Πώς να ασφαλίσετε έναν ιστότοπο WordPress ενάντια σε πραγματικές απειλές

Εισαγωγή

Οι περισσότερες παραβιάσεις του WordPress δεν οφείλονται σε κάποιον που στοχεύει συγκεκριμένα τον ιστότοπό σας. Συνήθως πρόκειται για αυτοματοποιημένα bots που σαρώνουν το διαδίκτυο αναζητώντας κοινά σημεία ευπάθειας, όπως ένα ξεπερασμένο plugin, έναν αδύναμο κωδικό πρόσβασης ή μια ρύθμιση που έχει μείνει ανοιχτή. Εάν ο ιστότοπός σας φαίνεται εύκολος να παραβιαστεί, τα bots μπορεί να αρχίσουν να προσπαθούν μέσα σε λίγα λεπτά.

Δεν χρειάζεστε δεξιότητες μηχανικού ασφάλειας για να τον προστατεύσετε. Χρειάζεστε μερικές βασικές προστασίες που λειτουργούν καλά μεταξύ τους. Κλειδώστε τις βασικές ρυθμίσεις του WordPress. Προσθέστε κανόνες διακομιστή. Διατηρήστε τα πάντα ενημερωμένα. Κάντε τα αντίγραφα ασφαλείας και την παρακολούθηση υποχρεωτικά. Θα εντοπίσετε τα προβλήματα νωρίς και θα ανακάμψετε γρήγορα, αντί να ανακαλύψετε τη ζημιά εβδομάδες αργότερα.

Αυτός ο οδηγός παραμένει πρακτικός. Ξεκινάμε με βασικά στοιχεία υψηλού αντίκτυπου και στη συνέχεια προχωράμε σε πιο βαθιά ενίσχυση της ασφάλειας.

Συνηθισμένες επιθέσεις ασφαλείας σε ιστότοπους WordPress {#common-security-attacks-on-wordpress-sites}

Οι περισσότερες επιθέσεις στο WordPress ακολουθούν ένα γνωστό μοτίβο. Τα bots εξετάζουν πρώτα τα κοινά σημεία εισόδου και στη συνέχεια προχωρούν σε ό,τι είναι πιο εύκολο να εκμεταλλευτούν.

Ακολουθούν οι πιο συνηθισμένοι κίνδυνοι που θα συναντήσετε σε πραγματικούς ιστότοπους WordPress.

Brute Force {#brute-force}

Η μέθοδος Brute Force λειτουργεί επειδή είναι εύκολο να αυτοματοποιηθεί και εξακολουθεί να αποδίδει. Αντί να μαντεύουν έναν κωδικό πρόσβασης, τα bots δοκιμάζουν χιλιάδες ονόματα χρήστη και κωδικούς πρόσβασης ανά λεπτό στις σελίδες σύνδεσης. Το Credential stuffing είναι ακόμη πιο αποτελεσματικό, επειδή χρησιμοποιεί διαπιστευτήρια που έχουν διαρρεύσει από άλλες παραβιάσεις. Εάν τα διαρρεύσαντα διαπιστευτήρια ταιριάζουν, η πρόσβαση του διαχειριστή είναι άμεση.

Όταν συμβαίνει αυτό, θα παρατηρήσετε αιχμές στην επισκεψιμότητα, επαναλαμβανόμενες ανακατευθύνσεις και πολλές αποτυχημένες προσπάθειες σύνδεσης στα αρχεία καταγραφής πιστοποίησης των προσθηκών ή του διακομιστή. Ακόμη και χωρίς παραβίαση, καταναλώνει CPU, επιβραδύνει τον ιστότοπό σας και πλημμυρίζει τα αρχεία καταγραφής σας.

Ευάλωτα πρόσθετα και θέματα {#vulnerable-plugins-and-themes}

Προβλήματα στον πυρήνα του WordPress συμβαίνουν, αλλά τα plugins και τα θέματα είναι συνήθως το πραγματικό πρόβλημα. Οι επιτιθέμενοι τα στοχεύουν επειδή η ανίχνευση της έκδοσης είναι εύκολη και ο κώδικας εκμετάλλευσης εξαπλώνεται γρήγορα.

Σημάδια κινδύνου περιλαμβάνουν εγκαταλελειμμένα plugins, δωρεάν αντίγραφα premium εργαλείων και καθυστερημένες ενημερώσεις. Ο αντίκτυπος κυμαίνεται από την απομακρυσμένη εκτέλεση κώδικα έως την κλοπή βάσεων δεδομένων και τις εισβολές spam SEO.

Εισαγωγή κακόβουλου λογισμικού {#malware-injection}

Το κακόβουλο λογισμικό συχνά κρύβεται σε θέσεις που είναι εγγράψιμες ή παραβλέπονται. Αυτό μπορεί να είναι ένα κακόβουλο σενάριο που έχει τοποθετηθεί στο wp-content/uploads/, ένα αρχείο προσθέτου που έχει τροποποιηθεί αθόρυβα με ακατάστατο PHP ή κώδικας που έχει εισαχθεί στη βάση δεδομένων ώστε να εξαπλώνεται μέσω προτύπων ή αναρτήσεων.

Τα τυπικά σημάδια περιλαμβάνουν ανακατευθύνσεις μόνο για κινητά, μυστηριώδεις χρήστες διαχειριστή, περίεργες εργασίες cron, ασυνήθιστες προγραμματισμένες εργασίες, απότομες αυξήσεις εξερχόμενων αιτήσεων και προειδοποιήσεις κατάχρησης από το Search Console ή τον πάροχο φιλοξενίας. Συχνά οδηγεί σε επαναλαμβανόμενες μολύνσεις, spam και κίνδυνο καταχώρισης σε μαύρη λίστα.

Επιθέσεις spam SEO {#seo-spam-attacks}

Το spam SEO δεν είναι πάντα ορατό στους ανθρώπους. Οι επιτιθέμενοι προσθέτουν κρυφούς συνδέσμους, σελίδες spam ή περιεχόμενο που βλέπουν μόνο τα προγράμματα ανίχνευσης. Μπορεί να εισάγουν spam στη βάση δεδομένων, να προσθέσουν μη εξουσιοδοτημένους χάρτες ιστότοπου ή να τροποποιήσουν το αρχείο .htaccess για να προβάλλουν διαφορετικό περιεχόμενο στα bots.

Τα πρώτα στοιχεία εμφανίζονται συνήθως στα αποτελέσματα αναζήτησης: περίεργες ευρετηριασμένες διευθύνσεις URL και ξαφνικές πτώσεις στην επισκεψιμότητα. Ο τομέας σας αρχίζει να κατατάσσεται ως spam και οι πραγματικές σελίδες χάνουν την ορατότητά τους. Ο καθαρισμός διαρκεί περισσότερο, επειδή το spam είναι συχνά διάσπαρτο σε όλη τη βάση δεδομένων.

Εισβολή SQL {#sql-injection}

Η SQL injection συμβαίνει όταν ένα plugin ή ένας προσαρμοσμένος κώδικας στέλνει μη ασφαλή δεδομένα στη βάση δεδομένων. Συνηθισμένα σημάδια περιλαμβάνουν περίεργες συμβολοσειρές ερωτημάτων URL, ειδοποιήσεις SQLi στα αρχεία καταγραφής του τείχους προστασίας και ξαφνικές αιχμές φόρτωσης της βάσης δεδομένων. Μπορεί να οδηγήσει σε κλοπή δεδομένων, αλλαγές περιεχομένου και επίμονη πρόσβαση αν οι επιτιθέμενοι τροποποιήσουν χρήστες ή ρυθμίσεις.

Cross-Site Request Forgery {#cross-site-request-forgery}

Η Cross-Site Request Forgery (CSRF) συμβαίνει όταν είστε συνδεδεμένοι στο WordPress και ένα plugin δεν εκτελεί τους σωστούς ελέγχους ασφαλείας. Ένας εισβολέας μπορεί να σας ξεγελάσει ώστε να κάνετε κλικ σε έναν σύνδεσμο που ενεργοποιεί ενέργειες όπως τη δημιουργία χρηστών, την αλλαγή email ή την ενημέρωση ρυθμίσεων.

