Πώς να προστατεύσετε έναν ιστότοπο WordPress από χάκερ

Ένας οδηγός ασφάλειας WordPress για μικρές επιχειρήσεις & επιχειρηματίες. Μάθετε πώς να προστατεύετε τον ιστότοπό σας WordPress από χάκερ με αυτά τα προληπτικά βήματα.


Συμβουλές ασφάλειας WordPress

Υπάρχει ένα ρητό «Αν το φτιάξεις, θα έρθουν». Και στον διαδικτυακό κόσμο, αυτό σημαίνει χάκερ. Αλλά τι κάνεις για να τους σταματήσεις; Η ασφάλεια είναι σημαντική και η προληπτική προσέγγιση είναι ο καλύτερος τρόπος για την προστασία του ιστότοπού σας. Όπως και με το σπίτι ή την επιχείρησή σας, θέλετε να διατηρήσετε τα στοιχεία σας ασφαλή. Οι περισσότεροι ιστότοποι του WordPress έχουν μολυνθεί λόγω έλλειψης ενημέρωσης αρχείων, παραβίασης μιας από τις συνδέσεις ή μιας επίθεσης ωμής βίας. Το πιο δύσκολο είναι η συνειδητοποίηση ότι μια μόλυνση από κακόβουλο λογισμικό μπορεί να συμβεί σε οποιονδήποτε ιστότοπο. Έχω δει μια επίθεση ωμής βίας σε έναν ιστότοπο δοκιμών που δεν είχε ακόμη ευρετηριαστεί από την Google και δεν είχε επισκέπτες. Αν και τίποτα δεν είναι ποτέ 100% πλήρη απόδειξη, υπάρχουν τρόποι για να αποφύγετε τα χειρότερα. Ακολουθούν τα απλά βήματα που μπορεί να κάνει ένας ιδιοκτήτης μικρής επιχείρησης για να διατηρήσει την επιχείρησή του στο διαδίκτυο ασφαλή που δεν απαιτεί προγραμματιστή ή κωδικοποίηση από την πλευρά σας.

Η σημασία των κωδικών πρόσβασης

Ένας εξαιρετικός κωδικός πρόσβασης είναι η πρώτη γραμμή άμυνας για την αποφυγή ανεπιθύμητων ατόμων από τους ιστότοπούς σας. Όταν ένα bot έρχεται να προσπαθήσει να μπει σε έναν πίνακα ελέγχου WordPress, το πρώτο πράγμα που προσπαθούν να χρησιμοποιήσουν κατά τη σύνδεση είναι “διαχειριστής” και “κωδικός πρόσβασης” καθώς αυτός ο συνδυασμός είναι η πιο ευρέως χρησιμοποιούμενη σύνδεση. Η αλλαγή του σε “Pa $$ w0rd” δεν το καθιστά πιο ασφαλές ούτε λόγω του γεγονότος ότι εξακολουθεί να διαβάζει τον “κωδικό πρόσβασης”. Τα ονόματα ή οτιδήποτε θα διαβαστεί ως ευανάγνωστη λέξη είναι οι ευκολότεροι κωδικοί πρόσβασης που έχουν παραβιαστεί. Συνήθως οποιοσδήποτε κωδικός πρόσβασης πρέπει να είναι τουλάχιστον 12 χαρακτήρες που είναι δυσανάγνωστοι, που περιέχουν κεφαλαία και πεζά γράμματα, αριθμούς και ειδικούς χαρακτήρες. Όσο περισσότεροι χαρακτήρες στον κωδικό πρόσβασης, τόσο πιο δύσκολο είναι να σπάσει. Εάν θέλετε να ελέγξετε πόσο ασφαλείς είναι οι κωδικοί πρόσβασης, ελέγξτε το Πόσο ασφαλής είναι ο κωδικός μου ντάμα. Αυτό θα σας δείξει πόσο καιρό θα χρειαζόταν ένα bot υπολογιστή για να σπάσει τον κωδικό πρόσβασής σας. Το πούλι μου είπε ότι θα χρειαζόταν επιτραπέζιο υπολογιστή περίπου 377 δισεκατομμύρια χρόνια για να σπάσω τον κωδικό πρόσβασής μου. Αυτό είναι όταν γνωρίζετε ότι έχετε έναν υπέροχο κωδικό πρόσβασης!

