Ασφαλε?α στο WordPress και ?φηβοι hackers ? Script Kiddies

Στην γλ?σσα των hackers, ?να script kiddie ε?ναι η απλο?στερη δομ? hacker που υπ?ρχει με την ευρε?α ?ννοια. Και βασ?ζεται κυρ?ω? στη χρ?ση γνωστ?ν εργαλε?ων και μικρ?ν προγραμμ?των που ψ?χνουν να βρουν κοιν? προβλ?ματα ασφαλε?α?: δ?κτυα χωρ?? password, WiFi χωρ?? VPN, παρωχημ?να plugins, hosting χαμηλ?? ασφ?λεια?, phishing και ?λλε? παρελκ?μενε? τακτικ?? των hackers.

Δυστυχ?? ?λα τα παραπ?νω κεν? ασφαλε?α? ε?ναι αυτ? που δ?νουν στου? περισσ?τερου? νεοεισερχ?μενου? hackers πρ?σβαση σε ?να τερ?στιο αριθμ? sites και WordPress sites.

Ε?ν δεν ?χετε ?να μεγ?λο WordPress site, τ?τε τα περισσ?τερα προβλ?ματα ασφαλε?α? στο WordPress προ?ρχονται απ? Script Kiddies.

Τα καλ? ν?α ε?ναι ?τι ε?ν ακολουθ?σετε τα β?ματα αυτο? του οδηγο? ασφαλε?α? στο WordPress, δεν θα αντιμετωπ?σετε ποτ? κ?ποιο πρ?βλημα απ? ?ποψη ασφαλε?α? στο WordPress. Στην πραγματικ?τητα, τ?ποτε δεν ε?ναι απ?ρθητο στο internet, αλλ? τουλ?χιστον θα ?χετε το κεφ?λι σα? ?συχο ?τι δεν θα π?σετε θ?μα του πρ?του τυχ?ντα ? του πρ?του αρχαρ?ου hacker. Το site σα? θα ?χει απ?λυτη ασφ?λεια στο WordPress.

?τσι σα? συστ?νω μερικ? διαφορετικ? β?ματα για να θωρακ?σετε την ασφ?λεια στο WordPress site σα? για σ?μερα και για π?ντα:

Ασφ?λεια WordPress Hosting και server level security

?ταν φτ?νουμε στο να ασφαλ?σουμε το WordPress, σ?γουρα θα πρ?πει να ξεκιν?σουμε απ? το hosting.? ?ταν φιλοξενε?τε το site σα? σε κ?ποια εταιρε?α hosting που δεν λαμβ?νει τα απαρα?τητα μ?τρα ασφαλε?α?, ε?ν ?να site στον ?διο server π?σει θ?μα hacker, τ?τε υπ?ρχει πολ? μεγ?λη πιθαν?τητα να παραβιαστε? και το δικ? σα? site.

Μετ? απ? χιλι?δε? δοκιμ?? και ?πειρου? πειραματισμο??, κατ?ληξα στο συμπ?ρασμα ?τι για την ελληνικ? αγορ? το καλ?τερο hosting απ? ?ποψη ασφαλε?α? και SEO – α? μην ξεχν?με ?τι τα π?ντα τα βλ?πουμε απ? SEO σκοπι? σε αυτ? το blog- ε?ναι η TopHost.

Επ?ση? τη συνιστ? και για την ξ?νη αγορ?, μια και η εμπειρ?α μου ?χει δε?ξει ?τι αποδ?δει π?ρα πολ? καλ? και ανταγων?ζεται στα ?σια ακ?μα και εταιρε?ε? με εξειδ?κευση στο WordPress Hosting ?πω? η? WPEngine.com.

Αν και η διαδικασ?α ασφαλε?α? τη? WPEngine ε?ναι σε απ?θανο επ?πεδο και ?χουν ?να πολ? υψηλ? επ?πεδο ασφαλε?α?,παρουσ?ασαν τελευτα?α κ?ποια προβλ?ματα στο SEO και στο διπλ? περιεχ?μενο τα οπο?α τα θεωρ? παιδικ?.

Προσωπικ? ε?μαι στη διαδικασ?α μεταφορ?? ?λων των site και hosting που ?χω και δικ? μου αλλ? και πελατ?ν στην TopHost.

Θα ?θελα ?μω? να σα? αναφ?ρω θεωρητικ? τι πρ?πει να ?χει ?να καλ? hosting απ? ?ποψη ασφαλε?α?. Επειδ? ?μω? δεν μπορε?τε να ξ?ρετε για το επ?πεδο ασφαλε?α? τη? εταιρε?α? web hosting, σα? αναφ?ρω προσωπικ? εσε?? τι πρ?πει να κ?νετε.

• Να ?χετε σταθερ?? ασφαλ?? εκδ?σει? λογισμικο? στον web server, μιλ?με για PHP, MySQL, Apache κτλ.
• Να ?χετε firewall στον server.
• Να ε?ναι ο web hosting server κλειδωμ?νο? και μ?νο μια μικρ? ομ?δα προγραμματιστ?ν να ?χει πρ?σβαση σε αυτ?ν. Αυτ? ισχ?ει και για το δικ? σα? web hosting. Δεν ε?ναι δυνατ?ν να μπορε? ο καθ?να? να ?χει του? κωδικο??.
• Ποτ? να μην μπα?νετε στο web hosting σα? απ? ?να δημ?σιο ? ανασφαλ?? δ?κτυο.
• Ε?ν μεταφ?ρετε αρχε?α με FTP, χρησιμοποι?στε SFTP μ?σω εν?? γνωστο? προγρ?μματο? ?πω? το? FileZilla.
• Σιγουρευτε?τε ?τι η εγκατ?σταση MySQL που ?χετε ε?ναι ?σο το περισσ?τερο ασφαλ??.
• Π?ντα να δημιουργε?τε μια μοναδικ? β?ση δεδομ?νων για κ?θε εγκατ?σταση WordPress. Σιγουρευτε?τε ?τι η το ?νομα τη? β?ση? σα? δεν ξεκιν?ει με wp_. Δ?στε μοναδικ? username και password για την β?ση σα?.
• Κ?ντε Backup τη? β?ση? και ?λων των ?λλων αρχε?ων στο WordPress site σα? καθημεριν? ? κ?θε φορ? που κ?νετε μια αλλαγ? στο site σα?. Χρησιμοποι?στε το backupwordpress που ε?ναι δωρε?ν για να π?ρετε back up ?λο το site σα?. Κατεβ?στε το back up στο σκληρ? σα? δ?σκο και ανεβ?στε ?να αντ?γραφο του στο Google Drive. ?λλε? πληρωμ?νε? υπηρεσ?ε? για backup στο WordPress ε?ναι το?? CodeGuard και το VaultPress.
• Και τ?λο?, βεβαιωθε?τε ?τι ?λα σα? τα passwords ε?ναι πολ?πλοκα και μοναδικ?, δεν χρησιμοποιο?νται π?νω απ? 2 φ?ρε?. Κ?θε σωστ? password θα πρ?πει να αποτελε?ται απ? τουλ?χιστον 8 ?ω? 15 χαρακτ?ρε?, νο?μερα, μικρ? και κεφαλα?α και αλφαριθμητικο?? χαρακτ?ρε? ?πω? τα σ?μβολα @#$%%.

