Έλεγχος σε WordPress sites για ευπάθεια από το Ubuntu σας!

Το WPScan είναι ένα vulnerability scanner για σελίδες δημιουργημένες με WordPress.
Γραμμένο σε ruby,είναι ικανό να εντοπίσει κοινά τρωτά σημεία της ασφάλειας καθώς και αναγράφονται όλα τα plugins που χρησιμοποιούνται από έναν δικτυακό τόπο φιλοξενίας WordPress.

EΓΚΑΤΑΣΤΑΣΗ:

Αν λοιπόν, έχετε κάποια σελίδα WP η θέλετε να σκανάρετε κάποια που σας ενδιαφέρει, μπορείτε να το εγκαταστησετε στο Ubuntu σας, ακολουθώντας τα παρακάτω βήματα (λογικά θα πρέπει να δουλέψει σε όλες τις εκδόσεις από 10.04 και πάνω):

-Ανοίξτε ένα τερματικό (μπορείτε να το καλέσετε είτε μέσω dash, αρχίζοντας να γράφετε την λέξη terminal, είτε πατώντας συγχρόνως τα πλήκτρα: Ctrl-Alt-T), δίνοντας μια-μια τις παρακάτω εντολές, πατώντας Enter μετά την κάθε μια και δίνοντας τον κωδικό σας, αν ζητηθεί:

osarena code

1 2 3 4 5 6 7 8

sudo apt-get install rails sudo apt-get install gem sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby sudo gem install typhoeus xml-simple sudo apt-get install subversion gem install --user-install typhoeus svn checkout http://wpscan.googlecode.com/svn/trunk/ ./wpscan cd wpscan

Με τα παραπάνω εγκαταστήσαμε εξαρτήσεις και το ίδιο το πρόγραμμα. Τώρα κανονικά στον προσωπικό σας φάκελο (/home), θα έχει δημιουργηθεί και ο φάκελος του WPScan.

-Για άλλες διανομές, μπορείτε να το κατεβάσετε από την σελίδα του:

DOWNLOAD

ΧΡΗΣΗ:

Για non-intrusive checks σε κάποια WordPress ιστοσελίδα, μπορείτε να χρησιμοποιήσετε αυτή την εντολή από το τερματικό:

osarena code

ruby ./wpscan.rb --url www.domain.com

ΣΗΜΕΙΩΣΗ: Όπου http://www.domain.com, βάζετε την διεύθυνση της WP σελιδας που θέλετε να σκαναρετε.
-Για παράδειγμα, αν θέλετε να σκαναρετε τα πρόσθετα που χρησιμοποιεί μια σελιδα WP, θα δώσετε κάτι τέτοιο:

osarena code

ruby ./wpscan.rb --url www.domain.com --enumerate p

ΣΗΜΕΙΩΣΗ: Όπου http://www.domain.com, βάζετε την διεύθυνση της WP σελιδας που θέλετε να σκαναρετε.
Η εντολη θα απαριθμήσει όλα τα εγκατεστημένα πρόσθετα της σελίδας.
Για περισσότερα, μπορείτε να ελέγξετε το αρχείο README που έρχεται με το εργαλείο, ή να εκτελέσετε αυτή την εντολή από το τερματικό:

osarena code

cat README

>>>Δείτε το σε δράση στο παρακάτω βίντεο, ώστε να καταλάβετε καλύτερα την λειτουργία του:

WordPress plugins

1. Broken Link Checker

Επειδή με εκνευρίζουν τα τσαπατσούλικα sites με τα links που δεν οδηγούν… πουθενά, αποφάσισα ότι εγώ δεν θα την πατήσω έτσι. Και επειδή είναι πρακτικά αδύνατον κάθε τόσο να τσεκάρω αν δουλεύουν όλα τα links όλων των άρθρων μου, έχω ρυθμίσει το Broken Link Checker να κάνει κάθε 72 ώρες τον έλεγχο και να μου στέλνει e-mail αν βρει κάποιο broken. Έχει και ένα πολύ καλό option να τα επιθεωρείς όλα μαζί και να τα διορθώνεις έξω από τον post editor.

