Η ασφάλεια του WordPress είναι ήσσονος σημασίας για κάθε έναν ιδιοκτήτη μιας ιστοσελίδας. Η Google μπλοκάρει την πρόσβαση σε περίπου 10,000 ιστοσελίδες ημερησίως για την ύπαρξη malware, και περίπου 50,000 ιστοσελίδες την εβδομάδα για περιπτώσεις phishing.

Εάν λαμβάνετε σοβαρά την ασφάλεια της ιστοσελίδας σας, τότε καλό θα ήταν να δώσετε την ανάλογη προσοχή σε όλες τις καλές πρακτικές που ενισχύουν την ασφάλεια μιας ιστοσελίδας έναντι των hackers και του malware.

Το WordPress γίνεται όλο και συχνότερα στόχος επιθέσεων από hackers, και αυτό είναι λογικό μιας και το 33% περίπου όλων των ιστοσελίδων στο Ίντερνετ είναι βασισμένες σε αυτό. Εύλογα γεννάται το ερώτημα: «Είναι το WordPress ασφαλές;»

Η απάντηση είναι: «Ναι, το WordPress είναι ασφαλές» και η ασφάλεια του ελέγχετε τακτικά από εκατοντάδες developers παγκοσμίως. Παρόλα αυτά, ορισμένες φορές η χρήση διάφορων plugins, θεμάτων (themes) ή ακόμα και ο πάροχος του hosting, ακολουθούν μη ασφαλείς πρακτικές, με αποτέλεσμα να κάνουν την ιστοσελίδα ευάλωτη σε διάφορες επιθέσεις από hackers.

Σύμφωνα με την εταιρεία ασφαλείας Sucuri σε σχέση με όλες τις ιστοσελίδες τις οποίες έχουν «καθαρίσει» για το 2019, το WordPress είναι με διαφορά πρώτο σε ποσοστό επιθέσεων, αγγίζοντας το 94%.

Αυτοί είναι ορισμένοι τρομακτικοί αριθμοί για έναν ιδιοκτήτη ενός WordPress site, γι’ αυτό είναι πολύ σημαντικό να ακολουθούνται οι ακόλουθες πρακτικές οι οποίες ενισχύουν την ασφάλεια μιας ιστοσελίδας κατασκευασμένης με WordPress.

12 Συμβουλές ασφαλείας ενός WordPress site

1. Λήψη τακτικών αντιγράφων ασφαλείας (Backups)

Παρόλο που παρακάτω αναφέρουμε αρκετές πρακτικές για την ενίσχυση της ασφάλειας μιας WordPress ιστοσελίδα, πρέπει πρώτα από όλα να διασφαλίσουμε ότι έχουμε αντίγραφο ασφαλείας (backups) της ιστοσελίδας μας και δεν θα χάσουμε τίποτα.

Έτσι πρέπει να καθορίσουμε εξ ’αρχής μια σωστή πολιτική λήψης καθημερινών ή εβδομαδιαίων αντιγράφων ασφαλείας (backups) σε ξεχωριστή τοποθεσία από τον server στον οποίο φιλοξενείται η ιστοσελίδα μας.

Μπορούμε να εκμεταλλευτούμε το σύστημα λήψης αντιγράφων ασφαλείας που μας παρέχει ο hosting provider της ιστοσελίδας μας ή να χρησιμοποιήσουμε κάποιο από τα δεκάδες plugins που υπάρχουν για αυτόν τον σκοπό.

2. Επιλογή αξιόπιστου και ασφαλούς παρόχου Hosting

Το WordPress είναι απλά ένα λογισμικό εγκατεστημένο σε έναν server. Το θεμέλιο μιας ασφαλούς ιστοσελίδας είναι ένας server ο οποίος έχει όλα εκείνα τα συστήματα που εξασφαλίζουν ότι η ιστοσελίδα μας είναι ασφαλής έναντι σε επιθέσεις hackers.

Τα συστήματα αυτά συνήθως είναι τα ακόλουθα:

• Ένα firewall στο επίπεδο του server το οποίο μετριάζει τις επιθέσεις DDOS.
• Χρησιμοποιεί το πιο πρόσφατο υλικό (hardware) και κορυφαίο κέντρο δεδομένων (data center) για φυσική ασφάλεια.
• Ενημερώνει τακτικά το λειτουργικό σύστημα και εφαρμόζει τις πιο πρόσφατες ενημερωμένες εκδόσεις κώδικα ασφαλείας.
• Διαθέτει συστήματα ανίχνευσης εισβολών (intrusion detection system) για αποτροπή κακόβουλης δραστηριότητας ή παραβιάσεις πολιτικής ασφαλείας.

