Ασφάλεια στο WordPress

Η ασφάλεια στο WordPress blog ή site σας, είναι το Α και το Ω για να προσβλέπετε σε σταθερούς επισκέπτες και να μην έχετε προβλήματα με αλλαγή αρχικής σελίδας από χάκερς (defacement), ddos ή malware επιθέσεις προς άλλες ιστοσελίδες ή αποστολή spam emails από το site σας.

1) Αναβάθμιση WordPress/Themes/Plugins

Μην αναβαθμίζετε μόνο το WordPress αλλά και κάθε plugin του και το template που χρησιμοποιείτε.

2) Προστασία του WP-Admin με βάση την IP

Μπορείτε να περιορίσετε την πρόσβαση στην είσοδο στο Admin του WP σας, με βάση την ΙP, έτσι ώστε ακόμη κι αν κάποιος έχει τα στοιχεία εισόδου, να μην μπορεί να κάνει είσοδο εκεί, πχ:

Order deny,allow
Deny from All
Allow from 123.456.789.0

Μπορείτε να επιτρέψετε ή να αποκλείσετε την πρόσβαση με βάση την IP με διάφορους τρόπους:
– αποκλεισμός όλων:
order deny,allow
deny from all
– να επιτρέπεται η πρόσβαση από την IP του σπιτιού μου:
order deny,allow
deny from all
allow from XX.XX.XXX.XXX
– να επιτρέπεται η πρόσβαση από την IP του γραφείου μου:
order deny,allow
deny from all
allow from XX.XX.XXX.XXX

3) Προστασία του WP-Config.php

Ανοίξτε το .htaccess αρχείο στον κεντρικό φάκελο του WP σας και βάλτε τον παρακάτω κώδικα:

order allow,deny
deny from all

4) Απενεργοποίηση του file editor

Αν δεν τον χρησιμοποιείτε (συχνά) απενεργοποιήστε τον file editor για τα plugins και τα themes σας μέσα από το wordpress admin.

Προσθέστε την επιλογή DISALLOW_FILE_EDIT στο αρχείο wp-config.php

define(“DISALLOW_FILE_EDIT’, true);

5) Απενεργοποίηση του WP_DEBUG option

Ρυθμίστε το από το αρχείο wp-config.php

define(“WP_DEBUG’, false);

6) Απόκρυψη της έκδοσης του WordPress σας

Αυτή η σήμανση βρίσκεται στο αρχείο header.php. Προσθέστε την παρακάτω γραμμή στο functions.php αρχείο του theme σας.

remove_action(“wp_head’, “wp_generator’);

ή

function no_generator() { return »; }
add_filter( “the_generator’, “no_generator” );

Επίσης αφαιρείτε το readme.html από τον κεντρικό φάκελο του WP σας καθώς και το αρχείο εγκατάστασης /wp-admin/install.php από το WP σας.

7) Απόκρυψη μηνυμάτων σφάλματος στη σελίδα εισόδου στη διαχείριση

Ενημερώστε το αρχείο function.php με αυτό τον κώδικα:

add_filter(“login_errors’,create_function(“$a’, »return null;»));

ή

function explain_less_login_issues(){ return “<strong>ERROR</strong>: Entered credentials are incorrect.’;}
add_filter( “login_errors’, “explain_less_login_issues” );

8) Aλλαγές στη βάση MySQL

Το ονομα χρηστη του διαχειριστή (admin) δεν είναι και πολύ ασφαλές και μπορείτε να το αλλάξετε.
Συνδεθείτε στη διαχείριση της βάσης του WP σας και αλλάξτε το από admin σε πχ newuser τρέξτε την παρακάτω εντολή:

update tableprefix_users set user_login=’newuser” where user_login=’admin’;

Το πρόθεμα της βάσης δεν είναι ασφαλές, έτσι μπορείτε να αλλάξετε τα προθέματα όλων των πινάκων της βάσης, από wp_ σε κάτι άλλο. Έπειτα θα πρέπει να εισάγετε το νέο πρόθεμα και μέσα στο αρχείο wp-confg.php στη σχετική μεταβλητή.

$table_prefix = “tableprefix_’;

9) Ασφάλεια στο φάκελο αρχείων (uploads directory)

Βάλτε ένα κενό αρχείο index.php στο φάκελο uploads έτσι ώστε να μην είναι πλοηγήσιμος μέσω internet.

10) Εγκατάσταση Προσθέτων ασφαλείας

Exploit Scanner (Downloads: 433,360)
Bad Behavior (Downloads: 529,753)
Better WP Security  (Downloads: 445,322)
WP Security Scan (Downloads: 1,063,486)
Secure WordPress (Downloads: 750,993)
Wordfence Security (Downloads: 301,839)
BulletProof Security (Downloads: 540,008)
BBQ – Block Bad Queries (Downloads: 52,447)
Fast Secure Contact Form (Downloads: 3,459,453)

Eσείς είχατε κάποια εμπειρία με θέμα ασφαλείας στο WordPress σας και πώς το αντιμετωπίσατε;

Συστήνετε κάποια τεχνική ή κάποιο πρόσθετο ασφαλείας; Περιμένουμε σχόλιά σας για τηνασφάλεια στο WordPress!

Comments

comments

Καλέστε μας