Σχεδιασμός σελίδας «Σύντομα κοντά σας»: teamsales.gr

teamsales.gr coming soon

Το νέο ηλεκτρονικό κατάστημα αθλητικών ειδών θα είναι σύντομα διαθέσιμο στο www.teamsales.gr

WordPress + ασφάλεια | Μέρος 2ο

Όπως λέγαμε και τις προάλλες, τα WordPress sites δέχονται τελευταία επιθέσεις. Ένας διαδεδομένος τρόπος επίθεσης είναι με Brute Force Attacks όπου οι χάκερς με αυτόματο τρόπο δοκιμάζουν διάφορους συνδυασμούς usernames και κωδικών μέχρι να εισβάλουν στο σύστημά σας. Ας δούμε λοιπόν μερικά ακόμα πράγματα που πιθανώς* να βοηθήσουν στην προστασία από αυτόν αλλά και άλλους τρόπους επιθέσεων:

  1. Δημόσια προβολή χρηστών με Nickname: εκτός από το ότι κανένας χρήστης δεν πρέπει να έχει username “admin” (βλ. Μέρος 1ο), καλό είναι να έχει διαφορετικό δημόσιο όνομα από το username του. Αυτό σημαίνει, ότι από το dashboard, πάμε στους χρήστες, επιλέγουμε και σε κάθε έναν βάζουμε ένα “Ψευδώνυμο/Nickname” το οποίο είναι διαφορετικό από το username και ορίζουμε αυτό για δημόσια προβολή. Έτσι όταν κάποιος βλέπει ποιός έκανε μια δημοσίευση, δεν σημαίνει ότι θα ξέρει και το username του αλλά κυρίως τα bots που ψάχνουν τα author tags δεν θα έχουν πρόσβαση στο username σας.
  2. Αρθρογραφία με ρόλο “συντάκτη”: Εναλλακτικά ή/και συμπληρωματικά να δημοσιεύετε τα άρθρα της σελίδας όχι με λογαριασμό “διαχειριστή”, μπορείτε να έχετε λογαριασμούς με ρόλο “συντάκτη”.
  3. Προστατέψτε με κωδικό την πρόσβαση στο wp-admin: Δώστε ένα δεύτερο επίπεδο ασφάλειας με apache http authentication για το user login (password protected πρόσβαση στο wp-login.php).

Δημιουργείτε ένα αρχείο .htpassword δίνοντας username και password της επιλογής σας και το ανεβάζετε έξω από το public web folder στον σέρβερ σας.

Στην συνέχεια, πηγαίνετε στο αρχείο .htaccess και προσθέτετε αυτές τις γραμμές κώδικα:

# Protect wp-login.php
<Files wp-login.php>
AuthType Basic
AuthName “put a text here if you like”
AuthGroupFile /dev/null
AuthUserFile ~/.htpassword
Require user weaver
</Files>

Αν σας δημιουργήσει 404 error όταν προσπαθείτε να κάνετε login συμπληρώστε και αυτές τις γραμμές από κάτω και προσθέστε αυτά τα αρχεία (401.shtml & 403.shtml) κενά μέσα στο public web folder σας.

ErrorDocument 401 /401.shtml
ErrorDocument 403 /403.shtml

(παραπάνω πληροφορίες σχετικά με 404 error fix εδώ)

  1. Μετονομασία WordPress Database Prefix:  Μπορείτε να αλλάξετε το database prefix σε μια νέα εγκατάσταση WordPress από wp_  που είναι το default σε κάτι δικό σας μοναδικό καθώς σετάρετε το αρχείο wp-config.php. Αν έχετε κάνει ήδη την εγκατάσταση δεν συνίσταται αλλά αν επιμένετε να είστε προσεκτικοί: αφού κρατήσετε πρώτα ένα backup την βάση δεδομένων σας μπορείτε να πραγματοποιήσετε την αλλαγή μέσω του phpMyAdmin ή να χρησιμοποιήσετε κάποιο plugin (βλ. τέλος του άρθρου) αλλά ποτέ μην το επιχειρήσετε χωρίς να έχετε κρατήσει backup και αν δεν έχετε μικρή σχετική εμπειρία το προτείνουμε μόνο για πειραματισμό.

Τέλος, αν θέλετε να δοκιμάσετε κάτι γρήγορα μπορείτε χρησιμοποιήσετε κάποιο plugin που προσφέρει μια συνολική προστασία:

  1. https://wordpress.org/plugins/better-wp-security/
  2. http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
  3. http://wordpress.org/plugins/bruteprotect/

Γενικά τα plugins δεν είναι η λύση που προτείνουμε, είναι όμως ένας τρόπος πρώτου πειραματισμού για να δείτε εύκολα και γρήγορα τί μπορείτε να κάνετε.

