Menu

5 συμβουλές ασφαλείας για το Wordpress

Όταν περίπου το 10% των ιστοσελίδων χρησιμοποιεί μία συγκεκριμένη πλατφόρμα, τότε μπορούμε να πούμε με βεβαιότητα ότι αυτή η πλατφόρμα είναι η πιο δημοφιλής στις μέρες μας. Φυσικά μιλάμε για το Wordpress. Ένα open source CMS που έχει καταφέρει με την ευχρηστία και την λειτουργικότητά του να γίνει ένα από τα κυριότερα εργαλεία στην κατασκευή ιστοσελίδων.

Όταν όμως κάτι είναι τόσο δημοφιλές, και παράλληλα Open Source (δηλαδή έχει πρόσβαση στον πηγαίο κώδικα ο καθένας), αυτόματα δημιουργούνται θέματα ασφαλείας. Και μιας και στο Ελληνικό Ιντερνέτ το WordPress είναι αρκετά δημοφιλές και αρκετοί το χρησιμοποιούν για να δημιουργήσουν την σελίδα τους, είναι καλό να δούμε μερικά βασικά βήματα που πρέπει να γίνουν ώστε να προστατέψουμε την σελίδα μας.

Μην χρησιμοποιείτε το admin για username.

Από την έκδοση 3.0 και μετά, το Wordpress έδωσε την δυνατότητα στους webmasters να επιλέγουν το username του διαχειριστή. Είναι καλό λοιπόν –και αρκετά εύκολο- να αλλάξουμε το “admin” σε ένα username της αρεσκείας μας. Όποιος προσπαθήσει λοιπόν να μπει στο admin panel του Wordpress θα πρέπει «σπάσει» και το Username, εκτός από το password.

Αν τρέχετε μία παλιότερη έκδοση του Wordpress, μπορείτε να αλλάξετε το username, με το παρακάτω Query στην βάση δεδομένων.

UPDATE wp_users SET user_login = ‘το νέο μας username’ WHERE user_login = ‘admin’;

Μεταφέρετε το wp-config.php

Γνωρίζατε ότι από το Wordpress 2.6 και έπειτα μπορείτε να μεταφέρετε το αρχείο wp-config.php από το root directory; Οι περισσότεροι δεν το γνωρίζουν –ή το αμελούν-. Η μεταφορά του είναι αρκετά απλή και εύκολη. Το wordpress θα αναζητήσει το αρχείο –που περιέχει σημαντικές πληροφορίες, οι οποίες δεν θέλουμε να είναι γνωστές σε κανέναν- στους φακέλους όταν δεν το βρει στο root folder.

Προστατέψτε το wp-admin

Δοκιμάστε αυτό το plugin. Θα σας λύσει τα χέρια. Όχι μόνο προστατεύει με passwords το wp-admin αλλά επίσης το wp-includes, wp-content, plugins κλπ.

.htaccess lockdown

Με το htaccess lockdown μπορούμε να προστατέψουμε το wp-admin ορίζοντας τις IP που θα έχουν πρόσβαση σε αυτό. Αυτό πρακτικά σημαίνει ότι μόνο συγκεκριμένη IP μπορεί να «δει» το wp-admin άρα σε πιθανή επίθεση από hackers, ο εν λόγο φάκελος δεν θα εμφανίζεται καν. Για να προστατευτείτε με αυτόν τον τρόπο, αντιγράψτε τον παρακάτω κώδικα στο αρχείο .htaccess αλλάζοντας το xxx.xxx.xxx.xxx με την επιθυμητή IP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic order deny,allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx

Με το “allow from” μπορούμε να προσθέσουμε οποιαδήποτε IP θέλουμε –και ξέρουμε ότι θα χρειαστεί πρόσβαση- να έχει πρόσβαση στο wp-admin. Το κακό είναι ότι οι περισσότεροι ISP χρησιμοποιούν dynamic IPs, άρα η IP μας μπορεί να αλλάξει. Αν γίνει αυτό τότε χρειάζεται να συνδεθούμε με FTP και να αλλάξουμε την IP που έχουμε ορίσει στο htaccess.

Update και Backup

Οι πιο απλές αλλά ίσως οι πιο ζωτικές συμβουλές ασφάλειας. Κάνουμε update οποτεδήποτε είναι αυτό διαθέσιμο. Δεν ξεχνάμε επίσης να κάνουμε update τα plugins και τα themes που έχουμε εγκατεστημένα. Είναι τόσο εύκολο, που δεν υπάρχει δικαιολογία ώστε να μην γίνεται.

Το Backup είναι επίσης πολύ σημαντικό. Όσο πιο συχνά ανανεώνεται την σελίδα σας, τόσο πιο συχνά χρειάζεται να παίρνεται αντίγραφα ασφαλείας. Μπορείτε να δείτε διάφορα plugins για backup εδώ.

Κλείνοντας αυτό το άρθρο. Η ασφάλεια στα Open source CMS εξαρτάτε από εμάς. Τους χρήστες/webmasters. Προσέχετε τι κάνετε install στο site σας. Διαβάστε σχόλια σχετικά με το plugin ή το extension που σας ενδιαφέρει. Αυτά καθ’ αυτά τα CMS είναι αρκετά ασφαλή, αλλά πολλά 3α προγράμματα, τα κάνουν εύκολο στόχο για hackes.

Διαβάστε περισσότερα...
Συνδρομή σε αυτήν την τροφοδοσία RSS