Ασφάλεια ενός WordPress site – Χρήσιμες συμβουλές και ενέργειες

Το WordPress είναι το πιο δημοφιλές CMS και αποτελεί την βάση για το 1/3 των ιστοσελίδων παγκοσμίως. Παρέχει ένα εύκολο και γρήγορο περιβάλλον διαχείρισης και επεκτάσιμη δομή που επιτρέπει την ανάπτυξη επιπλέον λειτουργιών. Λόγω της δημοφιλίας του, το WordPress, γίνεται συχνά στόχος κακόβουλων ενεργειών και η ασφάλεια ενός WordPress site είναι συχνό θέμα συζήτησης. Πρόσφατη έρευνα έδειξε πως το 2018, είχαν παραβιαστεί περίπου 22.000 ιστοσελίδες που είχαν αναπτυχθεί με χρήση του WordPress. Παράλληλα άλλη έρευνα δείχνει πως οι παραβιάσεις είχαν προκληθεί από μη ασφαλές hosting (41%), από κενά ασφαλείας σε plugins και themes (51%) και από πολύ αδύναμους κωδικούς πρόσβασης (8%).

Η βασική δομή και τα αρχεία του WordPress είναι αναμφισβήτητα ασφαλή. Υπάρχει μία μεγάλη ομάδα που απασχολείται αποκλειστικά με την διασφάλιση της ασφάλειας του πυρήνα του WordPress και οι developers ακολουθούν βέλτιστες πρακτικές και υψηλά πρότυπα ασφαλείας. Ωστόσο όσο περισσότερα στοιχεία προστίθενται σε μία ιστοσελίδα WordPress (themes and plugins), τόσο αυξάνεται η πιθανότητα να παραβιαστεί, καθώς δεν ακολουθούν όλοι τις ίδιες πρακτικές ασφάλειας.

Σε αυτό το άρθρο θα δούμε απλούς τρόπους, με τους οποίους μπορείτε να αυξήσετε το επίπεδο ασφάλειας της ιστοσελίδας σας. Το άρθρο αυτό χωρίζεται σε τρεις ενότητες, και αφορά ενέργειες που μπορείτε να κάνετε στην ιστοσελίδα και τον server αλλά και απλές ενέργειες που μπορείτε να ακολουθήσετε εσείς ως χρήστης.

Ασφαλίστε το WordPress

1. Εγκαταστήστε τις διαθέσιμες ενημερώσεις

Στα βασικά αρχεία του WordPress καθώς και σε plugins ή themes, μπορεί να εμφανιστούν κενά ασφαλείας. Ο πυρήνας του WordPress θεωρείται αρκετά ασφαλής, αφού περνάει από διάφορα στάδια ελέγχου. Ωστόσο δεν εφαρμόζονται τα ίδια πρότυπα και διαδικασίες ασφαλείας από όλους τους developers που αναπτύσσουν plugins ή themes και μπορεί να εμφανιστούν ευπάθειες, που θα καταστήσουν το site σας ευάλωτο σε επιθέσεις.

Αυτές οι ευπάθειες, είναι γνωστές σε κακόβουλους χρήστες (κοινώς hackers), διότι αναφέρονται στην λίστα αλλαγών (changelog) που υπάρχει σε κάθε update (core, plugin ή theme), και μπορούν να χρησιμοποιηθούν προς όφελός τους.

Η εγκατάσταση των διαθέσιμων ενημερώσεων (και μάλιστα το συντομότερο δυνατό) είναι το πρώτο βήμα για την αύξηση της ασφάλειας. Είναι τόσο σημαντικό κομμάτι, που από την έκδοση 3.7 οι ενημερώσεις ασφαλείας εγκαθίστανται αυτόματα. Ωστόσο οι κύριες ενημερώσεις (major releases) απαιτούν χειροκίνητη εγκατάσταση.

