό το πλαίσιο, η προσοχή στην ασφάλεια, την οργάνωση και την αποτελεσματική λειτουργία είναι απαραίτητη. Οι ρόλοι, όπως ο διαχειριστής και ο συντάκτης, προσφέρουν διαφορετικά επίπεδα πρόσβασης και λειτουργίας της ιστοσελίδας σου. Η διανομή αυτών των ρόλων εξασφαλίζει ότι η διαχείριση της πλατφόρμας παραμένει ομαλή, προλαμβάνοντας προβλήματα ασφαλείας και διατηρώντας την δομημένη οργάνωση του περιεχομένου. Επομένως, πρέπει να δοθεί η ανάλογη προσοχή σε αυτήν την διαδικασία, προκειμένου να εξασφαλιστεί η ασφαλής και αποτελεσματική λειτουργία του WordPress.
4. Άλλαζε συχνά κωδικούς λογαριασμών και αφαίρεσε όσους δεν χρησιμοποιούνται
Όλοι γνωρίζουν πόσο σημαντικό είναι να έχεις ισχυρούς κωδικούς πρόσβασης. Εάν το συνδυάσεις με τακτική αλλαγή τους ελαχιστοποιείς τον κίνδυνο παραβίασης της ιστοσελίδα σου. Η ενέργεια αυτή, μπορεί να παίξει αποτρεπτικό ρόλο σε κάποια πιθανή παραβίαση. Ακόμα, η αφαίρεση ανενεργών χρηστών σταματάει τις αχρείαστες προσβάσεις και διατηρεί τον έλεγχο της ιστοσελίδας. Είναι μια πρακτική, που πρέπει να τηρείται με συνέπεια για την προστασία της ιστοσελίδας σου και των δεδομένων των χρηστών σου.
5. Αφαίρεσε παλιές εφαρμογές / CMS από το πακέτο φιλοξενίας σου
Η ασφάλεια σου, δεν αρχίζει και σταματάει μόνο μέσα στο WordPress. Είχες κάνει κάποια άλλη εγκατάσταση WordPress ή άλλου CMS στο πακέτο φιλοξενίας σου στο παρελθόν; Παλαιές, ανενεργές εφαρμογές μπορούν να αποτελέσουν σοβαρό κίνδυνο για την ασφάλεια, καθώς δεν λαμβάνουν αναβαθμίσεις και αφήνουν χώρο για πιθανές παραβιάσεις. Επίσης, καταλαμβάνουν χώρο στο πακέτο φιλοξενίας σου. Η αφαίρεσή τους, είναι αναγκαία για την συνολική ασφάλεια της ιστοσελίδας αλλά και του συνολικού χώρου σου.
6. Μην αφήνεις στον κύριο κατάλογο αντίγραφα της σελίδας σου
Είναι θέμα οργάνωσης αλλά και ασφάλειας. Απόφυγε να κρατάς αντίγραφα της ιστοσελίδας σου στον κύριο κατάλογο, καθώς έτσι προσφέρεις τα δεδομένα σου απλόχερα στους κακόβουλους χρήστες. Αντίθετα, τοποθέτησε τα αρχεία σου σε κατάλληλους καταλόγους εκτός του κύριου. Αυτό βοηθά στο να κρατήσεις καθαρή τη δομή των αρχείων του WordPress. Η καλύτερη διαχείριση των αρχείων σου, συμβάλλει στην ασφάλεια της ιστοσελίδας, καθώς εξαλείφει περιττά ανοιχτά παράθυρα για πιθανές κακόβουλες ενέργειες.
7. Κράτα ασφαλές τον τοπικό υπολογιστή που συνδέεσαι στο WordPress
Είναι τόσο σημαντικό, αλλά πάντα περνάει απαρατήρητο. Κατά τη χρήση του WordPress, δεν πρέπει να ξεχνάς την ασφάλεια του τοπικού υπολογιστή σου, καθώς αποτελεί το σημείο εισόδου προς την ιστοσελίδα σου. Θα πρέπει να διατηρείς το λειτουργικό σύστημα (π.χ. Windows) και το πρόγραμμα ασφαλείας (antivirus) ενημερωμένα, να έχεις ανοιχτό το τείχος προστασίας (firewall), να χρησιμοποιείς ισχυρούς κωδικούς πρόσβασης, και να αποφεύγεις τις δημόσιες Wi-Fi συνδέσεις για ευαίσθητες εργασίες. Ο τοπικός σου υπολογιστής, αποτελεί τον πρώτο κρίκο στην αλυσίδα ασφάλειας και η σωστή φροντίδα του είναι απαραίτητη για την προστασία των δεδομένων και την αποφυγή ενδεχόμενων απειλών.