Ένα προειδοποιητικό σημάδι είναι οποιαδήποτε αλλαγή διαχειριστή που συμβαίνει αμέσως μετά από ένα κλικ και δεν είχατε σκοπό να την κάνετε. Τα αρχεία καταγραφής μπορεί να φαίνονται κανονικά επειδή εκτελούνται μέσω της περιόδου σύνδεσής σας, αλλά μπορεί να αλλάξουν αθόρυβα τα δικαιώματα και να οδηγήσουν σε κατάληψη του ελέγχου.

Cross-Site Scripting {#cross-site-scripting}

Το Cross-Site Scripting (XSS) συμβαίνει όταν ένα plugin ή ένα θέμα εμφανίζει περιεχόμενο χρήστη χωρίς να το καθαρίσει πρώτα. Το αποθηκευμένο XSS είναι χειρότερο, επειδή ο κακόβουλος κώδικας αποθηκεύεται και μπορεί να εκτελεστεί αργότερα, ακόμη και στην περιοχή διαχειριστή, επιτρέποντας στους εισβολείς να αλλάξουν ρυθμίσεις, να προσθέσουν χρήστες ή να εγκαταστήσουν plugins.

Μπορεί να δείτε περίεργα σενάρια σε αναρτήσεις ή ρυθμίσεις, ανακατευθύνσεις μόνο για σύνδεση ή αλλαγές που δεν κάνατε εσείς. Αυτό μπορεί να οδηγήσει σε παραβίαση συνεδριών και σε μια επίμονη μόλυνση που αποθηκεύεται στη βάση δεδομένων.

Βασικά στοιχεία ασφάλειας {#baseline-security-essentials}

Ξεκινήστε με τα βασικά που αφαιρούν τα εύκολα σημεία εισόδου και καθιστούν τη ρύθμισή σας πιο δύσκολη να παραβιαστεί από προεπιλογή.

Επιλέξτε μια ασφαλή φιλοξενία WordPress {#choose-a-secure-wordpress-hosting}

Μπορείτε να ενισχύσετε την ασφάλεια του WordPress και παρόλα αυτά να πέσετε θύμα μιας αδύναμης φιλοξενίας. Η φιλοξενία ελέγχει το περιβάλλον στο οποίο λειτουργεί ο ιστότοπός σας, και αυτό το περιβάλλον επηρεάζει σημαντικά την ασφάλεια.

Ακολουθούν τα στοιχεία που πρέπει να περιλαμβάνει μια φιλοξενία με έμφαση στην ασφάλεια.

• Απομόνωση και ασφαλείς προεπιλογές

Εάν ο ιστότοπός σας βρίσκεται σε έναν πολυσύχναστο διακομιστή όπου οι λογαριασμοί μπορούν να επηρεάσουν ο ένας τον άλλον, ξεκινάτε με επιπλέον κίνδυνο. Αναζητήστε ισχυρή απομόνωση λογαριασμών, λογικές άδειες αρχείων και μια ρύθμιση που δεν αφήνει επικίνδυνες υπηρεσίες ανοιχτές από προεπιλογή.

• Προστασία σε επίπεδο διακομιστή

Ένας αξιόπιστος πάροχος φιλοξενίας διαχειρίζεται τους κανόνες του τείχους προστασίας, το φιλτράρισμα bot, τις ενημερώσεις ασφαλείας και τις ενισχυμένες διαμορφώσεις. Δεν θα πρέπει να χρειάζεται να συνδεθείτε σε έναν διακομιστή και να τροποποιήσετε τις ρυθμίσεις μόνο και μόνο για να τον κάνετε αρκετά ασφαλή.

• Αντίγραφα ασφαλείας και γρήγορη επαναφορά

Όταν κάτι πάει στραβά, η ταχύτητα έχει σημασία. Τα αυτόματα αντίγραφα ασφαλείας και οι γρήγορες επαναφορές σώζουν την επιχείρησή σας.

• Ορατότητα

Τα αρχεία καταγραφής πρόσβασης, τα αρχεία καταγραφής σφαλμάτων και οι μετρήσεις απόδοσης σας βοηθούν να εντοπίσετε επιθέσεις brute force, προβλήματα PHP και απότομες αυξήσεις στη χρήση πόρων πριν αυτά οδηγήσουν σε διακοπές λειτουργίας.

• SSL

Τα πιστοποιητικά SSL κρυπτογραφούν τις συνδέσεις και τις συνεδρίες, ώστε τα δεδομένα να παραμένουν ιδιωτικά κατά τη μεταφορά τους. Η ασφαλής φιλοξενία διευκολύνει τη ρύθμιση και την αυτόματη εναλλαγή των πιστοποιητικών, ώστε να αποφεύγονται προβλήματα λήξης.

Στις διαχειριζόμενες πλατφόρμες WordPress, υπάρχουν ήδη πολλές προστασίες για να σταματήσουν τις κοινές απειλές πριν φτάσουν στο WordPress. Για παράδειγμα, η διαχειριζόμενη φιλοξενία Cloudways περιλαμβάνει χαρακτηριστικά ασφαλείας σε επίπεδο πλατφόρμας, όπως τείχη προστασίας, αυτόματα αντίγραφα ασφαλείας, προαιρετικά πρόσθετα WAF και SafeUpdates. Ακόμα και τότε, εξακολουθείτε να είστε υπεύθυνοι για τις ενημερώσεις και τον έλεγχο πρόσβασης, αλλά ξεκινάτε από μια ασφαλέστερη βάση.

Η Cloudways προσφέρει επίσης μετεγκατάσταση ιστοσελίδων με τη βοήθεια ειδικών, ενώ η πρώτη μετεγκατάσταση περιλαμβάνεται χωρίς κόστος.

Εγκαταστήστε ένα πιστοποιητικό SSL {#install-an-ssl-certificate}

Έχετε παρατηρήσει ποτέ το μικρό εικονίδιο με το λουκέτο δίπλα στη διεύθυνση URL ενός ιστότοπου; Σημαίνει ότι ο ιστότοπός σας χρησιμοποιεί HTTPS. Ενημερώνει τους επισκέπτες ότι η σύνδεση του ιστότοπού σας είναι ασφαλής και τα δεδομένα τους προστατεύονται. Χωρίς αυτό, οι χάκερ θα μπορούσαν να υποκλέψουν ευαίσθητες πληροφορίες, όπως στοιχεία σύνδεσης ή δεδομένα πληρωμών.

Το SSL (Secure Sockets Layer) κρυπτογραφεί τα δεδομένα μεταξύ του ιστότοπού σας και των επισκεπτών του. Προστατεύει αυτή την κίνηση, ώστε οι κωδικοί πρόσβασης και τα δεδομένα των πελατών να μην μεταφέρονται σε μορφή απλού κειμένου. Είτε διαχειρίζεστε ένα blog, ένα κατάστημα ή ένα portfolio, η εγκατάσταση ενός πιστοποιητικού SSL δεν είναι πλέον προαιρετική, αλλά απαραίτητη.

Επιλέξτε την επιλογή SSL

Οι περισσότεροι πάροχοι φιλοξενίας προσφέρουν μια δωρεάν επιλογή SSL που μπορείτε να ενεργοποιήσετε με μερικά κλικ. Στο Cloudways, μπορείτε να ενεργοποιήσετε ένα δωρεάν πιστοποιητικό Let’s Encrypt απευθείας από την πλατφόρμα.

Εάν χρειάζεστε ένα πιστοποιητικό για επιχειρήσεις ή συγκεκριμένη επικύρωση, μπορείτε επίσης να αγοράσετε ένα από παρόχους όπως η DigiCert ή η Sectigo.

Δημιουργήστε ένα CSR

Ένα Certificate Signing Request (CSR) είναι το αίτημα που στέλνει ο διακομιστής σας στον πάροχο πιστοποιητικών. Συνήθως θα δείτε μια επιλογή «Δημιουργία CSR» στον πίνακα ελέγχου φιλοξενίας σας.