3. Χρήση της πιο πρόσφατης έκδοσης του WordPress

Η χρησιμοποίηση της πιο πρόσφατης έκδοσης του WordPress είναι η πιο βασική συμβουλή ασφαλείας.

Κάθε φορά που το WordPress έχει μια ενημερωμένη έκδοση, αυτό σημαίνει ότι έχουν επιδιορθωθεί κάποια σφάλματα, πιθανόν να έχουν προστεθεί κάποια χαρακτηριστικά, και το πιο σημαντικό, έχουν προστεθεί κάποια χαρακτηριστικά ασφαλείας και διορθώσεις.

Καλό θα ήταν να βεβαιωθείτε ότι το θέμα και τα plugins σας είναι συμβατά με αυτή την τελευταία έκδοση του WordPress πρίν προβείτε στην ενημέρωση. Εάν έχει βγεί μια ενημερωμένη έκδοση και δεν είναι μια ενημερωμένη έκδοση ασφαλείας, σας προτείνω να περιμένετε για 5-6 ημέρες πριν κάνετε την ενημέρωση. Με τον τρόπο αυτό εξασφαλίζετε ότι οποιαδήποτε σφάλματα μπορεί να περιέχει αυτή η έκδοση έχουν εντοπιστεί από άλλους χρήστες και έχουν αναφερθεί για επιδιόρθωση.

4. Ενημέρωση των plugins

Όπως αναφέραμε και παραπάνω, το WordPress βγάζει μια ενημερωμένη έκδοση για να διορθώσει σφάλματα και κενά ασφαλείας, το ίδιο ισχύει και με τα plugins.

Πολλές φορές, ένα ευάλωτο plugin ή 3^rd party script μπορεί να δημιουργήσει ένα κενό  ασφαλείας στην ιστοσελίδα σας. Γι’ αυτό πάντα να χρησιμοποιείτε plugins που ενημερώνονται συνεχώς και έχουν καλή υποστήριξη. Μια καλή συμβουλή είναι εάν χρησιμοποιείτε ένα plugin που δεν έχει ενημερωθεί για μια περίοδο 6 μηνών και παραπάνω, βρείτε κάποιο εναλλακτικό.

5. Χρήση της πιο πρόσφατης έκδοσης της PHP

Η PHP είναι η ραχοκοκαλιά του WordPress και επί του παρόντος, η 7.4 είναι η τελευταία έκδοση της PHP. Σύμφωνα με την επίσημη σελίδα της PHP, προσφέρουν υποστήριξη ασφαλείας σε οποιαδήποτε σταθερή έκδοση της PHP για 2 χρόνια μόνο.

Αυτό σημαίνει ότι αν χρησιμοποιείτε κάτι κάτω από την έκδοση PHP 7.2, δεν πρόκειται να πάρετε ενημερώσεις ασφαλείας.

Ένα ενδιαφέρον στατιστικό από την έρευνα της εταιρείας Sucuri που αναφέραμε και παραπάνω, είναι πως το 69,3% των ιστοσελίδων χρησιμοποιεί ξεπερασμένη έκδοση της PHP.

Ανάλογα με το περιβάλλον φιλοξενίας που χρησιμοποιείτε, μπορείτε να αλλάξετε γρήγορα την έκδοση της PHP που χρησιμοποιείτε, αφού πρώτα ελέγξετε την συμβατότητα του θέματος και των plugins που χρησιμοποιείτε με αυτήν.

Μπορείτε να ελέγξετε την έκδοση της PHP μέσα από το περιβάλλον διαχείρισης, και να ζητήσετε από τον πάροχο hosting να την αναβαθμίσει για εσάς.

6. Χρησιμοποιήστε ένα SSL Πιστοποιητικό

Το HyperText Transfer Protocol Secure (HTTPS) είναι μια κρυπτογραφημένη έκδοση του κανονικού HTTP. Αυτό σημαίνει ότι όλα τα δεδομένα που κινούνται μεταξύ του browser  ενός χρήστη και της ιστοσελίδας που επισκέπτεται είναι ασφαλή από bots που μπορεί να προσπαθήσουν να τα υποκλέψουν.

Οι περισσότεροι browsers σας ενημερώνουν εάν επισκέπτεστε έναν ασφαλή ιστότοπο με ένα απλό εικονίδιο λουκέτου δίπλα στη διεύθυνση URL.

Για να ενεργοποιήσετε το HTTPS για την δική σας ιστοσελίδα, χρειάζεστε ένα πιστοποιητικό Secure Sockets Layer (SSL). Αυτό επικυρώνει την ιστοσελίδα σας, έτσι ώστε οι επισκέπτες να γνωρίζουν ότι οι πληροφορίες τους προστατεύονται.

