Ασφαλεία στο WordPress και έφηβοι hackers ή Script Kiddies

Στην γλώσσα των hackers, ένα script kiddie είναι η απλούστερη δομή hacker που υπάρχει με την ευρεία έννοια. Και βασίζεται κυρίως στη χρήση γνωστών εργαλείων και μικρών προγραμμάτων που ψάχνουν να βρουν κοινά προβλήματα ασφαλείας: δίκτυα χωρίς password, WiFi χωρίς VPN, παρωχημένα plugins, hosting χαμηλής ασφάλειας, phishing και άλλες παρελκόμενες τακτικές των hackers.

Δυστυχώς όλα τα παραπάνω κενά ασφαλείας είναι αυτά που δίνουν στους περισσότερους νεοεισερχόμενους hackers πρόσβαση σε ένα τεράστιο αριθμό sites και WordPress sites.

Εάν δεν έχετε ένα μεγάλο WordPress site, τότε τα περισσότερα προβλήματα ασφαλείας στο WordPress προέρχονται από Script Kiddies.

Τα καλά νέα είναι ότι εάν ακολουθήσετε τα βήματα αυτού του οδηγού ασφαλείας στο WordPress, δεν θα αντιμετωπίσετε ποτέ κάποιο πρόβλημα από άποψη ασφαλείας στο WordPress. Στην πραγματικότητα, τίποτε δεν είναι απόρθητο στο internet, αλλά τουλάχιστον θα έχετε το κεφάλι σας ήσυχο ότι δεν θα πέσετε θύμα του πρώτου τυχόντα ή του πρώτου αρχαρίου hacker. Το site σας θα έχει απόλυτη ασφάλεια στο WordPress.

Έτσι σας συστήνω μερικά διαφορετικά βήματα για να θωρακίσετε την ασφάλεια στο WordPress site σας για σήμερα και για πάντα:

Ασφάλεια WordPress Hosting και server level security

Όταν φτάνουμε στο να ασφαλίσουμε το WordPress, σίγουρα θα πρέπει να ξεκινήσουμε από το hosting.  Όταν φιλοξενείτε το site σας σε κάποια εταιρεία hosting που δεν λαμβάνει τα απαραίτητα μέτρα ασφαλείας, εάν ένα site στον ίδιο server πέσει θύμα hacker, τότε υπάρχει πολύ μεγάλη πιθανότητα να παραβιαστεί και το δικό σας site.

Μετά από χιλιάδες δοκιμές και άπειρους πειραματισμούς, κατέληξα στο συμπέρασμα ότι για την ελληνική αγορά το καλύτερο hosting από άποψη ασφαλείας και SEO – ας μην ξεχνάμε ότι τα πάντα τα βλέπουμε από SEO σκοπιά σε αυτό το blog- είναι η TopHost.

Επίσης τη συνιστώ και για την ξένη αγορά, μια και η εμπειρία μου έχει δείξει ότι αποδίδει πάρα πολύ καλά και ανταγωνίζεται στα ίσια ακόμα και εταιρείες με εξειδίκευση στο WordPress Hosting όπως η  WPEngine.com.

Αν και η διαδικασία ασφαλείας της WPEngine είναι σε απίθανο επίπεδο και έχουν ένα πολύ υψηλό επίπεδο ασφαλείας,παρουσίασαν τελευταία κάποια προβλήματα στο SEO και στο διπλό περιεχόμενο τα οποία τα θεωρώ παιδικά.

Προσωπικά είμαι στη διαδικασία μεταφοράς όλων των site και hosting που έχω και δικά μου αλλά και πελατών στην TopHost.

Θα ήθελα όμως να σας αναφέρω θεωρητικά τι πρέπει να έχει ένα καλό hosting από άποψη ασφαλείας. Επειδή όμως δεν μπορείτε να ξέρετε για το επίπεδο ασφαλείας της εταιρείας web hosting, σας αναφέρω προσωπικά εσείς τι πρέπει να κάνετε.

• Να έχετε σταθερές ασφαλές εκδόσεις λογισμικού στον web server, μιλάμε για PHP, MySQL, Apache κτλ.
• Να έχετε firewall στον server.
• Να είναι ο web hosting server κλειδωμένος και μόνο μια μικρή ομάδα προγραμματιστών να έχει πρόσβαση σε αυτόν. Αυτό ισχύει και για το δικό σας web hosting. Δεν είναι δυνατόν να μπορεί ο καθένας να έχει τους κωδικούς.
• Ποτέ να μην μπαίνετε στο web hosting σας από ένα δημόσιο ή ανασφαλές δίκτυο.
• Εάν μεταφέρετε αρχεία με FTP, χρησιμοποιήστε SFTP μέσω ενός γνωστού προγράμματος όπως το  FileZilla.
• Σιγουρευτείτε ότι η εγκατάσταση MySQL που έχετε είναι όσο το περισσότερο ασφαλής.
• Πάντα να δημιουργείτε μια μοναδική βάση δεδομένων για κάθε εγκατάσταση WordPress. Σιγουρευτείτε ότι η το όνομα της βάσης σας δεν ξεκινάει με wp_. Δώστε μοναδικό username και password για την βάση σας.
• Κάντε Backup της βάσης και όλων των άλλων αρχείων στο WordPress site σας καθημερινά ή κάθε φορά που κάνετε μια αλλαγή στο site σας. Χρησιμοποιήστε το backupwordpress που είναι δωρεάν για να πάρετε back up όλο το site σας. Κατεβάστε το back up στο σκληρό σας δίσκο και ανεβάστε ένα αντίγραφο του στο Google Drive. Άλλες πληρωμένες υπηρεσίες για backup στο WordPress είναι το   CodeGuard και το VaultPress.
• Και τέλος, βεβαιωθείτε ότι όλα σας τα passwords είναι πολύπλοκα και μοναδικά, δεν χρησιμοποιούνται πάνω από 2 φόρες. Κάθε σωστό password θα πρέπει να αποτελείται από τουλάχιστον 8 έως 15 χαρακτήρες, νούμερα, μικρά και κεφαλαία και αλφαριθμητικούς χαρακτήρες όπως τα σύμβολα @#$%%.

