Stigmahost - web hosting company

Πως Να Προστατέψετε Το WordPress Σας Από Επιθέσεις



Το WordPress είναι open source που σημαίνει ότι ο καθένας, συμπεριλαμβανομένων των χάκερ γνωρίζει τον πηγαίο κώδικα του και μπορεί να ψάξει για τρύπες. Παρακάτω θα σας δείξω μερικά καλά προληπτικά μέτρα που μπορείτε να λάβετε για να προστατέψετε το WordPress σας και το πιο σημαντικό, τους χρήστες σας.

Αφαιρέστε τον χρήστη Admin

Πιθανώς, το πιο εύκολο πράγμα που θα μπορούσατε να κάνετε για να προστατεύσετε τον εαυτό σας είναι να ξεκινήσετε με την αλλαγή / αφαίρεση του admin. Όποιος χρησιμοποιεί WordPress γνωρίζει ότι υπάρχει ένας χρήστης με το όνομα admin ο οποίος έχει υψηλό επίπεδο έλεγχου ασφαλείας, ειδικά οι χάκερ.
Αν κάποιος γνωρίζει ότι το όνομα χρήστη σας είναι admin, πόσο δύσκολο μπορεί να είναι να σπάσει τον κωδικό πρόσβασης.
Δημιουργήστε ένα νέο λογαριασμό διαχειριστή, αλλά αυτή τη φορά με διαφορετικό όνομα, και στη συνέχεια διαγράψετε το λογαριασμό του διαχειριστή.
Καλό είναι να μάθετε από την αρχή (όταν δηλαδή κάνετε την εγκατάσταση του wp) να δίνετε διαφορετικό username για τον superuser σας.

Αυτό που θα ήθελα προσωπικά να συστήσω είναι να δημιουργήσετε ένα λογαριασμό διαχειριστή με ένα πολύ σύνθετο όνομα χρήστη και τον κωδικό πρόσβασης (κάτι σαν x7duEls91 *), να το αποθηκεύσετε κάπου, και να φτιάξετε έναν άλλο λογαριασμό για να δημοσιεύετε περιεχόμενο και δεν έχει πλήρη δικαιώματα. Ο λογαριασμός διαχειριστή χρειάζεστε ουσιαστικά μόνο για διαχείριση θεμάτων, plugins και άλλες πτυχές του χώρου που δεν χρειάζονται να αλλάξουν σε καθημερινή βάση – ένας λογαριασμό editor θα ήταν αρκετός.

Επιλέξτε ένα ισχυρό κωδικό πρόσβασης

Ανεξάρτητα από το είδος του site που τρέχετε, μπορείτε να είστε σε κίνδυνο από μια επίθεση brute-force. Στο πρώτο βήμα, όταν διαγράψατε το όνομα χρήστη διαχειριστή, αποτρέψαμε πιθανώς τους περισσότερους hackers, αλλά υπάρχουν πάντα εκείνοι που είναι πολύ επίμονοι ή ήδη γνωρίζουν το όνομα χρήστη σας. Το επόμενο βήμα είναι να επιλέξετε ένα πολύ δύσκολο κωδικό πρόσβασης. Ένας καλός τρόπος για να καθοριστεί εάν ή όχι ο κωδικός πρόσβασης σας, είναι ασφαλές είναι να τον δοκιμάσετε σε ένα εργαλείο σαν το passwordmeter.

Ασφαλίστε την είσοδο χρήστη

Μπορείτε να λάβετε επιπλέον προφυλάξεις, με την εγκατάσταση plugins που μπορούν να προσθέσουν ένα επιπλέον επίπεδο ασφάλειας. Υπάρχουν κάποια που μπορούν να χειριστούν τους κωδικούς πρόσβασης και τις συνδέσεις προς Το WordPress. Ένα plugin που θεωρώ ότι είναι πολύ χρήσιμο είναι το Login LockDown. Αυτό καταγράφει τη διεύθυνση IP και την χρονική σήμανση όλων των αποτυχημένες αποπειρών από την ίδια IP και την κλειδώνει μετά από ένα ορισμένο αριθμό αποτυχημένων συνδέσεων. Αυτό το plugin είναι ιδιαίτερα χρήσιμο όταν πρόκειται για την υπεράσπιση σας από μια επίθεση brute-force
Οι περισσότεροι εισβολείς θα εγκαταλείψουν την προσπάθεια, εάν η IP τους block-άρετε κάθε 5 λεπτά κατά την εκτέλεση του προγράμματος brute force.

