Πώς να κάνετε έναν ιστότοπο WordPress ασφαλή

Η εκκίνηση του δικού σας ιστότοπου WordPress αυτές τις μέρες είναι αρκετά εύκολη. Δυστυχώς, δεν θα χρειαστεί πολύς χρόνος για να αρχίσουν οι χάκερ να στοχεύουν τον ιστότοπό σας.

Ο καλύτερος τρόπος για να κάνετε έναν ιστότοπο WordPress ασφαλή είναι να κατανοήσετε κάθε σημείο ευπάθειας που προέρχεται από την εκτέλεση ενός ιστότοπου WordPress . Στη συνέχεια, εγκαταστήστε την κατάλληλη ασφάλεια για να αποκλείσετε τους χάκερ σε καθένα από αυτά τα σημεία.

Σε αυτό το άρθρο θα μάθετε πώς να προστατεύετε καλύτερα τον τομέα σας, τη σύνδεσή σας στο WordPress και τα διαθέσιμα εργαλεία και τις προσθήκες για την προστασία του ιστότοπού σας στο WordPress .

Δημιουργήστε έναν ιδιωτικό τομέα

Είναι πολύ εύκολο αυτές τις μέρες να βρείτε έναν διαθέσιμο τομέα(find an available domain) και να τον αγοράσετε σε πολύ φθηνή τιμή. Οι περισσότεροι άνθρωποι δεν αγοράζουν ποτέ πρόσθετα τομέα για τον τομέα τους. Ωστόσο, ένα πρόσθετο που πρέπει πάντα να εξετάζετε είναι η Προστασία απορρήτου(Privacy Protection) .

Υπάρχουν τρία βασικά επίπεδα προστασίας απορρήτου με το GoDaddy , αλλά αυτά ταιριάζουν επίσης με τις προσφορές των περισσότερων παρόχων τομέα.

  • Βασικό(Basic) : Απόκρυψη του ονόματος και των στοιχείων επικοινωνίας σας από τον κατάλογο WHOIS . Αυτό είναι διαθέσιμο μόνο εάν η κυβέρνησή σας σας επιτρέπει να αποκρύψετε τα στοιχεία επικοινωνίας τομέα.
  • Πλήρης(Full) : Αντικαταστήστε τις δικές σας πληροφορίες με μια εναλλακτική διεύθυνση email και στοιχεία επικοινωνίας για να αποκρύψετε την πραγματική σας ταυτότητα.
  • Ultimate : Πρόσθετη ασφάλεια που αποκλείει τη σάρωση κακόβουλου τομέα και περιλαμβάνει παρακολούθηση ασφάλειας ιστότοπου για τον πραγματικό ιστότοπό σας.

Συνήθως, η αναβάθμιση του τομέα σας σε ένα από αυτά τα επίπεδα ασφάλειας απαιτεί απλώς την επιλογή της αναβάθμισης από ένα αναπτυσσόμενο μενού στη σελίδα καταχώρισης του τομέα σας.

Η βασική(Basic) προστασία τομέα είναι αρκετά φθηνή (συνήθως περίπου 9,99 $/έτος) και τα υψηλότερα επίπεδα ασφάλειας δεν είναι πολύ πιο ακριβά.

Αυτός είναι ένας εξαιρετικός τρόπος για να σταματήσετε τους spammers να αφαιρούν τα στοιχεία επικοινωνίας σας από τη βάση δεδομένων WHOIS ή άλλους με κακόβουλη πρόθεση που θέλουν να αποκτήσουν πρόσβαση στα στοιχεία επικοινωνίας σας.

Απόκρυψη(Hide) αρχείων wp-config.php και .htaccess

Κατά την πρώτη εγκατάσταση του WordPress(install WordPress) , θα χρειαστεί να συμπεριλάβετε το αναγνωριστικό διαχείρισης και τον κωδικό πρόσβασης για τη βάση δεδομένων SQL του WordPress(WordPress SQL) στο αρχείο wp-config.php. 

Αυτά τα δεδομένα κρυπτογραφούνται μετά την εγκατάσταση, αλλά θέλετε επίσης να αποκλείσετε τους χάκερ από το να μπορούν να επεξεργαστούν αυτό το αρχείο και να σπάσουν τον ιστότοπό σας. Για να το κάνετε αυτό, βρείτε και επεξεργαστείτε το αρχείο .htaccess στον ριζικό φάκελο του ιστότοπού σας και προσθέστε τον ακόλουθο κώδικα στο κάτω μέρος του αρχείου.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Για να αποτρέψετε αλλαγές στο ίδιο το .htaccess, προσθέστε τα ακόλουθα στο κάτω μέρος του αρχείου.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Αποθηκεύστε το αρχείο και βγείτε από το πρόγραμμα επεξεργασίας αρχείων.

