Τι καλύτερο από μια καλοφτιαγμένη ιστοσελίδα; Ένας καλοφτιαγμένος ιστότοπος με ισχυρή ασφάλεια.
Μείνετε μαζί μου καθώς θα ανακαλύψω μερικές από τις καλύτερες πρακτικές ασφαλείας για τον ιστότοπό σας στο WordPress. Όχι μόνο είναι φιλικές προς τους αρχάριους, αλλά αυτές οι πρακτικές είναι πολύ προσιτές αν όχι εντελώς δωρεάν.
Μέχρι το τέλος αυτού του άρθρου, θα έχετε ένα σχέδιο δράσης για την προστασία του ιστότοπού σας από κάθε είδους απειλές στον κυβερνοχώρο. Λοιπόν, κουμπώστε και ας ξεκινήσουμε!
Πίνακας περιεχομένων
Είναι ασφαλής ο ιστότοπός σας στο WordPress;
Ενώ το WordPress θεωρείται το πιο δημοφιλές CMS μέχρι σήμερα, αυτή η φήμη έχει ορισμένες συνέπειες. Χρησιμοποιείται από πάνω 35% των ιστοσελίδων στο διαδίκτυο, το WordPress μετατρέπεται σε αγαπημένο στόχο για επιθέσεις κακόβουλου λογισμικού. Μόνο το 2018, η Sucuri ανέφερε ότι περίπου 23.000 ιστότοποι WordPress έπεσαν θύματα παραβιάσεων ασφάλειας.
Αυτό σημαίνει ότι το WordPress έχει τρομερό σύστημα ασφαλείας;
Καθόλου! Αντίθετα, η κύρια αιτία παραβιάσεων της ασφάλειας του ιστότοπου είναι η έλλειψη ευαισθητοποίησης σχετικά με την ασφάλεια των χρηστών.
Ως αξιόπιστο CMS, το WordPress κάνει το ρόλο του δημοσιεύοντας ενημερώσεις κώδικα ασφαλείας και ενημερώσεις λογισμικού τακτικά. Παρόλα αυτά, αυτές οι αναβαθμίσεις θα κάνουν μικρή διαφορά εκτός και αν ξέρετε τι να κάνετε από αυτές.
Εν ολίγοις, παίζετε σημαντικό ρόλο στην ασφάλεια της ιστοσελίδας σας.
Τώρα που γνωρίζετε τον ρόλο και την ευθύνη σας ως webmaster, ήρθε η ώρα να εξερευνήσετε τι μπορείτε να κάνετε για να βελτιώσετε την ασφάλεια του ιστότοπού σας. Ρίξτε μια ματιά στις καλύτερες πρακτικές ασφαλείας παρακάτω και προσπαθήστε να τις εφαρμόσετε στον ιστότοπό σας.
Χρησιμοποιήστε ισχυρά ονόματα χρήστη και κωδικούς πρόσβασης
Η δημιουργία ισχυρών διαπιστευτηρίων σύνδεσης μπορεί να είναι η πιο εύκολη πρακτική ασφαλείας που μπορεί να πραγματοποιήσει κάποιος, ωστόσο πολλοί χρήστες εξακολουθούν να αποτυγχάνουν να το κάνουν. Είτε το πιστεύεις έιτε όχι, 23,2 εκατομμύρια λογαριασμοί εξακολουθούν να χρησιμοποιούν το “123456” ως κωδικό πρόσβασής τους. Το ίδιο ζήτημα ισχύει για τα ονόματα χρήστη, όπου πολλοί χρήστες χρησιμοποιούν τα τυπικά ονόματα χρήστη όπως “admin” και “administrator”.
Εάν χρειάζεστε βοήθεια για να βρείτε ισχυρούς κωδικούς πρόσβασης, υπάρχουν πολλοί γεννήτριες κωδικών πρόσβασης εκεί έξω μπορείτε να χρησιμοποιήσετε δωρεάν. Όσον αφορά τα ονόματα χρήστη, μπορείτε να ενσωματώσετε αριθμούς και ειδικούς χαρακτήρες στις λέξεις-κλειδιά για να τις κάνετε πιο μοναδικές.
Η χρήση αδύναμων διαπιστευτηρίων σύνδεσης θα κάνει τον ιστότοπό σας ευάλωτο σε επιθέσεις ωμής βίας. Αυτός ο τύπος κυβερνοεπίθεσης χρησιμοποιεί μια προσέγγιση δοκιμής και σφάλματος για να μαντέψει τα διαπιστευτήρια σύνδεσής σας. Επομένως, είναι καλύτερο να αποφύγετε τη χρήση κοινών λέξεων-κλειδιών για τα στοιχεία σύνδεσής σας.
