Πως να ασφαλίσετε το WordPress
Όλο και περισσότεροι γινόμαστε αυτοί που χρησιμοποιούμε ένα WordPress Blog εγκατεστημένο σε δικό μας χώρο και με δικό μας domain. Για να μην ξυπνήσετε μια ωραία πρωία και δείτε το site σας παραβιασμένο και τους κόπους (ή τα χρήματα σας) πεταμένα, καλό θα ήταν να έχετε φροντίσει από πριν ώστε να μειώσετε στο ελάχιστο τις πιθανότητες να βρεθείτε προ εκπλήξεων.
Προστατέψτε τον φάκελο plugins
Αυτό μπορεί να γίνει με πολλούς τρόπους. Μπορείτε να ορίσετε την πρόσβαση σε αυτό τον φάκελο με κωδικό μέσω ενός .htaccess αρχείου ή μέσω του control panel που σας δίνει η εταιρία που φιλοξενεί το site σας να περιορίσετε την πρόσβαση σε αυτό τον φάκελο (αν χρησιμοποιείτε Cpanel δείτε στο εικονίδιο Password Protected Directories).
Δώστε τα σωστά δικαιώματα στον κάθε χρήστη
Εάν στο blog σας έχετε πολλούς αρθρογράφους καλό θα ήταν να ορίσετε τι δικαιώματα θα έχει ο κάθε χρήστης του WordPress. Αυτό μπορεί να γίνει πολύ εύκολα μέσω ενός plugin που ονομάζεται User Access Manager. Μέσω του UAM μπορείτε να ορίσετε σε τι έχει πρόσβαση ο κάθε χρήστης, να δημιουργήσετε user groups και να δώσετε ξεχωριστές άδειες κλπ. Δοκιμάστε το, εμένα μου δούλεψε τέλεια σε αρκετά blog και ποτέ δεν αντιμετώπισα κάποιο πρόβλημα.
Κάντε Security Scans στο site σας σε εβδομαδιαία βάση
Υπάρχουν διάφορα προγράμματα και ιστοσελίδες που ελέγχουν το site σας για πιθανά προβλήματα όπως λάθος δικαιώματα χρήσης σε φακέλους, malware κλπ. Για αυτή την δουλειά πολύ χρήσιμα είναι το plugin wp-security-scan, το Google Webmaster Tools που σας ειδοποιεί αν εντοπίσει κακόβουλο λογισμικό στην ιστοσελίδα σας, το Sucuri site check και πολλά άλλα δωρεάν αλλά και επί πληρωμή.
Μετακινείστε το αρχείο wp-config.php
Στο WordPress δεν χρειάζεται να έχετε το αρχείο wp-config.php στον φάκελο εγκατάστασης! Το ξέρατε; Μπορείτε να το μετακινήσετε ένα φάκελο «πάνω» και θα το εντοπίσει αυτόματα. Για παράδειγμα αν έχετε εγκατεστημένο το WordPress στην διαδρομή /home/username/wp μπορείτε να μετακινήσετε το wp-config στον φάκελο /home/username . Προσοχή: για να λειτουργήσει πρέπει να το μετακινήσετε στον ακριβώς προηγούμενο φάκελο και όχι σε οποιοδήποτε!
Προστατευτείτε από επιθέσεις brute force
Για μην αφήνετε τους άλλους να δοκιμάζουν κωδικούς και ονόματα χρήστη εγκαταστήστε το plugin Login LockDown. Το συγκεκριμένο plugin μετά από έναν ορισμένο αριθμό αποτυχημένων προσπαθειών σύνδεσης στο admin panel θα κάνει block την συγκεκριμένη IP που προσπαθεί να συνδεθεί για κάποιο χρονικό διάστημα. Απλό στην χρήση του και σας γλυτώνει από πολλούς μπελάδες.
Χρησιμοποιείτε σύνθετους κωδικούς
Έχετε βαρεθεί να το ακούτε προφανώς. Αλλά το ξαναλέμε! Μην χρησιμοποιείτε εύκολους κωδικούς πόσο μάλλον όταν πρόκειται για τον διαχειριστή της ιστοσελίδας σας! Για την ιστορία… ο κωδικός σας καλό είναι να έχει 8 ψηφία σε συνδυάζοντας κεφαλαία, μικρά, νούμερα και σύμβολα και να μην είναι κάποια λέξη που υπάρχει στο λεξικό.
Κρύψτε την έκδοση του WordPress
Κάθε έκδοση του WordPress είναι πιθανό να έχει κάποια κενά ασφάλειας οπότε καλό θα ήταν να μη μπορεί κάποιος να αναγνωρίσει την έκδοση του WordPress που χρησιμοποιείτε. Αυτό γίνεται αν σβήσετε το meta name=”generator” content=”WordPress» από τον κώδικα της σελίδας σας. Ανοίξτε το αρχείο functions.php (wp-content/themes/onomatheme) του template σας και προσθέστε την εντολή:
remove_action('wp_head', 'wp_generator');
WordPress admin και wp_ table suffix
Μην χρησιμοποιείτε σαν όνομα χρήστη την λέξη admin. Δημιουργείστε έναν νέο χρήστη, δώστε του δικαιώματα administrator και μετά αφαιρέστε τον χρήστη admin. Επίσης κατά την εγκατάσταση επιλέξτε διαφορετικό suffix από το wp_ για τα tables της βάσης δεδομένων του wordpress.
Stay up to date!
Κάνετε πάντα ενημερώσεις στις τελευταίες εκδόσεις του WordPress και των plugins που χρησιμοποιείτε. Συνεχώς βγαίνουν καινούργιες εκδόσεις με διορθώσεις είτε σε bugs είτε σε θέματα ασφάλειας. Μην ξεχνάτε να κάνετε backup την εγκατάσταση του WordPress πριν από κάθε ενημέρωση (είτε του core είτε κάποιου από τα plugins που χρησιμοποιείτε).
Προσοχή στα Plugins και Templates που χρησιμοποιείτε
Καλό θα ήταν να κατεβάζετε plugins και templates μόνο από σελίδες που εμπιστεύεστε. Προτιμάτε πάντα το directory του WordPress αν και αυτό δεν είναι πάντα εφικτό μιας και πολλά plugins και templates (κυρίως αυτά που είναι επί πληρωμή) φιλοξενούνται στις σελίδες των δημιουργών τους. Όταν σκοπεύετε να χρησιμοποιήσετε κάποιο που δεν φιλοξενείται στο directory του WordPress κάντε μια αναζήτηση στο google να δείτε τι λένε οι άλλοι για το συγκεκριμένο plugin ή template.
Η ασφάλεια του blog σας είναι κάτι που σίγουρα σας αφορά. Δεν είναι ευχάριστο για κανένα να ανακαλύψει μια μέρα πως η ιστοσελίδα του έχει πέσει θύμα παραβίασης. Εξάλλου όπως είδατε υπάρχουν πολύ απλές λύσεις για να ασφαλίσετε το WordPress και να μειώσετε τις πιθανότητες να πέσετε θύματα κάποιου.