Δείτε περισσότερα για την ασφάλεια στο WordPress στα παρακάτω blogs:

• Hardening WordPress
• WordPress Security – Cutting Through The BS

 

Το επόμενο βήμα είναι να προσθέσουμε μερικούς κανόνες στον server μας

Άμα έχετε πρόσβαση στο βασικό αρχείο παραμετροποίησης του server, είναι πολύ συνετό και σοφό να θωρακίσετε την ασφάλεια του WordPress σε αυτό το επίπεδο, το επίπεδο του server του web hosting.

Συνήθως δεν έχουν όλοι πρόσβαση στο configuration file του server εκτός και αν έχετε VPS ή ιδιόκτητο server.

Θα σας δείξω λοιπόν λεπτομερώς τα βήματα πως παραμετροποιούμε το πραγματικό .htaccess file από το hosting σας. Σημειώστε ότι το .htaccess το παραμετροποιούμε μετά την εγκατάσταση του WordPress.

ΠΡΟΣΟΧΗ: Είμαστε ιδιαίτερα προσεκτικοί όταν κάνουμε αλλαγές στο αρχείο .htaccess. Εάν δεν είστε εξοικειωμένοι με τον κώδικα του WordPress και τον προγραμματισμό, καλύτερα να απευθυνθείτε σε κάποιον ειδικό στο θέμα ή σε κάποιον Web Developer. Προσωπικά κάνω όλες τις επεμβάσεις στον κώδικα μόνος μου. Όμως στην αρχή δεν ήταν και τόσο εύκολο να έχω όλες τις τεχνικές γνώσεις που απαιτούνται. Πέρασα πολλές ώρες μελετώντας άλλους πιο εξειδικευμένους προγραμματιστές μέχρι να μάθω και να αποκτήσω ευχέρεια στον κώδικα.

Το WordPress δημιουργεί αυτόματα ένα τμήμα στο αρχείο .htaccess. Μην τοποθετείτε τίποτα μέσα στο τμήμα του κώδικα WordPress από το αρχείο .htaccess, γιατί θα διαγραφεί ο παλιός κώδικας. Μερικά πράγματα θα πρέπει να τοποθετηθούν πριν από το τμήμα που βρίσκεται το WordPress στο αρχείο .htaccess. Μερικά θα πρέπει να τοποθετηθούν μετά για να αποφύγουμε καταστροφές στο αρχείο .htaccess.

Αν δεν γνωρίζετε τι πρέπει να τοποθετήσετε και που, τότε δεν θα πρέπει ποτέ να μπείτε στον κόπο να επεξεργαστείτε το αρχείο .htaccess, τουλάχιστον όχι ακόμα.

Οπότε ξεκινάμε.

Οι πρώτες αυτές γραμμές κώδικα μας βοηθάνε να διορθώσουμε μερικά λάθη που πιθανόν να υπάρχουν σε μερικούς Apache servers, και ενεργοποιούν τη rewrite engine  ή τη μηχανή επανεγγραφής:

## Γράψτε αυτόν τον κώδικα στην αρχή του αρχείου .htaccess ##

Options +FollowSymlinks RewriteEngine On

Η επόμενες γραμμές κώδικα, μας απενεργοποιούν το server signature. Αυτό είναι ένα τρικ τύπου  “security by obscurity”. Δηλαδή όσο πιο λίγες πληροφορίες διαχέουμε στους hackers για το σύστημα μας, το δυσκολότερο είναι να αποκτήσει πρόσβαση σε αυτό. Τα περισσότερα που γνωρίζει ένας hackers για τον server μας, το ευκολότερο είναι για αυτόν να μας τον διαρρήξει:

## Απενεργοποιήστε το Server Signature ##

ServerSignature Off

Μερικές φορές οι spammers θα τοποθετήσουν τα δικά τους ψεύτικα query strings στο τέλος από μια URL, προσπαθώντας να κάνουν ένα σωρό άσχημα πράγματα. Αυτός ο μικρός κώδικας μπορεί να εξουδετερώσει κάθε απόπειρα  κάνοντας 301 redirection στο canonical URL.