2. Contact Form 7

Πολλά themes έχουν ενσωματωμένη τη “φόρμα επικοινωνίας”, δηλαδή ένα page template για το στήσιμο σελίδας επικοινωνίας με τους επισκέπτες του site (Όνομα, E-mail και Μήνυμα). Αν δεν σας αρέσει το Contact form του thmeme σας, υπάρχουν πολλά plugins που κάνουν αυτή τη δουλειά, που έχουν δικλείδες ασφαλείας για spam, έχουν τη δυνατότητα για file upload κ.λπ. Εγώ εδώ και χρόνια προτιμώ το Contact Form 7 επειδή είναι ελαφρύ, έχει εύκολες ρυθμίσεις, μπορώ να το εξελληνίσω ταχύτατα από το control panel του και διότι δεν κάνει ζημιά ούτε στα themes που χρησιμοποιώ ούτε στα άλλα plugins. Για τον έλεγχο των spam και για την γενικότερη ασφάλειά σας, έχει ενσωματώσει τη χρήση ενός άλλου plugin, του Really Simple CAPTCHA. Εναλλακτικά, ρίξτε μια ματιά και στο Fast Secure Contact Form το οποίο θεωρώ καλό και το χρησιμοποιώ εξίσου συχνά.

3. External Links

Ένα εξαιρετικά… ευγενικό plugin, που αναλαμβάνει να προσθέσει σε όλα τα links προς εξωτερικά site το γνωστό σημαδάκι που βλέπετε λ.χ. στην el.Wikipedia.org (← δηλαδή αυτό το εικονίδιο) προειδοποιώντας έτσι τον επισκέπτη ότι αν πατήσει κλικ θα μεταφερθεί σε άλλο site. Αν θέλετε, μπορείτε να ζητήσετε από το plugin να προσθέτει μόνο του το target=”_blank” σε όλα τα outbound links ώστε να ανοίγουν σε νέο παράθυρο. Όμως υπάρχει ολόκληρη συζήτηση για το αν είναι κάτι τέτοιο είναι σωστό (δείτε λ.χ. εδώ). Το εικονίδιο για τα outbound links μπορεί να αλλάξει ανάλογα με τα χρώματα και το ύφος του site σας (με χρήση FTP) από εδώ: ../wp-content/plugins/sem-external-links/external.png. Εγώ το άλλαξα με μια διαφανή grey εκδοχή του.

4. Limit Login Attempts

Με την εγκατάσταση, το WordPress επιτρέπει άπειρες απόπειρες για login, με αποτέλεσμα να είναι πολύ εύκολο το χακάρισμά του site με μια απλή brute-force επίθεση. Και αυτό είναι κάτι που συμβαίνει πολύ πιο συχνά απ’ όσο φαντάζεστε. Το Limit Login Attempts είναι ένα ελαφρύ και αποτελεσματικό plugin που κρατάει τον έλεγχο του πόσες αποτυχημένες προσπάθειες επιτρέπονται πριν “κλειδώσει” το site για κάποιο χρόνο. Το συστήνω ανεπιφύλακτα. Απορώ με την WordPress που δεν ενσωμάτωσε αυτή τη δικλείδα ασφαλείας στην εγκατάσταση.

