Blog

WordPress + ασφάλεια | Μέρος 2ο
19
Αυγ 2014

WordPress + ασφάλεια | Μέρος 2ο

Όπως λέγαμε και τις προάλλες, τα WordPress sites δέχονται τελευταία επιθέσεις. Ένας διαδεδομένος τρόπος επίθεσης είναι με Brute Force Attacks όπου οι χάκερς με αυτόματο τρόπο δοκιμάζουν διάφορους συνδυασμούς usernames και κωδικών μέχρι να εισβάλουν στο σύστημά σας. Ας δούμε λοιπόν μερικά ακόμα πράγματα που πιθανώς* να βοηθήσουν στην προστασία από αυτόν αλλά και άλλους τρόπους επιθέσεων:

  1. Δημόσια προβολή χρηστών με Nickname: εκτός από το ότι κανένας χρήστης δεν πρέπει να έχει username “admin” (βλ. Μέρος 1ο), καλό είναι να έχει διαφορετικό δημόσιο όνομα από το username του. Αυτό σημαίνει, ότι από το dashboard, πάμε στους χρήστες, επιλέγουμε και σε κάθε έναν βάζουμε ένα “Ψευδώνυμο/Nickname” το οποίο είναι διαφορετικό από το username και ορίζουμε αυτό για δημόσια προβολή. Έτσι όταν κάποιος βλέπει ποιός έκανε μια δημοσίευση, δεν σημαίνει ότι θα ξέρει και το username του αλλά κυρίως τα bots που ψάχνουν τα author tags δεν θα έχουν πρόσβαση στο username σας.
  2. Αρθρογραφία με ρόλο “συντάκτη”: Εναλλακτικά ή/και συμπληρωματικά να δημοσιεύετε τα άρθρα της σελίδας όχι με λογαριασμό “διαχειριστή”, μπορείτε να έχετε λογαριασμούς με ρόλο “συντάκτη”.
  3. Προστατέψτε με κωδικό την πρόσβαση στο wp-admin: Δώστε ένα δεύτερο επίπεδο ασφάλειας με apache http authentication για το user login (password protected πρόσβαση στο wp-login.php).

Δημιουργείτε ένα αρχείο .htpassword δίνοντας username και password της επιλογής σας και το ανεβάζετε έξω από το public web folder στον σέρβερ σας.

Στην συνέχεια, πηγαίνετε στο αρχείο .htaccess και προσθέτετε αυτές τις γραμμές κώδικα:

# Protect wp-login.php
<Files wp-login.php>
AuthType Basic
AuthName “put a text here if you like”
AuthGroupFile /dev/null
AuthUserFile ~/.htpassword
Require user weaver
</Files>

Αν σας δημιουργήσει 404 error όταν προσπαθείτε να κάνετε login συμπληρώστε και αυτές τις γραμμές από κάτω και προσθέστε αυτά τα αρχεία (401.shtml & 403.shtml) κενά μέσα στο public web folder σας.

ErrorDocument 401 /401.shtml
ErrorDocument 403 /403.shtml

(παραπάνω πληροφορίες σχετικά με 404 error fix εδώ)

  1. Μετονομασία WordPress Database Prefix:  Μπορείτε να αλλάξετε το database prefix σε μια νέα εγκατάσταση WordPress από wp_  που είναι το default σε κάτι δικό σας μοναδικό καθώς σετάρετε το αρχείο wp-config.php. Αν έχετε κάνει ήδη την εγκατάσταση δεν συνίσταται αλλά αν επιμένετε να είστε προσεκτικοί: αφού κρατήσετε πρώτα ένα backup την βάση δεδομένων σας μπορείτε να πραγματοποιήσετε την αλλαγή μέσω του phpMyAdmin ή να χρησιμοποιήσετε κάποιο plugin (βλ. τέλος του άρθρου) αλλά ποτέ μην το επιχειρήσετε χωρίς να έχετε κρατήσει backup και αν δεν έχετε μικρή σχετική εμπειρία το προτείνουμε μόνο για πειραματισμό.

Τέλος, αν θέλετε να δοκιμάσετε κάτι γρήγορα μπορείτε χρησιμοποιήσετε κάποιο plugin που προσφέρει μια συνολική προστασία:

  1. https://wordpress.org/plugins/better-wp-security/
  2. http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
  3. http://wordpress.org/plugins/bruteprotect/

Γενικά τα plugins δεν είναι η λύση που προτείνουμε, είναι όμως ένας τρόπος πρώτου πειραματισμού για να δείτε εύκολα και γρήγορα τί μπορείτε να κάνετε.

* Το βασικότερο από όλα για την ασφάλεια της ιστοσελίδας σας είναι να διατηρείτε το λογισμικό σας πάντα ενημερωμένο να κρατάτε τακτικά backups την βάση δεδομένων και τα αρχεία σας. Όλοι οι τρόποι που περιγράφουμε και πολλοί ακόμη που θα βρείτε εκεί έξω δεν σας εξασφαλίζουν από όλες τις μορφές επιθέσεων και ίσως απλώς καθυστερήσουν κάποια επίθεση.

Αν έχεις απορίες ή σκέψεις μίλα μας κι εδώ @theWeavers_

0 comments