Ασφάλεια και WordPress

Posted: 13 Δεκεμβρίου 2011 in Ασφάλεια, wordpress
Ετικέτες: ,

1) Αδυναμίες του WordPress
Όπως κάθε «πρόγραμμα» (script εν προκειμένω) στο Internet έτσι και το WordPress αλλά και η κοινότητα που το υποστηρίζει προσπαθεί καθημερινά να καλύπτει τυχόν κενά ασφαλείας που μπορεί να προκύπτουν, για τον λόγο αυτό πρέπει να διατηρούμε πάντα ενημερωμένη την εγκατάστασή μας με τις τελευταίες ενημερώσεις που κυκλοφορούν. Μάλιστα στην περίπτωση του WordPress σε σχέση με άλλα CMS που κυκλοφορούν στο διαδίκτυο η αναβάθμιση είναι απλά …ένα κλίκ, καθώς το ίδιο το WordPress μας ενημερώνει την στιγμή που εισερχόμαστε στο διαχειριστικό του περιβάλλον.

2) Ασφάλεια και δικαιώματα αρχείων (ασφαλίστε το αρχείο ρυθμίσεων της εγκατάστασής σας)

Ένα ακόμη σημαντικό σημείο για την προστασία μας είναι τα δικαιώματα του αρχείου wp-config.php. Συνήθως το αρχείο αυτό έχει δικαιώματα 644 που σημαίνει ότι ένας απλός χρήστης μπορεί να καταφέρει να διαβάσει τα περιεχόμενά του (εφόσον ξέρει πως να βρει την διαδρομή προς αυτό).Για να αποφύγετε τέτοιες περιπτώσεις μια και το wp-config.php είναι ένα απλό αρχείο κειμένου στην ουσία, φρόνιμο θα ήταν να ρυθμίσετε τα δικαιώματα του αρχείου σε 444 ή 750.

Στην περίπτωση αυτή θα πρέπει να έχετε υπ’ όψιν σας ότι αλλαγές στις ρυθμίσεις του Blog σας δεν μπορούν να γίνουν ούτε από εσάς, παρα μόνον εφόσον αλλάξετε προσωρινά τα δικαιώματα του αρχείου σε 644 ή αν αντιμετωπίζετε εκ νέου πρόβλημα σε 750 μέχρι να ολοκληρώσετε τις αλλαγές (ρυθμίσεων) και μετά να επαναφέρετε πάλι τα δικαιώματα σε 444 ή 644.

3) Μην χρησιμοποιείτε τον user admin.

Κατά την εγκατάσταση του WordPress ο πρώτος χρήστης που δημιουργείτε είναι ο λεγόμενος admin. Κάτι τέτοιο είναι γνωστό όχι μόνο σε εσάς αλλά και σε όσους θέλουν να «ξεκλειδώσουν» το Blog σας και να σας δημιουργήσουν πρόβλημα! Όσο δυνατός και αν είναι ένας κωδικός ασφαλείας, πάντα κάποιος θα καταφέρει να τον σπάσει. Η λύση που σας προτείνω λοιπόν είναι να δημιουργήσετε έναν νέο χρήστη στον οποίο θα δώσετε δικαιώματα Διαχειριστή και μετά θα απενεργοποιήσετε τον user admin.

Προσοχή! Αυτό που λέω είναι να απενεργοποιήσετε τον χρήστη admin και ΟΧΙ να τον διαγράψετε. Σε περίπτωση διαγραφής του υπάρχει πιθανότητα να μπορέσει κάποιος να δημιουργήσει τον χρήστη και να έχει δικαιώματα διαχειριστή.

4) Προστατέψτε τους καταλόγους του Blog σας (WP Folders)
Μια καλή τεχνική για να καταφέρετε να αποκρύψετε πληροφορίες που είναι ζωτικής σημασίας για την εύρυθμη λειτουργία του Blog σας είναι η απόκρυψη από τις μηχανές αναζήτησης των φακέλων που φιλοξενείτε ο πυρήνας του Blog σας. Αυτοί οι φάκελοι είναι γνωστοί και εύκολα αναγνωρίσιμοι καθώς στο όνομά τους έχουν το πρόθεμα WP. Η απαγόρευση σε αυτούς, εισόδου των μηχανών γίνεται με έναν πάρα πολύ απλό τρόπο, προσθέτοντας απλά στο αρχείο robot.txt την ακόλουθη εντολή.

Disallow: /wp-*

5) Μην εμφανίζετε την έκδοση του WordPress σας.