Δε?τε περισσ?τερα για την ασφ?λεια στο WordPress στα παρακ?τω blogs:

• Hardening WordPress
• WordPress Security – Cutting Through The BS

Το επ?μενο β?μα ε?ναι να προσθ?σουμε μερικο?? καν?νε? στον server μα?

?μα ?χετε πρ?σβαση στο βασικ? αρχε?ο παραμετροπο?ηση? του server, ε?ναι πολ? συνετ? και σοφ? να θωρακ?σετε την ασφ?λεια του WordPress σε αυτ? το επ?πεδο, το επ?πεδο του server του web hosting.

Συν?θω? δεν ?χουν ?λοι πρ?σβαση στο configuration file του server εκτ?? και αν ?χετε VPS ? ιδι?κτητο server.

Θα σα? δε?ξω λοιπ?ν λεπτομερ?? τα β?ματα πω? παραμετροποιο?με το πραγματικ? .htaccess file απ? το hosting σα?. Σημει?στε ?τι το .htaccess το παραμετροποιο?με μετ? την εγκατ?σταση του WordPress.

ΠΡΟΣΟΧΗ: Ε?μαστε ιδια?τερα προσεκτικο? ?ταν κ?νουμε αλλαγ?? στο αρχε?ο .htaccess. Ε?ν δεν ε?στε εξοικειωμ?νοι με τον κ?δικα του WordPress και τον προγραμματισμ?, καλ?τερα να απευθυνθε?τε σε κ?ποιον ειδικ? στο θ?μα ? σε κ?ποιον Web Developer. Προσωπικ? κ?νω ?λε? τι? επεμβ?σει? στον κ?δικα μ?νο? μου. ?μω? στην αρχ? δεν ?ταν και τ?σο ε?κολο να ?χω ?λε? τι? τεχνικ?? γν?σει? που απαιτο?νται. Π?ρασα πολλ?? ?ρε? μελετ?ντα? ?λλου? πιο εξειδικευμ?νου? προγραμματιστ?? μ?χρι να μ?θω και να αποκτ?σω ευχ?ρεια στον κ?δικα.

Το WordPress δημιουργε? αυτ?ματα ?να τμ?μα στο αρχε?ο .htaccess. Μην τοποθετε?τε τ?ποτα μ?σα στο τμ?μα του κ?δικα WordPress απ? το αρχε?ο .htaccess, γιατ? θα διαγραφε? ο παλι?? κ?δικα?. Μερικ? πρ?γματα θα πρ?πει να τοποθετηθο?ν πριν απ? το τμ?μα που βρ?σκεται το WordPress στο αρχε?ο .htaccess. Μερικ? θα πρ?πει να τοποθετηθο?ν μετ? για να αποφ?γουμε καταστροφ?? στο αρχε?ο .htaccess.

Αν δεν γνωρ?ζετε τι πρ?πει να τοποθετ?σετε και που, τ?τε δεν θα πρ?πει ποτ? να μπε?τε στον κ?πο να επεξεργαστε?τε το αρχε?ο .htaccess, τουλ?χιστον ?χι ακ?μα.

Οπ?τε ξεκιν?με.

Οι πρ?τε? αυτ?? γραμμ?? κ?δικα μα? βοηθ?νε να διορθ?σουμε μερικ? λ?θη που πιθαν?ν να υπ?ρχουν σε μερικο?? Apache servers, και ενεργοποιο?ν τη rewrite engine? ? τη μηχαν? επανεγγραφ??:

## Γρ?ψτε αυτ?ν τον κ?δικα στην αρχ? του αρχε?ου .htaccess ##

Options +FollowSymlinks RewriteEngine On

Η επ?μενε? γραμμ?? κ?δικα, μα? απενεργοποιο?ν το server signature. Αυτ? ε?ναι ?να τρικ τ?που? “security by obscurity”. Δηλαδ? ?σο πιο λ?γε? πληροφορ?ε? διαχ?ουμε στου? hackers για το σ?στημα μα?, το δυσκολ?τερο ε?ναι να αποκτ?σει πρ?σβαση σε αυτ?. Τα περισσ?τερα που γνωρ?ζει ?να? hackers για τον server μα?, το ευκολ?τερο ε?ναι για αυτ?ν να μα? τον διαρρ?ξει:

## Απενεργοποι?στε το Server Signature ##

ServerSignature Off

Μερικ?? φορ?? οι spammers θα τοποθετ?σουν τα δικ? του? ψε?τικα query strings στο τ?λο? απ? μια URL, προσπαθ?ντα? να κ?νουν ?να σωρ? ?σχημα πρ?γματα. Αυτ?? ο μικρ?? κ?δικα? μπορε? να εξουδετερ?σει κ?θε απ?πειρα? κ?νοντα? 301 redirection στο canonical URL.

