Περισσότερες από τις μισές επιτυχημένες επιθέσεις σε wordpress sites οφείλονται σε κενά ασφαλείας στα WordPress Plugins και Themes. Πρέπει να προσέχουμε πολύ πριν εγκαταστήσουμε κάποιο plugin ή κάποιο theme στην ιστοσελίδα μας.
Καλό είναι να αποφεύγουμε τα plugins. Αν κάτι μπορεί να γίνει είτε με plugin είτε χωρίς plugin, είναι προτιμότερο να γίνει χωρίς plugin. Αν το plugin έχει ήδη εγκατασταθεί, καλό είναι να το διαγράψουμε.
Καλό είναι να αποφεύγουμε plugins που δεν έχουν ενημερωθεί τα τελευταία δυο χρόνια, διότι είναι πολύ πιθανο να έχουν κενά ασφαλείας τα οποία δεν έχουν καλυφθεί. Εάν είναι εφικτό, καλό είναι να χρησιμοποιούμε plugins που ενημερώνονται τακτικά.
Καλό είναι να αποφεύγουμε plugins με φτωχό ή προχειρογραμμένο κώδικα, διότι ένα προχειρογραμμένο plugin θα διευκολύνει ένα hacker που θέλει να επιτεθεί στην ιστοσελίδα μας.
Είναι πολύ σημαντικό να είναι ενημερωμένο και καλογραμμένο το theme της ιστοσελίδας μας. Μπορούμε να ελέγξουμε την ποιότητα του κώδικα ενός theme ή ενός plugin χρησιμοποιώντας κάποια plugin.
Ένα plugin με το οποίο μπορούμε να ελέγξουμε την ποιότητα του κώδικα ενός theme είναι το Theme Check:
Εδώ θα βρειτε κάποια plugin με τα οποίο μπορούμε να ελέγξουμε την ποιότητα του κώδικα των plugin:
https://wordpress.org/plugins/vendi-abandoned-plugin-check/
Καλό είναι να αποφεύγουμε να χρησιμοποιούμε Plugins και Themes από άγνωστες πηγές διότι ενδέχεται να περι΄χουν κακόβουλο λογισμικό. Σε περίπτωση που δεν μπορούμε να κρίνουμε την αξιοπιστία της προέλευσης ενός Plugin ή Theme, τότε καλό είναι να επιλέγουμε Plugins και Themes από την επίσημη ιστοσελίδα του wordpress:
https://wordpress.org/themes/
Καλό είναι να ρυθμίσουμε το WordPress updater ώστε να κάνει αυόματα τις ενημερώσεις των plugin και του theme.
Για να κάνουμε τη ρύθμιση που ενημερώνει αυτόματα τα plugin disable the plugin and theme editor
add_filter( ‘auto_update_plugin’, ‘__return_true’ );
Για να ενημερώνονται αυτόματα τα plugin πρέπει να προσθέσουμε την παρακάτω γραμμή κώδικα στο αρχείο wp-config.php:
add_filter( ‘auto_update_theme’, ‘__return_true’ );
Όμως εδώ αν σημειώσουμε οτι η αυτόματη ενημέρωση των plugin και του theme μπορούν να οδηγήσουν σε errors στο site. Και μάλιστα αυτό να συμβεί χωρί να το καταλάβουμε, διότι θα γίνει αυτόματα, την ώρα που δεν θα είμαστε μπροστά στον υπολογιστή μας.
Εάν ένας hacker αποκτήσει πρόσβαση στο WordPress admin area μέσω της διαχείρησης ενός plugin, τότε θα καταφέρει να καταστρέψει την ιστοσελίδα μας. Για να μπλοκάρουμε τη δυνατότητα επεξεργασίας των plugin και του theme (disable the plugin and theme editor) θα πρέπει να προσθέσουμε την παρακάτω γραμμή κώδικα στο αρχείο wp-config.php:
define( ‘DISALLOW_FILE_EDIT’, true );
Οι πιο πάνω συμβουλές ασφαλείας φυσικά δεν μπορούν να θωρακίσουν 100% από πιθανές απειλές. Τουναντίον απέχουν μακρά από μια έστω προσέγγιση του 100% που όμως μπορεί να επιτευχθεί σε ένα πολύ μεγάλο βαθμό με μια σειρά τεχνικών αλλά κυρίως δίνοντας έμφαση στον τομέα της συνεχούς προστασίας που αποτελεί θεμελιώδες μέρος της διαδικασίας συντήρησης ιστοσελίδων που πολλοί λανθασμένα μας περιορίζουμε στην συγγραφική δραστηριότητα εντός μιας ιστοσελίδας.