ΒΓΕΙΤΕ ΣΤΗ ΠΡΩΤΗ ΣΕΛΙΔΑ ΤΗΣ GOOGLE

Αυξήστε την επισκεψιμότητα κατά 1200%!

ASFALEIA WORDPRESS MYTHOI-3

7 Δημοφιλείς μύθοι ασφαλείας στο WordPress

Η μυθοπλασία γύρω από πρόσωπα και καταστάσεις είναι μια προσφιλής συνήθεια και ειδικά στα πολύ πετυχημένα πράγματα όπως το WordPress η μυθοπλασία οργιάζει ακόμα περισσότερο.

Το WordPress όντας το πιο πετυχημένο CMS, στα ελληνικά σύστημα διαχείρισης περιεχομένου, παγκοσμίως έχει την μεγαλύτερη κοινότητα προγραμματιστών που το υποστηρίζουν και τις περισσότερες εγκαταστάσεις ενώ αντιπροσωπεύει το 25% περίπου όλων των ιστοσελίδων.

Εύκολα κάποιος σήμερα μπορεί να βρει πληροφορίες για το πως γίνεται κάτι στο WordPress και υπάρχουν δεκάδες blog και sites που παρέχουν δωρεάν συμβουλές και βίντεο ακόμα για το πως μπορείτε να κάνετε τι με το WordPress. Μια πολύ καλή σειρά μαθημάτων είναι και η δική μου, τα μαθήματα WordPress σε 24 ώρες.

Η μεγάλη διάδοση της χρήσης του WordPress οδήγησε σε μια ακόμα μεγαλύτερη παραφιλολογία γύρω από αυτό και ειδικότερα γύρω από την ασφάλεια του WordPress.

Και επειδή η ασφάλεια της ιστοσελίδας σας ή του eshop σας είναι φλέγον θέμα, αποφασίσαμε να ασχοληθούμε λίγο παραπάνω με αυτό για να διαλύσουμε τους μύθους περί ασφάλειας.

Άμα και εσείς ζείτε μέσα στην αμφιβολία ή δεν είστε απόλυτα σίγουρος για τον προγραμματιστή σας ή τον Web Designer σας, διαβάστε παρακάτω.

Η Google αφαιρεί από τα αποτελέσματα αναζήτησης τα χακαρισμένα sites

Σύμφωνα με την ίδια τη Google, όλα τα sites που έχουν χακαριστεί ή έχουν πέσει θύματα κακόβουλου λογισμικού (bots) αφαιρούνται αυτομάτως από τα αποτελέσματα αναζήτησης.

Ακόμα και άμα τα καθαρίσετε και τα ξαναστήσετε, θα πρέπει να κάνετε αίτημα στη Google μέσα από τα Webmaster Tools και να περιμένετε ξανά να ταξινομηθείτε.

Έτσι όμως θα έχετε χάσει πολύτιμο χρόνο και πολύτιμες θέσεις στα οργανικά αποτελέσματα αναζήτησης τη στιγμή που οι ανταγωνιστές σας θα βρίσκονται στην πρώτη θέση αυτών.

1 Μεταφέροντας ή κρύβοντας το wp-admin θα σταματήσει τις Brute Force Attacks

Αρχικά θα πρέπει να εξηγήσουμε τι είναι τα brute force attacks. Τα brute force attacks είναι επιθέσεις που δέχεται το site σας και ειδικά η σελίδα σύνδεσης, η login page στο WordPress που συνήθως βρίσκεται κάτω από την ηλεκτρονική διεύθυνση /wp-admin.

Τα brute force attacks δεν γίνονται από ανθρώπινο χέρι αλλά από κακόβουλα botakia τα οποία προσπαθούν να μαντέψουν το username (όνομα χρήστη) και το password (κωδικός πρόσβασης) σας για να μπορέσουν να αποκτήσουν πρόσβαση διαχειριστή στο κέντρο διαχείρισης του WordPress ή στον Πίνακα ελέγχου.

Μέσα από τον Πίνακα ελέγχου θα μπορέσουν να σας κλειδώσουν έξω αλλάζοντας password και να υποκλέψουν ή να διαγράψουν τα αρχεία σας ή ακόμα και να σας ρίξουν το site.

Το περισσότερα από αυτά τα κακόβουλα bots χρησιμοποιούν κοινά ονόματα χρήστη όπως το admin σε συνδυασμό με χιλιάδες υποτιθέμενους κωδικούς πρόσβασης στην προσπάθεια τους να μαντέψουν κάποιον σωστό συνδυασμό.