Προσθέστε τα βασικά στοιχεία, όπως το domain, το όνομα της εταιρείας και την τοποθεσία, και στη συνέχεια δημιουργήστε το CSR. Ο πάροχός σας το χρησιμοποιεί για να εκδώσει το πιστοποιητικό.

Επαλήθευση ιδιοκτησίας domain

Πριν εκδοθεί ένα πιστοποιητικό, θα πρέπει να αποδείξετε ότι είστε ο ιδιοκτήτης του domain. Ανάλογα με τον πάροχο, αυτό συνήθως σημαίνει ένα από τα εξής: επιβεβαίωση ενός email επαλήθευσης, προσθήκη μιας εγγραφής DNS ή μεταφόρτωση ενός μικρού αρχείου επαλήθευσης. Μόλις περάσει αυτός ο έλεγχος, εκδίδεται το πιστοποιητικό.

Εγκαταστήστε το πιστοποιητικό

Εγκαταστήστε ή ανεβάστε το πιστοποιητικό στον πίνακα ελέγχου του hosting σας. Αναζητήστε μια ενότητα όπως «Διαχείριση SSL» ή «Ρυθμίσεις ασφαλείας» και, στη συνέχεια, ακολουθήστε τις οδηγίες για να το συνδέσετε με το σωστό domain.

Επιβολή HTTPS

Αφού εγκατασταθεί το SSL, βεβαιωθείτε ότι όλη η κίνηση κατευθύνεται προς το HTTPS από προεπιλογή. Αυτό εξασφαλίζει ότι οι επισκέπτες φτάνουν πάντα στην ασφαλή έκδοση του ιστότοπού σας.

Μπορείτε να το κάνετε αυτό με ένα πρόσθετο όπως το Really Simple SSL ή μπορείτε να επιβάλλετε το HTTPS για τον πίνακα ελέγχου διαχειριστή του WordPress με αυτή τη ρύθμιση στο wp-config.php:

Ενημερώστε τους εσωτερικούς συνδέσμους

Εάν ο ιστότοπός σας εξακολουθεί να παραπέμπει σε παλιές διευθύνσεις URL HTTP στις ρυθμίσεις ή στη βάση δεδομένων, τα προγράμματα περιήγησης ενδέχεται να εμφανίζουν προειδοποιήσεις για μικτό περιεχόμενο. Ενημερώστε αυτούς τους εσωτερικούς συνδέσμους, ώστε όλα να φορτώνονται μέσω HTTPS.

Πέρα από την ασφάλεια, το SSL χτίζει εμπιστοσύνη και μπορεί να βοηθήσει στο SEO. Είναι μια γρήγορη αναβάθμιση που δείχνει στους επισκέπτες ότι παίρνετε στα σοβαρά την προστασία της ιδιωτικότητας.

Διατηρήστε το WordPress, τα θέματα και τα πρόσθετα ενημερωμένα {#keep-wordpress-themes-and-plugins-updated}

Οι ενημερώσεις είναι ασφάλεια. Οι περισσότερες εκδόσεις διορθώνουν γνωστά κενά ασφαλείας. Μόλις μια ευπάθεια γίνει δημόσια, τα bots σαρώνουν για ιστότοπους που εξακολουθούν να χρησιμοποιούν την παλιά έκδοση, και εκεί είναι που συμβαίνουν οι μολύνσεις.

Ενημερώστε τον πυρήνα του WordPress

Οι ενημερώσεις του πυρήνα συχνά περιλαμβάνουν διορθώσεις ασφαλείας, ακόμα και όταν η έκδοση φαίνεται μικρή.

Ακολουθήστε αυτά τα βήματα για να ενημερώσετε τον πυρήνα του WordPress:

• Μεταβείτε στον πίνακα ελέγχου διαχειριστή του WordPress → Ενημερώσεις.
• Στο WordPress, κάντε κλικ στο «Ενημέρωση τώρα» εάν υπάρχει διαθέσιμη ενημέρωση.
• Μόλις ολοκληρωθεί, ανοίξτε τον ιστότοπό σας και βεβαιωθείτε ότι φορτώνεται και ότι μπορείτε να συνδεθείτε.

Μια πρακτική ρουτίνα ενημέρωσης

• Ενεργοποιήστε τις αυτόματες ενημερώσεις τουλάχιστον για τις δευτερεύουσες εκδόσεις.
• Χρησιμοποιήστε το staging για σημαντικές ενημερώσεις.
• Αποκλείστε ένα μηνιαίο παράθυρο συντήρησης για την εφαρμογή ενημερώσεων και ελέγχους παλινδρόμησης.

Εάν επιλέξετε μια πλατφόρμα φιλοξενίας όπως το Cloudways, η λειτουργία SafeUpdates προγραμματίζει τις ενημερώσεις του πυρήνα του WordPress, των προσθηκών και των θεμάτων μέσω μιας ροής εργασίας δημιουργίας αντιγράφων ασφαλείας και δοκιμών πριν από την εφαρμογή των αλλαγών στην παραγωγή.

Ενημέρωση θεμάτων

Ακολουθήστε αυτά τα βήματα για να ενημερώσετε ένα θέμα WordPress:

• Μεταβείτε στον πίνακα ελέγχου διαχειριστή του WordPress → Ενημερώσεις.

• Εάν υπάρχουν εκεί ενημερώσεις θεμάτων, επιλέξτε τα πλαίσια ελέγχου και, στη συνέχεια, κάντε κλικ στην επιλογή Ενημέρωση θεμάτων.
• Μόλις ολοκληρωθεί η διαδικασία, ελέγξτε αν η αρχική σελίδα, τα μενού και οι βασικές σελίδες φορτώνουν σωστά.

Κατάργηση μη χρησιμοποιούμενων προσθηκών και θεμάτων

Τα ανενεργά πρόσθετα και θέματα παραμένουν στον διακομιστή σας. Διαγράψτε τα για να μειώσετε τους κινδύνους ασφαλείας και να περιορίσετε την επιφάνεια επίθεσης.

Λίστα ελέγχου καθαρισμού:

• Διαγράψτε τα plugins και τα θέματα που δεν χρησιμοποιείτε. Η απενεργοποίηση αφήνει πίσω αρχεία.
• Δοκιμάστε πρώτα τις διαγραφές σε περιβάλλον δοκιμών, για προσθήκες που σχετίζονται με φόρμες, προσωρινή αποθήκευση, SEO ή ηλεκτρονικό εμπόριο.
• Διατηρήστε μόνο το ενεργό θέμα και ένα αντίγραφο ασφαλείας.
• Μετά τον καθαρισμό, βεβαιωθείτε ότι η σύνδεση, οι φόρμες, η ολοκλήρωση αγοράς και η αναζήτηση λειτουργούν.
• Ελέγχετε τα εγκατεστημένα plugins και θέματα κάθε μήνα.

Ακολουθήστε αυτά τα βήματα για να διαγράψετε ένα plugin WordPress που δεν χρησιμοποιείτε:

• Στον πίνακα ελέγχου διαχειριστή του WordPress, μεταβείτε στην ενότητα Plugins → Installed Plugins.
• Βρείτε το πρόσθετο που δεν χρειάζεστε.
• Κάντε κλικ στο «Απενεργοποίηση». Στη συνέχεια, εμφανίζεται η επιλογή «Διαγραφή ».
• Κάντε κλικ στο «Διαγραφή» και επιβεβαιώστε αν σας ζητηθεί.

Στη συνέχεια, ακολουθήστε αυτά τα βήματα για να διαγράψετε ένα θέμα που δεν χρησιμοποιείται:

• Στον πίνακα ελέγχου του WordPress, μεταβείτε στην ενότητα Εμφάνιση → Θέματα.
• Κάντε κλικ στο θέμα που δεν χρειάζεστε.
• Κάντε κλικ στο «Διαγραφή» και επιβεβαιώστε αν σας ζητηθεί.

