Όσοι κάνετε κατασκευή ιστοσελίδων έχετε αναρωτηθεί για ποιούς λόγους οι ιστότοποι του WordPress παραβιάζονται; Είναι απογοητευτικό να διαπιστώσετε ότι ο ιστότοπός σας στο WordPress έχει παραβιαστεί. Σε αυτό το άρθρο, θα μοιραστούμε τους συνηθέστερους λόγους για τους οποίους ο ιστότοπος του WordPress παραβιάζεται. Έτσι θα είστε σε θέση να αποφύγετε αυτά τα λάθη και να προστατεύσετε τη δουλειά σας όταν κάνετε κατασκευή ιστοσελίδων.
Γιατί το WordPress γίνεται στόχος από τους χάκερς;
Πρώτον, δεν είναι μόνο το WordPress. Όλοι οι ιστότοποι στο διαδίκτυο είναι ευάλωτοι σε απόπειρες πειρατείας.
Ο λόγος για τον οποίο οι ιστοσελίδες WordPress είναι ένας κοινός στόχος είναι επειδή το WordPress είναι το δημοφιλέστερο λογισμικό ιστοσελίδων στον κόσμο. Έχει χρησιμοποιηθεί γαι τη δημιουργία ιστοσελίδων σε πάνω από το 31% όλων των ιστότοπων. Αυτό σημαίνει οτι με το wordpress κατασκευάστηκαν εκατοντάδες εκατομμύρια ιστοσελίδες ανά τον κόσμο.
Αυτή η τεράστια δημοτικότητα δίνει στους χάκερ έναν εύκολο τρόπο να βρουν ιστότοπους που είναι λιγότερο ασφαλείς, ώστε να μπορούν να το εκμεταλλευτούν.
Οι χάκερ έχουν διαφορετικά κίνητρα για να χάσουν έναν ιστότοπο. Μερικοί είναι αρχάριοι που μαθαίνουν να εκμεταλλεύονται λιγότερο ασφαλείς τοποθεσίες.
Μερικοί χάκερ έχουν κακόβουλες προθέσεις όπως τη διανομή κακόβουλου λογισμικού, τη χρήση ενός ιστότοπου για την επίθεση σε άλλους ιστότοπους ή το spam στο διαδίκτυο.
Ας δούμε τώρα για ποιους λόγους παραβιάζονται οι ιστότοποι wordpress:
1. Μη ασφαλής Web Hosting
Όπως και σε όλους τους ιστότοπους, οι ιστότοποι WordPress φιλοξενούνται σε ένα διακομιστή ιστού. Ορισμένες εταιρείες φιλοξενίας δεν λαμβάνουν τα κατάλληλα και επαρκή μέτρα ώστε ναεξασφαλίσουν σωστά την πλατφόρμα φιλοξενίας τους. Αυτό καθιστά όλους τους ιστότοπους που φιλοξενούνται στους διακομιστές τους ευάλωτους σε απόπειρες πειρατείας.
Αυτό μπορεί εύκολα να αποφευχθεί επιλέγοντας τον καλύτερο πάροχο φιλοξενίας WordPress για την ιστοσελίδα σας. Εξασφαλίστε ότι ο ιστότοπός σας φιλοξενείται σε ασφαλή πλατφόρμα. Οι κατάλληλα προστατευμένοι ασφαλείς διακομιστές μπορούν να εμποδίσουν πολλές από τις πιο κοινές επιθέσεις σε ιστότοπους του WordPress.
2. Χρήση αδύναμων κωδικών πρόσβασης
Οι κωδικοί πρόσβασης είναι τα κλειδιά στον ιστότοπό σας WordPress. Θα πρέπει να βεβαιωθείτε ότι χρησιμοποιείτε έναν ισχυρό μοναδικό κωδικό πρόσβασης για καθέναν από τους ακόλουθους λογαριασμούς, διότι μπορούν να παρέχουν σε έναν χάκερ πλήρη πρόσβαση στον ιστότοπό σας.
