Στο άρθρο αυτό περιγράφουμε κάποιες απλές τεχνικές οι οποίες θα βοηθήσουν πολύ την ασφάλεια μιας ιστοσελίδας κατασκευασμένης με το wordpress.
—————————————-
1: Προστασία του αρχείου wp-config.php
Το αρχείο wp-config.php περιέχει όλες τις σημαντικές πληροφορίες για την ιστοσελίδα μας.
Επομένως είναι πολύ σημαντικό να το προστατέψουμε καλά.
Ένας εύκολος τρόπος για να πετύχουμε την προστασία του αρχείου είναι απλά να προσθέσουμε τις παρακάτω γραμμές κώδικα στο αρχείο .htaccess:
order allow,deny
deny from all
—————————————-
2: Προστασία του αρχείου .htaccess
Το αρχείο .htaccess χρησιμοποιήθηκε για την προστασία του αρχείου wp-config.php.
Τώρα θα προστατέψουμε το ίδιο το αρχείο .htaccess.
Θα χρησιμοποιήσουμε το ίδιο το αρχείο .htaccess για να προστατέψει τον εαυτό του.
Απλά πρέπει να προσθέσουμε τον παρακάτω κώδικα στο αρχείο .htaccess:
order allow,deny
deny from all
—————————————-
3: Απόκρυψη της έκδοσης του WordPress (WordPress Version)
Όσο λιγότερα στοιχεία γνωρίζει ο hacker για την ιστοσελίδα μας, τόσο καλύτερα.
Μια πληροφορία που δεν υπάρχει λόγος να τη μάθει ο επίδοξος εισβολέας είναι η έκδοση του wordpress.
Μια καλή ιδέα είναι να αφαιρέσουμε το generator meta από το wordpress, διότι δείχνει την έκδοση του wordpress:
Αυτό θα το καταφέρουμε προσθέτοντας την παρακάτω γραμμή στο function.php του ενεργού θέματος (active theme).
remove_action(‘wp_head’, ‘wp_generator’);
Εάν θέλουμε να έχουμε ακόμα υψηλότερη ασφάλεια μπορούμε να αφαιρέσουμε την έκδοση του wordpress και από τα RSS feeds.
Αυτό θα γίνει με τον παρακάτω κώδικα:
function wpt_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpt_remove_version’);
—————————————-
4: Αλλαγή του προθέματος της βάσης δεδομένων (Database Prefix)
Η εγκατάσταση του wordpress συνήθως γίνεται με αυτοματοποιημένο τρόπο με τη χρήση wizard.Αυτό έχει σαν συνέπεια πολλά χαρακτηριστικά να είναι ίδια σε όλους τους ιστότοπους που κατασκευάστηκαν με το wordpress.Ένα τέτοιο χαρακτηριστικό είναι το πρόθεμα της βάσης δεδομένων (Database Prefix).
Συνεπώς αυτή η πληροφορία είναι γνωστή και στον επίδοξο εισβολέα.Καλό είναι να το αλλάξουμε ώστε να προσθέσουμε ακόμα μια δυσκολία σε όποιον προσπαθήσει να επιτεθεί στην ιστοσελίδα μας.
Για να το πετύχουμε αυτό πρέπει να κάνουμε δυο ενέργειες:
Η πρώτη ενέργεια είναι να αλλάξουμε την κατάλληκη γραμμή στο αρχείο wp-config.php ως εξής:
$table_prefix = ‘wp_a123456_’;
(όπου το a123456 είναι μια δική μας τιμή)
Η δεύτερη ενέργεια είναι να αλλάξουμε όλα τα ονόματα των πινάκων στη βάση δεδομένων. Αυτό μπορεί να γίνει μέσω του phpMyAdmin.
Ακολουθούν οι εντολές mysql για την αλλαγή των ονομάτων:
RENAME table `wp_commentmeta` TO `wp_a123456_commentmeta`;
RENAME table `wp_comments` TO `wp_a123456_comments`;
RENAME table `wp_links` TO `wp_a123456_links`;
RENAME table `wp_options` TO `wp_a123456_options`;
RENAME table `wp_postmeta` TO `wp_a123456_postmeta`;
RENAME table `wp_posts` TO `wp_a123456_posts`;
RENAME table `wp_terms` TO `wp_a123456_terms`;
RENAME table `wp_term_relationships` TO `wp_a123456_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_a123456_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_a123456_usermeta`;
RENAME table `wp_users` TO `wp_a123456_users`;
Επίσης καλό είναι να κάνουμε αναζήτηση σε όλα τα πεδία όλων των πινάκων για το πρόθεμα “wp_”.
Ειδικά για τους πίνακες Options Table και UserMeta Table:
Αυτό γίνεται με τις εντολές mysql:
SELECT * FROM `wp_a123456_options` WHERE `option_name` LIKE ‘%wp_%’
SELECT * FROM `wp_a123456_usermeta` WHERE `meta_key` LIKE ‘%wp_%’
—————————————-
5: Περιορισμός του πλήθους Προσπαθειών Σύνδεσης (Number of Failed Login Attempts)
Όσο λιγότερες προσπάθειες έχει κάποιος για να κάνει login στο wordpress, Τόσο πιο ασφαλές είναι το wordpress.
Το πλήθος των Προσπαθειών Σύνδεσης μπορούμε να το περιορίσουμε χρησιμοποιώντας το plugin Login LockDown:
—————————————-
Φυσικά μια πλατφόρμα ασφαλείας όπως το wordfence σωστά ρυθμισμένη μπορεί και κάνει όχι μόνο όλα αυτά αλλά και πολλά περρισότερα. Γιαυτό και σε κάθε κατασκευή δυναμικής ιστοσελίδας με την χρήση wordpress στην dreamweaver.gr εγκαθιστούμε το wordfence γιατί η ασφάλεια στον ιστοτόπο μας δεν είναι κάτι που μπορούμε να πάρουμε αψήφιστα.
Τα θέματα ασφάλειας δεν είναι κάτι που ενδεχομένως να μας απασχολήσει αλλά κάτι που απλά είναι θέμα χρόνο το πότε θα μας απασχολήσει και όπως σε όλα τα πράγματα στην ζωή η πρόληψη είναι καλύτερη από την επιδιόρθωση . Προτού δούμε την ιστοσελίδα μας χακεμένη, τις μηχανές αναζήτησης να μας στέλνουν στον πάτο , την αξιοπιστία και την φήμη μας να δέχεται βαρύτατο πλήγμα.
Την πρόβλεψη μας για αυτά μπορούμε να την επιδεικνύουμε και μέσω της σφραγίδας του safesite.gr που αποδεικνύει την πιστοποίηση της ιστοσελίδας μας.