5. nrelate Related Content

Θα έχετε δει πολλά sites στα οποία τα άρθρα τελειώνουν με μια προτροπή προς τους επισκέπτες να διαβάσουν άλλο σχετικό (related) περιεχόμενο (posts, pages κ.λπ.). Είναι μια πολύ ενδιαφέρουσα λειτουργία με την οποία δείχνουμε τον απαιτούμενο σεβασμό στον επισκέπτη, αυξάνοντας παράλληλα τον χρόνο παραμονής του στο site. Βέβαια, αν το site σας έχει πολλά άρθρα, έχει σημασία και η αποτελεσματικότητα του plugin. Αν για παράδειγμα σε άρθρο με θέμα τα αυτοκίνητα, το plugin προτείνει σαν “σχετικά άρθρα”, τέσσερα video για την κηπουρική, το plugin μάλλον απέτυχε στην αποστολή του. Για αυτό το λόγο, ανάλογα με την ποσότητα του περιεχομένου του site σας, προτείνω για μικρά blogs, να επιλέξετε ένα plugin που επιτρέπει να επιλέγετε μόνοι σας ποια είναι τα “σχετικά”. Ψάξετε στο http://wordpress.org/extend/plugins.

Για μεγαλύτερα sites υπάρχουν πολλά plugins που προτείνουν μόνα τους το “σχετικό” περιεχόμενο και που καστομάρονται ανάλογα με το ύφος του site σας. Το παλιότερο και περισσότερο χρησιμοποιημένο είναι το περίφημο YARPP (Yet Another Related Posts Plugin) το οποίο υποτίθεται ότι διαθέτει πολύ καλό αλγόριθμο για τον εντοπισμό. Όμως πρέπει να κάνετε μερικές πατέντες για να εμφανίσει τα άρθρα με thumbnail. Δείτε το πριν αποφασίσετε.

Εγώ χρησιμοποιώ το nrelate Related Content διότι την δουλειά της επιλογής των “σχετικών άρθρων” την αναλαμβάνει ο server της http://nrelate.com/ και διότι έχω παρατηρήσει ότι δεν κάνει τραγικά λάθη. Επίσης, έχει πολλές ενδιαφέρουσες επιλογές εμφάνισης που κέρδισαν την προσοχή μου.

6. Reveal IDs

Όλα τα items στην database έχουν ένα id που κανονικά δεν θα έπρεπε να μας απασχολεί, αλλά όμως πολλά (καλά) plugins το αξιοποιούν και έχουν την απαίτηση να το ξέρετε. Όμως η βασική εγκατάσταση του WordPress δεν σου εμφανίζει το id των posts, pages, links, tags κ.λπ. Αν εγκαταστήσετε το Reveal IDs, χωρίς να κάνετε τίποτα άλλο, τα tables του dashboard αποκτούν μια επιπλέον στήλη με το “id”. Το συστήνω!

7. Smart Youtube PRO

Με το Smart Youtube PRO μπορείτε να ενσωματώνετε video μέσα στο περιεχόμενο του site σας από διάφορες πηγές όπως Youtube, Vimeo, Metacafe, Liveleak και το Facebook. Είναι απλό και εύχρηστο και, επιπλέον, εμφανίζει το thumbnail του video αντί να το ψάχνετε εσείς στο γνωστό http://img.youtube.com/vi/%5Bκωδικος_video%5D/%5Bαριθμος_thumbnail%5D.jpg

Με το Smart Youtube, τα video ενσωματώνονται και παίζουν μέσα απ’ το site σας βάζοντας το έναν ειδικό χαρακτήρα στη διεύθυνση. Π.χ. για να παίξει το http://www.youtube.com/watch?v=OWfksMD4PAg στο site σας, βάλτε τον χαρακτήρα v στο httpv://www.youtube… Για High/HD Quality, βάλτε τους χαρακτήρες vh (httpvh://www.youtube…) κ.λπ. Παραμετροποιείται εύκολα και υπάρχουν πολλά κόλπα για να το φέρετε στα μέτρα σας.

8. Social Sharing Toolkit

Η διασύνδεση με τα Social networks είναι πλέον απαραίτητη, όσο και αν τα συμπαθείτε ή τα αντιπαθείτε. Από τα πολλά plugins που κυκλοφορούν με την δυνατότητα ενός Like στο Facebook μέχρι την αναδημοσίευση του link στο Twitter, το Social Sharing Toolkit μου φάνηκε το πιο απλό, ελαφρύ και εύκολα παραμετροποιήσιμο απ’ όλα. Διάσημα είναι και το ShareThis, το AddToAny, το AddThis και το Follow Me. Δείτε τα πριν επιλέξετε.