Επιλέξτε αξιόπιστα θέματα και προσθήκες

Δεν αξίζουν εμπιστοσύνη όλα τα πρόσθετα, ακόμα και αν οι λειτουργίες τους φαίνονται εξαιρετικές. Αναζητήστε τακτικές πρόσφατες ενημερώσεις, σαφή τεκμηρίωση, ενεργή υποστήριξη και συμβατότητα με τις τρέχουσες εκδόσεις του WordPress.

Γρήγοροι έλεγχοι πριν την εγκατάσταση:

• Αποφύγετε τα εγκαταλελειμμένα πρόσθετα και θέματα.
• Αποφύγετε τα πλαίσια και τα θέματα που έχουν παραβιαστεί.
• Να είστε προσεκτικοί με τις λήψεις εκτός αγοράς, εκτός αν εμπιστεύεστε τον προμηθευτή.
• Παραλείψτε οτιδήποτε δεν έχει ενημερωθεί πρόσφατα ή δεν υποστηρίζει σαφώς την τρέχουσα έκδοση του WordPress.

Πρακτικές λειτουργίες ασφαλείας {#practical-security-operations}

Αυτά είναι τα συνήθη βήματα που μειώνουν τον καθημερινό κίνδυνο, περιορίζουν τον θόρυβο των bot και σας βοηθούν να εντοπίζετε τα προβλήματα νωρίς.

Οι επιτιθέμενοι στοχεύουν τη σελίδα σύνδεσης επειδή είναι προβλέψιμη και πάντα προσβάσιμη. Κλειδώστε τα σημεία εισόδου διαχειριστή, ώστε τα bots να προσκρούουν σε ένα τείχος και οι κλεμμένοι κωδικοί πρόσβασης να μην μετατρέπονται σε άμεση πρόσβαση.

Χρησιμοποιήστε την επαλήθευση δύο παραγόντων {#use-two-factor-authentication}

Η επαλήθευση δύο παραγόντων αποτρέπει τις περισσότερες προσπάθειες κλοπής και επαναχρησιμοποίησης διαπιστευτηρίων. Η ενεργοποίησή της για λογαριασμούς διαχειριστή εμποδίζει τις συνδέσεις ακόμη και όταν ένας κωδικός πρόσβασης έχει κλαπεί.

Για να ενεργοποιήσετε το 2FA στον ιστότοπό σας WordPress, επιλέξτε ένα αξιόπιστο πρόσθετο 2FA και μια εφαρμογή επαλήθευσης στο τηλέφωνό σας. Συνηθισμένες επιλογές προσθέτων 2FA περιλαμβάνουν τα miniOrange 2FA, WP 2FA, Wordfence Login Security και Two Factor.

Ενεργοποίηση της επαλήθευσης δύο παραγόντων:

• Στον πίνακα ελέγχου του WordPress, μεταβείτε στην ενότητα Plugins → Add New.
• Αναζητήστε ένα πρόσθετο 2FA, στη συνέχεια εγκαταστήστε και ενεργοποιήστε το.
• Ανοίξτε το μενού του plugin από την αριστερή πλευρική γραμμή, συνήθως στην ενότητα Ασφάλεια ή ως ξεχωριστό στοιχείο.
• Βρείτε το «Two-Factor Authentication» ή «2FA» και, στη συνέχεια, επιλέξτε την εφαρμογή Authenticator.
• Σαρώστε τον κωδικό QR στην εφαρμογή Authenticator ή εισαγάγετε το κλειδί ρύθμισης.
• Εισαγάγετε τον κωδικό μίας χρήσης για επιβεβαίωση και, στη συνέχεια, κάντε κλικ στο «Ενεργοποίηση » ή «Ενεργοποίηση».
• Κατεβάστε τους κωδικούς ανάκτησης και αποθηκεύστε τους στον διαχειριστή κωδικών πρόσβασης.

Εφαρμογή 2FA για ρόλους διαχειριστή:

• Ανοίξτε τις ρυθμίσεις του πρόσθετου, συνήθως στην ενότητα «Ρυθμίσεις » ή «Ασφάλεια » → «2FA».
• Ενεργοποιήστε την επιλογή «Απαιτείται 2FA».
• Εφαρμόστε την για τους ρόλους Διαχειριστή και Συντάκτη και προσθέστε τον Διαχειριστή καταστήματος αν διαχειρίζεστε ένα ηλεκτρονικό κατάστημα.
• Αποθηκεύστε τις αλλαγές αφού έχετε εγγράψει τουλάχιστον δύο λογαριασμούς διαχειριστή σε ξεχωριστές συσκευές.

Αλλάξτε την προεπιλεγμένη διεύθυνση URL σύνδεσης {#change-the-default-login-url}

Οι περισσότεροι ιστότοποι WordPress χρησιμοποιούν τις ίδιες προεπιλεγμένες διευθύνσεις URL: /wp-login.php για σύνδεση και /wp-admin/ για τον πίνακα ελέγχου διαχειριστή. Τα bots γνωρίζουν αυτές τις διευθύνσεις URL, οπότε συνεχίζουν να τις δοκιμάζουν ξανά και ξανά.

Η αλλαγή της διεύθυνσης URL σύνδεσης δεν θα σταματήσει έναν αποφασισμένο εισβολέα, αλλά μπορεί να μειώσει το αυτοματοποιημένο spam σύνδεσης και τις προσπάθειες brute force.

Ακολουθήστε αυτά τα βήματα για να αλλάξετε την προεπιλεγμένη διεύθυνση URL σύνδεσης στο WordPress:

• Μεταβείτε στην ενότητα Πρόσθετα → Προσθήκη νέου.
• Εγκαταστήστε ένα πρόσθετο αλλαγής URL σύνδεσης και, στη συνέχεια, ενεργοποιήστε το.
• Ανοίξτε τις ρυθμίσεις του πρόσθετου στην ενότητα Ρυθμίσεις ή Ασφάλεια.
• Ορίστε μια νέα διεύθυνση URL σύνδεσης και αποθηκεύστε τις αλλαγές.
• Αποσυνδεθείτε και δοκιμάστε τη νέα διεύθυνση URL σε ένα παράθυρο ανώνυμης περιήγησης.

Χρησιμοποιήστε ένα μοναδικό όνομα χρήστη διαχειριστή {#use-a-unique-admin-username}

** **Το «admin» είναι η πρώτη υπόθεση σε κάθε λίστα brute force. Η χρήση του δίνει στους εισβολείς το μισό από αυτό που χρειάζονται.

Ακολουθήστε τα παρακάτω βήματα για να χρησιμοποιήσετε ένα μοναδικό όνομα χρήστη διαχειριστή στο WordPress:

• Μεταβείτε στην ενότητα Χρήστες → Προσθήκη νέου.
• Δημιουργήστε έναν νέο χρήστη με ένα μοναδικό όνομα χρήστη. Μην χρησιμοποιείτε το όνομα του domain σας, το όνομα της επωνυμίας σας ή το πρόθεμα του email σας.
• Ορίστε τον ρόλο ως Διαχειριστής και, στη συνέχεια, δημιουργήστε τον λογαριασμό.
• Αποσυνδεθείτε και συνδεθείτε ξανά με τον νέο χρήστη διαχειριστή.
• Μεταβείτε στην ενότητα Χρήστες → Όλοι οι χρήστες.
• Βρείτε τον παλιό λογαριασμό διαχειριστή και είτε αλλάξτε τον ρόλο του σε χαμηλότερο είτε διαγράψτε τον. Εάν τον διαγράψετε, εκχωρήστε το περιεχόμενό του στον νέο διαχειριστή όταν σας ζητήσει το WordPress.

Περιορίστε τις προσπάθειες σύνδεσης {#limit-login-attempts}

Μην αφήνετε τα bots να δοκιμάζουν απεριόριστους κωδικούς πρόσβασης. Μετά από μερικές αποτυχημένες προσπάθειες, αποκλείστε την IP για λίγο.