- Ο λογαριασμός διαχειριστή του WordPress
- Λογαριασμός του πίνακα ελέγχου του web hosting
- Λογαριασμοί FTP
- Βάση δεδομένων MySQL που χρησιμοποιείται για τον ιστότοπό σας στο WordPress
- Λογαριασμοί ηλεκτρονικού ταχυδρομείου που χρησιμοποιούνται για λογαριασμό διαχειριστή ή φιλοξενίας του WordPress
Όλοι αυτοί οι λογαριασμοί προστατεύονται από κωδικούς πρόσβασης. Η χρήση αδύναμων κωδικών πρόσβασης διευκολύνει τους χάκερς να σπάσουν τους κωδικούς πρόσβασης χρησιμοποιώντας κάποια απλά και βασικά εργαλεία hacking.
Ασφάλεια και προώθηση ιστοσελίδων
Με την πρώτη ματιά η ασφάλεια και η προώθηση ιστοσελίδων είναι δυο πράγματα εντελώς ξένα μεταξύ τους. Στην πράξη όμως η προώθηση τςη ιστοσελίδας εξαρτάται άμεσα από την ασφάλεια. Η παραβίαση ενός ιστοτόπου θα έχει πολύ αρνητική επίδραση στην κατάταξη της ιστοσελίδας. Εάν η σελίδα έχει καταφέρει να φτάσει στην πρώτη σελίδα της google, η παραβίαση που δεν θα διορθωθεί εντός μιας ή δυο ημερών, θα τη ρίξει στη δεύτερη ή στην τρίτη σελίδα της κατάταξης. Είναι απαραίτητο να εξαδφαλίσετε την αδιάλειπτη λειτουργία πριν προχωρήσετε στην προώθηση της ιστοσελίδας σας.
3. Απροστάτευτη πρόσβαση στο WordPress Admin (wp-admin Directory)
Η περιοχή διαχείρισης του WordPress δίνει άμεση πρόσβαση σε κάθε χρήστη που καταφέρει να φτάσει εκεί για να εκτελέσει διάφορες ενέργειες στο WordPress ιστότοπό σας. Είναι επίσης η πιο συχνά παραβιασμένη περιοχή ενός ιστότοπου WordPress.
Αφήνοντας το απροστάτευτο επιτρέπει στους χάκερ να δοκιμάσουν διαφορετικές προσεγγίσεις για να σπάσουν τον ιστότοπό σας. Μπορείτε να τους δυσκολέψετε προσθέτοντας στρώματα ελέγχου ταυτότητας στον κατάλογο admin του WordPress.
Πρώτα πρέπει να προστατεύσετε τον κωδικό πρόσβασής σας στο WordPress. Αυτό προσθέτει ένα πρόσθετο επίπεδο ασφαλείας και όποιος προσπαθεί να αποκτήσει πρόσβαση στο διαχειριστή του WordPress θα πρέπει να παράσχει έναν επιπλέον κωδικό πρόσβασης.
Εάν εκτελείτε έναν ιστότοπο WordPress πολλαπλών συγγραφέων ή πολλαπλών χρηστών, τότε μπορείτε να επιβάλλετε ισχυρούς κωδικούς πρόσβασης για όλους τους χρήστες του ιστότοπού σας. Μπορείτε επίσης να προσθέσετε έλεγχο ταυτότητας δύο παραγόντων (two factor authentication) για να καταστήσετε ακόμα πιο δύσκολη την είσοδο των hacker στην περιοχή διαχείρισης του WordPress.
4. Λανθασμένα δικαιώματα επί των αρχείων
Τα δικαιώματα αρχείων είναι ένα σύνολο κανόνων που χρησιμοποιούνται από τον διακομιστή ιστού σας. Αυτά τα δικαιώματα βοηθούν τον διακομιστή ιστού να ελέγχει την πρόσβαση στα αρχεία στον ιστότοπό σας. Τα εσφαλμένα δικαιώματα αρχείων μπορούν να επιτρέψουν σε έναν hacker να έχει πρόσβαση για να γράψει και να αλλάξει αυτά τα αρχεία.