9. WP-Polls

Το WP-Polls σας δίνει τη δυνατότητα να ενσωματώσετε μια απλή δημοσκόπηση στο site σας. Είναι ελαφρύ, εύκολο στη χρήση του και με πολλές δυνατότητες να παρέμβετε στην εμφάνιση. Επιλέξτε το αφού πρώτα δείτε και τους μεγάλους αδελφούς του, όπως π.χ. το Polldaddy Polls & Ratings. Δείτε εδώ για το πώς το ενσωμάτωσα στο δικό μου site.

10. Συν τρία

1. Για να φορτώνει πιο γρήγορα το site, συστήνεται η χρήση κάποιου plugin όπως το W3 Total Cache ή το WP-Super-Cache . Όμως η ρύθμιση και η εγκατάστασή τους (ιδίως του W3 Total Cache) πρέπει να γίνει προσεκτικά, με αρκετές δοκιμές ή/και με τις οδηγίες του host που σας φιλοξενεί. Στον HostGator οι αντίστοιχες οδηγίες είναι αυτές. Για να καταλάβετε πόσο απαραίτητο είναι το W3 Total Cache, πριν το εγκαταστήσετε και αμέσως μετά τρέξτε την online εφαρμογή http://www.webpagetest.org για να καταγράψετε τις επιδόσεις. Θα εκπλαγείτε ευχάριστα.
2. Επίσης θα χρειαστείτε και το Google XML Sitemaps το οποίο παράγει sitemap του site σας σε XML διευκολύνοντας έτσι τις μηχανές αναζήτησης όπως το Google, Bing, Yahoo κ.λπ. στο indexing. Διαβάστε εδώ και εδώ πριν το χρησιμοποιήσετε. Θεωρείται must.
3. Σημαντικότατο είναι και το WP-DBManager που παίρνει backup την SQL, δηλαδή τη βάση δεδομένων του site σας. Αυτό το plugin μαζί με το backup του wordpress installation θα σας φανούν χρήσιμα κάποια δύσκολη στιγμή. Το καλό με αυτό το plugin είναι ότι σου zipάρει και στέλνει με e-mail καθημερινά το backup!

αντιγραφή απο http://freepen.gr/technologia/1061

Εγκατασταση του WordPress σε xampp

Αφού έχουμε κάνει με επιτυχία την εγκατάσταση του xampp με αυτόν τον οδηγό
περνάμε στην εγκατάσταση του wordpress.

1) κατεβάζουμε την τελευταία έκδοση απο
http://wordpress.org/latest.tar.gz
ή απο τερματικό

Κώδικας:

su

Κώδικας:

wget http://wordpress.org/latest.tar.gz

2) αποσυμπιέζουμε το αρχείο

Κώδικας:

tar -xzvf latest.tar.gz

3) δημιουργούμε ενα φάκελο με το όνομα wordpress στο /opt/lampp/htdocs/wordpress

Κώδικας:

mkdir /opt/lampp/htdocs/wordpress

4)δίνουμε δικαιώματα στον φάκελο

Κώδικας:

chown nobody:nogroup /opt/lampp/htdocs/wordpress/

5)μεταφέρουμε ολα τα αρχεία στον καινούργιο φακελο wordpress που μόλις κάναμε

Κώδικας:

cp -r wordpress/* /opt/lampp/htdocs/wordpress

6) πάλι αλλαζουμε τα δικαιώματα των αρχείων όπου βάλαμε

Κώδικας:

chown nobody:nogroup -R * /opt/lampp/htdocs/wordpress

7)ξεκινάμε το xampp(αν δεν ειναι ανοικτό)

Κώδικας:

/opt/lampp/lampp start

# Εφόσον όλα τα προηγούμενα έχουν γίνει σωστά τότε θα λάβουμε ένα μήνυμα όπως το παρακάτω:

Κώδικας:

root@pc:/home/user# /opt/lampp/lampp start
Starting XAMPP for Linux 1.7.4...
XAMPP: Starting Apache with SSL (and PHP5)...
XAMPP: Starting MySQL...
XAMPP: Starting ProFTPD...
XAMPP for Linux started.