Απλά επεξεργαστείτε τα παρακάτω: enter|query|strings|here για να προσθέσετε τα query strings με τα οποία έχετε θέματα, χωρισμένα με σωλήνες κάθετους ή τα σύμβολα | . Οι επόμενες γραμμούλες κώδικα εκτός του ότι μπλοκάρουν τους spammers, μπορούν να επιλύσουν θέματα με το ?replytocom και άλλα συνηθισμένα  junk query strings:

## Αφαιρέστε τα Spammy Query Strings ## <ifModule mod_rewrite.c> RewriteCond %{QUERY_STRING} enter|separated|query|strings|here [NC] RewriteRule .* https://www.%{HTTP_HOST}/$1? [R=301,L] </ifModule>

Ενώ δεν είναι προορισμένο για τους hackers, κανονικά θα έπρεπε, η επόμενη παράγραφος κώδικα θα αποτρέψει τα κακόβουλα bots χωρίς user agent από το να χτυπήσουν και το site σας. Αντικαταστήστε το yourwebsite.com με τη δική σας πραγματική διεύθυνση URL πριν προσθέσετε τον κώδικα στο αρχείο .htaccess:

## Προστασία από spam bots ## <IfModule mod_rewrite.c> RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.yourwebsite.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^https://%{REMOTE_ADDR}/$ [R=301,L] </IfModule>

Μια κοινή τακτική των hackers είναι το λεγόμενο SQL injection, και αυτές οι γραμμές κώδικα μπορούν να μπλοκάρουν τις περισσότερες αν όχι όλες προσπάθειες των hackers:

## SQL Injection Block ## <IfModule mod_rewrite.c> RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ – [F,L] RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR] RewriteCond %{QUERY_STRING} boot\.ini [NC,OR] RewriteCond %{QUERY_STRING} tag\= [NC,OR] RewriteCond %{QUERY_STRING} ftp\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR] RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)||ê|”|;|\?|\*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(“|’|<|>|\|{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ – [F,L] </IfModule>

Τώρα, υπάρχουν πολλά WordPress plugins που μπορούν να περιορίσουν των αριθμό των προσπαθειών login από οποιαδήποτε IP address, αλλά αυτό δεν αποτρέπει τους hackers από το να χρησιμοποιούν μεγάλες ομάδες από IPs για να μπούνε στο site σας ( brute-force attack) και ο καθένας μπορεί να αγοράσει μερικές χιλιάδες από το site hidemyass.com, δείτε περισσότερα εδώ: public proxy lists.

Έχω τύχει θύμα τέτοιων επιθέσεων χιλιάδες φορές και αυτές οι γραμμές κώδικα αποδείχτηκαν σωτήριες και σε άλλα site που έχω. Αυτό που κάνει αυτός ο κώδικας είναι να επιτρέπει μόνο από συγκεκριμένες IP να μπορεί κάποιος να προσεγγίσει τη σελίδα εγγραφής στο site μου και να μπλοκάρει την πρόσβαση στη login page από όλες τις άλλες IP.

Θα πρέπει να προσαρμόσετε την εντολή  allow from μόνο από IP που δείχνουν την πραγματική σας ή τις πραγματικές σας  IP addresses. Μπορείτε να βρείτε την διεύθυνση  IP σας, πηγαίνοντας στη  Google από τον υπολογιστή που μπαίνετε στο ίντερνετ και να ψάξετε για τη φράση  “What is my IP”. Αν χρειάζεται, αλλάξτε τα login filenames όπου είναι απαραίτητο. Το wp-login.php είναι το default, και το login δεν είναι κανονικά το default, πολλά sites όμως ίσως τα χρησιμοποιούν και τα δύο λόγω διαφόρων WordPress plugins.

Διαφορετικά άμα θέλετε να το κάνετε ευκολότερο για σας, πάτε στο  ProxyBonanza και αγοράστε μια αποκλειστική proxy IP με 8€ το μήνα. Μετά επιτρέψτε σε αυτήν την IP την πρόσβαση και μπείτε στο site σας μόνο με αυτήν την  IP και μόνο.

Η ProxyBonanza έχει WordPress plugins για τον Firefox και τον Chrome, τα οποία κάνουν την πρόσβαση στο site σας μέσω της αποκλειστικής IP ευκολότερη. Αν σε περίπτωση αλλάξει η IP σας ή αγοράσετε άλλη, μπορείτε να πάτε να τη διορθώσετε μέσω του FTP.

## Περιορίστε τις WordPress Login Pages στις δικές σας IPs ## <Files wp-login.php> order deny,allow deny from all allow from 192.168.1.1 allow from 192.168.1.2 </Files> <Files login> order deny,allow deny from all allow from 192.168.1.1 allow from 192.168.1.1 </Files>

Υπάρχουν επίσης μερικά αρχεία στα οποία δεν θα πρέπει να έχει πρόσβαση κανένας άλλος εκτός από εσάς. Αυτές οι γραμμές κώδικα θα αποτρέψουν όλο τον κόσμο να μπει σε αυτά τα αρχεία μέσω κάποιου web browser:

## Block Sensitive Files ## Options All -Indexes <files .htaccess> Order allow,deny Deny from all </files> <files readme.html> Order allow,deny Deny from all </files> <files license.txt> Order allow,deny Deny from all </files> <files install.php> Order allow,deny Deny from all </files> <files wp-config.php> Order allow,deny Deny from all </files> <files error_log> Order allow,deny Deny from all </files> <files fantastico_fileslist.txt> Order allow,deny Deny from all </files> <files fantversion.php> Order allow,deny Deny from all </files>