Τα νέα στο διαδίκτυο κυκλοφορούν πολύ γρήγορα, έτσι σε περίπτωση που κάποια «τρύπα» ασφαλείας γίνει γνωστή για μια έκδοση (την έκδοση που χρησιμοποιείτε) του WordPress (ισχύει και για κάθε άλλο CMS) τότε …οι επίδοξοι εισβολείς αναζητούν να βρουν αυτή την έκδοση σε σελίδες που βρίσκονται online και να εκμεταλλευτούν το κενό ασφαλείας που έγινε γνωστό.
Για να καταφέρετε λοιπόν να μειώσετε και αυτόν τον κίνδυνο, καλό είναι να μην εμφανίζετε την έκδοση στην οποία στηρίζετε το Blog σας.

Για να το πετύχετε αυτό θα πρέπει να προσθέσετε στο αρχείο function.php του στυλ (template – theme ή όπως αλλιώς μπορεί να σας είναι γνωστό) που χρησιμοποιείτε την ακόλουθη γραμμή:

Κώδικας: Επιλογή όλων
<?php remove_action(‘wp_head’, ‘wp_generator’ ); ?>

6) Χρησιμοποιήστε πρόσθετα που αυξάνουν την ασφάλεια

Και όμως υπάρχουν, πρόσθετα (plugins) τα οποία φροντίζουν να κρατήσουν στο μέτρο του δυνατού, έξω από το Blog σας και να αντιμετωπίσουν επιθέσεις σε αυτό τους επίδοξους εισβολείς (hackers). Ένα από αυτά είναι και το WordPress Firewall το οποίο είναι ίσως από τα πλέον απαραίτητα για να έχετε λιγότερους πονοκεφάλους.

7) Αντίγραφα Ασφαλείας

Το σημαντικότερο όλων για να καταφέρετε να διατηρείτε το Blog σας ασφαλές είναι η δημιουργία και διατήρηση εφεδρικών αντιγράφων ασφαλείας. Είναι ένα κομμάτι που όσο και αν το βλέπουμε και το ακούμε παντού δυστυχώς ….είναι πολύ πίσω! Μπορεί ο hoster που μας φιλοξενεί να διατηρεί αντίγραφα ασφαλείας όμως ένα είναι σίγουρο! Τα δικά μας αντίγραφα την στιγμή που κάνουμε κάποιες αλλαγές ή την στιγμή που έχουμε προσθέσει κάποιο κείμενο – άρθρο είναι ότι καλύτερο!

Ο πάροχος φιλοξενίας μας λαμβάνει αντίγραφα με αυτόματο τρόπο (στην PascM.Gr λαμβάνουμε και διατηρούμε αντίγραφα ασφαλείας κάθε μέρα – ενώ διατηρούμε και εβδομαδιαίο και μηνιαίο αντίγραφο) όμως αυτό δεν μας καλύπτει πάντα και απόλυτα!

Η καλύτερη μέθοδος είναι η διατήρηση από εμάς ενός ή και περισσοτέρων set αντιγράφων ασφαλείας για να μπορούμε ανα πάσα στιγμή να έχουμε τον πλήρη έλεγχο στο αντίγραφό μας και την επαναφορά του. Παράλληλα από την στιγμή που ο πάροχος λαμβάνει αντίγραφο ασφαλείας με αυτόματο τρόπο είναι πολύ πιθανό να έχουμε ένα αντίγραφο το οποίο έχει ήδη δεχθεί επίθεση…ή είναι αρκετά παλιό (ανάλογα και πότε θα αντιληφθούμε το πρόβλημα).

8) Προσοχή στους κωδικούς ασφαλείας

Η αλήθεια είναι ότι αρκετές φορές το πρόβλημα βρίσκεται εκεί! Δηλαδή στους εύκολους κωδικούς ή στους μη σωστά αποθηκευμένους. Αρκετοί χρήστες χρησιμοποιούν απλές ημερομηνίες ή λέξεις που είναι πάρα πολύ κοινές για να δημιουργήσουν τον κωδικό ασφαλείας τους και σ’ αυτό κανείς δεν μπορεί να κάνει κάτι για να μας προστατέψει! Πρέπει λοιπόν εμείς οι ίδιοι να διατηρούμε τους κωδικούς ασφαλείας επαρκώς δύσκολους αλλά και σωστά αποθηκευμένους για να μην αντιμετωπίζουμε προβλήματα.

Ένας ακόμη παράγων που επηρεάζει την ασφάλεια των κωδικών μας είναι το καθαρό από ιούς μηχάνημα / υπολογιστής από το οποίο κάνουμε τις όποιες εργασίες στο Blog μας. Δυστυχώς αρκετοί από εμάς δεν φροντίζουν για την ασφάλεια του υπολογιστή τους όσο θα έπρεπε με αποτέλεσμα αρκετές φορές να υπάρχει το φαινόμενο της υποκλοπής των κωδικών πρόσβασης από προγράμματα που έχουν ήδη μολύνει τον υπολογιστή μας όπως π.χ. Keylogers…

Πηγή: http://www.pascm.net/wordpress/wordpress-security/

Σχολιάστε

Συνδεθείτε για να δημοσιεύσετε το σχόλιο σας:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s