Μπορείτε να ενεργοποιήσετε την αυτόματη εγκατάσταση των κύριων ενημερώσεων εισάγοντας το παρακάτω snippet στο wp-config.php

define(‘WP_AUTO_UPDATE_CORE’, true);

Με αυτό τον τρόπο δεν θα χρειαστεί να κάνετε χειροκίνητη εγκατάσταση ενημερώσεων. Μπορεί να ενεργοποιηθεί η ίδια δυνατότητα και για plugins και themes εισάγοντας τις παρακάτω γραμμές:

add_filter(‘auto_update_plugin’, ‘__return_true’);
add_filter(‘auto_update_theme’, ‘__return_true’);
Όταν κάνετε αλλαγές στο αρχείο wp-config.php, οποιαδήποτε προσθαφαίρεση κώδικα θα πρέπει να γίνεται πριν από την γραμμή «stop editing»
ΠΡΟΣΟΧΗ: Όταν ενεργοποιείτε τις αυτόματες ενημερώσεις, ενδέχεται να εμφανιστούν προσωρινές ασυμβατότητες μεταξύ της βασικής εγκατάστασης και των εγκατεστημένων plugins ή themes.

2. Προστασία της σελίδας σύνδεσης (login page)

Η σελίδα του login επιτρέπει την σύνδεση χρηστών στην περιοχή διαχείρισης της ιστοσελίδας. Υπάρχουν αναρίθμητα bots τα οποία χρησιμοποιούν τακτικές brute force και προσπαθούν να αποκτήσουν πρόσβαση στην περιοχή διαχείρισης.

Για να προστατευθείτε απέναντι σε τέτοιες επιθέσεις μπορείτε να χρησιμοποιήσετε κάποιο plugin που μπορεί να περιορίσει τον αριθμό των προσπαθειών σύνδεσης από μία συγκεκριμένη διεύθυνση IP ή ένα username για ένα προκαθορισμένο χρονικό διάστημα. Υπάρχουν πολλά τέτοια plugins, αλλά εμείς έχουμε δοκιμάσει και σας προτείνουμε το Login Lockdown και το WP Limit Login Attempts.

Επιπρόσθετα, εάν για το site σας δεν απαιτείται η σύνδεση απλών χρηστών (π.χ. πελάτες σε ένα e-shop ή εγγεγραμμένα μέλη σε ένα ειδησεογραφικό site), μπορείτε να αλλάξετε πλήρως το URL της σελίδας login, από το default /wp-admin σε ότι θέλετε. Μπορείτε να πραγματοποιήσετε αυτή την αλλαγή χρησιμοποιώντας ένα plugin όπως το WPS Hide Login.

3. Επιλογή plugins και themes

Τα plugins και τα themes θα σας βοηθήσουν να δώσετε στην ιστοσελίδα σας την εμφάνιση και την λειτουργικότητα που επιθυμείτε. Ωστόσο τα plugins είναι το #1 σημείο που θα προσπαθήσουν να «χτυπήσουν» οι hackers. Αντίστοιχα οι developers πολλών themes (κυρίως free αλλά και premium) δεν ακολουθούν βέλτιστες πρακτικές και αφήνουν κενά ασφαλείας.

Ο κατάλογος του WordPress είναι ένα καλό σημείο για να ξεκινήσετε την αναζήτησή σας για plugins ή themes. Θα πρέπει να αποφύγετε την λήψη premium plugins ή themes από διάφορα sites που τα δίνουν δωρεάν ή με πολύ χαμηλό κόστος. Είναι πολύ πιθανό να περιέχουν κάποιο malware script ή να εγκαταστήσουν κάποιο backdoor στην ιστοσελίδα σας. Επιπλέον αγοράζοντας plugins και themes από τον αρχικό εκδότη, υποστηρίζετε τον ίδιο, το έργο του και βοηθάτε την συντήρηση και επέκταση του project που έχετε επιλέξει.