* Το βασικότερο από όλα για την ασφάλεια της ιστοσελίδας σας είναι να διατηρείτε το λογισμικό σας πάντα ενημερωμένο να κρατάτε τακτικά backups την βάση δεδομένων και τα αρχεία σας. Όλοι οι τρόποι που περιγράφουμε και πολλοί ακόμη που θα βρείτε εκεί έξω δεν σας εξασφαλίζουν από όλες τις μορφές επιθέσεων και ίσως απλώς καθυστερήσουν κάποια επίθεση.

Αν έχεις απορίες ή σκέψεις μίλα μας κι εδώ @theWeavers_

WordPress + ασφάλεια | Μέρος 1ο

Το WordPress είναι το δημοφιλέστερο σύστημα διαχείρισης περιεχομένου (cms) παγκοσμίως.

Η δημοτικότητά του όμως το καθιστά ελκυστικό στόχο διαδικτυακών επιθέσεων, όπως συμβαίνει σε όλα τα πράγματα στο ίντερνετ.

Η αλήθεια είναι πως δεν υπάρχει απόλυτη ασφάλεια στο διαδίκτυο. Όμως υπάρχουν πράγματα που μπορούν να γίνουν τόσο από την πλευρά του διαχειριστή όσο και από την πλευρά του προγραμματιστή της ιστοσελίδας για την ελαχιστοποίηση της πιθανότητας διαδικτυακής μόλυνσης.

  1. Χρησιμοποιείτε πάντοτε ισχυρούς κωδικούς πρόσβασης για το περιβάλλον διαχείρισης (wp-admin). Αν είναι δυνατόν, αλλάζετέ τους ανά διαστήματα. Υπάρχουν εργαλεία που μπορούν να σας βοηθήσουν, σαν αυτό.
  2. Χρησιμοποιείτε username της επιλογής σας το οποίο δεν είναι “admin” (για κανένα χρήστη).
  3. Αποφύγετε να συνδέεστε στο σύστημα διαχείρισης από κοινόχρηστους υπολογιστές και φροντίστε για την ασφάλεια του προσωπικού σας υπολογιστή.
  4. Φροντίστε να έχετε το σύστημά σας πάντοτε ενημερωμένο στις νεότερες εκδόσεις του WordPress κρατώντας πάντα αντίγραφα ασφαλείας (backups).
  5. Εγκαθιστάτε τις ενημερώσεις λογισμικού των πρόσθετων που χρησιμοποιείτε (backups κι εδώ). Περιλαμβάνουν και ενημερώσεις ασφαλείας!
  6. Μην χρησιμοποιείτε πρόσθετα λειτουργικότητας (plugins), θέματα (themes) ή τμήματα κώδικα (code snippets) από πηγές που δεν σας παρέχουν καμία εγγύηση για την ασφάλεια ή δεν είναι συμβατά με τις νεότερες εκδόσεις του WordPress. Μπορεί να αφήνουν “ανοιχτές πόρτες” σε κακόβουλο λογισμικό κάνοντας έτσι το σύστημά σας ευάλωτο.
  7. Αυτο-εκπαιδευτείτε! Εφόσον είστε χρήστης του διαδικτύου, οφείλετε να έχετε γνώση βασικών ζητημάτων διαδικτυακής ασφάλειας.

[Συνεχίζεται στο Μέρος 2ο]

Google Docs + Mailchimp = Merge

Αν χρησιμοποιείτε Google Docs και σας χρειάζεται να στέλνετε μαζικά μηνύματα σε μικρές λίστες με email (μέχρι 1000), τότε ίσως σας ενδιαφέρει το Merge.
Το Merge είναι μια δωρεάν πρόσθετη εφαρμογή που σχεδίασαν οι άνθρωποι του Mailchimp για τα Google Docs με στόχο να διευκολύνουν τη γρήγορη αποστολή μαζικών email μέσα από ένα έγγραφο του Google Drive.
Αρκεί να έχετε συλλέξει τα επιθυμητά email σε ένα αρχείο τύπου Data Sheet (Υπολογιστικό φύλλο) ώστε στη συνέχεια να τα ενώσετε με ένα αρχείο τύπου Document (έγγραφο).
Με το Merge μπορείτε να δημιουργήσετε ειδικά πεδία στις θέσης του ονόματος, διεύθυνσης κλπ του κάθε παραλήπτη μέσα στο έγγραφο, ώστε να δημιουργήσετε έυκολα ένα προσωποποιημένο μήνυμα για όλους σας τους παραλήπτες.
Μπορείτε ακόμα και να διαβάσετε αναφορές σχετικά με το πόσοι παραλήπτες έχουν λάβει και ανοίξει το μήνυμα που τους αποστείλατε.

Περισσότερες πληροφορίες εδώ.

Απορίες και σχόλια κι εδώ: @theWeavers_