Αν παρόλαυτα το site σας πέφτει συνέχεια θύμα επιθέσεων από συγκεκριμένες IP διευθύνσεις, μπορείτε χειρώνακτα, με το χέρι σας δηλαδή να μπλοκάρετε συγκεκριμένες  IPs με τις ακόλουθες γραμμές κώδικα. Επεξεργαστείτε την εντολή deny from για να αποκλείσετε τις συγκεκριμένες  IP, αριθμώντας τες ανά γραμμή κώδικα:

## Malicious IP Blocking ## order allow,deny deny from 1.1.1.1 deny from 2.2.2.2 allow from all

Αν δέχεστε συχνές επιθέσεις από συγκεκριμένες IP ή από συγκεκριμένες ομάδες IP, μπορείτε να ανακατευθύνετε αυτές τις διευθύνσεις IP σε συγκεκριμένα site ή σε video στο YouTube, ακόμα και σε funny video. Προτιμήστε μεγάλα site όπως το YouTube για να μην μεταφέρετε τα προβλήματα hacking και σε άλλα sites. Αντικαταστήστε την IP παρακάτω για να δείχνει αυτή που θέλετε να μπλοκάρετε και να κάνει redirection:

## Redirect Recurring Spammer IPs to a YouTube Video or Site ## RewriteCond %{REMOTE_ADDR} ^192\.168\.1\.1$ RewriteRule .* https://www.youtube.com/watch?v=mJIPqO-Brgk [R=302,L]

Αν έχετε συγκεκριμένα sites τα οποία πέφτουν θύματα από αδέσποτο και άχρηστο referral traffic που δεν θέλετε για πολλούς λόγους, μπορείτε να αποκλείσετε τα συγκεκριμένα referring domains με αυτές τις γραμμές κώδικα:

## Block Certain Referring Domains ## RewriteCond %{HTTP_REFERER} digg\.com [NC] RewriteRule .* – [F]

Μπορείτε να χρησιμοποιήσετε και το αρχείο .htaccess για να ασφαλίσετε τα wp-includes. Αυτό όμως μπορεί να προκαλέσει προβλήματα ειδικά με το  Multisite, δείτε περισσότερα στο WordPress Codex για να αποφύγετε τυχόν προβλήματα.

Μπορείτε όμως να καταφύγετε σε μερικά προχωρημένα πράγματα, όπως να μπλοκάρετε συγκεκριμένες χώρες και συγκεκριμένες γλώσσες , εάν το επιθυμείτε.

Άμα κάνετε όλα τα παραπάνω, το αρχείο .htaccess θα γίνει πάρα πολύ ασφαλές.  Ένα ξεχωριστό αρχείο .htaccess  μπορεί να υπάρχει για κάθε φάκελο ή directory σε ένα site, και έχει ισχύ μόνο σε κάθε αρχείο που είναι μέσα στο φάκελο.

Το τελευταίο βήμα είναι να κλειδώσετε τα file permissions ώστε μόνο συγκεκριμένα άτομα και συγκεκριμένοι ρόλοι να έχουνε πρόσβαση. Αυτό θα πρέπει βέβαια να το κάνετε με προσοχή και αφού είστε ιδιαίτερα εξοικειωμένοι με το αρχείο .htaccess.  Καλό είναι για αρχή να κάνετε κάποιες δοκιμές σε περιβάλλον ανάπτυξης εφαρμογών όπως είναι ένα δοκιμαστικό hosting και μια δοκιμαστική εγκατάσταση WordPress. Πάντα χρειάζεται να έχουμε μια για να κάνουμε τα απαραίτητα πειράματα στο WordPress και να δοκιμάζουμε νέα θέματα και plugins. Δείτε περισσότερα για τα  file permissions.

.htaccess και ασφάλεια WordPress Πηγές:

Για να γράψω το παραπάνω άρθρο έχω μελετήσει πάρα πολλές πηγές και έχω κάνει και άπειρες δοκιμές. Επίσης έχω βάλει και την προσωπική μου σφραγίδα για να το διαβάσετε έτσι όπως είναι. Μπορείτε όμως να δείτε τις πηγές που χρησιμοποίησα και να μάθετε περισσότερα:

1. 5 Simple Tricks to Prevent WordPress Spam Comments
2. Tech-FAQ
3. Almost Perfect htaccess File for WordPress Blogs
4. WordPress Security Best Practices
5. Top 5 WordPress Vulnerabilities and How to Fix Them

Ξέχασα κάτι σχετικά με την ασφάλεια WordPress σε επίπεδο server; Σίγουρα, γιατί αυτό το κεφάλαιο και μόνο του είναι τεράστιο και μπορείτε να γράψετε ολόκληρο βιβλίο.

Η εγκατάσταση WordPress και η ασφάλεια WordPress

Αφού λοιπόν έχετε ασφαλίσει το hosting και τον server σας, ήρθε η ώρα να εγκαταστήσουμε το WordPress με τα απαραίτητα security plugins. Εάν και ακόμη έχετε ήδη ένα WordPress site, μην παραβλέψετε να μελετήσετε καλά αυτό το τμήμα.