Εύκολες επιλογές πρώτα

• Εγκαταστήστε ένα πρόσθετο που διαχειρίζεται τον περιορισμό ρυθμού, όπως το Wordfence, το Limit Login Attempts Reloaded ή το Loginizer.
• Ενεργοποιήστε τον περιορισμό ρυθμού στον πίνακα ελέγχου του τείχους προστασίας του φιλοξενητή σας, εάν είναι διαθέσιμος.

Προηγμένη διαμόρφωση διακομιστή

Παράδειγμα περιορισμού ρυθμού Nginx (συνιστάται αν ελέγχετε τη διαμόρφωση του Nginx):

Προσθέστε αυτό στο περιβάλλον HTTP του Nginx:

Στη συνέχεια, προσθέστε ένα όριο για το endpoint σύνδεσης μέσα στο server block σας:

Συμβουλή: Αυξήστε το «rate» ή το «burst» αν μπλοκαριστούν νόμιμοι χρήστες. Δοκιμάστε το διεξοδικά.

Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή {#use-strong-admin-passwords}

Οι κωδικοί πρόσβασης διαχειριστή δεν χρειάζεται να είναι εύκολο να τους θυμάστε. Πρέπει να είναι δύσκολο να μαντευτούν. Χρησιμοποιήστε ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης για να δημιουργήσετε μακριούς, τυχαίους κωδικούς πρόσβασης και βεβαιωθείτε ότι κάθε λογαριασμός διαχειριστή έχει τον δικό του μοναδικό κωδικό. Με αυτόν τον τρόπο, αν παραβιαστεί μια υπηρεσία, η πρόσβαση διαχειριστή στο WordPress δεν θα επηρεαστεί.

Συμβουλές διαμόρφωσης:** **

• Απενεργοποιήστε την επαναχρησιμοποίηση κωδικών πρόσβασης στην πολιτική της εταιρείας σας, αν είναι δυνατόν.
• Αλλάξτε αμέσως τους κωδικούς πρόσβασης διαχειριστή όταν ένα μέλος της ομάδας αποχωρήσει.

Ακολουθήστε αυτά τα βήματα για να αλλάξετε έναν κωδικό πρόσβασης διαχειριστή στο WordPress:

• Μεταβείτε στην ενότητα Χρήστες → Όλοι οι χρήστες.
• Επεξεργαστείτε τον χρήστη διαχειριστή.
• Κάντε κλικ στην επιλογή Ορισμός νέου κωδικού πρόσβασης και, στη συνέχεια, στην επιλογή Ενημέρωση χρήστη.

Χρησιμοποιήστε συνιστώμενα πρόσθετα ασφαλείας για το WordPress {#use-recommended-wordpress-security-plugins}

Τα πρόσθετα ασφαλείας δεν θα λύσουν όλα τα προβλήματα, αλλά μπορούν να σας προσφέρουν γρήγορη προστασία και πολύ καλύτερη ορατότητα. Ψάχνετε για αρχεία καταγραφής που μπορείτε πραγματικά να χρησιμοποιήσετε όταν κάτι φαίνεται περίεργο.

Ένα καλό πρόσθετο ασφαλείας περιλαμβάνει:

• Παρακολούθηση ακεραιότητας αρχείων για τον εντοπισμό απροσδόκητων αλλαγών
• Προστασία σύνδεσης και επιβολή 2FA
• Σάρωση κακόβουλου λογισμικού με σαφή διαδικασία καθαρισμού και αποκατάστασης
• Ειδοποιήσεις και αρχεία καταγραφής ελέγχου που μπορείτε πραγματικά να ελέγξετε
• Βασικοί κανόνες τείχους προστασίας

Μόλις μάθετε τι ψάχνετε, εγκαταστήστε ένα αξιόπιστο πρόσθετο όπως το Wordfence, το Sucuri ή το All In One WP Security. Αυτά τα εργαλεία προσθέτουν προστασία σύνδεσης, ανίχνευση αλλαγών αρχείων και αρχεία καταγραφής, και μπορούν να αποκλείσουν πολλές κοινές απειλές, συμπεριλαμβανομένων των προσπαθειών brute force.

Ακολουθήστε αυτά τα βήματα για να εγκαταστήσετε ένα πρόσθετο ασφαλείας WordPress:

• Μεταβείτε στην ενότητα Plugins → Add New.
• Αναζητήστε το πρόσθετο ασφαλείας.
• Κάντε κλικ στο «Εγκατάσταση τώρα» και, στη συνέχεια, στο «Ενεργοποίηση».
• Ανοίξτε το πρόσθετο από την αριστερή πλευρική γραμμή και εκτελέστε τον οδηγό εγκατάστασης, αν διαθέτει.

Συμβουλές εγκατάστασης:

• Χρησιμοποιήστε ένα κύριο πρόσθετο ασφαλείας για να αποφύγετε συγκρούσεις και επαναλήψεις.
• Απενεργοποιήστε τις λειτουργίες που δεν θα χρησιμοποιήσετε, ειδικά τις απαιτητικές σαρώσεις σε ιστότοπους με μεγάλη επισκεψιμότητα.
• Εάν ο πάροχος φιλοξενίας σας προσφέρει λειτουργίες περιορισμού ρυθμού ή αποκλεισμού, χρησιμοποιήστε τις για προστασία από επιθέσεις brute force, όποτε είναι δυνατόν.

Αντιμετώπιση προβλημάτων:

• Εάν αποκλειστείτε από τη διαχείριση του WordPress, ελέγξτε τους κανόνες του τείχους προστασίας και μειώστε πρώτα τη λειτουργία αυστηρής ασφάλειας.
• Προσθέστε τη διεύθυνση IP σας στη λίστα επιτρεπόμενων, ώστε να μην αποκλείσετε τη δική σας ομάδα.
• Ελέγξτε τα αρχεία καταγραφής πριν απενεργοποιήσετε την προστασία, ώστε να δείτε τι προκάλεσε τον αποκλεισμό.

Χρησιμοποιήστε τείχος προστασίας και σάρωση για κακόβουλο λογισμικό {#use-a-firewall-and-malware-scanning}

Τα τείχη προστασίας (firewall) σταματούν τις επιθέσεις πριν φτάσουν στο WordPress. Στη συνέχεια, οι σαρώσεις κακόβουλου λογισμικού ελέγχουν τα αρχεία και τη βάση δεδομένων σας για τυχόν παραβιάσεις.

Εάν δεν έχετε τον έλεγχο της διαμόρφωσης του διακομιστή, χρησιμοποιήστε τον πίνακα ελέγχου του τείχους προστασίας του φιλοξενητή σας ή ένα πρόσθετο ασφαλείας όπως το Wordfence ή το Sucuri για να περιορίσετε τον αριθμό των συνδέσεων και να περιορίσετε ή να αποκλείσετε το XML-RPC.**

Ρύθμιση τείχους προστασίας

Χρησιμοποιήστε επίπεδα. WAF στην άκρη, κανόνες διακομιστή για καταχρηστική κίνηση και σαρώσεις κακόβουλου λογισμικού για καθαρισμό.

Σε διαχειριζόμενες πλατφόρμες, μπορείτε να ενεργοποιήσετε το ενσωματωμένο Web Application Firewall με αποκλεισμό IP ή χωρών. Για παράδειγμα, το Cloudways προσφέρει προαιρετικό πρόσθετο Cloudflare Enterprise για φιλτράρισμα στην άκρη του δικτύου και προστασία από bots.

Σάρωση για κακόβουλο λογισμικό

Ελέγξτε για απροσδόκητες αλλαγές αρχείων και εισβολές στη βάση δεδομένων (σύνδεσμοι spam, κρυφά σενάρια).

Προγραμματίστε τακτικούς ελέγχους για:

• Τροποποιήσεις αρχείων και άγνωστο PHP στο wp-content/uploads
• Σπαμ στη βάση δεδομένων ή εισαγόμενος κώδικας
• Ύποπτες εργασίες cron και εξερχόμενες συνδέσεις

Η Cloudways παρέχει ένα πρόσθετο Malware Protection που υποστηρίζεται από το Imunify360 για σάρωση σε επίπεδο διακομιστή και αυτοματοποιημένο καθαρισμό.