Απλ? επεξεργαστε?τε τα παρακ?τω: enter|query|strings|here για να προσθ?σετε τα query strings με τα οπο?α ?χετε θ?ματα, χωρισμ?να με σωλ?νε? κ?θετου? ? τα σ?μβολα | . Οι επ?μενε? γραμμο?λε? κ?δικα εκτ?? του ?τι μπλοκ?ρουν του? spammers, μπορο?ν να επιλ?σουν θ?ματα με το ?replytocom και ?λλα συνηθισμ?να? junk query strings:

## Αφαιρ?στε τα Spammy Query Strings ## <ifModule mod_rewrite.c> RewriteCond %{QUERY_STRING} enter|separated|query|strings|here [NC] RewriteRule .* https://www.%{HTTP_HOST}/$1? [R=301,L] </ifModule>

Εν? δεν ε?ναι προορισμ?νο για του? hackers, κανονικ? θα ?πρεπε, η επ?μενη παρ?γραφο? κ?δικα θα αποτρ?ψει τα κακ?βουλα bots χωρ?? user agent απ? το να χτυπ?σουν και το site σα?. Αντικαταστ?στε το yourwebsite.com με τη δικ? σα? πραγματικ? διε?θυνση URL πριν προσθ?σετε τον κ?δικα στο αρχε?ο .htaccess:

## Προστασ?α απ? spam bots ## <IfModule mod_rewrite.c> RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.yourwebsite.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^https://%{REMOTE_ADDR}/$ [R=301,L] </IfModule>

Μια κοιν? τακτικ? των hackers ε?ναι το λεγ?μενο SQL injection, και αυτ?? οι γραμμ?? κ?δικα μπορο?ν να μπλοκ?ρουν τι? περισσ?τερε? αν ?χι ?λε? προσπ?θειε? των hackers:

## SQL Injection Block ## <IfModule mod_rewrite.c> RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ – [F,L] RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR] RewriteCond %{QUERY_STRING} boot\.ini [NC,OR] RewriteCond %{QUERY_STRING} tag\= [NC,OR] RewriteCond %{QUERY_STRING} ftp\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR] RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)||ê|”|;|\?|\*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(“|’|<|>|\|{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ – [F,L] </IfModule>

Τ?ρα, υπ?ρχουν πολλ? WordPress plugins που μπορο?ν να περιορ?σουν των αριθμ? των προσπαθει?ν login απ? οποιαδ?ποτε IP address, αλλ? αυτ? δεν αποτρ?πει του? hackers απ? το να χρησιμοποιο?ν μεγ?λε? ομ?δε? απ? IPs για να μπο?νε στο site σα? ( brute-force attack) και ο καθ?να? μπορε? να αγορ?σει μερικ?? χιλι?δε? απ? το site hidemyass.com, δε?τε περισσ?τερα εδ?: public proxy lists.

?χω τ?χει θ?μα τ?τοιων επιθ?σεων χιλι?δε? φορ?? και αυτ?? οι γραμμ?? κ?δικα αποδε?χτηκαν σωτ?ριε? και σε ?λλα site που ?χω. Αυτ? που κ?νει αυτ?? ο κ?δικα? ε?ναι να επιτρ?πει μ?νο απ? συγκεκριμ?νε? IP να μπορε? κ?ποιο? να προσεγγ?σει τη σελ?δα εγγραφ?? στο site μου και να μπλοκ?ρει την πρ?σβαση στη login page απ? ?λε? τι? ?λλε? IP.

Θα πρ?πει να προσαρμ?σετε την εντολ?? allow from μ?νο απ? IP που δε?χνουν την πραγματικ? σα? ? τι? πραγματικ?? σα?? IP addresses. Μπορε?τε να βρε?τε την διε?θυνση? IP σα?, πηγα?νοντα? στη? Google απ? τον υπολογιστ? που μπα?νετε στο ?ντερνετ και να ψ?ξετε για τη φρ?ση? “What is my IP”. Αν χρει?ζεται, αλλ?ξτε τα login filenames ?που ε?ναι απαρα?τητο. Το wp-login.php ε?ναι το default, και το login δεν ε?ναι κανονικ? το default, πολλ? sites ?μω? ?σω? τα χρησιμοποιο?ν και τα δ?ο λ?γω διαφ?ρων WordPress plugins.

Διαφορετικ? ?μα θ?λετε να το κ?νετε ευκολ?τερο για σα?, π?τε στο? ProxyBonanza και αγορ?στε μια αποκλειστικ? proxy IP με 8€ το μ?να. Μετ? επιτρ?ψτε σε αυτ?ν την IP την πρ?σβαση και μπε?τε στο site σα? μ?νο με αυτ?ν την? IP και μ?νο.

Η ProxyBonanza ?χει WordPress plugins για τον Firefox και τον Chrome, τα οπο?α κ?νουν την πρ?σβαση στο site σα? μ?σω τη? αποκλειστικ?? IP ευκολ?τερη. Αν σε περ?πτωση αλλ?ξει η IP σα? ? αγορ?σετε ?λλη, μπορε?τε να π?τε να τη διορθ?σετε μ?σω του FTP.

## Περιορ?στε τι? WordPress Login Pages στι? δικ?? σα? IPs ## <Files wp-login.php> order deny,allow deny from all allow from 192.168.1.1 allow from 192.168.1.2 </Files> <Files login> order deny,allow deny from all allow from 192.168.1.1 allow from 192.168.1.1 </Files>

Υπ?ρχουν επ?ση? μερικ? αρχε?α στα οπο?α δεν θα πρ?πει να ?χει πρ?σβαση καν?να? ?λλο? εκτ?? απ? εσ??. Αυτ?? οι γραμμ?? κ?δικα θα αποτρ?ψουν ?λο τον κ?σμο να μπει σε αυτ? τα αρχε?α μ?σω κ?ποιου web browser:

## Block Sensitive Files ## Options All -Indexes <files .htaccess> Order allow,deny Deny from all </files> <files readme.html> Order allow,deny Deny from all </files> <files license.txt> Order allow,deny Deny from all </files> <files install.php> Order allow,deny Deny from all </files> <files wp-config.php> Order allow,deny Deny from all </files> <files error_log> Order allow,deny Deny from all </files> <files fantastico_fileslist.txt> Order allow,deny Deny from all </files> <files fantversion.php> Order allow,deny Deny from all </files>