Βοήθεια για τα πρόσθετα ασφαλείας

Υπάρχουν πολλοί τύποι πρόσθετων ασφαλείας που κάνουν μια σειρά λειτουργιών. Μπορείτε να χρησιμοποιήσετε περισσότερες από μία προσθήκες ασφαλείας στον ιστότοπό σας, εφόσον δεν τις έχετε ορίσει να κάνουν τα ίδια πράγματα. Ακολουθεί μια λίστα με μερικές εξαιρετικές προσθήκες ασφαλείας του WordPress που είναι διαθέσιμες. Αλλά για αυτό το άρθρο, ο τρόπος με τον οποίο ρυθμίζω όλους τους ιστότοπούς μου για μέγιστη ασφάλεια.

Jetpack – Χρησιμοποιώ το Jetpack πολλαπλών φανταστικών σε όλους τους ιστότοπούς μου. Έχουν ενσωματωθεί μερικά χαρακτηριστικά για μέτρα ασφαλείας που ενεργοποιώ.

  • Monitor – Το Jetpack θα σας ειδοποιήσει όταν ο ιστότοπός σας πέσει και όταν επανέλθει ξανά. Να είστε πάντα ενημερωμένοι όταν οι πελάτες σας δεν μπορούν να έχουν πρόσβαση στον ιστότοπό σας.
  • Protect – Το Protect ήταν ένα αυτόνομο plugin που ονομάζεται BruteProtect. Ήταν ένα από τα υψηλότερα χρησιμοποιούμενα πρόσθετα για τον αποκλεισμό των βίαιων επιθέσεων. Η Automattic το απέκτησε πέρυσι και τώρα το έχει ενσωματώσει στο Jetpack.
  • Manage – Το Jetpack’s Manage σάς επιτρέπει να ενημερώσετε τις προσθήκες, τα θέματα και τον πυρήνα όλων των ιστότοπων που φιλοξενούνται από έναν πίνακα ελέγχου και σας δίνει την ευκαιρία να έχετε αυτόματες ενημερώσεις.

iThemes Security (πρώην Better WP Security) – Ενώ το iThemes Security ΔΕΝ είναι τείχος προστασίας, αυτό δίνει μεγάλα οφέλη για την ασφάλεια ενός ιστότοπου χωρίς να χρειάζεται να αλλάξετε τον κώδικα μόνοι σας. Έχουν μια δωρεάν και μια έκδοση Pro. Εδώ είναι τα χαρακτηριστικά που πρέπει να ενεργοποιήσετε με αυτό το πρόσθετο κατά τη χρήση του Jetpack.

  • Να επιτρέπεται πάντα στο iThemes Security να γράφει στο wp-config.php και .htaccess. Αυτός είναι ο τρόπος με τον οποίο η προσθήκη λέει στον ιστότοπο πώς να σκληρύνει την ασφάλεια.
  • Ενεργοποίηση επανάληψης παραβάτη μαύρης λίστας
  • Ενεργοποίηση ανίχνευσης 404
  • Επωφεληθείτε από τη λειτουργία Away όταν γνωρίζετε ότι κανείς δεν πρέπει να συνδέεται στον πίνακα ελέγχου σας. Σταματήστε εάν εργάζεστε στον ιστότοπό σας όλες τις ώρες της ημέρας.
  • Ενεργοποιήστε τους χρήστες αποκλεισμού και τη δυνατότητα μαύρης λίστας του HackRepair.com. Αυτό θα κρατήσει γνωστές κακόβουλες IP μακριά από τον ιστότοπό σας.
  • Ενεργοποιήστε τον εντοπισμό αλλαγών αρχείων και χωρίστε τον έλεγχο αρχείων σε τσοκ. Τα iThemes θα σας ειδοποιήσουν εάν κάποιο από τα αρχεία έχει αλλάξει και δεν ταιριάζει με αυτό που υπάρχει στα αρχικά αρχεία του αποθετηρίου.
  • Ενεργοποιήστε τη λειτουργία απόκρυψης που υποστηρίζεται. Αυτό θα αλλάξει τα στοιχεία σύνδεσής σας από το YourSite.com/wp-login.php σε μια προσαρμοσμένη σελίδα της επιλογής σας. Μην το τοποθετείτε ως τρέχουσα ή μελλοντική σελίδα ή ανάρτηση. Τα υπέροχα παραδείγματα είναι enter, main ή safe.
  • Το iThemes Security προσφέρει τώρα σάρωση Sucuri SiteCheck για όλους τους χρήστες plugin.
  • Ενεργοποιήστε ισχυρούς κωδικούς πρόσβασης για όλους τους χρήστες, συμπεριλαμβανομένων των συνδρομητών.
  • Επιλέξτε όλα τα πλαίσια στο System Tweaks.
  • Στην περιοχή WordPress Tweaks, μην απενεργοποιείτε πλήρως το XML-RPC όταν χρησιμοποιείτε το Jetpack, καθώς αυτό θα μπορούσε να προκαλέσει το Jetpack να μην λειτουργεί πλέον σωστά.
  • Η έκδοση Pro σάς δίνει τη δυνατότητα να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων για σύνδεση μεταξύ άλλων λειτουργιών.

