8 τρόποι για να κάνετε το WordPress σας πιο ασφαλές
Μια από τις μεγαλύτερες ανησυχίες ενός επαγγελματία του διαδικτύου είναι η ασφάλεια των δεδομένων των websites που κατασκευάζει για λογαριασμό των πελατών του ή και για δικό του λογαριασμό. Δεν είναι λίγες οι φορές που έχουν παρατηρηθεί κρούσματα hacking από ξένους “γείτονές” μας. Με έναυσμα την ανησυχία αυτή και ένα άρθρο που βρήκαμε στο SearchRank, σήμερα το Web Design Blog θα σας παρουσιάσει 8 τρόπους με τους οποίους μπορείτε να ανεβάσετε τον πήχη της ασφάλειας στα websites που κατασκευάζετε χρησιμοποιώντας την γνωστή και πετυχημένη πλατφόρμα WordPress. Τα παρακάτω tips αναφέρονται στην αυτόνομη εγκατάσταση του WordPress και όχι στα WordPress.com subdomain blogs.
1. Robots.txt
Χρησιμοποιώντας Robots.txt αρχείο, μπορείτε και καθοδηγείτε τις μηχανές αναζήτησης σε συγκεκριμένα σημεία του διαδικτυακού σας τόπου. Με αυτή την ενέργεια, εμποδίζετε την καταγραφή και αποθήκευση της τοποθεσίας των σελίδων σας που δεν θέλετε να φαίνονται στην λίστα των αποτελεσμάτων των μηχανών αναζήτησης. Αυτό το tip μπορεί να εφαρμοστεί σε κάθε είδους website, όχι μόνο WordPress. Εάν δεν ξέρετε να γράφετε Robots.txt, μπορείτε να βρείτε σχετικές οδηγίες στο Shoemoney ή να χρησιμοποιήσετε κάποιο generator όπως αυτόν που βρίσκεται εδώ.
2. Προστατέψτε το wp-config.php αρχείο σας με το .htaccess
Στο root directory (εάν δεν έχετε εγκαταστήσει ήδη κάποιο .htaccess αρχείο για άλλους λόγους), δημιουργήστε ένα αρχείο .htaccess και συμπεριλάβετε σε αυτό τον παρακάτω κώδικα για να δώσετε μια παραπάνω προστασία στο wp-config.php αρχείο σας:
<files wp-config.php>
Order deny,allow
deny from all
</files>
Το wp-config.php έχει αποθηκευμένα όλα τα στοιχεία που θα χρειαστεί κάποιος hacker για να παραβιάσει το WordPress website σας, όπως database name, database username, password, κλπ.
3. Κλειδώστε το wp-admin φάκελό σας
Συνήθως οι hosts δίνουν τη δυνατότητα στους χρήστες τους να μπορούν να κλειδώνουν επιλεγμένους φακέλους με κάποιον κωδικό. Κάθε host ανάλογα με το software που έχει εγκατεστημένο στον server, χρησιμοποιεί άλλο τρόπο κλειδώματος φακέλων. Θα πρέπει να επικοινωνήσετε με τον administrator σας να σας πει τι θα κάνετε στην περίπτωσή σας. Σε περίπτωση που δημιουργηθεί κάποιο πρόβλημα με το site σας, ακολουθήστε τα βήματα που σας δίνει αυτό το άρθρο.
4. Διαγράψτε τον admin χρήστη
Το πρώτο πράγμα που κάνει το WordPress μόλις ολοκληρώσει την εγκατάστασή του, είναι να δημιουργήσει τον admin χρήστη ο οποίος έχει πλήρη δικαιώματα σε όλο το διαδικτυακό τόπο. Καταργήστε τον ή μετονομάστε τον και δημιουργήστε έναν άλλο χρήστη με τα ίδια δικαιώματα. Προσφέροντας το username στους hackers κάνει τη δουλειά τους πολύ ευκολότερη από ότι θα ήταν αν δε γνώριζαν το username.
5. Περιορίστε τα login από επιτήδειους
Το WordPress από μόνο του δε δίνει τη δυνατότητα στους διαχειριστές του να προστατευτούν απέναντι στις αποτυχημένες προσπάθειες για login στο διαχειριστικό τους. Αυτό σημαίνει πως κάποιος επιτήδειος μπορεί να προσπαθεί να κάνει login όσο θέλει, χωρίς να του κόψει το σύστημα την πρόσβαση μετά από (x) αποτυχημένες προσπάθειες. Ευτυχώς υπάρχει το Login LockDown plugin το οποίο έρχεται να ενισχύσει την ασφάλεια του website σας. Το Login LockDown καταγράφει όλες τις προσπάθειες για είσοδο στο διαχειριστικό του WordPress σας και επίσης κλειδώνει το login screen μετά από (x) αποτυχημένες προσπάθειες.