Αν παρ?λαυτα το site σα? π?φτει συν?χεια θ?μα επιθ?σεων απ? συγκεκριμ?νε? IP διευθ?νσει?, μπορε?τε χειρ?νακτα, με το χ?ρι σα? δηλαδ? να μπλοκ?ρετε συγκεκριμ?νε?? IPs με τι? ακ?λουθε? γραμμ?? κ?δικα. Επεξεργαστε?τε την εντολ? deny from για να αποκλε?σετε τι? συγκεκριμ?νε?? IP, αριθμ?ντα? τε? αν? γραμμ? κ?δικα:

## Malicious IP Blocking ## order allow,deny deny from 1.1.1.1 deny from 2.2.2.2 allow from all

Αν δ?χεστε συχν?? επιθ?σει? απ? συγκεκριμ?νε? IP ? απ? συγκεκριμ?νε? ομ?δε? IP, μπορε?τε να ανακατευθ?νετε αυτ?? τι? διευθ?νσει? IP σε συγκεκριμ?να site ? σε video στο YouTube, ακ?μα και σε funny video. Προτιμ?στε μεγ?λα site ?πω? το YouTube για να μην μεταφ?ρετε τα προβλ?ματα hacking και σε ?λλα sites. Αντικαταστ?στε την IP παρακ?τω για να δε?χνει αυτ? που θ?λετε να μπλοκ?ρετε και να κ?νει redirection:

## Redirect Recurring Spammer IPs to a YouTube Video or Site ## RewriteCond %{REMOTE_ADDR} ^192\.168\.1\.1$ RewriteRule .* https://www.youtube.com/watch?v=mJIPqO-Brgk [R=302,L]

Αν ?χετε συγκεκριμ?να sites τα οπο?α π?φτουν θ?ματα απ? αδ?σποτο και ?χρηστο referral traffic που δεν θ?λετε για πολλο?? λ?γου?, μπορε?τε να αποκλε?σετε τα συγκεκριμ?να referring domains με αυτ?? τι? γραμμ?? κ?δικα:

## Block Certain Referring Domains ## RewriteCond %{HTTP_REFERER} digg\.com [NC] RewriteRule .* – [F]

Μπορε?τε να χρησιμοποι?σετε και το αρχε?ο .htaccess για να ασφαλ?σετε τα wp-includes. Αυτ? ?μω? μπορε? να προκαλ?σει προβλ?ματα ειδικ? με το? Multisite, δε?τε περισσ?τερα στο WordPress Codex για να αποφ?γετε τυχ?ν προβλ?ματα.

Μπορε?τε ?μω? να καταφ?γετε σε μερικ? προχωρημ?να πρ?γματα, ?πω? να μπλοκ?ρετε συγκεκριμ?νε? χ?ρε? και συγκεκριμ?νε? γλ?σσε? , ε?ν το επιθυμε?τε.

?μα κ?νετε ?λα τα παραπ?νω, το αρχε?ο .htaccess θα γ?νει π?ρα πολ? ασφαλ??.? ?να ξεχωριστ? αρχε?ο .htaccess? μπορε? να υπ?ρχει για κ?θε φ?κελο ? directory σε ?να site, και ?χει ισχ? μ?νο σε κ?θε αρχε?ο που ε?ναι μ?σα στο φ?κελο.

Το τελευτα?ο β?μα ε?ναι να κλειδ?σετε τα file permissions ?στε μ?νο συγκεκριμ?να ?τομα και συγκεκριμ?νοι ρ?λοι να ?χουνε πρ?σβαση. Αυτ? θα πρ?πει β?βαια να το κ?νετε με προσοχ? και αφο? ε?στε ιδια?τερα εξοικειωμ?νοι με το αρχε?ο .htaccess.? Καλ? ε?ναι για αρχ? να κ?νετε κ?ποιε? δοκιμ?? σε περιβ?λλον αν?πτυξη? εφαρμογ?ν ?πω? ε?ναι ?να δοκιμαστικ? hosting και μια δοκιμαστικ? εγκατ?σταση WordPress. Π?ντα χρει?ζεται να ?χουμε μια για να κ?νουμε τα απαρα?τητα πειρ?ματα στο WordPress και να δοκιμ?ζουμε ν?α θ?ματα και plugins. Δε?τε περισσ?τερα για τα? file permissions.

.htaccess και ασφ?λεια WordPress Πηγ??:

Για να γρ?ψω το παραπ?νω ?ρθρο ?χω μελετ?σει π?ρα πολλ?? πηγ?? και ?χω κ?νει και ?πειρε? δοκιμ??. Επ?ση? ?χω β?λει και την προσωπικ? μου σφραγ?δα για να το διαβ?σετε ?τσι ?πω? ε?ναι. Μπορε?τε ?μω? να δε?τε τι? πηγ?? που χρησιμοπο?ησα και να μ?θετε περισσ?τερα:

1. 5 Simple Tricks to Prevent WordPress Spam Comments
2. Tech-FAQ
3. Almost Perfect htaccess File for WordPress Blogs
4. WordPress Security Best Practices
5. Top 5 WordPress Vulnerabilities and How to Fix Them

Ξ?χασα κ?τι σχετικ? με την ασφ?λεια WordPress σε επ?πεδο server; Σ?γουρα, γιατ? αυτ? το κεφ?λαιο και μ?νο του ε?ναι τερ?στιο και μπορε?τε να γρ?ψετε ολ?κληρο βιβλ?ο.

Η εγκατ?σταση WordPress και η ασφ?λεια WordPress

Αφο? λοιπ?ν ?χετε ασφαλ?σει το hosting και τον server σα?, ?ρθε η ?ρα να εγκαταστ?σουμε το WordPress με τα απαρα?τητα security plugins. Ε?ν και ακ?μη ?χετε ?δη ?να WordPress site, μην παραβλ?ψετε να μελετ?σετε καλ? αυτ? το τμ?μα.