WordFence – Ενώ μου αρέσει ο σαρωτής του WordFence, συνήθως το έχω κατεβάσει μόνο σε έναν ιστότοπο όταν κάνω διπλό έλεγχο για να βεβαιωθώ ότι όλα τα κακόβουλα προγράμματα έχουν διαγραφεί. Εάν πιστεύετε ότι ο ιστότοπός σας έχει μολυνθεί, το WordFence μπορεί να εντοπίσει οποιοδήποτε αρχείο WordPress έχει αλλάξει από το πρωτότυπο. Το WordFence προσφέρει επίσης ένα εργαλείο προσωρινής αποθήκευσης. Εάν επιλέξετε να χρησιμοποιήσετε το WordFence, μπορείτε να ενεργοποιήσετε όλες τις επιλογές, αλλά να μην το εκτελέσετε με το iThemes Security, το Jetpack’s Protect ή το Sucuri Security, καθώς μπορεί να προκαλέσουν σύγκρουση μεταξύ τους..

Sucuri Security – Το Sucuri διαθέτει τείχος προστασίας και AntiVirus που μπορούν να βοηθήσουν στον αποκλεισμό των κακών από τον ιστότοπό σας. Η Sucuri διαθέτει το πιο διαδεδομένο τείχος προστασίας WordPress στον κλάδο. Μπορείτε να εκτελέσετε το τείχος προστασίας Sucuri CloudProxy με το iThemes Security, αλλά να λάβετε τη λίστα των IP του CloudProxy από τη Sucuri για να το βάλετε στη Λευκή Λίστα IP σας στις ρυθμίσεις Ασφάλειας iThemes.

Έλεγχος ταυτότητας δύο παραγόντων

Οποιαδήποτε σύνδεση στα οποία μπορείτε να έχετε έλεγχο ταυτότητας δύο μερών, συνιστάται πάντα να χρησιμοποιείτε. Υπάρχουν διάφοροι τρόποι με τους οποίους μπορεί να ρυθμιστεί. Μπορεί να υπάρχει ένα CAPTCHA, ένας κωδικός εξουσιοδότησης Google ή μια απλή μαθηματική ερώτηση που να αποδεικνύει ότι είστε άνθρωπος. Εάν επιλέξετε να χρησιμοποιήσετε οποιοδήποτε από αυτά, βεβαιωθείτε ότι κάθε άτομο που έχει πρόσβαση στον πίνακα ελέγχου έχει τα δικά του στοιχεία σύνδεσης. Οι κοινόχρηστες συνδέσεις μπορούν να προκαλέσουν προβλήματα, ιδίως εάν χρησιμοποιείτε τον κωδικό εξουσιοδότησης Google που αποστέλλεται σε κινητό τηλέφωνο.

  • iThemes Security Pro – έχει πολλές επιλογές δύο παραγόντων, συμπεριλαμβανομένου του CAPTCHA. Εξουσιοδότηση Google και απλά μαθηματικά.
  • Κλειδί – Χρησιμοποιώντας το κινητό σας τηλέφωνο, η Clef προσφέρει μια προσέγγιση χωρίς κωδικό πρόσβασης για τη σύνδεση στον πίνακα ελέγχου του WordPress.
  • Επαληθευτής Google – Χρησιμοποιεί έλεγχο ταυτότητας δύο παραγόντων από την εφαρμογή Google Authenticator για Android / iPhone / Blackberry.