Γενικότερα, κατά την επιλογή ενός plugin ή theme θα πρέπει να δώσετε έμφαση στα παρακάτω σημεία

Συμβατότητα με την έκδοση του WordPress σας

Το plugin ή το theme που θα επιλέξετε θα πρέπει να είναι συμβατό με την έκδοση του WordPress. Διαφορετικά μπορεί να μην είναι δυνατή η εκτέλεση κάποιων λειτουργιών, να προκαλούνται σφάλματα ή να μην είναι δυνατή η λειτουργία της ιστοσελίδας.

Αξιολογήσεις

Κάθε plugin και theme αξιολογείται από τους χρήστες του. Είναι προτιμότερο να επιλέξετε κάποιο plugin με υψηλό αριθμό αξιολογήσεων και θετικά σχόλια. Σημαίνει πως οι χρήστες που το έχουν εγκαταστήσει έχουν μείνει ευχαριστημένοι και πως έχει τις λειτουργίες που αναφέρει.

Forum υποστήριξης

Ελέγξτε το forum υποστήριξης για τυχόν μη επιλυθέντα προβλήματα και δείτε τους χρόνους απόκρισης των συντακτών του plugin ή theme. Σε περίπτωση κάποιου προβλήματος θα θέλατε να σας απαντήσουν σύντομα.

Ιστορικό δημιουργού

Καλό θα ήταν να κάνετε έναν γρήγορο έλεγχο στο ιστορικό του δημιουργού. Μπορείτε να δείτε εάν είναι κάποιο γνωστό μέλος της κοινότητας ή εάν εργάζεται σε κάποια γνωστή εταιρεία και εάν έχει συμμετάσχει στην δημιουργία άλλων plugins ή themes. Με αυτό τον τρόπο, μειώνετε την πιθανότητα να χρησιμοποιήσετε κάποιο plugin ή theme που θα έχει κάποιο επίτηδες δημιουργημένο κενό ασφαλείας.

A WordPress plugin contributors and developers list section
Η λίστα των developers, βρίσκεται στο κάτω μέρος της σελίδας του κάθε plugin

Εγκατάσταση και έλεγχος σε δοκιμαστικό περιβάλλον

Αν και τελευταίο, ο έλεγχος του plugin ή theme, σε μία τοπική εγκατάσταση, είναι από τα πιο σημαντικά βήματα. Γενικότερα θα πρέπει να έχετε ένα αντίγραφο της ιστοσελίδας σας τοπικά, όπου θα μπορείτε να δοκιμάσετε πράγματα χωρίς φόβο μήπως κάτι πάει στραβά ή μήπως δημιουργήσετε κάποιο πρόβλημα. Στο τοπικό αντίγραφο της ιστοσελίδας σας, θα πρέπει να εγκαταστήσετε το plugin ή το theme που θα έχετε επιλέξει, και να δείτε εάν δημιουργεί κάποιο πρόβλημα (π.χ. κάποια ασυμβατότητα) και εάν λειτουργεί όπως πρέπει.

4. Απενεργοποίηση Theme Editor

Το WordPress παρέχει την δυνατότητα επεξεργασίας αρχείων μέσω ενός file editor (Appearance > Theme Editor) που υπάρχει στην περιοχή διαχείρισης. Μέσω αυτού του file editor, εξουσιοδοτημένοι χρήστες έχουν πρόσβαση στα αρχεία του εγκατεστημένου theme και μπορούν να τροποποιήσουν και να προσθαφαιρέσουν τμήματα κώδικα, κάτι το οποίο φυσικά μπορεί να αποδειχθεί αρκετά επικίνδυνο.

Για να απενεργοποιήσετε τον theme editor, θα πρέπει να προσθέσετε την παρακάτω γραμμή στο wp-config.php

#Disable file editor in admin area
define(‘DISALLOW_FILE_EDIT’, true)

Μπορείτε να κάνετε όλες τις απαραίτητες αλλαγές που χρειάζεστε με την χρήση SFTP.