Θα πρ?πει να εγκαταστ?σετε το WordPress στο hosting σα?. Καλ?τερα αυτ? να το κ?νετε χειροκ?νητα και ?χι αυτ?ματα. Θα πρ?πει λοιπ?ν να κατεβ?σετε το αρχε?ο τη? εγκατ?σταση? του WordPress απ? το site el.wordpress.org, ε?ν ε?ναι για ελληνικ? site και απ? το wordpress.org αν ε?ναι για αγγλικ?.

Μετ? θα πρ?πει να το ανεβ?σετε μ?σω secure FTP (SFTP). Π?ρα πολλο? hosting providers, ?πω? η TopHost προσφ?ρουν εγκατ?σταση με ?να κλικ. Αποφ?γετε την αυτ?ματη εγκατ?σταση γιατ? ?τσι θα ?χετε πρ?βλημα στη γλ?σσα και στο SEO και σε μερικ?? ρυθμ?σει? ασφαλε?α?.

Αυτ?? οι ρυθμ?σει? ασφαλε?α? περιλαμβ?νουν το να εγκαταστ?σετε μ?νοι σα? το αρχε?ο του WordPress αφο? δημιουργ?σετε ξεχωριστ? ftp account, ξεχωριστ? β?ση MySQL με διαφορετικ? ον?ματα και passwords και ξεχωριστ? μοναδικ? passwords για το WordPress admin.

Αφο? ?χετε εγκαταστ?σει σωστ? το WordPress σα?, το επ?μενο β?μα ε?ναι να επιλ?ξετε ?να θ?μα. Φροντ?στε να επιλ?ξετε μ?νο premium wordpress themes και plugins απ? δι?σημα sites. ?πω? π?ρα πολλο? ειδικο? του? black-hat SEO γνωρ?ζουν, τα? themes και plugins ε?ναι ?να? πολ? ε?κολο? τρ?πο? για να π?ρει κ?ποιο? backlinks στο site του.

Επειδ? εν δυν?μει πολλ?? επικ?νδυνα πρ?γματα μπορε? να κρ?βονται μ?σα σε ?να θ?μα, ε?ναι καλ? ιδ?α να αγορ?σετε ?να ασφαλ?? και καθαρ? απ? κ?δικα θ?μα. ?λα τα θ?ματα που πωλο?νται στο site wordpress.org ?χουνε απ? μ?να του? πολ? υψηλ? επ?πεδο ασφαλε?α?. Προσωπικ? ?μω? προτε?νω για λ?γου? SEO να προτιμ?σετε τα θ?ματα τη? SOLOSTREAM.

Μπορε?τε να μ?θετε περισσ?τερα για την ασφ?λεια WordPress και τα θ?ματα στο site WordPress.TV. Το προτε?νω, αλλ? δεν το προτιμ? λ?γω κακ?? ποι?τητα? ?χου και εικ?να?, εκτ?? αυτο? ?λα γ?νονται με ρυθμ? χελ?να? σε αυτ? τα β?ντεο.

Ε?ν ?χετε ?δη ?να θ?μα WordPress εγκατεστημ?νο , θα πρ?πει να τρ?ξετε ?να security scan, ? να ελ?γξετε πιθαν?? απειλ?? στην ασφ?λεια μ?νοι σα?. Μπορε?τε ?μω? να χρησιμοποι?σετε τα παρακ?τω WordPress Plugins.

Α? θυμ?μαστε ?μω? ?τι τα WordPress Plugins δεν ε?ναι παν?κεια, γιατ? μπορε? να περι?χουν κακογραμμ?νο κ?δικα και να ε?ναι χαμηλ?? ασφ?λεια?. Ακ?μα και τα δημοφιλ?στερα plugins ?χουνε ελλε?ψει? και οι developers καθυστερο?ν πολλ?? φορ?? να τα διορθ?σουν. Προσωπικ?, προτε?νω να χρησιμοποιε?τε ?σο το δυνατ? λιγ?τερα Plugins και να ?χετε μ?νο τα τελε?ω? απαρα?τητα για να λειτουργ?σει το WordPress site σα?:

• Better WP Security – Δωρε?ν.
• Limit Login Attempts –? Δωρε?ν.
• Akismet GASP? – Αντ?ο Akismet, τελικ? βρ?θηκε αν?τερο plugin απ? το περ?φημο Akismet. Δωρε?ν
• Sucuri Security – Πληρωμ?νο.
• CodeGuard – .?Πληρωμ?νο.
• Google Authenticator –?Δωρε?ν.
• Stealth Login Page – Δωρε?ν.
• WordPress SEO by Yoast – Εκτ?? απ? το SEO, το plugin αυτ? προσφ?ρει και πρ?σβαση στην επεξεργασ?α του αρχε?ου .htaccess. Δωρε?ν.

Μην χρησιμοποι?σετε το παρακ?τω plugin, ακ?μα και αν σα? παρακαλ?νε.

CloudFlare – Το CloudFlare ε?ναι ?να CDN με κ?ποια φ?λτρα ασφαλε?α?.

Θεωρητικ? μει?νει την ταχ?τητα φ?ρτωση? του site σα? και τα λεγ?μενα downtime του server. Στην πραγματικ?τητα, αυξ?νεται ο χρ?νο? downtime αντ? να μει?νεται με αποτ?λεσμα να οδηγε?ται το site σα? στο deindexing απ? τη Google. Για την ελληνικ? αγορ? το Cloudflare ε?ναι τραγικ? και δεν μπορ? να καταλ?βω γιατ? το συστ?νουν!

Αν π?λι χρησιμοποι?σετε την εταιρε?α WP-Engine για το? hosting θα πρ?πει να προσ?ξετε μερικ? πρ?γματα. Την θεωρο?ν πολλο? ω? την καλ?τερη εταιρε?α για wordpress hosting, πρ?γμα που θεωρ? και π?λι λανθασμ?νο. Μην κ?νετε το λ?θο? και π?τε στην WP-Engine γιατ? πολλ? wordpress plugins δεν θα πα?ζουν και το site σα? θα διαλυθε?! Δε?τε ποια plugins επιτρ?πουν και ποια ?χι! . Αυτ? δεν ε?ναι Hosting αλλ? μου θυμ?ζει η κατ?σταση multisite στο WordPress.com!