Εάν έχετε τη συνήθεια να ξεχνάτε τον κωδικό πρόσβασης, τότε μπορείτε να το χρησιμοποιήσετε LastPass για να το θυμάστε και να το χρησιμοποιήσετε με ένα κλικ. Όσον αφορά τα ονόματα χρήστη, μπορείτε να ενσωματώσετε αριθμούς και ειδικούς χαρακτήρες στις λέξεις-κλειδιά για να τις κάνετε πιο μοναδικές.
Απόκρυψη σύνδεσης WordPress
Αυτό το απλό τέχνασμα μπορεί να προστατεύσει τους ιστότοπους WP σας από εισβολείς που στοχεύουν επιθέσεις ωμής βίας. Χρήση WPS Απόκρυψη σύνδεσης δωρεάν προσθήκη για να αλλάξετε τη διεύθυνση URL σύνδεσης σε κάτι μοναδικό.
Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων
Αφού εξασφαλίσετε τα διαπιστευτήρια σύνδεσης διαχειριστή, μπορείτε να βελτιώσετε ακόμη περισσότερο τη διαδικασία σύνδεσης ενεργοποιώντας τον έλεγχο ταυτότητας δύο παραγόντων. Αυτή η διαδικασία ασφαλείας δημιουργεί ένα επιπλέον επίπεδο προστασίας που απαιτεί από τους χρήστες να αποκτήσουν έναν μοναδικό κωδικό από μια εφαρμογή ελέγχου ταυτότητας. Εφαρμόζοντάς το στον ιστότοπό σας, μόνο οι χρήστες με τα σωστά διαπιστευτήρια σύνδεσης και τον σωστό κωδικό μπορούν να συνδεθούν στον λογαριασμό τους.
Το WordPress έχει πολλά πρόσθετα ελέγχου ταυτότητας δύο παραγόντων για να διαλέξετε. Μερικά από τα καλύτερα περιλαμβάνουν Επαληθευτής Google, Έλεγχος ταυτότητας δύο παραγόντωνκαι Δύο Παράγοντες.
Αλλαγή του προθέματος βάσης δεδομένων WordPress
Η βάση δεδομένων του ιστότοπου είναι ο πιο αγαπημένος στόχος για επιθέσεις SQL injection. Αυτοί οι τύποι κυβερνοεπίθεσης αναγκάζουν τη βάση δεδομένων να εκτελέσει κακόβουλο κώδικα, επιτρέποντας στους χάκερ να τροποποιήσουν ή να εξαλείψουν ελεύθερα τα δεδομένα μέσα σε αυτήν. Καθώς οι επιθέσεις SQL injection περιλαμβάνουν γύρω Το 80% των προσπαθειών hacking που λανσάρεται κάθε μήνα, δεν πρέπει να παίρνετε αυτή την απειλή ελαφρά.
Ένας από τους παράγοντες που κάνουν τη βάση δεδομένων σας επιρρεπή σε επιθέσεις SQL injection είναι η χρήση του προεπιλεγμένου προθέματος της βάσης δεδομένων wp_. Χρησιμοποιώντας μια προβλέψιμη βάση δεδομένων, το πρόθεμα επιτρέπει στους χάκερ να μαντέψουν τα ονόματα των πινάκων σας και να προκαλέσουν όλεθρο στη βάση δεδομένων σας. Επομένως, σας συνιστώ ανεπιφύλακτα να το αλλάξετε το συντομότερο δυνατό.
Εδώ είναι μια αναλυτική οδηγός πώς να αλλάξετε το πρόθεμα βάσης δεδομένων WordPress. Μπορείτε επίσης να δοκιμάσετε το Αλλαγή προσθήκης Πρόθεμα πίνακα.
Απενεργοποιήστε την αναφορά σφαλμάτων PHP
Η λειτουργία αναφοράς σφαλμάτων PHP σάς βοηθά να εντοπίζετε τα σφάλματα στα αρχεία PHP πολύ πιο γρήγορα. Ωστόσο, επιτρέπει επίσης σε άλλα άτομα να δουν τα τρωτά σημεία του ιστότοπού σας. Επομένως, σας συνιστώ να απενεργοποιήσετε εντελώς αυτήν τη λειτουργία.
Το WordPress απενεργοποιεί τη λειτουργία αναφοράς σφαλμάτων από προεπιλογή. Εάν είναι ενεργοποιημένο για κάποιο λόγο, θα πρέπει να το απενεργοποιήσετε με μη αυτόματο τρόπο τροποποίηση του αρχείου wp-config.php. Ανάλογα με την υπηρεσία φιλοξενίας Ιστού που διαθέτετε, αρκετοί πάροχοι φιλοξενίας σάς επιτρέπουν επίσης να διαχειρίζεστε αυτήν τη ρύθμιση από τον πίνακα ελέγχου τους.