Όλα τα αρχεία WordPress θα πρέπει να έχουν τιμή 644 στα δικαιώματα επί του αρχείου. Όλοι οι φάκελοι στον ιστότοπό σας WordPress θα πρέπει να έχουν το 755 στα δικαιώματα επί του φακέλου.
5. Μη ενημερωμένο WordPress
Ορισμένοι χρήστες του WordPress φοβούνται να ενημερώσουν τους ιστότοπους του WordPress. Φοβούνται ότι αυτό θα προκαλούσε προβλήματα στην εμφάνιση της ιστοσελίδας τους.
Κάθε νέα έκδοση του WordPress διορθώνει σφάλματα και ευπάθειες ασφαλείας. Εάν δεν ενημερώνετε το WordPress, τότε αφήνετε σκόπιμα την περιοχή σας ευάλωτη.
Εάν φοβάστε ότι μια ενημέρωση έκδοσης θα προκαλέσει προβλήματα στον ιστότοπό σας, τότε μπορείτε να δημιουργήσετε ένα πλήρες αντίγραφο ασφαλείας του WordPress πριν εκκινήσετε μια ενημέρωση έκδοσης. Με αυτόν τον τρόπο, αν κάτι δεν λειτουργήσει, τότε μπορείτε εύκολα να επιστρέψετε στην προηγούμενη έκδοση.
6. Μη ενημερωμένα Plugins ή μη ενημερωμένο Θέμα
Ακριβώς όπως το βασικό λογισμικό WordPress, η ενημέρωση του θέματος και των plugins είναι εξίσου σημαντική. Η χρήση ενός παρωχημένου plugin ή ενός θέματος μπορεί να κάνει τον ιστότοπό σας ευάλωτο.
Τα σφάλματα και τα κενά ασφαλείας συχνά εντοπίζονται σε πρόσθετα και θέματα WordPress. Συνήθως, οι δημιουργοί θεμάτων και πρόσθετων (plugin) εκδίδουν γρήγορα ενημερώσεις ώστε να καλύπτουν όλα τα κενά ασφαλείας.
Βεβαιωθείτε ότι διατηρείτε το WordPress θέμα και τα plugins σας ενημερωμένα.
7. Χρήση απλού FTP αντί για SFTP / SSH
Οι λογαριασμοί FTP χρησιμοποιούνται για την αποστολή αρχείων στον διακομιστή ιστού σας χρησιμοποιώντας ένα πρόγραμμα-πελάτη FTP. Οι περισσότεροι πάροχοι φιλοξενίας υποστηρίζουν συνδέσεις FTP χρησιμοποιώντας διαφορετικά πρωτόκολλα. Μπορείτε να συνδεθείτε χρησιμοποιώντας απλό FTP, SFTP ή SSH.
Όταν συνδέεστε στον ιστότοπό σας χρησιμοποιώντας απλό FTP, ο κωδικός σας αποστέλλεται στο διακομιστή χωρίς κρυπτογράφηση. Μπορεί να κλαπεί εύκολα. Αντί να χρησιμοποιείτε FTP, συνιστούμε πάντα να χρησιμοποιείτε SFTP ή SSH.
Δεν θα χρειαστεί να αλλάξετε το λογισμικό FTP που ήδη χρησιμοποιείτε. Τα περισσότερα λογισμικά FTP μπορούν να συνδεθούν στον ιστότοπό σας με το SFTP καθώς και με το SSH. Απλώς πρέπει να αλλάξετε το πρωτόκολλο σε ‘SFTP – SSH’ όταν συνδέεστε στον ιστότοπό σας.