Κ?τι σαν αρρωστημ?νη? διαφ?μιση τη? Eurobank για πελ?τε? με σπ?τια στον πλειστηριασμ?!

Αν ?χετε ?χρηστα θ?ματα ? plugins εγκατεστημ?να, σα? συμβουλε?ω να τα διαγρ?ψετε αμ?σω?. Μ?νο που τα ?χετε στο site σα? ακ?μα και αν δεν ε?ναι ενεργοποιημ?να, μπορε? να σα? δημιουργ?σουν θεωρητικ? προβλ?ματα. Θα πρ?πει επ?ση? να κρατ?σετε τα θ?ματα, τα plugins και την εγκατ?σταση WordPress σα? ενημερωμ?νη με την τελευτα?α ?κδοση.

Google Hacking

Καθ?? χτ?ζετε εσε?? το site σα?, θα πρ?πει να προσ?χετε τι θα πρ?πει να αφ?νεται να δουν οι web crawlers, και πω? το site σα? διαχειρ?ζεται κρ?σιμα θ?ματα ?πω? τα login info, passwords, lost passwords ? password resets, security questions, κτλ.

Υπ?ρχει ολ?κληρο κεφ?λαιο σε αυτ?ν τον τομ?α ασφαλε?α? που λ?γεται Google hacking, και αναφ?ρεται στο πω? η ?δια η Google αποκαλ?πτει πληροφορ?ε? που βρ?σκει και ευρετηρι?ζει εν? δεν θα ?πρεπε.

Δε?τε περισσ?τερα στο παρακ?τω ?ρθρο: Google Hacking: Ten Simple Security Searches That Work

Το να χρησιμοποι?σετε αποτελεσματικ? το αρχε?ο robots.txt για να μπλοκ?ρετε πρ?γματα και bots που θα πρ?πει να μπλοκαριστο?ν προτε?νεται.

Προσωπικ? Ασφ?λεια

Κ?θε ?να? που ασχολε?ται ?στω και ερασιτεχνικ? με το hacking, γνωρ?ζει ?τι ο ανθρ?πινο? παρ?γοντα? στην ασφ?λεια του WordPress ε?ναι ?σω? ο πιο αδ?ναμο? κρ?κο?. Ακ?μα και ο πιο συνετ?? διαχειριστ?? μπορε? να πιαστε? κορ?ιδο και π?νω στην αφ?λεια του να β?λει τα πιο κοιν? password ?πω? Love, Sex, Secret, God, Hack the Planet!

Ο ανθρ?πινο? νου δυστυχ?? καθοδηγε?τε απ? τη δ?ναμη τη? συν?θεια?, ?πω? μοτ?βα, καθημεριν?τητα, ρουτ?να και β?λεμα. Οι χ?κερ? ε?ναι οι πρ?τοι που επωφελο?νται απ? αυτ?.? ?μα σα? αρ?σει το δι?βασμα και συναρπ?ζεστε απ? τον μαγικ? κ?σμο των χ?κερ?, τ?τε για σα? ε?ναι το βιβλ?ο του Kevin Mitnick’s,? The Art of Deception.

Παρακ?τω σα? παραθ?τω τι? καλ?τερε? 7 τακτικ?? για να περιορ?σετε τον ανθρ?πινο παρ?γοντα στο hacking:

1. Ποτ? μην μπα?νετε στο ?ντερνετ απ? WiFi hotspot χωρ??? secure VPN. Προσωπικ? χρησιμοποι? το cloakvpn ω? VPN (υποστηρ?ζει ?λα τα λειτουργικ? αυτ? τη στιγμ?), αλλ? υπ?ρχουν και πολλ?? ?λλε? επιλογ?? για VPN. Θα σοκαριστε?τε αν μ?θετε ?τι απλ? προγραμματ?κια που διατ?θενται δωρε?ν στο ?ντερνετ και στα κινητ? μπορο?ν να διαρρ?ξουν τα π?ντα απ? ?ποψη ασφαλε?α?. Τ?τοιο παρ?δειγμα αποτελε? το Firesheep το οπο?ο θα σα? κ?νει σ?γουρα να ανησυχ?σετε. ?ταν χρησιμοποιε?τε ?να WiFi network, secured ? unsecured, κ?θε ?να? απ? αυτ? το δ?κτυο μπορε? να δει το δικ? σα? traffic. Αν ?λο το traffic σα? ε?ναι κωδικοποιημ?νο ε?ναι ασφαλ?στερο για αυτ? θα πρ?πει να χρησιμοποι?στε το? VPN. ?μα ?χετε ?να WiFi στη δουλει? ? στο σπ?τι χρησιμοποι?στε ?να δυνατ? password, προτιμ?στε WPA2, και επιλ?ξτε να μην εμφαν?ζεται στο router το SSID. Αυτ? ε?ναι μια τακτικ?? “security by obscurity”.
2. Β?λτε ?να firewall. ?να καλ? firewall ε?ναι ?να τ?λειο αμυντικ? εργαλε?ο. Σε ?ναν τ?λειο κ?σμο, θα συνιστο?σα να ε?χατε και software αλλ? και hardware firewall, αλλ? αυτ? δεν ε?ναι βι?σιμη λ?ση για τον καθ?να. Τουλ?χιστον χρει?ζεστε ?να software firewall (Comodo, ZoneAlarm, κτλ). Μπορε? να ε?ναι λ?γο ενοχλητικ?, εξαρτ?ται απ? τι? ρυθμ?σει? ?μω? που θα κ?νετε και θα πρ?πει να το ?χετε για κ?θε ηλεκτρονικ? συσκευ? με την οπο?α ?χετε ?ντερνετ.
3. Λογισμικ? antivirus. Οι ιο? και το λεγ?μενο malware πολλαπλασι?ζονται κ?θε μ?ρα και οι στατιστικ?? λ?νε ?τι σ?γουρα θα ?χετε π?σει ? θα π?σετε θ?μα κ?ποιου υιο? τουλ?χιστον μαι φορ? στη ζω? σα?. Αν κ?ποιο? hacker αποκτ?σει πρ?σβαση στον υπολογιστ? σα?, σ?γουρα θα μπορε? και απ? αυτ?ν να μπει στην εγκατ?σταση WordPress. Καλ? ε?ναι να ?χετε κ?ποιο πρ?γραμμα antivirus ?πω? το Avast ? το AVG.
4. Προστασ?α hardware σε φυσικ? επ?πεδο. Το keylogger ε?ναι μια πολ? μικρ? αλλ? αποτελεσματικ? συσκευ? που μπορε? να προστατ?ψει τον υπολογιστ? σα? απ? επιθ?σει? εντ?? και εκτ?? τοπικο? δικτ?ου, απ? επιθ?σει? συναδ?λφων κτλ. Αν χρησιμοποι?τε σταθερ? υπολογιστ? στη δουλει? σα? θα πρ?πει συχν? να ελ?γχετε τα USB ports και ?λα τα καλ?δια για ?ποπτε? συσκευ?? και ?ποπτε? συνδ?σει?. Δε?τε περισσ?τερα για την ασφ?λεια που ?χει η Google για του? servers τη?!
5. Χρησιμοποι?στε ισχυρ? passwords, και ποτ? μην ξαναχρησιμοποι?σετε τα ?δια passwords αλλο? ? σε ?λλα sites. Ο παρ?γοντα? ανθρ?πινη συν?θεια ? τεμπελι? υπεισ?ρχεται σε αυτ? το θ?μα. Το να β?ζω τον ?διο κωδικ? παντο? δεν ε?ναι και το καλ?τερο ? να β?ζω απλο?? κωδικο?? ?πω? 123456789 κτλ. Τα κοιν? passwords κ?νουν τα πρ?γματα πολ? ε?κολα για του? hackers. Ειδικ? αν ?χετε θ?σει το ?διο password για πολλ? sites. Τα λειτουργικ? συστ?ματα και οι κωδικο? του? ε?ναι ε?κολο να σπαστο?ν με τα rainbow tables, οπ?τε θα πρ?πει να κ?νετε το password για το λειτουργικ? σα? μακρ? (τουλ?χιστον 15 χαρακτ?ρε?) και πολ?πλοκο. Θα πρ?πει να ?χετε συνδυασμ? μικρ?ν και κεφαλα?ων, συμβ?λων, κτλ. Δε?τε περισσ?τερα στο παρακ?τω ?ρθρο: Rainbow Hash Cracking. Προτειν?μενα εργαλε?α για να αποθηκε?σετε και να δημιουργ?σετε ισχυρ? passwords ε?ναι τα παρακ?τω:? LastPass, 1Password ? Roboform. Προσωπικ? προτιμ? να διαχειρ?ζομαι μ?νο? μου τα password μου. Και το ελ?χιστο που ?χω να σα? πω ω? συμβουλ? ε?ναι να ?χετε τουλ?χιστον ?στω και ?να password πολ?πλοκο, το οπο?ο θα θυμ?στε απ’ ?ξω.
6. Προστατ?ψτε τα email σα? με two-factor authentication (και μετ? προστατ?ψτε το κινητ? σα? ) Ε?ν ?να? hacker δεν μπορε? να μπει στο site σα? μ?σω password, το επ?μενο κ?λπο του ε?ναι να μπει στον λογαριασμ? email σα?. Χρησιμοποι?στε δ?ο σταδ?ων ασφ?λεια για το email σα? και κλειδ?στε το τηλ?φων? σα? με ?να μεγ?λο password το οπο?ο θα το θυμ?στε απ?ξω. Αν κ?ποιο site απαιτε? αριθμ? τηλεφ?νου, π?ρτε ?να? Google Voice number για αυτ?ν τον σκοπ?. Τ?λο?, β?λτε ερωτ?σει? ασφαλε?α? στο τηλ?φωνο σα? σε περ?πτωση που κ?ποιο? προσπαθ?σει μ?ταια να το ξεκλειδ?σει.
7. Αναγνωρ?στε και αποφ?γετε τα phishing attacks. Ε?τε με email ? website, τα phishing attacks ε?ναι οι πιο κοιν?? επιθ?σει? και φ?ρνουν και αποτ?λεσμα. ?σω? κ?ποιο? απ? εσ?? να ?χετε ακο?σει για το hacked AP Twitter account fiasco που προκ?λεσε μαζικ? πτ?ση στην μετοχ? του Twitter και οφε?λεται αποκλειστικ? σε phishing το λεγ?μενο ?ψ?ρεμα. Για να αποφ?γετε το phishing θα πρ?πει να μην κ?νετε ποτ? κλικ σε ?ποπτα link απ? το email σα?, ειδικ? αν αυτ? ε?ναι για το Facebook, paypal, winbank, twitter κτλ. Και δε?τερον, ?ταν πρ?κειται για ?ποπτα links, θα πρ?πει να τα κ?νετε ?να copy paste στη Google για να τα ελ?γξετε. Πολλ? αθ?α links μπορε? να εμπερι?χουν κακ?βουλα spam. Ε?ν εντοπ?σετε πω? κ?ποιο? φ?λο? σα? σα? ?στειλε κ?ποιο spam link, ειδοποι?στε τον για να λ?βει τα μ?τρα του ?σω? γιατ? ?πεσε θ?μα hacking.

Ελ?γξτε το WordPress συν?χεια

Σχετικ? με την ασφ?λεια WordPress, δεν μπορε?τε να ασχοληθε?τε μια φορ? για π?ντα. Πρ?πει π?τε να μην αδρανε?τε και π?ντα θα πρ?πει να ?χετε το νου σα?.

Αν ξεκιν?στε να χρησιμοποι?τε ?λα τα παραπ?νω και μετ? δεν μπορ?σετε να τα ελ?γξετε και να τα παρακολουθ?σετε, τ?τε σ?γουρα θα αντιμετωπ?σετε προβλ?ματα ασφαλε?α? στο WordPress.