Μπορείτε επίσης να εξετάσετε το ενδεχόμενο να κάνετε δεξί κλικ σε κάθε αρχείο και να αλλάξετε τα δικαιώματα για να καταργήσετε την πρόσβαση εγγραφής(Write) εντελώς για όλους.

Αν και το κάνετε αυτό στο αρχείο wp-config.php δεν θα πρέπει να προκαλεί προβλήματα, αν το κάνετε στο .htaccess θα μπορούσε να προκαλέσει προβλήματα. Ειδικά αν εκτελείτε πρόσθετα WordPress ασφαλείας που μπορεί να χρειαστεί να επεξεργαστείτε το αρχείο .htaccess για εσάς.

Εάν λάβετε σφάλματα από το WordPress , μπορείτε πάντα να ενημερώσετε τα δικαιώματα για να επιτρέψετε ξανά την πρόσβαση εγγραφής(Write) στο αρχείο .htaccess.

Αλλάξτε τη διεύθυνση URL σύνδεσης στο WordPress

Δεδομένου ότι η προεπιλεγμένη σελίδα σύνδεσης για κάθε ιστότοπο WordPress είναι το yourdomain/wp-admin.php, οι χάκερ θα χρησιμοποιήσουν αυτήν τη διεύθυνση URL για να προσπαθήσουν να εισβάλουν στον ιστότοπό σας.

Θα το κάνουν αυτό μέσω των γνωστών επιθέσεων «brute force» όπου θα στέλνουν παραλλαγές τυπικών ονομάτων χρήστη και κωδικών πρόσβασης που χρησιμοποιούν συνήθως πολλοί άνθρωποι. Οι χάκερ ελπίζουν ότι θα σταθούν τυχεροί και θα αποκτήσουν τον σωστό συνδυασμό.

Μπορείτε να σταματήσετε αυτές τις επιθέσεις εντελώς αλλάζοντας τη διεύθυνση URL σύνδεσης στο WordPress(WordPress login URL) σε κάτι μη τυπικό.

Υπάρχουν πολλά πρόσθετα WordPress για να σας βοηθήσουν να το κάνετε αυτό. Ένα από τα πιο κοινά είναι το WPS Hide Login .

Αυτή η προσθήκη προσθέτει μια ενότητα στην καρτέλα Γενικά στις (General)Ρυθμίσεις(Settings) στο WordPress.

Εκεί, μπορείτε να πληκτρολογήσετε οποιαδήποτε διεύθυνση URL σύνδεσης θέλετε και να επιλέξετε Αποθήκευση αλλαγών(Save Changes) για να την ενεργοποιήσετε. Την επόμενη φορά που θα θέλετε να συνδεθείτε στον ιστότοπό σας στο WordPress , χρησιμοποιήστε αυτήν τη νέα διεύθυνση URL(URL) .

Αν κάποιος προσπαθήσει να αποκτήσει πρόσβαση στην παλιά σας διεύθυνση URL(URL) wp-admin , θα ανακατευθυνθεί στη σελίδα 404 του ιστότοπού σας.

Σημείωση(Note) : Εάν χρησιμοποιείτε μια προσθήκη προσωρινής αποθήκευσης, φροντίστε να προσθέσετε τη νέα διεύθυνση URL σύνδεσης στη λίστα των τοποθεσιών που δεν(not) πρέπει να αποθηκεύσετε προσωρινά. Στη συνέχεια, φροντίστε να εκκαθαρίσετε την προσωρινή μνήμη προτού συνδεθείτε ξανά στον ιστότοπό σας στο WordPress .

Εγκαταστήστε μια προσθήκη ασφαλείας WordPress

Υπάρχουν πολλά πρόσθετα ασφαλείας WordPress(WordPress security plugins) για να διαλέξετε. Από όλα αυτά, το Wordfence είναι το πιο συχνά κατεβασμένο, για καλό λόγο.