8. Χρήση του “admin” ως όνομα χρήστη του WordPress
Η επιλογή του “admin” ως το όνομα χρήστη σας στο WordPress δεν συνιστάται. Εάν το όνομα χρήστη του διαχειριστή σας είναι “admin”, θα πρέπει να το αλλάξετε αμέσως σε διαφορετικό όνομα χρήστη.
9. Μη αξιόπιστα Θέματα και Πρόσθετα (Plugins)
Υπάρχουν πολλές ιστοσελίδες στο διαδίκτυο που διανέμουν δωρεάν τα plugins και τα θέματα WordPress. Μερικές φορές είναι εύκολο να μπει κάποιος στον πειρασμό να χρησιμοποιήσει αυτά τα πρόσθετα και τα θέματα στον ιστότοπό του.
Η λήψη WordPress θεμάτων και πρόσθετων από αναξιόπιστες πηγές είναι πολύ επικίνδυνη. Όχι μόνο μπορούν να θέσουν σε κίνδυνο την ασφάλεια του ιστότοπού σας, αλλά μπορούν επίσης να χρησιμοποιηθούν για να κλέψουν ευαίσθητες πληροφορίες.
Θα πρέπει πάντα να κατεβάζετε plugins και θέματα WordPress από αξιόπιστες πηγές.
Αν δεν μπορείτε να αντέξετε οικονομικά ή δεν θέλετε να αγοράσετε ένα plugin ή θέμα υψηλής ποιότητας, τότε υπάρχουν πάντα δωρεάν εναλλακτικές λύσεις διαθέσιμες στον επίσημο ιστότοπο wordpress. Αυτά τα δωρεάν πρόσθετα ενδέχεται να μην είναι τόσο καλά όσο τα πληρωμένα τους αντίστοιχα, αλλά θα κάνουν τη δουλειά και το πιο σημαντικό να κρατήσουν τον ιστοτόπο σας ασφαλή.
10. Μη προστατευμένο αρχείο wp-config.php
Το αρχείο διαμόρφωσης του WordPress wp-config.php περιέχει τα στοιχεία σύνδεσης για την βάση δεδομένων του WordPress. Εάν κάποιος αποκτήσει πρόσβαση σε αυτό, τότε θα ανακαλύψει πληροφορίες που θα μπορούσαν να του δώσουν πλήρη πρόσβαση στον ιστότοπό σας.
Μπορείτε να προσθέσετε ένα επιπλέον επίπεδο προστασίας αρνούμενος την πρόσβαση στο αρχείο wp-config χρησιμοποιώντας το .htaccess.
Απλά προσθέστε αυτόν τον μικρό κώδικα στο αρχείο .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Μη αλλαγμένο πρόθεμα πίνακα του WordPress
Πολλοί ειδικοί συνιστούν να αλλάξετε το προεπιλεγμένο πρόθεμα πίνακα WordPress. Από προεπιλογή, το WordPress χρησιμοποιεί το wp_ ως πρόθεμα για τους πίνακες που δημιουργεί στη βάση δεδομένων σας. Έχετε τη δυνατότητα να την αλλάξετε κατά τη διάρκεια της εγκατάστασης.
Συνιστάται να χρησιμοποιείτε ένα πρόθεμα που είναι λίγο πιο περίπλοκο. Αυτό θα κάνει πιο δύσκολο για τους hackers να μαντέψουν τα ονόματα των πινάκων της βάσης δεδομένων σας.
Το wordpress μας δίνει τη δυνατότητα να κάνουμε κατασκευή e-shop. Εάν επιλέξετε τη δημιουργία ηλεκτρονικού καταστήματος με το WordPress τότε η ασφάλεια αποτελεί ακόμα σημαντικότερη προϋπόθεση. Το woocommerce δεν έχει να ζηλέψει τίποτα από τα υπόλοιπα λογισμικά δημιουργίας ηλεκτρονικού καταστήματος συγκρινόμενο σε όλα τα επίπεδα. Ειδικότερα στο θέμα της ασφάλειας συνιστούμε ανεπιφύλακτα το wordpress για την κατασκευή e-shop.