5. Εγκατάσταση ενός plugin ασφαλείας

Ένα plugin ασφαλείας μπορεί να λειτουργήσει επιπρόσθετα των όσων ενεργειών ασφαλείας έχετε ήδη ακολουθήσει. Μερικά από τα πιο δημοφιλή plugins ασφαλείας είναι τα παρακάτω:

iThemes Security: Θεωρείται ο «ελβετικός σουγιάς» των plugins ασφαλείας, καθώς παρέχει πολλές λειτουργίες όπως προστασία απέναντι σε επιθέσεις brute force, έλεγχο αρχείων, δημιουργία αντιγράφων ασφαλείας κ.λπ.

Sucuri Security: Το Sucuri Security έχει δημιουργηθεί και συντηρείται από γνωστή εταιρεία στον χώρο της ασφάλειας του WordPress. Λειτουργεί ως μηχανισμός auditing, κάνει καταγραφή συμβάντων και έλεγχο αρχείων, παρέχει τείχος προστασίας και λειτουργία επαναφοράς μετά από hack.

Wordfence Security: Το Wordfence είναι το πιο δημοφιλές plugin με περισσότερες από 3.000.000 εγκαταστάσεις. Εμβαθύνει κυρίως στην προστασία της ιστοσελίδας εφαρμόζοντας κανόνες .htaccess και στην προστασία της σελίδας login, ενώ παράλληλα έχει την πιο εξελιγμένη μηχανή αναζήτησης malware.

6. Παρακολούθηση αλλαγών αρχείων

Στην περίπτωση που ένας κακόβουλος χρήστης, αποκτήσει πρόσβαση στην ιστοσελίδα σας, το πιο πιθανό είναι να προσθέσει κάποιο malware script σε ένα ή περισσότερα αρχεία.

Για να εντοπιστεί και να διορθωθεί κάτι τέτοιο, θα πρέπει να ελέγχονται σε καθημερινή βάση τα αρχεία σας για τυχόν αλλαγές. Ευτυχώς υπάρχουν plugins και εξωτερικές υπηρεσίες που αναλαμβάνουν αυτή τη λειτουργία ώστε να μην χρειάζεται να την κάνετε χειροκίνητα.

Τα plugins ελέγχου αρχείων «επιβλέπουν» όλα τα αρχεία του WordPress ως προς το μεγέθος, την ημερομηνία τελευταίας τροποποίησης ή αλλαγές στα δικαιώματα χρήσης. Γνωστά plugins που προσφέρουν file integrity monitoring είναι τα ακόλουθα:

CodeGuard: Ελέγχει τα αρχεία της ιστοσελίδας σας καθώς και την βάση δεδομένων για αλλαγές. Εάν υπάρξει κάποια αλλαγή θα σας στείλει σχετική ειδοποίηση.

WP Security Audit Log: Το WP Security Audit Log καταγράφει κάθε ενέργεια που γίνεται στην ιστοσελίδα σας, όπως αποτυχημένα logins, επεξεργασία περιεχομένου σε σελίδες και άρθρα, σφάλματα PHP και άλλα. Επίσης εμφανίζει στον πίνακα ελέγχου ένα μικρό widget που εμφανίζει τα πιο σημαντικά και πιο πρόσφατα συμβάντα, ενώ υποστηρίζει εγκαταστάσεις multisite.

WordPress File Monitor: Παρακολουθεί αλλαγές στο μέγεθος, την ημερομηνία τροποποίησης, τα δικαιώματα χρήσης και το περιεχόμενο των αρχείων. Τυχόν ειδοποιήσεις εμφανίζονται στον πίνακα ελέγχου. Το WordPress File Monitor υποστηρίζει εγκαταστάσεις multisite.

Sucuri Scanner: Είναι ένα δωρεάν εργαλείο που σας επιτρέπει να ελέγξετε οποιαδήποτε ιστοσελίδα για malware, σφάλματα ή software που απαιτεί ανανέωση.