Πάντα Ενημερώνετε το Το WordPress σας

Όπως είπα νωρίτερα, Το WordPress είναι ανοικτού κώδικα, γεγονός που το καθιστά ευκολότερο στόχο για τους χάκερ. Σχεδόν 60 εκατομμύρια sites χρησιμοποιούν Το WordPress,
Όταν η Automattic εκδίδει μια ενημέρωση, όσο πιο γρήγορα ενημερώσετε το site σας, τόσο το καλύτερο, γιατί όταν βγάζουν την ενημερωμένη έκδοση επίσης ποστάρουν τα vulnerabilities που διορθώσανε.
Δεν παίρνει πολύ χρόνο για να ενημερώσετε την εγκατάσταση του WordPress σας, σύμφωνα με το το WordPress χρειάζεται 5 λεπτά MAX για να ολοκληρωθεί.

Αποκρύψτε την Έκδοση του WordPress σας

Ας πούμε ότι ξεχάσετε να ενημερώσετε το WordPress σας, ή απλά δεν βρήκατε τον χρόνο για να το κάνετε. Η WordPress έκδοση σας, δίνει στους χάκερς μια ιδέα για το πώς μπορούν να hack-άρουν το site σας, ειδικά αν εμφανίζετε έξω η έκδοσή του.
Από προεπιλογή, το WordPress εμφανίζει την έκδοση, επειδή θέλουν να μετρήσουν πόσοι άνθρωποι χρησιμοποιούν και ποια έκδοση. Ωστόσο, αυτό είναι σαν να βάζουμε ένα φωτεινό κόκκινο σημάδι στο site μας που να λέει στους hackers τι πρέπει να κάνουν.
Εάν χρησιμοποιείτε ένα premium θέμα, οι πιθανότητες είναι ότι ο developer του έργου ανέλαβε την απενεργοποίηση για εσάς  αλλά αν δεν είσαστε σίγουροι, ανοίξτε το αρχείο functions.php σας και προσθέστε αυτή τη γραμμή κώδικα.

 

Αλλάξτε Δικαιώματα στα αρχεία σας

Είναι πολύ σημαντικό να έχετε τα κατάλληλα δικαιώματα αρχείων για να εξασφαλίσετε την ασφάλεια του δικτυακού σας τόπου. Σας συνιστώ να περιορίσετε τα δικαιώματα αρχείων σας στο 744 CHMOD που ουσιαστικά καθιστά μόνο την ανάγνωση εφικτή σε όλους, εκτός από εσάς.
Απλά ανοίξτε το πρόγραμμα FTP σας και κάντε δεξί κλικ στο φάκελο ή το αρχείο και κάντε κλικ στο «Δικαιώματα αρχείων». Αν είναι 777, είστε πολύ τυχεροί που δεν έχετε ήδη hackαριστεί. Θα πρέπει να αλλάξετε την τιμή σε CHMOD 744, δίνοντας μόνο στον «ιδιοκτήτη» πλήρη πρόσβαση.

Whitelist

Τα Whitelists σας επιτρέπουν να διαχειριστείτε ποιος θα έχει πρόσβαση σε ορισμένα μέρη της ιστοσελίδας σας. Είναι σαν να χτίζετε ένα Τείχος γύρω από το admin φάκελο σας, έτσι ώστε κανείς, εκτός από εσάς, να έχει πρόσβαση στο φάκελο. Αυτό το κάνουμε χρησιμοποιώντας το αρχείο. Htaccess.

Πλοηγηθείτε στο / wp-admin/ φάκελο, στη συνέχεια, ελέγξτε αν υπάρχει ήδη αρχείο htaccess, αν δεν υπάρχει ένα, δημιουργήστε το. Εάν υπάρχει ήδη πάρτε ένα αντίγραφο ασφαλείας πριν κάνετε οποιαδήποτε επεξεργασία. Βεβαιωθείτε ότι βρίσκεστε στο φάκελο wp-admin, και όχι στο root και επικολλήστε τον ακόλουθο κώδικα στο αρχείο htaccess.:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# Whitelist Your IP address
allow from xx.xx.xx.xxx
# Whitelist Your Office's IP address
allow from xx.xx.xx.xxx
# Whitelist Your IP address While Your Traveling (Delete When You Come Back Home)
allow from xx.xx.xx.xxx

Αντικαταστήστε το xx με τη διεύθυνση IP σας, την οποία μπορείτε να βρείτε στο WhatsMyIP.org. Τώρα, κάθε φορά που πρόκειται να συνδεθείτε στο admin, θα πρέπει να προσθέτετε τη νέα διεύθυνση IP σας για να το καταφέρετε.