Θα πρέπει να εγκαταστήσετε το WordPress στο hosting σας. Καλύτερα αυτό να το κάνετε χειροκίνητα και όχι αυτόματα. Θα πρέπει λοιπόν να κατεβάσετε το αρχείο της εγκατάστασης του WordPress από το site el.wordpress.org, εάν είναι για ελληνικό site και από το wordpress.org αν είναι για αγγλικό.

Μετά θα πρέπει να το ανεβάσετε μέσω secure FTP (SFTP). Πάρα πολλοί hosting providers, όπως η TopHost προσφέρουν εγκατάσταση με ένα κλικ. Αποφύγετε την αυτόματη εγκατάσταση γιατί έτσι θα έχετε πρόβλημα στη γλώσσα και στο SEO και σε μερικές ρυθμίσεις ασφαλείας.

Αυτές οι ρυθμίσεις ασφαλείας περιλαμβάνουν το να εγκαταστήσετε μόνοι σας το αρχείο του WordPress αφού δημιουργήσετε ξεχωριστό ftp account, ξεχωριστή βάση MySQL με διαφορετικά ονόματα και passwords και ξεχωριστά μοναδικά passwords για το WordPress admin.

Αφού έχετε εγκαταστήσει σωστά το WordPress σας, το επόμενο βήμα είναι να επιλέξετε ένα θέμα. Φροντίστε να επιλέξετε μόνο premium wordpress themes και plugins από διάσημα sites. Όπως πάρα πολλοί ειδικοί του  black-hat SEO γνωρίζουν, τα  themes και plugins είναι ένας πολύ εύκολος τρόπος για να πάρει κάποιος backlinks στο site του.

Επειδή εν δυνάμει πολλά  επικίνδυνα πράγματα μπορεί να κρύβονται μέσα σε ένα θέμα, είναι καλή ιδέα να αγοράσετε ένα ασφαλές και καθαρό από κώδικα θέμα. Όλα τα θέματα που πωλούνται στο site wordpress.org έχουνε από μόνα τους πολύ υψηλό επίπεδο ασφαλείας. Προσωπικά όμως προτείνω για λόγους SEO να προτιμήσετε τα θέματα της SOLOSTREAM.

Μπορείτε να μάθετε περισσότερα για την ασφάλεια WordPress και τα θέματα στο site WordPress.TV. Το προτείνω, αλλά δεν το προτιμώ λόγω κακής ποιότητας ήχου και εικόνας, εκτός αυτού όλα γίνονται με ρυθμό χελώνας σε αυτά τα βίντεο.

Εάν έχετε ήδη ένα θέμα WordPress εγκατεστημένο , θα πρέπει να τρέξετε ένα security scan, ή να ελέγξετε πιθανές απειλές στην ασφάλεια μόνοι σας. Μπορείτε όμως να χρησιμοποιήσετε τα παρακάτω WordPress Plugins.

Ας θυμόμαστε όμως ότι τα WordPress Plugins δεν είναι πανάκεια, γιατί μπορεί να περιέχουν κακογραμμένο κώδικα και να είναι χαμηλής ασφάλειας. Ακόμα και τα δημοφιλέστερα plugins έχουνε ελλείψεις και οι developers καθυστερούν πολλές φορές να τα διορθώσουν. Προσωπικά, προτείνω να χρησιμοποιείτε όσο το δυνατό λιγότερα Plugins και να έχετε μόνο τα τελείως απαραίτητα για να λειτουργήσει το WordPress site σας:

• Better WP Security – Δωρεάν.
• Limit Login Attempts –  Δωρεάν.
• Akismet GASP  – Αντίο Akismet, τελικά βρέθηκε ανώτερο plugin από το περίφημο Akismet. Δωρεάν
• Sucuri Security – Πληρωμένο.
• CodeGuard – . Πληρωμένο.
• Google Authenticator – Δωρεάν.
• Stealth Login Page – Δωρεάν.
• WordPress SEO by Yoast – Εκτός από το SEO, το plugin αυτό προσφέρει και πρόσβαση στην επεξεργασία του αρχείου .htaccess. Δωρεάν.

Μην χρησιμοποιήσετε το παρακάτω plugin, ακόμα και αν σας παρακαλάνε.

CloudFlare – Το CloudFlare είναι ένα CDN με κάποια φίλτρα ασφαλείας.

Θεωρητικά μειώνει την ταχύτητα φόρτωσης του site σας και τα λεγόμενα downtime του server. Στην πραγματικότητα, αυξάνεται ο χρόνος downtime αντί να μειώνεται με αποτέλεσμα να οδηγείται το site σας στο deindexing από τη Google. Για την ελληνική αγορά το Cloudflare είναι τραγικό και δεν μπορώ να καταλάβω γιατί το συστήνουν!

Αν πάλι χρησιμοποιήσετε την εταιρεία WP-Engine για το  hosting θα πρέπει να προσέξετε μερικά πράγματα. Την θεωρούν πολλοί ως την καλύτερη εταιρεία για wordpress hosting, πράγμα που θεωρώ και πάλι λανθασμένο. Μην κάνετε το λάθος και πάτε στην WP-Engine γιατί πολλά wordpress plugins δεν θα παίζουν και το site σας θα διαλυθεί! Δείτε ποια plugins επιτρέπουν και ποια όχι! . Αυτό δεν είναι Hosting αλλά μου θυμίζει η κατάσταση multisite στο WordPress.com!