Επειδή λοιπόν αυτά τα bot έχουν ως στόχο την σελίδα σύνδεσης της ιστοσελίδας σας, το επόμενο λογικό θα έλεγε κανείς βήμα άμυνας είναι κάποιος να προσπαθήσει να βρει έναν τρόπο για να κρύψει τον φάκελο  wp-admin του WordPress ή τουλάχιστον την login page.

Υπάρχουν δεκάδες πρόσθετα στο αποθετήριο του WordPress που προσπαθούν να κρύψουν το login page, όμως στην ουσία δεν παρέχουν κάποια ιδιαίτερη ασφάλεια.

Όμως πάρα πολλά πρόσθετα του WordPress και πολλές επιμέρους λειτουργίες του κώδικα του βασίζονται σε ποια θέση βρίσκεται ο φάκελος με τα στοιχεία του wp-admin. Οποιαδήποτε αλλαγή στο path του φακέλου και τότε το πρόσθετο ή οι επιμέρους λειτουργίες απλώς σπάνε.

Συγγνώμη για την υπερβολικά πολύ αγγλική και τεχνική ορολογία σε αυτό το άρθρο αλλά αυτοί οι όροι έχουν επικρατήσει διεθνώς και πιθανώς ο μέσος χρήστης που δεν έχει επαφή με την πληροφορική τεχνολογία και την κατασκευή ιστοσελίδων να αισθάνεται λίγο άβολα.

Τι προτείνουμε ως λύση για να προστατέψετε το wp-admin;

Παρόλα αυτά υπάρχει λύσει για να προστατέψετε το wp-admin, ο καλύτερος τρόπος είναι να θέσετε ένα password για την σελίδα wp-login.php, μόνο όταν οι χρήστες την καλούνε ή ζητάνε να αποκτήσουν πρόσβαση σε αυτήν.

Θα πρέπει να πούμε ότι όποια απόπειρα απόκρυψης γενικά της σελίδας wp-login.php από τους επίδοξους χάκερς μοιάζει αστεία (αυτή η λογική βέβαια προτείνεται στην ασφάλεια ιστοσελίδων με την ονομασία security through obscurity) γιατί κάθε σωστός χάκερ, ξέρει με ποιον τρόπο και έχει και τα κατάλληλα επαγγελματικά εργαλεία για να εντοπίσει την σελίδα wp-login.php, όσο καλά και άμα την κρύψετε.

Επίσης θα πρέπει ακόμα να σας κάνω γνωστό ότι οι περισσότερες επιθέσεις από κακόβουλους χάκερς και κακόβουλα bots δεν γίνονται απευθείας στην σελίδα wp-login.php αλλά μέσω του XMLRPC.

Για όσους δεν το ξέρουν το XMLRPC είναι η πύλη με την οποία άλλες εφαρμογές επικοινωνούν με την ιστοσελίδα σας.

2 Αλλάζοντας το πρόθεμα του WordPress Table θα βελτιώσει την ασφάλεια

ASFALEIA WORDPRESS MYTHOI-1

Πριν από μερικά χρόνια είδαμε ότι διάφορα σημαντικά blogs και εταιρείες hosting, νομίζω η WPengine και η Bluehost, σε διάφορα άρθρα τους έκαναν παραινέσεις στους χρήστες και διαχειριστές ιστοσελίδων σε WordPress να αλλάξουν το πρόθεμα της βάσης της εγκατάστασης του WordPress ώστε να αποτρέψουν επιθέσεις με SQL injection.

Στις επιθέσεις τύπου SQL injection, ο επιτιθέμενος αξιοποιεί κάποιο κενό ασφαλείας ή ατέλεια ενός WordPress Plugin ή ενός WordPress Theme για να αποκτήσει πρόσβαση στη βάση δεδομένων σας.

Μπορείτε να διαβάσετε περισσότερα για το τι ακριβώς είναι το SQL injection στο παρακάτω άρθρο ή σε μια αναζήτηση σας στη Google:

SQL Injection Attacks by Example

Η μέθοδος άμυνας που προτεινόταν τότε από τα SQL injection είναι να αλλάξετε το πρόθεμα του πίνακα από τις αρχές μανάτες ρυθμίσεις wp_ σε κάτι άλλο, ώστε να αποτρέψετε τέτοιου είδους επιθέσεις.

Στην πράξη όμως δεν έχει αποδειχθεί ότι η αλλαγή του προθέματος της βάσης δεδομένων θα σας σώσει από επιθέσεις τύπου SQL injection και μάλλον η αλλαγή του προθέματος γίνεται περισσότερο για ψυχολογικούς λόγους παρά για πραγματική ασφάλεια.