ανοίγουμε εναν φυλλομετρητή (κοινος browser)
και πατάμε στο URL localhost
έπειτα για όνομα lampp και τον κωδικό μας
Στην σελίδα όπου θα μας ανοίξει πάμε αριστερά κάτω στα tools και πατάμε το phpmyadmin για να φτιάξουμε την βάση μας.

προσέχουμε να ειναι utf8_general_ci

#παταμε απο το αριστερο μενου την επιλογη mysql
#παλι απο το αριστερο μενου που θα εμφανιστει το db
#απο το κεντρικο μενου το προσθηκη
Σαν host βαζουμε localhost
Db το ονοματης βάσης μας π.χ wordpress
User το ονομα του administator της βασης πχ wordpressadmin
και ολα Υ (yes)
Εκτελεση
Έπειτα και εφόσον ολα εχουν γινει καλα
παταμε απο αριστερα το user
απο επανω παλι το προσθηκη
και βαζουμε παλι

Σαν host βαζουμε localhost
User το ονομα του administator της βασης πχ wordpressadmin που ειχαμε βαλει
Password το Password που θα εχει ο admin της βασης
και Εκτελεση

Τελος με την βάση

8)δημιουργούμε ενα αρχείο με το ονομα wp-config.php απο το παράδειγμα που μας δίνει το wordpress

Κώδικας:

cp /opt/lampp/htdocs/wordpress/wp-config-sample.php /opt/lampp/htdocs/wordpress/wp-config.php

9)ανοίγουμε το αρχειο με το gedit ωστε να βάλουμε τα στοιχεια της βάσης μας

Κώδικας:

gedit /opt/lampp/htdocs/wordpress/wp-config.php

10) αλλάζουμε αυτά

// ** MySQL settings – You can get this info from your web host ** //
/** The name of the database for WordPress */
define(‘DB_NAME’, ‘database_name_here’);/** MySQL database username */
define(‘DB_USER’, ‘username_here’);

/** MySQL database password */
define(‘DB_PASSWORD’, ‘password_here’);

σε

// ** MySQL settings – You can get this info from your web host ** //
/** The name of the database for WordPress */
define(‘DB_NAME’, ‘wordpress’);/** MySQL database username */
define(‘DB_USER’, ‘wordpressadmin’);

/** MySQL database password */
define(‘DB_PASSWORD’, ‘123’);

11) κανουμε επανεκκίνηση το xampp

Κώδικας:

/opt/lampp/lampp restart

Τέλος στο url πατάμε localhost/wordpress
βάζουμε τα στοιχειά όπου θέλουμε και ΤΕΛΟΣ
—————————————————————–

#Αν θέλετε να εξελληνίσετε το περιβάλλον μιας εγκατάστασης WordPress ,μπορείτε εγκαθιστώντας ένα μεμονωμένο αρχείο γλώσσας (τύπου MO). Είναι απλό:

ΒΗΜΑ 1ο. Kατεβάστε το αρχείο el.mo ( απο το http://el.wordpress.org/)και βάλτε το στον κατάλογο wp-content/languages της εγκατάστασής σας. — Αν δεν έχει κατάλογο languages στο wp-content, φτιάξτε έναν.

Κώδικας:

mkdir /opt/lampp/htdocs/wordpress/languages

ΒΗΜΑ 2ο. Ανοίξτε το αρχείο wp-config.php του WordPress και αλλάξτε τον ορισμό της γλώσσας. Σε αγγλική εγκατάσταση ο ορισμός ενδέχεται να είναι κενός:

define (‘WPLANG’, »);

Για ελληνικά φτιάξτε τον έτσι:

define (‘WPLANG’, ‘el’);

Αυτό είναι!