Ρυθμίστε τον server σας

1. Αποτροπή εμφάνισης καταλόγου αρχείων

Όταν ο web server (Apache, NGINX κ.λπ.) δεν μπορεί να εντοπίσει το αρχείο index σε έναν φάκελο, τότε εμφανίζει την λίστα όλων των αρχείων και υποφακέλων (directory listing) που βρίσκονται εντός αυτού του φακέλου. Η εμφάνιση του καταλόγου των αρχείων θεωρείται κενό ασφαλείας καθώς εμφανίζει σε οποιονδήποτε χρήστη την δομή των αρχείων της ιστοσελίδας, αρχεία που περιέχουν ευαίσθητες πληροφορίες (π.χ. wp-config.php) και επιτρέπει την λήψη ή εκτέλεση μεμονωμένων αρχείων.

Μπορείτε να διαπιστώσετε εάν είναι ενεργό το directory listing στον server σας, με έναν απλό τρόπο. Αρκεί να δημιουργήσετε έναν φάκελο (π.χ. test) και μέσα σε αυτό το φάκελο να τοποθετήσετε ένα απλό αρχείο (π.χ. test.txt). Στην συνέχεια θα πρέπει να ανοίξετε έναν browser και να μπείτε στην διεύθυνση tositemou.gr/test.

Εάν εμφανιστεί λίστα με τα αρχεία του φακέλου σας, τότε το directory listing είναι ενεργοποιημένο και θα πρέπει να απενεργοποιηθεί. Εάν είναι ήδη απενεργοποιημένο θα εμφανιστεί μήνυμα λάθους ή μια λευκή σελίδα.

Για να αποτρέψετε το directory listing θα πρέπει να προσθέσετε την ακόλουθη γραμμή στο αρχείο .htaccess

Options All –Indexes
Το αρχείο .htaccess βρίσκεται στον κεντρικό (root) φάκελο της εγκατάστασης του wordpress. Εάν δεν τον βλέπετε, σιγουρευτείτε ότι είναι ενεργοποιημένη η προβολή κρυφών αρχείων.
Το αρχείο .htaccess προσφέρει δυνατότητα παραμετροποίησης του web server σας (Αpache). Είναι ένα πολύ «δυνατό» αρχείο και θα πρέπει να ξέρετε τι κάνετε πριν προχωρήσετε σε κάποια τροποποίηση, καθώς μπορεί να καταστήσει τον server σας μη λειτουργικό.

Επιπλέον βήματα ασφαλείας με χρήση κανόνων .htaccess

Το αρχείο .htaccess μπορεί να χρησιμοποιηθεί για περαιτέρω ασφάλιση του web server σας. Μπορείτε για παράδειγμα να σταματήσετε την πρόσβαση στο αρχείο wp-config.php με το ακόλουθο snippet

#Block access to wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Εάν θέλετε να επιτρέψετε την πρόσβαση σε ένα συγκεκριμένο φάκελο αποκλειστικά σε μία διεύθυνση IP (π.χ. για να προστατέψετε τον φάκελο /wp-admin) δημιουργήστε ένα νέο αρχείο .htaccess και χρησιμοποιήστε το ακόλουθο snippet (αλλάξτε το 1.2.3.4 με την δική σας στατική IP)

#Limit access to certain IP
order deny,allow
allow from 1.2.3.4
deny from all

Οι δυνατότητες που προσφέρει ένα αρχείο .htaccess για την αύξηση της ασφάλειας ενός site και όχι μόνο, είναι πραγματικά απεριόριστες.

2. Εισαγωγή και χρήση ενός πιστοποιητικού SSL

Το πιστοποιητικό SSL είναι ένα πρωτόκολλο ασφαλείας που χρησιμοποιείται για την κρυπτογράφηση των δεδομένων που μεταφέρονται μεταξύ του server και του browser των επισκεπτών της ιστοσελίδας σας.