Η δωρεάν έκδοση του Wordfence περιλαμβάνει μια ισχυρή μηχανή σάρωσης που αναζητά απειλές από την κερκόπορτα, κακόβουλο κώδικα στα πρόσθετα(malicious code in your plugins) ή στον ιστότοπό σας, απειλές με ένεση MySQL και πολλά άλλα. (MySQL)Περιλαμβάνει επίσης ένα τείχος προστασίας για τον αποκλεισμό ενεργών απειλών όπως επιθέσεις DDOS

Θα σας επιτρέψει επίσης να σταματήσετε τις επιθέσεις ωμής βίας περιορίζοντας τις προσπάθειες σύνδεσης και κλειδώνοντας τους χρήστες που κάνουν πάρα πολλές εσφαλμένες προσπάθειες σύνδεσης.

Υπάρχουν αρκετές διαθέσιμες ρυθμίσεις στη δωρεάν έκδοση. Περισσότερο από αρκετό για την προστασία μικρών έως μεσαίων ιστότοπων από τις περισσότερες επιθέσεις.

Υπάρχει επίσης μια χρήσιμη σελίδα πίνακα ελέγχου που μπορείτε να ελέγξετε για να παρακολουθείτε πρόσφατες απειλές και επιθέσεις που έχουν αποκλειστεί.

Χρησιμοποιήστε το WordPress Password Generator και 2FA

Το τελευταίο πράγμα που θέλετε είναι οι χάκερ να μαντέψουν εύκολα τον κωδικό πρόσβασής σας. Δυστυχώς, πάρα πολλοί άνθρωποι χρησιμοποιούν πολύ απλούς κωδικούς πρόσβασης που είναι εύκολο να μαντέψει κανείς. Ορισμένα παραδείγματα περιλαμβάνουν τη χρήση του ονόματος ιστότοπου ή του ονόματος του ίδιου του χρήστη ως μέρος του κωδικού πρόσβασης ή τη μη χρήση ειδικών χαρακτήρων.

Εάν έχετε κάνει αναβάθμιση στην πιο πρόσφατη έκδοση του WordPress , έχετε πρόσβαση σε πανίσχυρα εργαλεία ασφαλείας κωδικών πρόσβασης για την ασφάλεια του ιστότοπού σας στο WordPress

Το πρώτο βήμα για να βελτιώσετε την ασφάλεια του κωδικού πρόσβασής σας είναι να μεταβείτε σε κάθε χρήστη του ιστότοπού σας, να μετακινηθείτε προς τα κάτω στην ενότητα Διαχείριση λογαριασμού(Account Management) και να επιλέξετε το κουμπί Δημιουργία κωδικού πρόσβασης(Generate Password) .

Αυτό θα δημιουργήσει έναν μακρύ, πολύ ασφαλή κωδικό πρόσβασης που περιλαμβάνει γράμματα, αριθμούς και ειδικούς χαρακτήρες. Αποθηκεύστε αυτόν τον κωδικό πρόσβασης σε ασφαλές μέρος, κατά προτίμηση σε ένα έγγραφο σε μια εξωτερική μονάδα δίσκου που μπορείτε να αποσυνδέσετε από τον υπολογιστή σας ενώ είστε συνδεδεμένοι.

Επιλέξτε Αποσύνδεση Παντού αλλού(Log Out Everywhere Else) για να βεβαιωθείτε ότι όλες οι ενεργές συνεδρίες είναι κλειστές.

Τέλος, εάν έχετε εγκαταστήσει το πρόσθετο ασφαλείας Wordfence , θα δείτε ένα κουμπί Ενεργοποίηση 2FA(Activate 2FA) . Επιλέξτε αυτό για να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων για τις συνδέσεις των χρηστών σας.

Εάν δεν χρησιμοποιείτε το Wordfence(Wordfence) , θα χρειαστεί να εγκαταστήσετε οποιοδήποτε από αυτά τα δημοφιλή πρόσθετα 2FA.

Άλλα σημαντικά ζητήματα ασφαλείας(Important Security Considerations)

Υπάρχουν μερικά ακόμη πράγματα που μπορείτε να κάνετε για να ασφαλίσετε πλήρως τον ιστότοπό σας στο WordPress .

Τόσο τα πρόσθετα WordPress(WordPress plugins) όσο και η ίδια η έκδοση του WordPress θα πρέπει να ενημερώνονται ανά πάσα στιγμή. Οι χάκερ προσπαθούν συχνά να εκμεταλλευτούν ευπάθειες σε παλαιότερες εκδόσεις κώδικα στον ιστότοπό σας. Εάν δεν ενημερώσετε και τα δύο, αφήνετε τον ιστότοπό σας σε κίνδυνο.

1. Επιλέγετε τακτικά Πρόσθετα(Plugins) και Εγκατεστημένα Πρόσθετα(Installed Plugins) στον πίνακα διαχείρισης του WordPress . Ελέγξτε(Review) όλες τις προσθήκες για μια κατάσταση που λέει ότι μια νέα έκδοση είναι διαθέσιμη.