8. Μην χρησιμοποιείς πειρατικά plugins και themes
Η χρήση τους μπορεί να φαίνεται ελκυστική λόγω του ότι είναι δωρεάν, αλλά είναι η χειρότερη κίνηση, σε επίπεδο ασφαλείας, που μπορείς να κάνεις στην ιστοσελίδα σου. Η δωρεάν παροχή τους κρύβει κινδύνους, καθώς είναι σχεδόν σίγουρο ότι περιέχουν κακόβουλο κώδικα, τον οποίο θα εγκαταστήσεις στην ιστοσελίδα σου. Πέραν των ασφαλιστικών κινδύνων, η χρήση πειρατικών λογισμικών αντίκειται στην ηθική και τον κανονισμό πνευματικής ιδιοκτησίας. Επομένως, πάντα πρέπει να επιλέγεις αυθεντικά plugins και themes από επίσημες πηγές. Εάν δεν μπορείς να υποστηρίξεις οικονομικά την αγορά τους, δες κάποιες εναλλακτικές δωρεάν αλλά αυθεντικές λύσεις.
9. Χρησιμοποίησε 2-Factor Authentication (2FA)
Η πρόσβαση στην ιστοσελίδα σου, μπορεί να παραβιαστεί ανά πάσα στιγμή με πάρα πολλές διαφορετικές τεχνικές hacking. Ποια είναι λοιπόν η βέλτιστη λύση; Μα φυσικά να χρησιμοποιήσεις 2FA!! Με αυτό τον τρόπο η σύνδεση στο διαχειριστικό της σελίδας σου, θα μπορεί να γίνει μόνο από εσένα που κατέχεις πρόσβαση και στα δύο επίπεδα ασφαλείας. Για να προσθέσεις 2FA, μπορείς να ελέγξεις τα πρόσθετα (plugins) Two Factor Authentication και Wordfence.
Ακόμα, μπορείς να προσθέσεις 2-Factor Authentication στον λογαριασμό σου στην pointer.gr, ακολουθώντας τα βήματα από εδώ.
10. Χρησιμοποίησε πρόσθετα ασφαλείας (security plugins)
Η ασφάλεια της ιστοσελίδας σου είναι πολυεπίπεδη διαδικασία. Για να προστατεύσεις την ιστοσελίδα σου από πιθανούς κινδύνους και επιθέσεις, μπορείς να χρησιμοποιήσεις πρόσθετα ασφαλείας (security plugins). Αυτά τα πρόσθετα, παρέχουν λειτουργίες που ενισχύουν την ανθεκτικότητα της ιστοσελίδας σου σε ζητήματα ασφάλειας. Ανιχνεύουν και προλαμβάνουν επιθέσεις, παρέχουν προτάσεις για ενίσχυση των κωδικών πρόσβασης, και διαχειρίζονται τυχόν προβλήματα ασφαλείας. Από τα πιο γνωστά αυτών είναι το Wordfence, το οποίο περιλαμβάνει και δωρεάν έκδοση με τα βασικά features.
11. Προστάτεψε το διαχειριστικό σου (wp-admin)
Είναι γνωστό ότι για να συνδεθείς στο διαχειριστικό σου, η σελίδα είναι /wp-login.php. Από την στιγμή που είναι τόσο προφανές, είναι εύκολο σε κακόβουλους χρήστες να δοκιμάσουν brute force επιθέσεις, έτσι ώστε να μπορέσουν να βρουν τους κωδικούς εισόδου σου. Μην αγχώνεσαι όμως, καθώς υπάρχουν αρκετοί τρόποι για να μπορέσεις να προστατέψεις το διαχειριστικό σου. Σαν πρώτη λύση, μπορείς να αλλάξεις το URL όπου υπάρχει το διαχειριστικό του WordPress, με την χρήση του προσθέτου WPS Hide Login. Εναλλακτικά, μπορείς να χρησιμοποιήσεις έναν έξτρα κωδικό για την σύνδεση στο διαχειριστικό σου μέσω του πακέτου φιλοξενίας σου. Η επιλογή σε Plesk ονομάζεται Password-Protected Directories και μπορείς να το δεις από εδώ ως 5ο tip. Αντίστοιχα σε cPanel ονομάζεται Directory Privacy και μπορείς να το δεις από εδώ ως 4ο tip. Τέλος μπορείς να περιορίσεις τις προσπάθειες σύνδεσης, έτσι ώστε να μην γίνεται να προχωρήσουν οι κακόβουλοι χρήστες σε brute force επιθέσεις. Για την σχετική λύση, μπορείς να χρησιμοποιήσεις το πρόσθετο Limit Login Attempts Reloaded.