Τα πιστοποιητικά SSL θεωρούνται πλέον απαραίτητα για κάθε σοβαρή επιχείρηση που συλλέγει δεδομένα χρηστών ηλεκτρονικά. Επιπλέον, η Google εμφανίζει sites που έχουν ενεργοποιημένο πιστοποιητικό SSL πιο ψηλά στα αποτελέσματα αναζήτησης.

Οι περισσότερες εταιρείες υπηρεσιών hosting, παρέχουν δωρεάν πιστοποιητικά SSL από την Let’s Encrypt. Μπορείτε φυσικά να αγοράσετε ένα πιστοποιητικό ασφαλείας SSL από οποιαδήποτε εταιρεία έκδοσης πιστοποιητικών (π.χ. Comodo) και να ζητήσετε από τον hosting provider σας να το εγκαταστήσει. Στην Samsoft, όλα τα πακέτα web hosting προσφέρουν την δυνατότητα για εγκατάσταση πιστοποιητικού SSL.

Αφού επιβεβαιώσετε την σωστή λειτουργία του SSL στο site σας (πηγαίνοντας στο https://tositemou.gr) μπορείτε να επιβάλλετε την χρήση του στην περιοχή διαχείρισης, προσθέτοντας την ακόλουθη γραμμή στο αρχείο wp-config.php

define(‘FORCE_SSL_ADMIN’, true);

Εφόσον το site σας λειτουργεί όπως πρέπει, μπορείτε να επιβάλλετε την χρήση του SSL, προσθέτοντας το παρακάτω snippet στο αρχείο .htaccess (στον κεντρικό φάκελο εγκατάστασης του wordpress).

#Force SSL everywhere
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Τέλος θα πρέπει επίσης να αλλάξετε τα URL της ιστοσελίδας σας, από τις ρυθμίσεις (Settings > General).

Wordpress general settings page
Θα πρέπει να αλλάξετε τα URLs της ιστοσελίδας σας από http://tositemou.gr σε https://tositemou.gr

3. Αντίγραφα ασφαλείας

Είναι σίγουρο, πώς όσα μέτρα ασφαλείας και εάν λάβετε, κάποια στιγμή κάποιος θα παραβιάσει την ιστοσελίδα σας. Για να μην βρεθείτε στην πολύ δυσάρεστη θέση της απώλειας των δεδομένων σας, θα πρέπει να λαμβάνετε αντίγραφα ασφαλείας (backup) ανά τακτά χρονικά διαστήματα.

Με την ύπαρξη αντιγράφων ασφαλείας, μπορείτε να είστε σίγουροι πώς ότι και εάν συμβεί στο site σας, θα μπορέσετε να το επαναφέρετε σε προηγούμενη λειτουργική κατάσταση, χωρίς ιδιαίτερο κόπο.

Η δημιουργία αντιγράφων ασφαλείας είναι πολύ απλή διαδικασία και συνήθως εντελώς αυτοματοποιημένη. Συνήθως οι hosting providers παρέχουν εξ ορισμού καθημερινά backups. Στην Samsoft στα πακέτα web hosting, παρέχουμε καθημερινό backup σε δύο διαφορετικά σημεία. Για επιπλέον ασφάλεια ωστόσο, μπορείτε να χρησιμοποιήσετε και κάποιον τρίτο πάροχο υπηρεσιών backup όπως το VaultPress ή το BlogVault.

Εάν χρειάζεστε κάποια δωρεάν υπηρεσία backup, μπορείτε να χρησιμοποιήσετε κάποιο plugin όπως είναι τα UpdraftPlus, BackWPup ή BackUpWordPress τα οποία παρέχουν και δυνατότητα αποθήκευσης σε υπηρεσίες όπως το Dropbox, το Google Drive και το Amazon S3.