Κάτι σαν αρρωστημένη  διαφήμιση της Eurobank για πελάτες με σπίτια στον πλειστηριασμό!

Αν έχετε άχρηστα θέματα ή plugins εγκατεστημένα, σας συμβουλεύω να τα διαγράψετε αμέσως. Μόνο που τα έχετε στο site σας ακόμα και αν δεν είναι ενεργοποιημένα, μπορεί να σας δημιουργήσουν θεωρητικά προβλήματα. Θα πρέπει επίσης να κρατήσετε τα θέματα, τα plugins και την εγκατάσταση WordPress σας ενημερωμένη με την τελευταία έκδοση.

Google Hacking

Καθώς χτίζετε εσείς το site σας, θα πρέπει να προσέχετε τι θα πρέπει να αφήνεται να δουν οι web crawlers, και πως το site σας διαχειρίζεται κρίσιμα θέματα όπως τα login info, passwords, lost passwords ή password resets, security questions, κτλ.

Υπάρχει ολόκληρο κεφάλαιο σε αυτόν τον τομέα ασφαλείας που λέγεται Google hacking, και αναφέρεται στο πως η ίδια η Google αποκαλύπτει πληροφορίες που βρίσκει και ευρετηριάζει ενώ δεν θα έπρεπε.

Δείτε περισσότερα στο παρακάτω άρθρο: Google Hacking: Ten Simple Security Searches That Work

Το να χρησιμοποιήσετε αποτελεσματικά το αρχείο robots.txt για να μπλοκάρετε πράγματα και bots που θα πρέπει να μπλοκαριστούν προτείνεται.

Προσωπική Ασφάλεια

Κάθε ένας που ασχολείται έστω και ερασιτεχνικά με το hacking, γνωρίζει ότι ο ανθρώπινος παράγοντας στην ασφάλεια του WordPress είναι ίσως ο πιο αδύναμος κρίκος. Ακόμα και ο πιο συνετός διαχειριστής μπορεί να πιαστεί κορόιδο και πάνω στην αφέλεια του να βάλει τα πιο κοινά password όπως Love, Sex, Secret, God, Hack the Planet!

Ο ανθρώπινος νου δυστυχώς καθοδηγείτε από τη δύναμη της συνήθειας, όπως μοτίβα, καθημερινότητα, ρουτίνα και βόλεμα. Οι χάκερς είναι οι πρώτοι που επωφελούνται από αυτό.  Άμα σας αρέσει το διάβασμα και συναρπάζεστε από τον μαγικό κόσμο των χάκερς, τότε για σας είναι το βιβλίο του Kevin Mitnick’s,  The Art of Deception.

Παρακάτω σας παραθέτω τις καλύτερες 7 τακτικές για να περιορίσετε τον ανθρώπινο παράγοντα στο hacking:

1. Ποτέ μην μπαίνετε στο ίντερνετ από WiFi hotspot χωρίς  secure VPN. Προσωπικά χρησιμοποιώ το cloakvpn ως VPN (υποστηρίζει όλα τα λειτουργικά αυτή τη στιγμή), αλλά υπάρχουν και πολλές άλλες επιλογές για VPN. Θα σοκαριστείτε αν μάθετε ότι απλά προγραμματάκια που διατίθενται δωρεάν στο ίντερνετ και στα κινητά μπορούν να διαρρήξουν τα πάντα από άποψη ασφαλείας. Τέτοιο παράδειγμα αποτελεί το Firesheep το οποίο θα σας κάνει σίγουρα να ανησυχήσετε. Όταν χρησιμοποιείτε ένα WiFi network, secured ή unsecured, κάθε ένας από αυτό το δίκτυο μπορεί να δει το δικό σας traffic. Αν όλο το traffic σας είναι κωδικοποιημένο είναι ασφαλέστερο για αυτό θα πρέπει να χρησιμοποιήστε το  VPN. Άμα έχετε ένα WiFi στη δουλειά ή στο σπίτι χρησιμοποιήστε ένα δυνατό password, προτιμήστε WPA2, και επιλέξτε να μην εμφανίζεται στο router το SSID. Αυτή είναι μια τακτική  “security by obscurity”.
2. Βάλτε ένα firewall. Ένα καλό firewall είναι ένα τέλειο αμυντικό εργαλείο. Σε έναν τέλειο κόσμο, θα συνιστούσα να είχατε και software αλλά και hardware firewall, αλλά αυτό δεν είναι βιώσιμη λύση για τον καθένα. Τουλάχιστον χρειάζεστε ένα software firewall (Comodo, ZoneAlarm, κτλ). Μπορεί να είναι λίγο ενοχλητικό, εξαρτάται από τις ρυθμίσεις όμως που θα κάνετε και θα πρέπει να το έχετε για κάθε ηλεκτρονική συσκευή με την οποία έχετε ίντερνετ.
3. Λογισμικό antivirus. Οι ιοί και το λεγόμενο malware πολλαπλασιάζονται κάθε μέρα και οι στατιστικές λένε ότι σίγουρα θα έχετε πέσει ή θα πέσετε θύμα κάποιου υιού τουλάχιστον μαι φορά στη ζωή σας. Αν κάποιος hacker αποκτήσει πρόσβαση στον υπολογιστή σας, σίγουρα θα μπορεί και από αυτόν να μπει στην εγκατάσταση WordPress. Καλό είναι να έχετε κάποιο πρόγραμμα antivirus όπως το Avast ή το AVG.
4. Προστασία hardware σε φυσικό επίπεδο. Το keylogger είναι μια πολύ μικρή αλλά αποτελεσματική συσκευή που μπορεί να προστατέψει τον υπολογιστή σας από επιθέσεις εντός και εκτός τοπικού δικτύου, από επιθέσεις συναδέλφων κτλ. Αν χρησιμοποιήτε σταθερό υπολογιστή στη δουλειά σας θα πρέπει συχνά να ελέγχετε τα USB ports και όλα τα καλώδια για ύποπτες συσκευές και ύποπτες συνδέσεις. Δείτε περισσότερα για την ασφάλεια που έχει η Google για τους servers της!
5. Χρησιμοποιήστε ισχυρά passwords, και ποτέ μην ξαναχρησιμοποιήσετε τα ίδια passwords αλλού ή σε άλλα sites. Ο παράγοντας ανθρώπινη συνήθεια ή τεμπελιά υπεισέρχεται σε αυτό το θέμα. Το να βάζω τον ίδιο κωδικό παντού δεν είναι και το καλύτερο ή να βάζω απλούς κωδικούς όπως 123456789 κτλ. Τα κοινά passwords κάνουν τα πράγματα πολύ εύκολα για τους hackers. Ειδικά αν έχετε θέσει το ίδιο password για πολλά sites. Τα λειτουργικά συστήματα και οι κωδικοί τους είναι εύκολο να σπαστούν με τα rainbow tables, οπότε θα πρέπει να κάνετε το password για το λειτουργικό σας μακρύ (τουλάχιστον 15 χαρακτήρες) και πολύπλοκο. Θα πρέπει να έχετε συνδυασμό μικρών και κεφαλαίων, συμβόλων, κτλ. Δείτε περισσότερα στο παρακάτω άρθρο: Rainbow Hash Cracking. Προτεινόμενα εργαλεία για να αποθηκεύσετε και να δημιουργήσετε ισχυρά passwords είναι τα παρακάτω:  LastPass, 1Password ή Roboform. Προσωπικά προτιμώ να διαχειρίζομαι μόνος μου τα password μου. Και το ελάχιστο που έχω να σας πω ως συμβουλή είναι να έχετε τουλάχιστον έστω και ένα password πολύπλοκο, το οποίο θα θυμάστε απ’ έξω.
6. Προστατέψτε τα email σας με two-factor authentication (και μετά προστατέψτε το κινητό σας ) Εάν ένας hacker δεν μπορεί να μπει στο site σας μέσω password, το επόμενο κόλπο του είναι να μπει στον λογαριασμό email σας. Χρησιμοποιήστε δύο σταδίων ασφάλεια για το email σας και κλειδώστε το τηλέφωνό σας με ένα μεγάλο password το οποίο θα το θυμάστε απέξω. Αν κάποιο site απαιτεί αριθμό τηλεφώνου, πάρτε ένα  Google Voice number για αυτόν τον σκοπό. Τέλος, βάλτε ερωτήσεις ασφαλείας στο τηλέφωνο σας σε περίπτωση που κάποιος προσπαθήσει μάταια να το ξεκλειδώσει.
7. Αναγνωρίστε και αποφύγετε τα phishing attacks. Είτε με email ή website, τα phishing attacks είναι οι πιο κοινές επιθέσεις και φέρνουν και αποτέλεσμα. Ίσως κάποιος από εσάς να έχετε ακούσει για το hacked AP Twitter account fiasco που προκάλεσε μαζική πτώση στην μετοχή του Twitter και οφείλεται αποκλειστικά σε phishing το λεγόμενο ΄ψάρεμα. Για να αποφύγετε το phishing θα πρέπει να μην κάνετε ποτέ κλικ σε ύποπτα link από το email σας, ειδικά αν αυτά είναι για το Facebook, paypal, winbank, twitter κτλ. Και δεύτερον, όταν πρόκειται για ύποπτα links, θα πρέπει να τα κάνετε ένα copy paste στη Google για να τα ελέγξετε. Πολλά αθώα links μπορεί να εμπεριέχουν κακόβουλα spam. Εάν εντοπίσετε πως κάποιος φίλος σας σας έστειλε κάποιο spam link, ειδοποιήστε τον για να λάβει τα μέτρα του ίσως γιατί έπεσε θύμα hacking.

 

Ελέγξτε το WordPress συνέχεια

Σχετικά με την ασφάλεια WordPress, δεν μπορείτε να ασχοληθείτε μια φορά για πάντα. Πρέπει πότε να μην αδρανείτε και πάντα θα πρέπει να έχετε το νου σας.