Κώδικας:

gedit /opt/lampp/htdocs/wordpress/wp-config.php

Εγκατάσταση XAMPP σε GNU/Linux

Βήμα 1ο – Μεταφόρτωση
Κατεβάζουμε τον συμπιεσμένο φάκελο από την ιστοσελίδα του XAMPP – http://www.apachefriends.org/en/xampp-linux.html
# http://www.apachefriends.org/download.php?xampp-linux-1.7.4.tar.gz

Βήμα 2ο – Εγκατάσταση
1)Ανοίγουμε ένα τερματικό και συνδεόμαστε σαν root

Κώδικας:

su

Change the permissions to the installer

chmod 755 xampp-linux-*-installer.run

Run the installer

sudo ./xampp-linux-*-installer.run

That’s all. XAMPP is now installed below the /opt/lampp directory.

 

Βήμα 3ο – Εκκίνηση
# Για να ξεκινήσουμε το XAMPP γράφουμε
/opt/lampp/lampp start

# Εφόσον όλα τα προηγούμενα έχουν γίνει σωστά τότε θα λάβουμε ένα μήνυμα όπως το παρακάτω:

Κώδικας:

Starting XAMPP 1.7.4...
LAMPP: Starting Apache...
LAMPP: Starting MySQL...
LAMPP started.

Βήμα 4ο – Δοκιμή
# Για να δοκιμάσουμε ότι το XAMPP λειτουργεί κανονικά, ανοίγουμε έναν browser και γράφουμε την παρακάτω διεύθυνση:
http://localhost ή http://127.0.0.1

Βήμα 5ο – Ρυθμίσεις
Για την μερική ασφάλιση της εγκατάστασης εκτελούμε την εντολή:

Κώδικας:

/opt/lampp/lampp security

Με αυτό θα προσθέσουμε κωδικούς πρόσβασης στα βασικά στοιχεία και λειτουργίες του XAMPP.

Βασικές Εντολές
Εκκίνηση

Κώδικας:

/opt/lampp/lampp start

Σταμάτημα

Κώδικας:

/opt/lampp/lampp stop

Επανεκκίνηση

Κώδικας:

/opt/lampp/lampp restart

Ασφάλεια και WordPress

1) Αδυναμίες του WordPress
Όπως κάθε «πρόγραμμα» (script εν προκειμένω) στο Internet έτσι και το WordPress αλλά και η κοινότητα που το υποστηρίζει προσπαθεί καθημερινά να καλύπτει τυχόν κενά ασφαλείας που μπορεί να προκύπτουν, για τον λόγο αυτό πρέπει να διατηρούμε πάντα ενημερωμένη την εγκατάστασή μας με τις τελευταίες ενημερώσεις που κυκλοφορούν. Μάλιστα στην περίπτωση του WordPress σε σχέση με άλλα CMS που κυκλοφορούν στο διαδίκτυο η αναβάθμιση είναι απλά …ένα κλίκ, καθώς το ίδιο το WordPress μας ενημερώνει την στιγμή που εισερχόμαστε στο διαχειριστικό του περιβάλλον.

2) Ασφάλεια και δικαιώματα αρχείων (ασφαλίστε το αρχείο ρυθμίσεων της εγκατάστασής σας)

Ένα ακόμη σημαντικό σημείο για την προστασία μας είναι τα δικαιώματα του αρχείου wp-config.php. Συνήθως το αρχείο αυτό έχει δικαιώματα 644 που σημαίνει ότι ένας απλός χρήστης μπορεί να καταφέρει να διαβάσει τα περιεχόμενά του (εφόσον ξέρει πως να βρει την διαδρομή προς αυτό).Για να αποφύγετε τέτοιες περιπτώσεις μια και το wp-config.php είναι ένα απλό αρχείο κειμένου στην ουσία, φρόνιμο θα ήταν να ρυθμίσετε τα δικαιώματα του αρχείου σε 444 ή 750.