Δημιουργία αντιγράφων ασφαλείας (Backup)

Ανεξάρτητα από το επίπεδο της ασφάλειας του WordPress σας, είναι μια καλή συνήθεια να κάνετε backup το site σας. Υπάρχουν πολλοί τρόποι να γίνει αυτό. Μπορείτε να επωφεληθείτε των cron, εάν η εταιρεία φιλοξενίας, σας το παρέχει, με τη χρήση αυτής της εντολής:

DBNAME=DB_NAME
DBPASS=DB_PASSWORD
DBUSER=DB_USER
EMAIL="you@your_email.com"
mysqldump --opt -u $DBUSER -p$DBPASS $DBNAME > backup.sql
gzip backup.sql
DATE=`date +%Y%m%d` ; mv backup.sql.gz $DBNAME-backup-$DATE.sql.gz
echo 'BLOG BACKUP:Your Backup is attached' | mutt -a $DBNAME-backup-$DATE.sql.gz $EMAIL -s "MySQL Backup"
rm $DBNAME-backup-$DATE.sql.gz

Εναλλακτικά, μπορείτε να χρησιμοποιήσετε VaultPress, μια υπηρεσία από την Automattic.

Ο ευκολότερος τρόπος για να τραβήξετε backup είναι να συνδεθείτε στο admin panel, να μεταβείτε στα Εργαλεία και στη συνέχεια κάντε κλικ στο Εξαγωγή.

Απόκρυψη των Plugins σας

Δημιουργώντας ένα κενό index αρχείο στο / wp-content/plugins / σας κρύψει όλα τα plugins σας. Μερικοί από εσάς πιθανώς να σκεφτούν  «Ποιος νοιάζεται αν κάποιος μπορεί να δει plugins μου;». Λοιπόν,τα plugins μπορούν να πουν στους hackers πώς να χακάρει το site σας, ή τουλάχιστον αν είναι hackable.

Τα plugins είναι σαφώς ορατά σε όποιον περιηγείται στο φάκελο / wp-content/plugins. Αν ένας χάκερ δεν βλέπει plugins για ασφάλεια, τότε αμέσως γνωρίζει ότι θα είναι μια εύκολη δουλειά για αυτόν. Προσθέτοντας κενό index.html στο φάκελο plugins είναι σαν να βάζουμε μια extra δικλίδα ασφάλειας.

Αναλύστε τα Logs του διακομιστή

Το καλύτερο εργαλείο για την ασφάλεια, ανεξάρτητα από τα όποια plugin λογισμικού χρησιμοποιείτε, είστε εσείς. Για να είστε σίγουροι ότι είστε εντελώς προστατευμένοι, θα πρέπει να είστε προληπτικοί με την ασφάλεια της ιστοσελίδας σας. Τρεις φορές την ημέρα μπορείτε να ελέγχετε τα αρχεία καταγραφής του διακομιστή σας και τα αναλυτικά στοιχεία ιστού για να δείτε αν υπάρχει οποιαδήποτε ασυνήθιστη συμπεριφορά.

Αυτό ήταν. Είστε έτοιμοι να δημοσιεύσετε το περιεχόμενό σας ελεύθερα χωρίς να φοβάστε ότι είστε ευάλωτοι για να γίνετε hacked.



5 Σχόλια

Κανάλι σχολίων

vasilis

9 Δεκεμβρίου 2012 | 16:04 | Σχόλιο |

Όταν βάζω τον παρακάτω κώδικα στο functions.php μου εμφανίζει σφάλμα.


vasilis

9 Δεκεμβρίου 2012 | 16:06 | Σχόλιο |

* Τον παραπάνω κώδικα για να αποκρύψω την έκδοση


zeoz

9 Ιανουαρίου 2013 | 23:29 | Σχόλιο |

τι σφάλμα σου βγάζει;


Δήμητρα

7 Φεβρουαρίου 2013 | 12:28 | Σχόλιο |

Καλημέρα και συγχαρητήρια για το καταπληκτικό site σας.
Μια ερώτηση: Στην απόκρυψη των Plugins, στο wp-content/plugins τα έχει όλα σε φακέλλους. Το index.html που θα γραφτεί και πως?
Ευχαριστώ πολύ


zeoz

7 Φεβρουαρίου 2013 | 16:43 | Σχόλιο |

Σε ευχαριστούμε Δήμητρα 🙂
το index.html θα το βάλεις «χύμα» στο /wp-content/plugins /
δεν χρειάζεται να γράψεις κάτι μέσα στο html (κενό πρέπει να ειναι)



Ετικέτες που επιτρέπονται: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 

^
Top
CSS Design Awards