12. Χρησιμοποίησε CAPTCHA για τις φόρμες σου
Το ήξερες ότι υπάρχει τεχνική, όπου κακόβουλοι χρήστες μπορούν να στείλουν spam μηνύματα από τις φόρμες επικοινωνίας/εγγραφής χρηστών σου χωρίς να έχουν καν πρόσβαση στο διαχειριστικό σου; Το παραπάνω, μπορεί εύκολα να λυθεί, χρησιμοποιώντας κάποια τεχνολογία CAPTCHA. Σίγουρα την έχεις συναντήσει κάπου, είναι η τεχνολογία όπου για να προχωρήσεις σε κάποια ενέργεια θα πρέπει να κάνεις ένα μικρό quiz για να αποδείξεις ότι δεν είσαι robot. Για να το προσθέσεις, θα υπάρχει επιλογή που σε κατευθύνει βήμα βήμα από το plugin για φόρμες επικοινωνίας που έχεις στο WordPress σου. Ενδεικτικά το Contact Form 7 χρησιμοποιεί το Google reCAPTCHA για να ασφαλιστεί. Μπορείς να το δεις από την παρακάτω εικόνα.
13. Κλείσε το XML-RPC εάν δεν το χρησιμοποιείς
Τι είναι όμως αυτό; Το XML-RPC είναι ένα feature του WordPress που επιτρέπει τη μετάδοση δεδομένων, με το πρωτόκολλο HTTP να λειτουργεί ως μηχανισμός μεταφοράς και το XML ως μηχανισμός κωδικοποίησης. Είναι μια παλαιά τεχνολογία, που επιτρέπει στο WordPress να επικοινωνεί με εξωτερικά συστήματα. Καθώς δεν προσφέρει κάποια προστασία, αποτελεί κενό ασφαλείας για brute force επιθέσεις αλλά και DDoS. Για να το απενεργοποιήσεις, μπορείς να ελέγξεις το plugin Disable XML-RPC.
Bonus Tip: Αφαίρεσε τον κακόβουλο κώδικα ή αρχείο με ασφάλεια
Έχεις την αίσθηση ότι έχουν παραβιάσει την ιστοσελίδα σου; Για να σε βοηθήσουμε στον έλεγχο σου, από πλευράς του διακομιστή σου προσφέρουμε το ImunifyAV, το οποίο σκανάρει τα αρχεία της ιστοσελίδας σου. Εάν εντοπίσει παραβιάσεις, σου παραθέτει τα παραβιασμένα αρχεία, καθώς και την διαδρομή τους. Συνεπώς, μπορείς να προχωρήσεις στον έλεγχο ασφαλείας σου ξεκινώντας από αυτό. Ακόμα το sucuri.net σου προσφέρει δωρεάν online εργαλείο για έλεγχο ασφαλείας στην ιστοσελίδα σου. Μπορείς να το ελέγξεις από εδώ. Εάν δεν γνωρίζεις πώς να προχωρήσεις τον έλεγχο ασφαλείας της ιστοσελίδας σου, θα πρέπει να συμβουλευτείς κάποιον προγραμματιστή.
Η ασφάλεια της ιστοσελίδας σου δεν είναι μόνο μια εργασία. Είναι μία μια διαρκής διαδικασία που απαιτεί χρόνο, ενημέρωση και δράση. Συνεπώς, αφιέρωσε χρόνο και προσοχή στην ασφάλεια του WordPress. Κάνε τακτικά τις αναβαθμίσεις, χρησιμοποίησε πρόσθετα ασφαλείας και ακολουθήστε τις παραπάνω τεχνικές. Με αυτόν τον τρόπο, μπορείς να απολαμβάνεις μια ασφαλή και ανθεκτική εμπειρία στο WordPress χωρίς τον φόβο των απειλών.