6. Εγκαταστήστε το WordPress Firewall
Για να ενισχύσετε ακόμα περισσότερα την προστασία του WordPress blog σας, μπορείτε να εγκαταστήσετε σε μορφή Plug in το WordPress Firewall. Το WordPress Firewall σε γενικες γραμμές προσφέρει τα παρακάτω:
- Ανιχνεύει, παρεμβαίνει και καταγράφει ύποπτες κινήσεις, εμποδίζοντας την τυχόν επίθεση στο blog σας.
- Προστατεύτει τα plugin σας από τυχόν επιθέσεις.
- Προσφέρει επιλογή να φορτώνει πριν από οποιδήποτε άλλο plugin για μεγαλύτερη ασφάλεια.
- Απαντάει σε επιθέσεις με μια 404 σελίδα ή με επιστροφή στην αρχική σελίδα σας.
- Προσφέρει επιλογή ενημέρωσης επιθέσεων με email.
- Δυνατότητα ενεργοποίησης/απενεργοποίησης του directory traversal attack detection.
- Δυνατότητα ενεργοποίησης/απενεργοποίησης του SQL injection attack detection.
- Δυνατότητα ενεργοποίησης/απενεργοποίησης του WordPress-specific SQL injection attack detection.
- Δυνατότητα ενεργοποίησης/απενεργοποίησης “ανεβάσματος” εκτελέσιμων αρχείων από τρίτους.
- Δυνατότητα ενεργοποίησης/απενεργοποίησης του remote arbitrary code injection detection.
- Προσθήκη whitelisted IPs (φιλικών IPs).
- Δυνατότητα προσθήκης φιλικών IPs και σε συγκεκριμένες σελίδες.
7. Εγκαταστήστε το WP Security Scan
Το WP Security Scan είναι ένα plugin το οποίο ανιχνεύει το website σας για τυχόν αδυναμίες και προτείνει λύσεις για την ενδυνάμωσή τους. Ελέγχει αν η βάση σας έχει απενεργοποιημένα τα DB Errors και αν υπάρχει admin χρήστης. Επίσης φροντίζει να σας ενημερώσει αν έχετε θέσει τα σωστά permissions σε κάθε αρχείο της εγκατάστασής σας. Εν τέλει το plugin σάς δίνει τη δυνατότητα να αλλάξετε το πρόθεμα του database table σας, για να μετριάσετε τυχόν SQL “παρεμβάσεις”.
8. Εγκαταστήστε το MonitorHackdFiles (MHF)
Το MonitorHackdFiles είναι ένα δωρεάν πρόγραμμα για Apache/PHP το οποίο μπορεί να χρησιμοποιηθεί για όλων των ειδών τα websites (όχι μόνο WordPress) και έχει σαν σκοπό να ενημερώνει όποτε γίνεται αλλαγή σε κάποιο αρχείο του διαδικτυακού σας τόπου. Σας ενημερώνει ποιο αρχείο προστέθηκε ή αλλάχτηκε δίνοντάς σας τη δυνατότητα να κάνετε άμεση επέμβαση.
Επίλογος
Εάν γνωρίζετε και άλλους τρόπους με τους οποίους μπορείτε να προστατέψετε το WordPress website σας και θέλετε να το μοιραστείτε με τους αναγνώστες του Web Design Blog, προσθέστε το στα σχόλια του άρθρου. Ελπίζουμε να σας βοηθήσουν οι παραπάνω συμβουλές και να σας προσφέρουν την προστασία που επιθυμείτε.
ΧΡΗΣΙΜΗ ΠΛΗΡΟΦΟΡΙΑ: Το άρθρο 8 τρόποι για να κάνετε το WordPress σας πιο ασφαλές γράφτηκε από το WebDesignBlog. Η ομάδα μας σας υπενθυμίζει πως αν θέλετε να ενημερώνεστε για τα νέα του διαδικτύου και για επιλεγμένα άρθρα μας, μπορείτε να γραφτείτε εύκολα στο Newsletter μας ή στο RSS Feed μας.