Ακολουθήστε αυτά τα βήματα για να καθαρίσετε το κακόβουλο λογισμικό από το WordPress:

• Ενεργοποιήστε τη λειτουργία συντήρησης.
• Προσδιορίστε το σημείο εισόδου (ευάλωτο plugin, αδύναμα διαπιστευτήρια).
• Ανανεώστε όλα τα μυστικά (κωδικούς πρόσβασης διαχειριστή/βάσης δεδομένων, salts, κλειδιά SSH).
• Επαναφέρετε από καθαρό αντίγραφο ασφαλείας.
• Διορθώστε την βασική αιτία πριν τη θέσετε σε λειτουργία.

Προηγμένη τεχνική ενίσχυση ασφάλειας {#advanced-technical-hardening}

Η προηγμένη τεχνική ενίσχυση ασφάλειας είναι η διαδικασία κατά την οποία ενισχύετε τη ρύθμιση του WordPress πέρα από τα βασικά. Αυτά τα βήματα εστιάζουν στη διαμόρφωση, στους ελέγχους διακομιστή και στις πολιτικές πρόσβασης που μειώνουν την έκθεση και περιορίζουν τη ζημιά σε περίπτωση παραβίασης σύνδεσης ή προσθήκης.

Ασφαλίστε το αρχείο wp-config.php {#secure-the-wp-config-php-file}

Το αρχείο wp-config.php περιέχει διαπιστευτήρια βάσης δεδομένων και μυστικά κλειδιά. Αντιμετωπίστε το σαν θησαυροφυλάκιο κλειδιών.

Ορίστε αυστηρά δικαιώματα χρησιμοποιώντας την ακόλουθη εντολή:

chmod 400 wp-config.php.

Αυτό εμποδίζει άλλους χρήστες και διεργασίες να διαβάσουν ή να τροποποιήσουν το αρχείο. Χρησιμοποιήστε το 440 αν ο διακομιστής ιστού σας χρειάζεται πρόσβαση ανάγνωσης για ομάδες.

Εάν ο ιστότοπος δεν λειτουργεί με το 400, αλλάξτε σε 440 και βεβαιωθείτε ότι η ιδιοκτησία της ομάδας ταιριάζει με αυτή που χρησιμοποιεί ο διακομιστής ιστού σας.

Για επιπλέον προστασία, εάν το επιτρέπει η ρύθμισή σας, μετακινήστε το wp-config.php ένα επίπεδο πάνω από τη ρίζα του ιστού. Το WordPress θα συνεχίσει να το φορτώνει αυτόματα.

Περιορίστε τους ρόλους και τα δικαιώματα των χρηστών {#limit-user-roles-and-permissions}

Αναθέστε στους χρήστες μόνο τα δικαιώματα που χρειάζονται (αρχή του ελάχιστου προνομίου). Αυτό εμποδίζει έναν παραβιασμένο λογαριασμό να καταλάβει ολόκληρο τον ιστότοπό σας.

Ακολουθήστε αυτά τα βήματα για να περιορίσετε τους ρόλους και τα δικαιώματα των χρηστών στο WordPress:

• Μεταβείτε στην ενότητα Χρήστες → Όλοι οι χρήστες.
• Κάντε κλικ στον χρήστη που θέλετε να ελέγξετε.
• Στο αναπτυσσόμενο μενού Ρόλος, επιλέξτε τον χαμηλότερο ρόλο που χρειάζονται, για παράδειγμα, Συνδρομητής, Συνεργάτης, Συγγραφέας ή Συντάκτης.
• Κάντε κλικ στην επιλογή Ενημέρωση χρήστη.

Επαναλάβετε τη διαδικασία για κάθε λογαριασμό με δικαιώματα διαχειριστή και υποβαθμίστε όσους δεν τα χρειάζονται. Διαγράψτε ή απενεργοποιήστε τους αδρανείς λογαριασμούς που δεν χρησιμοποιεί πλέον κανείς.

Εάν χρειάζεστε ειδική πρόσβαση, χρησιμοποιήστε προσαρμοσμένους ρόλους και ελέγξτε τις δυνατότητες πριν τους εκχωρήσετε. Ελέγχετε τους ρόλους κάθε τρίμηνο και καταργήστε την περιττή πρόσβαση διαχειριστή. Αυτό περιορίζει τις δυνατότητες ενός εισβολέα με κλεμμένα στοιχεία σύνδεσης.

Απενεργοποιήστε την επεξεργασία αρχείων από τον πίνακα ελέγχου {#disable-file-editing-from-the-dashboard}

Απενεργοποιήστε τον ενσωματωμένο επεξεργαστή θεμάτων και προσθηκών. Με αυτόν τον τρόπο, ένας παραβιασμένος λογαριασμός διαχειριστή δεν μπορεί να εισάγει γρήγορα κακόβουλο κώδικα στα αρχεία του ιστότοπού σας.

Ακολουθήστε αυτά τα βήματα για να απενεργοποιήσετε την επεξεργασία αρχείων από τον πίνακα ελέγχου του WordPress:

• Συνδεθείτε στον ιστότοπό σας χρησιμοποιώντας SFTP ή το πρόγραμμα διαχείρισης αρχείων του φιλοξενητή σας.
• Επεξεργαστείτε το αρχείο wp-config.php στον ριζικό κατάλογο του WordPress και προσθέστε:
• Αποθηκεύστε το αρχείο.
• Ελέγξτε την «Εμφάνιση» στη διαχείριση του WordPress. Ο «Επεξεργαστής θεμάτων» εξαφανίζεται. Ο «Επεξεργαστής προσθηκών» εξαφανίζεται επίσης.

Εάν η ομάδα σας βασίζεται σε επεξεργασίες μέσω του πίνακα ελέγχου, μεταφέρετε αυτή τη ροή εργασίας σε αναπτύξεις βασισμένες στο Git ή σε SFTP με περιορισμένους λογαριασμούς.

Απενεργοποιήστε το XML-RPC {#disable-xml-rpc}

Το XML‑RPC είναι ένα κοινό σημείο εισόδου για επιθέσεις brute force και κατάχρηση pingback. Αποκλείστε το σε επίπεδο WordPress ή διακομιστή.

Επιλογή Α: Απενεργοποίηση στο WordPress

• Προσθέστε τα εξής στο αρχείο functions.php ή σε ένα προσαρμοσμένο plugin:
• Αποθηκεύστε το αρχείο.
• Ανοίξτε το endpoint xmlrpc.php στον browser σας, μεταβαίνοντας στη διεύθυνση https://yourdomain.com/xmlrpc.php Θα δείτε ένα γενικό μήνυμα XML-RPC, αλλά τα αιτήματα XML-RPC δεν θα λειτουργούν πλέον.

Αυτό απενεργοποιεί το XML-RPC στο επίπεδο του WordPress. Το endpoint xmlrpc.php μπορεί ακόμα να προσπελαστεί, οπότε για πλήρη προστασία και για να μειώσετε το φορτίο, αποκλείστε το στον web server ή στο WAF.

Επιλογή Β: Αποκλεισμός στο επίπεδο του διακομιστή ιστού**

Η αποκλεισμός του XML-RPC στον διακομιστή είναι η πιο ισχυρή επιλογή, καθώς σταματά τα αιτήματα πριν εκτελεστεί το PHP.

Nginx:

• Ανοίξτε το αρχείο ρυθμίσεων Nginx του ιστότοπού σας για τον τομέα.
• Προσθέστε έναν κανόνα για το xmlrpc.php στο μπλοκ του διακομιστή.
• Επανεκκινήστε το Nginx.

Apache:

• Επεξεργαστείτε τη διαμόρφωση Apache του ιστότοπού σας ή το αρχείο .htaccess, εάν επιτρέπεται.
• Προσθέστε τον κανόνα μπλοκ xmlrpc.php.
• Επανεκκινήστε τον Apache.