Για να βεβαιωθε?τε ?τι η δουλει? σα? δεν π?γε χαμ?νη, θα πρ?πει να ?χετε στο νου σα? τα παρακ?τω 7 σημε?α απ? τη λ?στα για κ?θε WordPress site:

1. Κρατ?στε το WordPress ενημερωμ?νο. Καθημεριν? ελ?γχω και συντηρ? τα site μου. Αν δεν μπορε?τε να το κ?νετε αυτ? καθημεριν?, θα πρ?πει να το κ?νετε τουλ?χιστον μια φορ? το μ?να. Αν επιλ?ξτε ?μω? τι? αυτ?ματε? ενημερ?σει?, ?σω? αυτ? να βλ?ψει ? και να ρ?ξει το site σα?.
2. Κρατ?στε τα WordPress plugins ενημερωμ?να. Τα Plugins ε?ναι απ? τα πιο ευ?λωτα χαρακτηριστικ? του WordPress. ?χι μ?νο στου? εξωτερικο?? hackers, αλλ? και στου? ?πληστου? ? κακ?βουλου? προγραμματιστ?? αλλ? και στου? ανταγωνιστ?? σα? που ?σω? θ?λουν να σα? βλ?ψουν. Χρησιμοποι?στε μ?νο τα ελ?χιστα δυνατ? plugins, μ?νο τα δοκιμασμ?να και καλ?φημα και κρατ?στε τα ενημερωμ?να. Αν επιλ?ξτε ?μω? τι? αυτ?ματε? ενημερ?σει?, ?σω? αυτ? να βλ?ψει ? και να ρ?ξει το site σα?.
3. Ελ?γξτε τα server log files. Αυτ? μπορε? να ε?ναι σχεδ?ν ακατ?ρθωτο για σα?, εκτ?? και αν ?χετε εντοπ?σει κ?τι ?ποπτο. Τα? server logs θα σα? δ?σουν ακριβ?? λεπτομ?ρειε? για οποιαδ?ποτε απ?πειρα hacking στο site σα? ε?τε ανθρ?πινη ε?τε απ? bot και απ? ποια IP address. ?να καλ? εργαλε?ο για να το κ?νετε αυτ? ε?ναι το AWStats και παρ?χεται δωρε?ν!
4. Ελ?γξτε την πρ?σβαση στο WordPress. Μπορε?τε να χρησιμοποι?σετε ?να plugin ?πω? το Simple Login Log ? το WordFence για να ελ?γχετε κ?θε φορ? που κ?ποιο? μπα?νει στο site σα?. Προτιμ? το WordFence γιατ? επιτελε? και ?λλου? ρ?λου? εκτ?? απ? αυτ?ν.
5. Ελ?γξτε τι? αλλαγ?? αρχε?ων. ?να plugin ?πω? το CodeGuard θα σα? στ?λνει emails ?ποτε υπ?ρχει κ?ποια αλλαγ? στο αρχε?α του WordPress. Αυτ? ε?ναι ?να? προ?γγελο? για το αν το σ?στημα σα? ?χει π?σει θ?μα hacker και αξ?ζει να επενδ?σετε σε αυτ?.
6. Αλλ?ξτε τα password σα? τακτικ?. Θα συνιστο?σα να αλλ?ζατε τα passwords κ?θε 3 με 6 μ?νε?,? αλλ? θεωρ? ?τι ε?ναι πιο λειτουργικ? να τα αλλ?ζατε μ?α φορ? το χρ?νο ?λα τα passwords.
7. Κρατ?στε ενημερωμ?να τα Firewall και τα Antivirus. Ν?ε? απειλ?? και ν?οι υιο? ανακαλ?πτονται καθημεριν?, ε?ναι σημαντικ? λοιπ?ν να ?χετε τα π?ντα ενημερωμ?να. Παλι? προγρ?μματα και απαρχαιωμ?να λογισμικ? ε?ναι επικ?νδυνα.

Υπ?ρχουν κυριολεκτικ? χιλι?δε? πηγ?? στο ?ντερνετ για το hacking και την ασφ?λεια στο WordPress. ?μω? πολ? λ?γε? απ? αυτ?? ε?ναι στα ελληνικ?.

Θα σα? συμβο?λευα να εφαρμ?σετε τα παραπ?νω β?ματα, πρ?τα ?σα ε?ναι δωρε?ν και μετ? να π?τε στα πληρωμ?να εργαλε?α ασφαλε?α?. Η ουσ?α ?μω? ε?ναι να αναπτ?ξετε μια φιλοσοφ?α συνεχο?? βελτ?ωση? τη? ασφ?λεια? στο WordPress και σε ?λα τα συστ?ματ? σα?.

?

Ασφ?λεια WordPress Πηγ??:

• ΜΟΖ: Τhe definitive guide to wordpress security
• WordPress SEO
• Web Design: 8 συμβουλε? για ασφαλεια στο WordPress

Ζητ?στε μια προσφορ? σ?μερα για κατασκευ? ιστοσελ?δα?

Αν ε?στε πριν την κατασκευ? ? την ανακατασκευ? τη? ιστοσελ?δα? σα?, πριν κ?νετε οτιδ?ποτε ζητ?στε μια προσφορ? για κατασκευ? site ? κατασκευ? eshop με το Genesis Theme Framework.

Ζητ?στε προσφορ? κατασκευ??? ? προ?θηση? ιστοσελ?δα?

Δωρε?ν Μαθ?ματα SEO Αξ?α? 129€

Π?ρτε εντελ?? δωρε?ν τον οδηγ? β?ντεο μαθημ?των αξ?α? 129€ SEO GOOGLE Πρ?τη Σελ?δα. Ε?ναι πολ? συνετ? να αφιερ?νετε το 20% του χρ?νου και των π?ρων σα? στην προσωπικ? σα? εκπα?δευση και στην προσωπικ? σα? αν?πτυξη. Γραφτε?τε σ?μερα στα β?ντεο μαθ?ματα εντελ?? δωρε?ν!