Στην περίπτωση αυτή θα πρέπει να έχετε υπ’ όψιν σας ότι αλλαγές στις ρυθμίσεις του Blog σας δεν μπορούν να γίνουν ούτε από εσάς, παρα μόνον εφόσον αλλάξετε προσωρινά τα δικαιώματα του αρχείου σε 644 ή αν αντιμετωπίζετε εκ νέου πρόβλημα σε 750 μέχρι να ολοκληρώσετε τις αλλαγές (ρυθμίσεων) και μετά να επαναφέρετε πάλι τα δικαιώματα σε 444 ή 644.

3) Μην χρησιμοποιείτε τον user admin.

Κατά την εγκατάσταση του WordPress ο πρώτος χρήστης που δημιουργείτε είναι ο λεγόμενος admin. Κάτι τέτοιο είναι γνωστό όχι μόνο σε εσάς αλλά και σε όσους θέλουν να «ξεκλειδώσουν» το Blog σας και να σας δημιουργήσουν πρόβλημα! Όσο δυνατός και αν είναι ένας κωδικός ασφαλείας, πάντα κάποιος θα καταφέρει να τον σπάσει. Η λύση που σας προτείνω λοιπόν είναι να δημιουργήσετε έναν νέο χρήστη στον οποίο θα δώσετε δικαιώματα Διαχειριστή και μετά θα απενεργοποιήσετε τον user admin.

Προσοχή! Αυτό που λέω είναι να απενεργοποιήσετε τον χρήστη admin και ΟΧΙ να τον διαγράψετε. Σε περίπτωση διαγραφής του υπάρχει πιθανότητα να μπορέσει κάποιος να δημιουργήσει τον χρήστη και να έχει δικαιώματα διαχειριστή.

4) Προστατέψτε τους καταλόγους του Blog σας (WP Folders)
Μια καλή τεχνική για να καταφέρετε να αποκρύψετε πληροφορίες που είναι ζωτικής σημασίας για την εύρυθμη λειτουργία του Blog σας είναι η απόκρυψη από τις μηχανές αναζήτησης των φακέλων που φιλοξενείτε ο πυρήνας του Blog σας. Αυτοί οι φάκελοι είναι γνωστοί και εύκολα αναγνωρίσιμοι καθώς στο όνομά τους έχουν το πρόθεμα WP. Η απαγόρευση σε αυτούς, εισόδου των μηχανών γίνεται με έναν πάρα πολύ απλό τρόπο, προσθέτοντας απλά στο αρχείο robot.txt την ακόλουθη εντολή.

Disallow: /wp-*

5) Μην εμφανίζετε την έκδοση του WordPress σας.

Τα νέα στο διαδίκτυο κυκλοφορούν πολύ γρήγορα, έτσι σε περίπτωση που κάποια «τρύπα» ασφαλείας γίνει γνωστή για μια έκδοση (την έκδοση που χρησιμοποιείτε) του WordPress (ισχύει και για κάθε άλλο CMS) τότε …οι επίδοξοι εισβολείς αναζητούν να βρουν αυτή την έκδοση σε σελίδες που βρίσκονται online και να εκμεταλλευτούν το κενό ασφαλείας που έγινε γνωστό.
Για να καταφέρετε λοιπόν να μειώσετε και αυτόν τον κίνδυνο, καλό είναι να μην εμφανίζετε την έκδοση στην οποία στηρίζετε το Blog σας.