Αυτό εμποδίζει τα αιτήματα να φτάσουν ποτέ στο WordPress, γεγονός που μειώνει το φορτίο και αποκόπτει τις συνήθεις διαδρομές επίθεσης XML-RPC.

Σημείωση: Εάν το πρόσθετο Jetpack ή η εφαρμογή WordPress για κινητά χρειάζονται το XML-RPC, μην το αποκλείσετε εντελώς. Αντ' αυτού, περιορίστε τον ρυθμό των αιτήσεων και, όταν είναι δυνατό, επιτρέψτε την πρόσβαση μόνο από αξιόπιστες IP.

Αντίγραφα ασφαλείας και παρακολούθηση {#backups-and-monitoring}

Προετοιμαστείτε για τυχόν βλάβες. Τα αντίγραφα ασφαλείας σας επιτρέπουν να ανακτήσετε γρήγορα τα δεδομένα σας. Η παρακολούθηση δείχνει τι έχει αλλάξει.

Δημιουργήστε τακτικά αντίγραφα ασφαλείας του ιστότοπού σας {#back-up-your-website-regularly}

Τα αντίγραφα ασφαλείας δεν είναι προαιρετικά. Αποτελούν την έξοδο κινδύνου σας όταν μια ενημέρωση διακόπτει τη λειτουργία, ένα πρόσθετο παραβιάζεται ή μια κακή εγκατάσταση καταστρέφει τη βάση δεδομένων.

Αυτό που θέλετε εδώ είναι να διατηρήσετε ένα καθαρό αντίγραφο του ιστότοπού σας που μπορείτε να επαναφέρετε γρήγορα, χωρίς να μαντεύετε τι λείπει.

Χειροκίνητη δημιουργία αντιγράφων ασφαλείας

Ακολουθήστε αυτά τα βήματα για να δημιουργήσετε αντίγραφο ασφαλείας του ιστότοπού σας στο WordPress:

• Εγκαταστήστε και ενεργοποιήστε ένα πρόσθετο δημιουργίας αντιγράφων ασφαλείας από Πρόσθετα → Προσθήκη νέου.
• Ανοίξτε το πρόσθετο και εκτελέστε το «Δημιουργία αντιγράφου ασφαλείας τώρα» με επιλεγμένα τα αρχεία και τη βάση δεδομένων.
• Αποθηκεύστε το σε εξωτερικό χώρο αποθήκευσης, εάν είναι διαθέσιμος.

Αυτόματη δημιουργία αντιγράφων ασφαλείας

Οι περισσότεροι διαχειριζόμενοι πάροχοι φιλοξενίας WordPress περιλαμβάνουν αυτόματα αντίγραφα ασφαλείας από προεπιλογή, τα οποία συνήθως λαμβάνονται καθημερινά, αποθηκεύονται για μια κυλιόμενη περίοδο διατήρησης και είναι διαθέσιμα ως σημεία επαναφοράς με ένα κλικ από τον πίνακα ελέγχου φιλοξενίας.

Επιλέξτε ένα πρόγραμμα με βάση τη συχνότητα με την οποία αλλάζει ο ιστότοπός σας.

• Καθημερινά: Για ενεργούς ιστότοπους με συχνές ενημερώσεις, σχόλια ή παραγγελίες.
• Εβδομαδιαία: Για ιστότοπους μάρκετινγκ με λίγες αλλαγές.
• Μηνιαία:** **Όταν το περιεχόμενο αλλάζει σπάνια.

Μια πλήρης δημιουργία αντιγράφων ασφαλείας περιλαμβάνει τη βάση δεδομένων σας, το φάκελο wp-content (ειδικά τα αρχεία που έχουν μεταφορτωθεί) και τα αρχεία διαμόρφωσης, εάν η ρύθμισή σας δεν τα αναδημιουργεί αυτόματα.

Βέλτιστες πρακτικές:

• Αποθηκεύστε τα αντίγραφα ασφαλείας εκτός του ιστότοπου. Έτσι, δεν θα χαθούν σε περίπτωση βλάβης του διακομιστή.
• Διατηρήστε πολλαπλά σημεία επαναφοράς, όχι μόνο το πιο πρόσφατο στιγμιότυπο.
• Δοκιμάζετε τακτικά τις επαναφορές. Τα αντίγραφα ασφαλείας που δεν έχουν δοκιμαστεί δεν είναι εγγυημένα. Ελπίζετε ότι θα λειτουργήσουν όταν θα χρειαστεί.

Εάν η επαναφορά καθυστερεί ή αποτυγχάνει, το αντίγραφο ασφαλείας είναι συνήθως υπερβολικά μεγάλο. Ελέγξτε την αύξηση του μεγέθους του αντιγράφου ασφαλείας, που συχνά προκαλείται από αρχεία καταγραφής ή καταλόγους προσωρινής αποθήκευσης μέσα στο wp-content. Εξαιρέστε τους καταλόγους προσωρινής αποθήκευσης από τα αντίγραφα ασφαλείας όταν η πλατφόρμα σας μπορεί να τους αναδημιουργήσει με ασφάλεια.

Παρακολουθήστε τον ιστότοπό σας {#monitor-your-site}

Η ενίσχυση της ασφάλειας βοηθά, αλλά η παρακολούθηση εντοπίζει ό,τι ξεφεύγει. Εντοπίστε τα προβλήματα νωρίς. Έχετε έτοιμα αρχεία καταγραφής για να εντοπίσετε τι συνέβη.

Παρακολούθηση χρόνου λειτουργίας

Οι έλεγχοι διαθεσιμότητας σας βοηθούν να εντοπίσετε πότε ο ιστότοπος είναι εκτός λειτουργίας ή παρουσιάζει ανεπιθύμητες αλλαγές, όπως παραβίαση της αρχικής σελίδας, ενημέρωση που προκαλεί σφάλματα στο PHP ή επίθεση που υπερφορτώνει τον διακομιστή.

Εργαλεία ελέγχου λειτουργίας όπως το UptimeRobot (με γενναιόδωρο δωρεάν πακέτο) ή το Pingdom εκτελούν ελέγχους HTTP και λέξεων-κλειδιών στην αρχική σας σελίδα και σε βασικές σελίδες.

Πρακτική ρύθμιση:

• Παρακολουθήστε την αρχική σας σελίδα και μία σημαντική σελίδα που λειτουργεί χωρίς σύνδεση, όπως η σελίδα τιμών, η σελίδα ολοκλήρωσης αγοράς ή η κύρια σελίδα προορισμού.
• Χρησιμοποιήστε τόσο ελέγχους κατάστασης HTTP όσο και ελέγχους λέξεων-κλειδιών, ώστε να μην ξεφύγει μια παραβιασμένη σελίδα που εξακολουθεί να επιστρέφει μια κανονική απόκριση 200.

Ειδοποιήσεις ασφαλείας

Ορίστε ειδοποιήσεις για συμβάντα που υποδηλώνουν κατάληψη λογαριασμού, παραβίαση ή απόκλιση.

Πρόσθετα ασφαλείας όπως το Wordfence ή το Sucuri ειδοποιούν για απότομες αυξήσεις στις συνδέσεις, αλλαγές αρχείων και νέους χρήστες διαχειριστή.

Ακολουθήστε αυτά τα βήματα για να ρυθμίσετε ειδοποιήσεις στο WordPress:

• Μεταβείτε στην ενότητα Plugins → Add New.
• Εγκαταστήστε και ενεργοποιήστε ένα πρόσθετο ασφαλείας που υποστηρίζει ειδοποιήσεις.
• Ανοίξτε το πρόσθετο από την αριστερή πλευρική γραμμή.
• Βρείτε τις Ειδοποιήσεις ή τις Ενημερώσεις στις ρυθμίσεις του πρόσθετου.
• Ενεργοποιήστε τις ειδοποιήσεις για:
  • Δημιουργία νέου χρήστη διαχειριστή
  • Αλλαγές σε αρχεία προσθηκών ή θεμάτων
  • Αιχμές συνδέσεων ή επαναλαμβανόμενες αποτυχίες
  • Διαθέσιμες κρίσιμες ενημερώσεις προσθηκών
  • Προβλήματα με το DNS ή το πιστοποιητικό SSL
• Δρομολογήστε τις κρίσιμες ειδοποιήσεις στο Slack ή στο PagerDuty. Χρησιμοποιήστε το email για ειδοποιήσεις χαμηλής προτεραιότητας.