Όταν δείτε κάποιο που είναι ξεπερασμένο, επιλέξτε ενημέρωση τώρα(update now) . Μπορείτε επίσης να εξετάσετε το ενδεχόμενο να επιλέξετε Ενεργοποίηση αυτόματων ενημερώσεων για τις προσθήκες σας. 

Ωστόσο, μερικοί άνθρωποι είναι επιφυλακτικοί να το κάνουν αυτό, καθώς οι ενημερώσεις των προσθηκών μπορεί μερικές φορές να χαλάσουν τον ιστότοπο ή το θέμα σας. Επομένως, είναι πάντα καλή ιδέα να δοκιμάζετε ενημερώσεις προσθηκών σε έναν τοπικό ιστότοπο δοκιμής WordPress(local WordPress test site) προτού τις ενεργοποιήσετε στον ζωντανό ιστότοπό σας.

2. Όταν συνδέεστε στον πίνακα ελέγχου του WordPress , θα δείτε μια ειδοποίηση ότι το WordPress δεν είναι ενημερωμένο, εάν χρησιμοποιείτε παλαιότερη έκδοση.

Και πάλι, δημιουργήστε αντίγραφα ασφαλείας του ιστότοπου και φορτώστε τον σε έναν τοπικό δοκιμαστικό ιστότοπο στον δικό σας υπολογιστή για να ελέγξετε ότι η ενημέρωση του WordPress δεν καταστρέφει τον ιστότοπό σας προτού τον ενημερώσετε στον ζωντανό ιστότοπό σας.

3. Επωφεληθείτε από τις δωρεάν δυνατότητες ασφαλείας του οικοδεσπότη Ιστού σας. Οι περισσότεροι οικοδεσπότες Ιστού προσφέρουν μια ποικιλία από δωρεάν υπηρεσίες ασφαλείας για τους ιστότοπους που φιλοξενείτε εκεί. Το κάνουν αυτό επειδή όχι μόνο προστατεύει τον ιστότοπό σας, αλλά διατηρεί ασφαλή ολόκληρο τον διακομιστή. Αυτό είναι ιδιαίτερα σημαντικό όταν βρίσκεστε σε έναν κοινόχρηστο λογαριασμό φιλοξενίας όπου άλλοι πελάτες έχουν ιστότοπους στον ίδιο διακομιστή.

Αυτά συχνά περιλαμβάνουν δωρεάν εγκαταστάσεις ασφαλείας SSL(free SSL security) για τον ιστότοπό σας, δωρεάν αντίγραφα ασφαλείας(free backups) , τη δυνατότητα αποκλεισμού κακόβουλων διευθύνσεων IP, ακόμη και έναν δωρεάν σαρωτή ιστότοπου που θα σαρώνει τακτικά τον ιστότοπό σας για τυχόν κακόβουλο κώδικα ή ευπάθειες.

Η λειτουργία ενός ιστότοπου δεν είναι ποτέ τόσο απλή όσο η εγκατάσταση του WordPress και η απλή ανάρτηση περιεχομένου. Είναι σημαντικό να κάνετε τον ιστότοπό σας στο WordPress όσο το δυνατόν ασφαλέστερο. Όλες οι παραπάνω συμβουλές μπορούν να σας βοηθήσουν να το κάνετε χωρίς υπερβολική προσπάθεια.



About the author

Είμαι έμπειρος διαχειριστής Windows 10 και Windows 11/10 με κάποια εμπειρία στο Edge. Έχω πλήθος γνώσεων και εμπειρίας να προσφέρω σε αυτόν τον τομέα, γι' αυτό πιστεύω ότι οι δεξιότητές μου θα ήταν πολύτιμο πλεονέκτημα για την εταιρεία σας. Η πολυετής εμπειρία μου τόσο στα Windows 10 όσο και στα Edge μου δίνει τη δυνατότητα να μαθαίνω γρήγορα νέες τεχνολογίες, να επιλύω γρήγορα προβλήματα και να αναλαμβάνω τον έλεγχο όταν πρόκειται για τη λειτουργία της επιχείρησής σας. Επιπλέον, η εμπειρία μου με τα Windows 10 και τον Edge με κάνει να γνωρίζω πολύ καλά όλες τις πτυχές του λειτουργικού συστήματος, κάτι που θα ήταν επωφελές για τη διαχείριση διακομιστών ή τη διαχείριση εφαρμογών λογισμικού.



Related posts