Διατηρήστε το WordPress ενημερωμένο
Για να συμβαδίζει με τους διαρκώς αυξανόμενους τύπους κυβερνοεπιθέσεων, το WordPress κυκλοφορεί περιοδικά ενημερώσεις μαζί με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας. Αυτή η βελτίωση δεν ισχύει μόνο για τον πυρήνα του WordPress, αλλά και για τα πρόσθετα και τα θέματα. Τούτου λεχθέντος, η χρήση απαρχαιωμένου λογισμικού είναι μια συνταγή για καταστροφή.
Ενώ το WordPress υλοποιεί αυτόματα δευτερεύουσες ενημερώσεις λογισμικού, εξακολουθείτε να χρειάζεται να εκτελείτε μεγάλες ενημερώσεις με μη αυτόματο τρόπο. Επομένως, φροντίστε να αναζητάτε τακτικά νέες ενημερώσεις στην ενότητα “Ενημερώσεις” του πίνακα διαχείρισης του WordPress για να αποφύγετε να έχετε ευπάθειες ασφαλείας στον ιστότοπό σας.
Υπάρχει επίσης ένα δωρεάν πρόσθετο Easy Updates Managerτο οποίο μπορείτε να χρησιμοποιήσετε για να ελέγξετε πώς θέλετε να ενημερώσετε τον πυρήνα, τα θέματα και τις προσθήκες του WordPress.
Απενεργοποιήστε την περιήγηση καταλόγου
Η περιήγηση στον κατάλογο μπορεί να σας δώσει γρήγορη πρόσβαση στη δομή του ιστότοπου και στους μεμονωμένους καταλόγους. Ωστόσο, μπορεί να μετατραπεί σε δίκοπο μαχαίρι εάν μπορούν να έχουν πρόσβαση και άλλοι άνθρωποι. Οι χάκερ το χρησιμοποιούν συχνά για να βρουν ευάλωτα αρχεία, προσθήκες και θέματα και στη συνέχεια τα χρησιμοποιούν για να αποκτήσουν πρόσβαση στον ιστότοπό σας.
Εάν φιλοξενείτε τον ιστότοπό σας WP σε μια premium πλατφόρμα, τότε μπορεί να μην χρειάζεται να ανησυχείτε, καθώς θα φροντίσουν για αυτές τις βελτιστοποιήσεις. Ωστόσο, εάν φιλοξενείτε μόνοι σας ή πρέπει να το απενεργοποιήσετε με μη αυτόματο τρόπο, ελέγξτε αυτό άρθρο για να μάθετε πώς να απενεργοποιήσετε την περιήγηση καταλόγου στο WordPress.
Καταργήστε τον αριθμό έκδοσης του WordPress
Το WordPress εκδίδει συνεχώς ενημερώσεις για να επιδιορθώσει τα τρωτά σημεία ασφαλείας της προηγούμενης έκδοσης. Οι παλαιότερες εκδόσεις συνήθως μαστίζονται με περισσότερα τρωτά σημεία. Επομένως, το να κάνετε δημόσια την έκδοση του WordPress δεν είναι η καλύτερη ιδέα για το σύστημα ασφαλείας ιστού σας.
Από προεπιλογή, η έκδοσή σας στο WordPress είναι ορατή κάτω δεξιά στο πλαίσιο διαχείρισης και στην πηγή της σελίδας. Εμφανίζεται επίσης σε λιγότερο εμφανή σημεία όπως το RSS, το CSS και τα σενάρια του ιστότοπου. Υπάρχει ένα υπέροχο άρθρο που παρέχει έναν οδηγό βήμα προς βήμα για τον τρόπο κατάργησης της έκδοσης του WordPress από αυτά τα μέρη.
Απενεργοποιήστε την επεξεργασία αρχείων
Ο ενσωματωμένος επεξεργαστής αρχείων του WordPress σάς επιτρέπει να τροποποιείτε πολύ πιο εύκολα τις προσθήκες και τα σενάρια θεμάτων. Παρόλα αυτά, αυτή η δυνατότητα μπορεί να θέσει σε κίνδυνο τον ιστότοπό σας εάν πέσει σε λάθος χέρια. Για αυτόν τον λόγο, είναι καλύτερο να απενεργοποιήσετε εντελώς την επεξεργασία αρχείων. Μπορείτε να το κάνετε προσθέτοντας παρακάτω στο αρχείο wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Εκτελέστε τακτικά αντίγραφα ασφαλείας
Η δημιουργία αντιγράφων ασφαλείας είναι εξίσου σημαντική με την ασφάλεια του ιστότοπου. Στη χειρότερη περίπτωση, τα αντίγραφα ασφαλείας μπορούν να σας σώσουν από το να χρειαστεί να ξαναχτίσετε τον ιστότοπο από την αρχή.