4. Ασφαλής μεταφορά αρχείων

Όταν μεταφέρετε αρχεία από ή προς τον server σας, θα πρέπει να επιλέγετε την χρήση ασφαλούς σύνδεσης. Υπάρχουν πρωτόκολλα όπως το SFTP (Secure File Transfer Protocol) και το SSH (Secure Shell Host) που κρυπτογραφούν την επικοινωνία μεταξύ του υπολογιστή και του server σας.

Οι περισσότεροι hosting providers, παρέχουν την λειτουργία SFTP εξ ορισμού και χωρίς κάποια χρέωση. Εάν δεν είστε σίγουροι μπορείτε να επικοινωνήσετε με τον hosting provider σας. Στην Samsoft παρέχεται η δυνατότητα για μεταφορά αρχείων μέσω SFTP σε όλα τα πακέτα web hosting.

Επιπλέον, εάν κάνετε συχνά εργασίες στο site σας, καλό θα ήταν να μην διατηρείτε το αρχείο wp-config.php τοπικά στον υπολογιστή σας. Περιέχει τα στοιχεία πρόσβασης στην βάση δεδομένων της ιστοσελίδας σας και δεν θα ήταν ιδιαίτερα ωραίο σενάριο να πέσει στα λάθος χέρια.

Κανόνες ασφαλείας που θα πρέπει να ακολουθείτε

1. Αποφύγετε τα κοινά usernames

Όταν γίνεται η εγκατάσταση ενός WordPress site, το εξ ορισμού username του διαχειριστή είναι «admin». Αυτό το username είναι το πρώτο που θα δοκιμάσει ένα bot ή ένας hacker σε μια επίθεση brute force, για να αποκτήσει πρόσβαση στην ιστοσελίδα σας.

Δυστυχώς δεν είναι δυνατή η αλλαγή του username μέσα από την διαχείριση προφίλ του WordPress, αλλά υπάρχουν δύο εναλλακτικές.

wordpress profile page - cannot change username
Δεν είναι δυνατή η αλλαγή του username μέσω της σελίδας του προφίλ σας

Α) Δημιουργία νέου χρήστη

Μπορείτε να δημιουργήσετε έναν νέο χρήστη με το επιθυμητό username και δικαιώματα διαχειριστή. Στην συνέχεια θα πρέπει να διαγράψετε τον χρήστη admin και να αναθέσετε όλο το περιεχόμενο του παλιού, στον νέο χρήστη.

Β) Αλλαγή username στην βάση δεδομένων

Εάν έχετε τις απαραίτητες τεχνικές γνώσεις, μπορείτε να αλλάξετε το username του χρήστη «admin» απευθείας στην βάση δεδομένων. Αφού συνδεθείτε στην βάση δεδομένων, θα πρέπει να εκτελέσετε το ακόλουθο query

UPDATE `wp_users` SET `user_login` = ‘new_username’ WHERE `user_login` = ‘admin’;
Θα πρέπει να αντικαταστήσετε το ‘new_username’ με το επιθυμητό username.

2. Χρήση δυνατών κωδικών πρόσβασης

Σε συνδυασμό με την αποφυγή κοινών usernames, η χρήση ενός δυνατού, μοναδικού κωδικού πρόσβασης είναι από τα πιο σημαντικά βήματα που μπορείτε να εφαρμόσετε για την ασφάλεια της ιστοσελίδας σας.

Η βέλτιστη πρακτική είναι η χρήση κωδικών πρόσβασης, μήκους τουλάχιστον 15 χαρακτήρων που αποτελούνται από τυχαία πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα. Μπορείτε να διαβάσετε περισσότερα στο άρθρο μας για τα συχνά λάθη και τις βέλτιστες πρακτικές που αφορούν τους κωδικούς πρόσβασης.