Αυτές τις μέρες, οι περισσότερες από τις ιστοσελίδες που επισκέπτεστε πιθανώς χρησιμοποιούν HTTPS και έχουν έγκυρα πιστοποιητικά SSL εγκατεστημένα. Οι χρήστες γίνονται όλο και πιο προσεκτικοί όσον αφορά την ασφάλεια τους στο ίντερνετ, και είναι πιο πιθανό να αποφύγουν ιστοσελίδες που δεν είναι ασφαλείς.

Επιπλέον, το HTTPS είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας στο διαδίκτυο που οι μηχανές αναζήτησης ευνοούν της ιστοσελίδες που το χρησιμοποιούν.

Έτσι είναι προς όφελός δικό σας και της επιχείρησής σας η χρησιμοποίηση ενός SSL Πιστοποιηικού.

7. Χρήση Web Application Firewall (WAF)

Το Firewall τοποθετείται ανάμεσα από τον server που φιλοξενεί την ιστοσελίδα μας και το δίκτυο. Ο ρόλος του είναι να φιλτράρει τις πιο κοινές απειλές πριν αυτές φτάσουν στον server.

Οι πιο κοινοί τύποι firewall που μπορούν χρησιμοποιηθούν σε μια WordPress ιστοσελίδα είναι τρείς:

• Σε επίπεδο δικτύου: Εγκαθίσταται συνήθως σε επίπεδο δικτύου ή μηχανήματος και λειτουργεί όταν η ιστοσελίδα σας φιλοξενείτε σε ένα ιδιόκτητο data center. Αυτή είναι η πιο δαπανηρή επιλογή και συνήθως χρησιμοποιείται από εταιρικές ιστοσελίδες όπου υπάρχει ο έλεγχος του φυσικού χώρου όπου είναι εγκατεστημένος ο διακομιστής.
• Σε επίπεδο host: Εγκαθίσταται σε επίπεδο web-εφαρμογής, που στην περίπτωσή μας είναι το WordPress. Αυτό δεν συνιστάται όμως, καθώς τελικά, ο host σας θα πρέπει να κάνει τη βαριά δουλειά του φιλτραρίσματος της κυκλοφορίας. Αυτό είναι σίγουρα καλύτερο από ένα firewall σε επίπεδο δικτύου, παρόλα αυτά αν λάβουμε υπόψιν τους τοπικούς πόρους διακομιστή που απαιτεί για να λειτουργήσει σωστά, δεν είναι και η καλύτερη επιλογή.
• Cloud-based WAF: Τα Cloud-based WAF συνήθως υλοποιούνται σε επίπεδο DNS και φιλτράρουν τους πιο κοινούς τύπους απειλών πριν επηρεάσουν τον server σας. Αυτή είναι η πιο εύκολη λύση να εφαρμοστεί και η πιο οικονομικό. Το μόνο της μειονέκτημα είναι ότι μπορεί να σας ζητήσει να αλλάξετε το DNS.

Ορισμένοι κοινοί τύποι απειλών που εντοπίζονται και προστατεύονται από τα Web Application Firewalls είναι: Cross-site scripting (XSS) attacks, SQL injection attacks, session hijacking, and buffer overflows.

8. Χρήση Ισχυρών Κωδικών

Αυτό δεν θα έπρεπε να το αναφέρουμε καν, αλλά δυστυχώς υπάρχουν ακόμα άνθρωποι οι οποίοι χρησιμοποιούν κωδικούς όπως:

• 123456
• Qwerty
• Admin123 κ.τ.λ.

Καλό θα είναι να χρησιμοποιείτε πιο περίπλοκους κωδικούς από αυτούς. Χρησιμοποιήστε συνδυασμό από πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα (%&*#), και με μήκος τουλάχιστον 8 χαρακτήρων. Τέλος καλό θα ήταν να τους αλλάζετε ανά τακτά χρονικά διαστήματα της τάξης των 5-6 μηνών.

Βέβαια με τόσους πολλούς κωδικούς που χρησιμοποιούμε στην καθημερινότητα θα μου πείτε πως δεν είναι εύκολο να τους θυμάστε όλους τους κωδικούς. Για τον λόγο αυτό καλό θα ήταν να σκεφτείτε την χρήση μιας εφαρμογής διαχείρισης κωδικών. Έτσι δεν θα χρειάζεται να θυμάστε παρά μόνο έναν κωδικό, αυτόν της εφαρμογής διαχείρισης κωδικών.