Η διαδικασία μπορεί να φαίνεται κουραστική, αλλά υπάρχουν πολλά εφεδρικά πρόσθετα όπως VaultPress και BlogVault που μπορεί να το κάνει χωρίς προβλήματα. Protip, χρησιμοποιήστε το πρόσθετο που διαθέτει δυνατότητα αυτόματης δημιουργίας αντιγράφων ασφαλείας για να εξοικονομήσετε χρόνο και να αποφύγετε τα παλιά αντίγραφα ασφαλείας να φράζουν το σύστημά σας.
Εάν δεν σας αρέσει να χρησιμοποιείτε πάρα πολλά πρόσθετα, μπορείτε να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε το iThemes Security Pro που φροντίζει πάνω από όλα και πολλά περισσότερα.
Σταματήστε το spam και το αρνητικό SEO
Το spam είναι παντού και σε κανέναν δεν αρέσει.
Εάν διαχειρίζεστε έναν δημοφιλή ιστότοπο και δεν διαθέτετε κατάλληλο σύστημα πρόληψης ανεπιθύμητων μηνυμάτων, τότε μπορεί να προσελκύετε χιλιάδες spammer κάθε μέρα. Το να έχετε υπερβολικά ανεπιθύμητα μηνύματα είναι κακό για το SEO και την εμπειρία χρήστη. Φανταστείτε, έχετε εκατοντάδες άσχετα σχόλια σε μια ανάρτηση ιστολογίου.
Πείτε όχι στα ανεπιθύμητα μηνύματα χρησιμοποιώντας το CleanTalk anti-spam λύση.
Χρησιμοποιήστε το WAF
Μία από τις καλύτερες επενδύσεις που μπορείτε να κάνετε για να ασφαλίσετε τον ιστότοπό σας είναι χρησιμοποιώντας το WAF (Web Application Firewall). Βοηθά στην προστασία του ιστότοπού σας από τις κορυφαίες 10 ευπάθειες του OWASP, γνωστά και άγνωστα ελαττώματα ασφαλείας, κακόβουλο κώδικα, επιθέσεις DDoS και πολλά άλλα.
Υπάρχουν μερικές επιλογές – SUCURI, Malcare, Cloudflare.
Διαχείριση θεμάτων και προσθηκών
Ένα από τα μεγαλύτερα προνόμια της χρήσης του WordPress είναι η τεράστια συλλογή προσθηκών και θεμάτων. Κατά ειρωνικό τρόπο, τα πρόσθετα και τα θέματα του WordPress παρουσιάζονται ως το μεγαλύτερη πηγή ευπάθειας που θα μπορούσε να θέσει τον ιστότοπό σας σε κίνδυνο. Επομένως, θα πρέπει να κάνετε την επιλογή σας με σύνεση και να διαχειριστείτε προσεκτικά αυτά που έχετε εγκαταστήσει.
Ο ευκολότερος τρόπος για να αποτρέψετε την πρόσβαση των χάκερ στον ιστότοπό σας μέσω ελαττωματικού λογισμικού είναι η χρήση προσθηκών και θεμάτων με εξαιρετικές κριτικές και αξιολογήσεις. Αυτοί είναι εξαιρετικοί δείκτες που θα σας πουν ότι είναι καλά συντηρημένοι και λειτουργούν σωστά. Επιπλέον, φροντίστε να ελέγχετε περιοδικά για ενημερώσεις για να βελτιώνετε την απόδοσή τους.
Τυλίγοντας
Δεδομένου ότι οι απειλές στον κυβερνοχώρο σε όλο τον κόσμο δεν σχεδιάζουν να αποσυρθούν πολύ σύντομα, είναι απαραίτητο να προστατεύσετε τον ιστότοπό σας WordPress από πιθανό κίνδυνο. Ευτυχώς, υπάρχουν πολλές εύκολες αλλά αποτελεσματικές πρακτικές ασφαλείας που μπορείτε να εκτελέσετε για να βελτιώσετε τη συνολική ασφάλεια του ιστότοπού σας.
Αυτό το άρθρο αποδεικνύει ότι δεν χρειάζεστε μεγάλο προϋπολογισμό ή προηγμένες τεχνικές γνώσεις για να εκτελέσετε ορισμένες από τις βέλτιστες πρακτικές ασφαλείας. Το ερώτημα είναι, είστε έτοιμοι για την πρόκληση;
Θέλετε να δέχεστε πληρωμές μέσω του ιστότοπού σας; Ακολουθούν τα καλύτερα πρόσθετα για αποδοχή πληρωμής σε ιστότοπους WordPress.
Σχετίζεται με:
Πώς να χρησιμοποιήσετε το Google Cloud SQL με το WordPress.