Πάντα ενημέρωση

Ο μεγαλύτερος λόγος που ένας κακόβουλος κώδικας εισέρχεται σε έναν ιστότοπο οφείλεται στην ευπάθεια που βρέθηκε στον κώδικα για μια προσθήκη, ένα θέμα ή έναν ιστότοπο. Αυτό διορθώνεται εύκολα έχοντας τον ιστότοπό σας σε έναν κύκλο ενημέρωσης. Ορισμένοι κάτοχοι θα έχουν μια καθορισμένη ημέρα της εβδομάδας για να ενημερώσουν τον ιστότοπό τους, ενώ άλλοι θα ενημερώνουν κάθε φορά που συνδέονται. Υπάρχουν προσθήκες που μπορούν να βοηθήσουν στην ενημέρωση των ιστότοπών σας.

  • Jetpack – Διαχειριστείτε όλους τους συνδεδεμένους ιστότοπους του Jetpack σε έναν πίνακα ελέγχου WordPress.com
  • Συγχρονισμός iThemes – Συγχρονίστε έως και 10 ιστότοπους δωρεάν, ώστε να υπάρχει ένας πίνακας ελέγχου για ενημέρωση, εκτέλεση του BackupBuddy και ξεκλείδωμα των κλειδωμάτων ασφαλείας iThemes.

Έχετε ένα εφεδρικό σύστημα

Υπάρχουν πολύ λίγα που είναι πιο σημαντικά με έναν ιστότοπο και στη συνέχεια με ένα σύστημα δημιουργίας αντιγράφων ασφαλείας. Εφόσον υπάρχει πλήρες αντίγραφο ασφαλείας του ιστότοπου, συμπεριλαμβανομένης της βάσης δεδομένων, δεν θα χάσετε ποτέ τον ιστότοπό σας. Υπάρχουν πολλοί τρόποι δημιουργίας αντιγράφων ασφαλείας ενός ιστότοπου, μερικοί είναι αυτοματοποιημένοι, μερικοί είναι χειροκίνητοι. Πάντα στέλνετε τα αντίγραφα ασφαλείας σας κάπου εκτός του διακομιστή σας.

  • Updraft Plus – Έχουν μια δωρεάν και premium έκδοση για τη δημιουργία αντιγράφων ασφαλείας του ιστότοπού σας.
  • BackupBuddy – Ένα premium πρόσθετο δημιουργίας αντιγράφων ασφαλείας που ενσωματώνεται στο iThemes Security and Sync.

Διάφορες συμβουλές ασφαλείας

Αν και αυτά δεν εντάσσονται σε μια μεγαλύτερη κατηγορία, είναι εξίσου σημαντικό να θυμόμαστε

  • Χρησιμοποιείτε πάντα SFTP όταν χρησιμοποιείτε έναν διαχειριστή αρχείων.
  • Διατηρήστε τους καταλόγους στα 755 και τα αρχεία στα 644. Ποτέ μην τα έχετε στα 777 ή 666 καθώς αυτό τους αφήνει να εκτελεστούν από όλους.
  • Διασφαλίζει ότι το όνομα χρήστη και ο κωδικός πρόσβασης της βάσης δεδομένων σας είναι περίπλοκα.
  • Μην στέλνετε κωδικούς πρόσβασης σε email. Επισυνάψτε τα ως έγγραφο κειμένου με φερμουάρ.
  • Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για να παρακολουθείτε τις συνδέσεις σας. Το LastPass και το 1Password είναι εξαιρετικά εργαλεία που μπορούν να χρησιμοποιηθούν σε οποιοδήποτε πρόγραμμα περιήγησης και στις κινητές συσκευές σας.
  • Διατηρήστε ένα πρόγραμμα προστασίας από ιούς στον υπολογιστή σας για να σταματήσετε μια αυτόματη λήψη από κακόβουλο ιστότοπο.

Ακολουθώντας αυτά τα βήματα θα βοηθήσετε εσάς και την διαδικτυακή σας επιχείρηση να παραμείνετε ασφαλείς. Θυμηθείτε ότι η προληπτική είναι η καλύτερη προσέγγιση για την ασφάλεια του WordPress!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map