Επιπρόσθετα μπορείτε να επιβάλλεται την χρήση δυνατών κωδικών πρόσβασης για όλους τους χρήστες με την χρήση του plugin Password Policy Manager ή ακόμα και να ενεργοποιήσετε την προστασία δύο σημείων (2 Factor Authentication) με plugins όπως το Google Authenticator.

3. Ρόλοι χρηστών

Στο σύστημα του WordPress κάθε χρήστης έχει έναν ρόλο, βάσει του οποίου ορίζονται οι ενέργειες που μπορεί να εκτελέσει. Θα πρέπει να ορίζετε για κάθε χρήστη τον ρόλο που απαιτείται ώστε να μπορεί να εκτελεί την εργασία του και όχι κάτι περισσότερο (αρχή του ελάχιστου δικαιώματος). Για παράδειγμα ένας content editor δεν θα πρέπει να έχει διαχειριστικά δικαιώματα στην λίστα των plugins ή αντίστοιχα ένας e-shop manager δεν θα πρέπει να έχει δυνατότητα για επεξεργασία των σελίδων της ιστοσελίδας.

Μπορείτε να δημιουργήσετε νέους ρόλους ή να τροποποιήσετε τους υπάρχοντες με κάποιο plugin όπως είναι το User Role Editor.

4. Επιλογή hosting provider

Ακόμη και εάν έχετε εφαρμόσει όλα τα απαραίτητα μέτρα ασφαλείας και ακολουθείτε τις βέλτιστες πρακτικές ασφάλειας, υπάρχει πιθανότητα να αποκτήσει κάποιος πρόσβαση στην ιστοσελίδα σας μέσω ενός μη ασφαλούς server και ειδικά σε περιβάλλον shared hosting.

Εάν δεν έχετε ήδη έναν έμπιστο hosting provider, θα πρέπει να σκεφτείτε πολύ σοβαρά το ενδεχόμενο της μεταφοράς της ιστοσελίδας σας σε ένα νέο πάροχο.

Υπάρχουν πολλές εταιρείες που προσφέρουν υπηρεσίες φιλοξενίας (web hosting) με μεγάλο εύρος χαρακτηριστικών και προσφερόμενων υπηρεσιών και φυσικά διαφορετικό κόστος.

Ωστόσο το κόστος δεν θα έπρεπε να είναι το μοναδικό κριτήριο επιλογής του hosting provider σας. Θα πρέπει να δώσετε περισσότερο βάση στα χαρακτηριστικά του πακέτου φιλοξενίας και στις προσφερόμενες υπηρεσίες, όπως για παράδειγμα τα αυτόματα αντίγραφα ασφαλείας (backups), την εφαρμογή εξειδικευμένων φίλτρων malware και firewalls, μηχανισμούς caching και βελτιστοποίησης ταχύτητας καθώς και την ποιότητα εξυπηρέτησης πελατών.

Επίσης μπορείτε να δείτε εξειδικευμένες λύσεις για managed WordPress hosting από εταιρείες όπως η Flywheel και η WP Engine.

Επίλογος

Η ασφάλεια μίας ιστοσελίδας WordPress είναι μία συνεχής διαδικασία την οποία θα πρέπει να επιτηρείτε συνεχώς. Το να καταφέρει να αποκτήσει κάποιος κακόβουλος χρήστης είσοδο στην ιστοσελίδα σας είναι αρκετά άσχημη εμπειρία και απαιτεί χρόνο και πόρους για να αποκατασταθεί. Καλύτερα να εφαρμόσετε προληπτικά μέτρα ασφαλείας παρά να προσπαθείτε να επαναφέρετε την ιστοσελίδα σας στην αρχική της μορφή.

Εάν βρεθείτε στην άτυχη κατάσταση του να προσβληθεί η ιστοσελίδα σας, η ομάδα της Samsoft μπορεί να βοηθήσει. Αρκεί να επικοινωνήσετε μαζί μας, και θα αναλάβουμε τον καθαρισμό και επαναφορά της ιστοσελίδας σας.

Άλλα άρθρα