9. Χρησιμοποιήστε 2-Factor Authentication

Η τεχνική ελέγχου ταυτότητας δύο παραγόντων απαιτεί από τους χρήστες να συνδέονται χρησιμοποιώντας μια μέθοδο ελέγχου ταυτότητας δύο βημάτων. Το πρώτο είναι το όνομα χρήστη και ο κωδικός πρόσβασης και το δεύτερο βήμα απαιτεί τον έλεγχο ταυτότητας χρησιμοποιώντας μια ξεχωριστή συσκευή ή εφαρμογή.

Οι περισσότερες κορυφαίες ιστοσελίδες όπως το Facebook, η Google, το Twitter κτλ σας επιτρέπουν να ενεργοποιήσετε αυτή την δυνατότητα. Το ίδιο μπορείτε να κάνετε και για την ιστοσελίδα σας.

Θα πρέπει να εγκαταστήσετε μια εφαρμογή ελέγχου ταυτότητας στο τηλέφωνό σας. Υπάρχουν αρκετές διαθέσιμες όπως το Google Authenticator, Authy, LastPass Authenticator και το FreeOTP.

Θα ερωτηθείτε αν θέλετε να σαρώσετε μια τοποθεσία με μη αυτόματο τρόπο ή να σαρώσετε τον γραμμικό κώδικα. Ενεργοποιήστε την επιλογή  σάρωσης γραμμικού κώδικα και στη συνέχεια, με την κάμερα του τηλεφώνου σας σαρώστε τον κωδικό QR που εμφανίζεται στη σελίδα ρυθμίσεων.

Αυτό είναι όλο! Την επόμενη φορά που θα συνδεθείτε στην ιστοσελίδα σας, αφού εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, θα σας ζητηθεί να εισάγετε έναν κωδικό από την εφαρμογή του κινητού σας.

10. Αλλάξτε το URL εισόδου στο WordPress

Η αλλαγή της διεύθυνσης εισόδου στο διαχειριστικό περιβάλλον του WordPress αυξάνει σημαντικά την ασφάλεια της ιστοσελίδας σας καθώς ο επίδοξος επιτιθέμενος για να φτάσει στο σημείο να μαντέψει το όνομα χρήστη και τον ισχυρό, ελπίζω, κωδικό σας θα πρέπει πρώτα να βρεί και το URL εισόδου.

11. Ελέγξτε τα δικαιώματα στους φακέλους του WordPress

Συνδεθείτε στο περιβάλλον διαχείρισης του hosting σας, και μεταβείτε στην διαχείριση αρχείων του cPanel ή του Plesk ανάλογα, ή συνδεθείτε με FTP και ελέγξτε τις ιδιότητες των αρχείων μέσα στον φάκελο εγκατάστασης του WordPress. Εάν είναι 744 (read only) τότε είστε εντάξει. Εάν όμως είναι 777 (πλήρη δικαιώματα) τότε θεωρείστε τον εαυτό σας τυχερό που δεν έχετε πέσει ακόμα θύμα κάποιου επίδοξου hacker. Αλλάξτε αμέσως τα δικαιώματα σε read only. Εάν δεν ξέρετε πώς να το κάνετε, επικοινωνήστε με τον hosting provider σας να το κάνει αυτός για εσάς.

12. Διαγράψτε τον αρχικό χρήστη “Admin”

Αυτή είναι μια από τις πιο σημαντικές συμβουλές ασφάλειας. Ο προκαθορισμένος χρήστης “admin” σε μια WordPress ιστοσελίδα είναι ευπαθής σε επιθέσεις καθώς οι περισσότεροι χρήστες συνήθως δεν τον αλλάζουν.

Όταν εγκαθιστάτε το WordPress χρησιμοποιήστε ένα νέο username και μην χρησιμοποιείτε το “admin”. Μπορείτε επίσης να δημιουργήσετε ένα νέο χρήστη με δικαιώματα “Διαχειριστή” και να δώσετε σε αυτόν το νέο διαχειριστή ένα ψευδώνυμο που θα εμφανίζεται δημόσια σε περίπτωση που γράψει μια δημοσίευση. Τώρα, αποσυνδεθείτε και στη συνέχεια συνδεθείτε ξανά στο λογαριασμό διαχειριστή που μόλις δημιουργήσατε και διαγράψτε τον παλιό χρήστη “admin”.

Πηγή: https://bytemesystems.gr/12-%CF%83%CF%85%CE%BC%CE%B2%CE%BF%CF%85%CE%BB%CE%AD%CF%82-%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%B5%CE%AF%CE%B1%CF%82-%CE%B5%CE%BD%CF%8C%CF%82-wordpress-site/