Για να το πετύχετε αυτό θα πρέπει να προσθέσετε στο αρχείο function.php του στυλ (template – theme ή όπως αλλιώς μπορεί να σας είναι γνωστό) που χρησιμοποιείτε την ακόλουθη γραμμή:

Κώδικας: Επιλογή όλων
<?php remove_action(‘wp_head’, ‘wp_generator’ ); ?>

6) Χρησιμοποιήστε πρόσθετα που αυξάνουν την ασφάλεια

Και όμως υπάρχουν, πρόσθετα (plugins) τα οποία φροντίζουν να κρατήσουν στο μέτρο του δυνατού, έξω από το Blog σας και να αντιμετωπίσουν επιθέσεις σε αυτό τους επίδοξους εισβολείς (hackers). Ένα από αυτά είναι και το WordPress Firewall το οποίο είναι ίσως από τα πλέον απαραίτητα για να έχετε λιγότερους πονοκεφάλους.

7) Αντίγραφα Ασφαλείας

Το σημαντικότερο όλων για να καταφέρετε να διατηρείτε το Blog σας ασφαλές είναι η δημιουργία και διατήρηση εφεδρικών αντιγράφων ασφαλείας. Είναι ένα κομμάτι που όσο και αν το βλέπουμε και το ακούμε παντού δυστυχώς ….είναι πολύ πίσω! Μπορεί ο hoster που μας φιλοξενεί να διατηρεί αντίγραφα ασφαλείας όμως ένα είναι σίγουρο! Τα δικά μας αντίγραφα την στιγμή που κάνουμε κάποιες αλλαγές ή την στιγμή που έχουμε προσθέσει κάποιο κείμενο – άρθρο είναι ότι καλύτερο!

Ο πάροχος φιλοξενίας μας λαμβάνει αντίγραφα με αυτόματο τρόπο (στην PascM.Gr λαμβάνουμε και διατηρούμε αντίγραφα ασφαλείας κάθε μέρα – ενώ διατηρούμε και εβδομαδιαίο και μηνιαίο αντίγραφο) όμως αυτό δεν μας καλύπτει πάντα και απόλυτα!

Η καλύτερη μέθοδος είναι η διατήρηση από εμάς ενός ή και περισσοτέρων set αντιγράφων ασφαλείας για να μπορούμε ανα πάσα στιγμή να έχουμε τον πλήρη έλεγχο στο αντίγραφό μας και την επαναφορά του. Παράλληλα από την στιγμή που ο πάροχος λαμβάνει αντίγραφο ασφαλείας με αυτόματο τρόπο είναι πολύ πιθανό να έχουμε ένα αντίγραφο το οποίο έχει ήδη δεχθεί επίθεση…ή είναι αρκετά παλιό (ανάλογα και πότε θα αντιληφθούμε το πρόβλημα).

8) Προσοχή στους κωδικούς ασφαλείας

Η αλήθεια είναι ότι αρκετές φορές το πρόβλημα βρίσκεται εκεί! Δηλαδή στους εύκολους κωδικούς ή στους μη σωστά αποθηκευμένους. Αρκετοί χρήστες χρησιμοποιούν απλές ημερομηνίες ή λέξεις που είναι πάρα πολύ κοινές για να δημιουργήσουν τον κωδικό ασφαλείας τους και σ’ αυτό κανείς δεν μπορεί να κάνει κάτι για να μας προστατέψει! Πρέπει λοιπόν εμείς οι ίδιοι να διατηρούμε τους κωδικούς ασφαλείας επαρκώς δύσκολους αλλά και σωστά αποθηκευμένους για να μην αντιμετωπίζουμε προβλήματα.

Ένας ακόμη παράγων που επηρεάζει την ασφάλεια των κωδικών μας είναι το καθαρό από ιούς μηχάνημα / υπολογιστής από το οποίο κάνουμε τις όποιες εργασίες στο Blog μας. Δυστυχώς αρκετοί από εμάς δεν φροντίζουν για την ασφάλεια του υπολογιστή τους όσο θα έπρεπε με αποτέλεσμα αρκετές φορές να υπάρχει το φαινόμενο της υποκλοπής των κωδικών πρόσβασης από προγράμματα που έχουν ήδη μολύνει τον υπολογιστή μας όπως π.χ. Keylogers…

Πηγή: http://www.pascm.net/wordpress/wordpress-security/