Αρχεία καταγραφής δραστηριότητας

Κατά τη διάρκεια ενός συμβάντος, τα αρχεία καταγραφής απαντούν στις μόνες ερωτήσεις που έχουν σημασία: τι άλλαξε, πότε άλλαξε, ποιος το άλλαξε και από πού.

Πρακτική ρύθμιση:

• Καταγράψτε τις ενέργειες διαχειριστή, όπως τη δημιουργία χρηστών, τις εγκαταστάσεις προσθηκών και τις αλλαγές ρυθμίσεων.
• Διατηρήστε τα αρχεία καταγραφής για αρκετό χρονικό διάστημα, ώστε να μπορείτε να διερευνήσετε παραβιάσεις που εξελίσσονται αργά.
• Συνδυάστε τα αρχεία καταγραφής δραστηριότητας με τα αρχεία καταγραφής πρόσβασης στον διακομιστή, ώστε να μπορείτε να συσχετίσετε τις IP και τους πράκτορες χρηστών.

Ακολουθήστε αυτά τα βήματα για να ενεργοποιήσετε τα αρχεία καταγραφής δραστηριότητας στο WordPress:

• Μεταβείτε στην ενότητα Plugins → Add New.
• Εγκαταστήστε και ενεργοποιήστε ένα πρόσθετο καταγραφής δραστηριότητας.
• Ανοίξτε το πρόσθετο από την αριστερή πλευρική γραμμή.
• Ενεργοποιήστε την καταγραφή για ενέργειες διαχειριστή, όπως δημιουργία χρηστών, εγκαταστάσεις προσθηκών και αλλαγές ρυθμίσεων.
• Ορίστε για πόσο καιρό θα διατηρούνται τα αρχεία καταγραφής και, στη συνέχεια, αποθηκεύστε.
• Εάν είναι διαθέσιμη, ενεργοποιήστε την εξαγωγή καταγραφών ή την προώθηση σε εξωτερικό χώρο αποθήκευσης.

Εάν τα αρχεία καταγραφής αυξάνονται πολύ γρήγορα, μειώστε τον όγκο χωρίς να χάσετε τα σήματα που θα χρειαστείτε αργότερα.

• Μειώστε τη λεπτομέρεια για μη κρίσιμα συμβάντα.
• Κάντε συχνή εναλλαγή των αρχείων καταγραφής.
• Μεταφέρετε τα αρχεία καταγραφής σε εξωτερικό χώρο αποθήκευσης, όταν είναι διαθέσιμος.

Τελικές σκέψεις {#final-thoughts}

Η ασφάλεια του WordPress συνήθως καταρρέει για απλούς λόγους. Μικρά κενά παραμένουν ανοιχτά για πολύ καιρό: παραλειπόμενες ενημερώσεις, αδύναμοι κωδικοί πρόσβασης ή υπερβολική πρόσβαση διαχειριστή.

Αν κάνετε μόνο ένα πράγμα, φροντίστε να είναι η συνέπεια. Ενημερώνετε τακτικά τον πυρήνα του WordPress, τα θέματα και τα πρόσθετα. Εφαρμόστε την επαλήθευση δύο παραγόντων (2FA) στους λογαριασμούς διαχειριστή. Χρησιμοποιήστε μακρά, μοναδικά κωδικά πρόσβασης και αποφύγετε προφανή ονόματα χρήστη. Διατηρήστε το HTTPS σε κάθε σελίδα, ώστε οι συνδέσεις, οι συνεδρίες και τα δεδομένα των φορμών να παραμένουν κρυπτογραφημένα.

Μόλις τα βασικά είναι έτοιμα, προσθέστε επιπλέον προστασία. Χρησιμοποιήστε ένα τείχος προστασίας για να αποκλείσετε την κακόβουλη κίνηση πριν φτάσει στον ιστότοπό σας. Εκτελέστε σαρώσεις για κακόβουλο λογισμικό και παρακολούθηση αλλαγών αρχείων, ώστε να εντοπίζετε τα προβλήματα νωρίς. Διατηρήστε αντίγραφα ασφαλείας εκτός του ιστότοπου, διατηρήστε πολλαπλά σημεία επαναφοράς και δοκιμάστε τις επαναφορές, ώστε η ανάκτηση να είναι προβλέψιμη.

Με αυτά τα μέτρα, ο ιστότοπός σας στο WordPress είναι πιο δύσκολο να παραβιαστεί, πιο εύκολο να παρακολουθείται και γρήγορος στην επαναφορά αν κάτι πάει στραβά.

Συχνές ερωτήσεις {#frequently-asked-questions}

1. Είναι ασφαλές το WordPress;

Ναι, το WordPress είναι ασφαλές όταν ακολουθείτε βασικές πρακτικές: διατηρείτε ενημερωμένο τον πυρήνα, τα θέματα και τα πρόσθετα, χρησιμοποιείτε ισχυρούς μοναδικούς κωδικούς πρόσβασης και 2FA για τους διαχειριστές, επιλέγετε φιλοξενία με απομόνωση και τείχη προστασίας και εκτελείτε τακτικά αντίγραφα ασφαλείας.

2. Διαθέτει το WordPress ενσωματωμένη ασφάλεια;

Ναι. Ο πυρήνας του WordPress διαθέτει σταθερά βασικά χαρακτηριστικά, όπως ρόλους και δικαιώματα, προστασία των ενεργειών των διαχειριστών, ασφαλή κατακερματισμό κωδικών πρόσβασης και τακτικές εκδόσεις ασφαλείας. Οι περισσότερες παραβιάσεις στην πραγματικότητα προέρχονται από παλιά plugins και θέματα, αδύναμα διαπιστευτήρια ή λανθασμένα διαμορφωμένους διακομιστές, και όχι από μια προεπιλεγμένη εγκατάσταση του πυρήνα που διατηρείται ενημερωμένη.

3. Έχει παραβιαστεί ο ιστότοπός μου στο WordPress;

Προσέξτε για προφανή προειδοποιητικά σημάδια όπως απροσδόκητες ανακατευθύνσεις, νέους χρήστες διαχειριστή που δεν δημιουργήσατε εσείς, αρχεία θεμάτων ή προσθηκών που αλλάζουν χωρίς να έχουν αναπτυχθεί, περίεργες προγραμματισμένες εργασίες και ξαφνικές αυξήσεις στις συνδέσεις. Ελέγξτε τα αρχεία καταγραφής της προσθήκης ασφαλείας και τα αρχεία καταγραφής πρόσβασης στον διακομιστή. Εάν χρησιμοποιείτε το Google Search Console, αναζητήστε προειδοποιήσεις και άγνωστες ευρετηριασμένες διευθύνσεις URL.

4. Πώς μπορώ να μετατρέψω τον ιστότοπό μου στο WordPress σε HTTPS;

Εγκαταστήστε το πιστοποιητικό SSL στον πίνακα ελέγχου του φιλοξενητή σας. Στη συνέχεια, ενημερώστε τη διεύθυνση URL της αρχικής σελίδας και του ιστότοπου του WordPress σε HTTPS και επιβάλλετε το HTTPS για την περιοχή διαχειριστή και το front end. Εάν δείτε προειδοποιήσεις για μικτό περιεχόμενο, αντικαταστήστε τους σταθερά κωδικοποιημένους συνδέσμους HTTP στη βάση δεδομένων και στα στοιχεία του θέματος. Εάν χρησιμοποιείτε διακομιστή μεσολάβησης ή εξισορροπητή φορτίου, βεβαιωθείτε ότι το WordPress αναγνωρίζει το αρχικό αίτημα ως HTTPS για να αποφύγετε βρόχους ανακατεύθυνσης.