Αν ξεκινήστε να χρησιμοποιήτε όλα τα παραπάνω και μετά δεν μπορέσετε να τα ελέγξετε και να τα παρακολουθήσετε, τότε σίγουρα θα αντιμετωπίσετε προβλήματα ασφαλείας στο WordPress.

Για να βεβαιωθείτε ότι η δουλειά σας δεν πήγε χαμένη, θα πρέπει να έχετε στο νου σας τα παρακάτω 7 σημεία από τη λίστα για κάθε WordPress site:

1. Κρατήστε το WordPress ενημερωμένο. Καθημερινά ελέγχω και συντηρώ τα site μου. Αν δεν μπορείτε να το κάνετε αυτό καθημερινά, θα πρέπει να το κάνετε τουλάχιστον μια φορά το μήνα. Αν επιλέξτε όμως τις αυτόματες ενημερώσεις, ίσως αυτό να βλάψει ή και να ρίξει το site σας.
2. Κρατήστε τα WordPress plugins ενημερωμένα. Τα Plugins είναι από τα πιο ευάλωτα χαρακτηριστικά του WordPress. Όχι μόνο στους εξωτερικούς hackers, αλλά και στους άπληστους ή κακόβουλους προγραμματιστές αλλά και στους ανταγωνιστές σας που ίσως θέλουν να σας βλάψουν. Χρησιμοποιήστε μόνο τα ελάχιστα δυνατά plugins, μόνο τα δοκιμασμένα και καλόφημα και κρατήστε τα ενημερωμένα. Αν επιλέξτε όμως τις αυτόματες ενημερώσεις, ίσως αυτό να βλάψει ή και να ρίξει το site σας.
3. Ελέγξτε τα server log files. Αυτό μπορεί να είναι σχεδόν ακατόρθωτο για σας, εκτός και αν έχετε εντοπίσει κάτι ύποπτο. Τα  server logs θα σας δώσουν ακριβής λεπτομέρειες για οποιαδήποτε απόπειρα hacking στο site σας είτε ανθρώπινη είτε από bot και από ποια IP address. Ένα καλό εργαλείο για να το κάνετε αυτό είναι το AWStats και παρέχεται δωρεάν!
4. Ελέγξτε την πρόσβαση στο WordPress. Μπορείτε να χρησιμοποιήσετε ένα plugin όπως το Simple Login Log ή το WordFence για να ελέγχετε κάθε φορά που κάποιος μπαίνει στο site σας. Προτιμώ το WordFence γιατί επιτελεί και άλλους ρόλους εκτός από αυτόν.
5. Ελέγξτε τις αλλαγές αρχείων. Ένα plugin όπως το CodeGuard θα σας στέλνει emails όποτε υπάρχει κάποια αλλαγή στο αρχεία του WordPress. Αυτό είναι ένας προάγγελος για το αν το σύστημα σας έχει πέσει θύμα hacker και αξίζει να επενδύσετε σε αυτό.
6. Αλλάξτε τα password σας τακτικά. Θα συνιστούσα να αλλάζατε τα passwords κάθε 3 με 6 μήνες,  αλλά θεωρώ ότι είναι πιο λειτουργικό να τα αλλάζατε μία φορά το χρόνο όλα τα passwords.
7. Κρατήστε ενημερωμένα τα Firewall και τα Antivirus. Νέες απειλές και νέοι υιοί ανακαλύπτονται καθημερινά, είναι σημαντικό λοιπόν να έχετε τα πάντα ενημερωμένα. Παλιά προγράμματα και απαρχαιωμένα λογισμικά είναι επικίνδυνα.

Υπάρχουν κυριολεκτικά χιλιάδες πηγές στο ίντερνετ για το hacking και την ασφάλεια στο WordPress. Όμως πολύ λίγες από αυτές είναι στα ελληνικά.

Θα σας συμβούλευα να εφαρμόσετε τα παραπάνω βήματα, πρώτα όσα είναι δωρεάν και μετά να πάτε στα πληρωμένα εργαλεία ασφαλείας. Η ουσία όμως είναι να αναπτύξετε μια φιλοσοφία συνεχούς βελτίωσης της ασφάλειας στο WordPress και σε όλα τα συστήματά σας.

 

Ασφάλεια WordPress Πηγές:

• ΜΟΖ: Τhe definitive guide to wordpress security
• WordPress SEO
• Web Design: 8 συμβουλες για ασφαλεια στο WordPress

Ζητήστε μια προσφορά σήμερα για κατασκευή ιστοσελίδας

Αν είστε πριν την κατασκευή ή την ανακατασκευή της ιστοσελίδας σας, πριν κάνετε οτιδήποτε ζητήστε μια προσφορά για κατασκευή site ή κατασκευή eshop με το Genesis Theme Framework.

Ζητήστε προσφορά κατασκευής  ή προώθησης ιστοσελίδας

Δωρεάν Μαθήματα SEO Αξίας 129€

Πάρτε εντελώς δωρεάν τον οδηγό βίντεο μαθημάτων αξίας 129€ SEO GOOGLE Πρώτη Σελίδα. Είναι πολύ συνετό να αφιερώνετε το 20% του χρόνου και των πόρων σας στην προσωπική σας εκπαίδευση και στην προσωπική σας ανάπτυξη. Γραφτείτε σήμερα στα βίντεο μαθήματα εντελώς δωρεάν!