Είναι σαν να διπλοκλειδώνεται την εξώπορτα η οποία δεν είναι πόρτα ασφαλείας και ούτως ή άλλως διαρρηγνύεται.

Ο πιο σωστός τρόπος για να εξασφαλίσετε ότι η ιστοσελίδα σας δεν θα πέσει θύμα επίθεσης SQL injection είναι:

  • Να κρατήσετε ενημερωμένα όλα τα πρόσθετα και τα θέματα που έχετε στο WordPress
  • Να εγκαταστήσετε κάποιο είδους WordPress firewall όπως το WordFence ή κάποιο παρόμοιο

Πολλές φορές η εταιρεία hosting έχει προνοήσει η ίδια για την πιθανή ασφάλεια από SQL injections και έχει η ίδια εγκατεστημένο firewall σε επίπεδο server. Όμως επειδή αυτό δεν το γνωρίζετε ή δεν το γνωρίζουμε απόλυτα, καλό θα ήταν να επικοινωνήσετε με την εταιρεία hosting που έχετε ώστε να σας ενημερώσει η ίδια επίσημα τι μέτρα ασφαλείας διαθέτει για να σας προστατέψει από τέτοιου είδους επιθέσεις.

3 Με ένα πολύπλοκο όνομα χρήστη και password θα ασφαλιστούμε από τους hackers

Φυσικά και ένα δυνατό και πολύπλοκο όνομα χρήστη και ένα password θα σας βοηθήσει να αποφύγετε ερασιτεχνικές επιθέσεις στην ιστοσελίδα σας από ανταγωνιστές και διάφορους περίεργους που θα θελήσουν να δουν τι κρύβεται πίσω από το site σας.

Το να μην έχετε όνομα χρήστη το admin από μόνο του είναι πολύ μεγάλη πρόοδος όμως ακόμα και τα πολύπλοκα ονόματα χρήστη και passwords δεν πρόκειται να σας παρέχουν την απόλυτη ασφάλεια που ζητάτε.

Οι χάκερς πάντα έχουν και άλλους τρόπους και λύσεις για να σας κατεβάσουν το site βρίσκοντας τα στοιχεία σύνδεσης. Είτε μέσω κενά ασφαλείας, παλιά πρόσθετα ή ακόμα και phising.

Χρησιμοποιήστε διπλή ταυτοποίηση στοιχείων

Ο απόλυτος τρόπος για να έχετε 100% ασφάλεια στην πρόσβαση της ιστοσελίδας σας από τρίτους είναι να έχετε ενεργοποιήσει τη λεγόμενη two-factor authentication η οποία σας στέλνει έναν κωδικό στο κινητό σας τηλέφωνο κάθε φορά που συνδέεστε ως διαχειριστής.

Αν και είναι ο ασφαλέστερος τρόπος για να αποφύγετε όλους τους παρείσακτους που έχουν αποκτήσει πρόσβαση διαχειριστή στο WordPress site σας κρίνεται ιδιαίτερα κουραστικός άμα έχετε να διαχειριστείτε αρκετά sites.

4 To site μου είναι ασήμαντο για να κινήσει την περιέργεια των hackers

WORDPRESS-HACKING-HACKERS-1

Παλαιότερα το πίστευα και εγώ ότι όντως η ιστοσελίδα μου είναι υπερβολικά ασήμαντη για να προσελκύσει το ενδιαφέρον των επίδοξων χάκερ. Όμως αυτή η άποψη δεν έχει κάποια βάση γιατί ο τρόπος που λειτουργούν οι χάκερς σήμερα είναι αυτοματοποιημένος και επιτίθενται ανεξαιρέτως σε όλα τα sites μαζικά.

Αυτό συμβαίνει γιατί οι επιθέσεις γίνονται από αυτόματα bots που προσπαθούν να βρουν λάθη και παραλείψεις ασφαλείας στην ιστοσελίδα σας όσο μικρή και αν είναι.

Μπορεί οι πολύ μεγαλύτερες επιχειρήσεις να διατρέχουν μεγαλύτερο κίνδυνο ασφαλείας από τις μικρές γιατί είναι πολύ μεγάλες και έχουν πράγματα αξίας και σημαντικές πληροφορίες να καλύψουν όμως οι μελέτες σχετικά με την ασφάλεια των εταιρικών ιστοσελίδων δείχνουν άλλα πράγματα.

Σύμφωνα με μια μελέτη του 2014, το 60% όλων των ηλεκτρονικών επιθέσεων στο ίντερνετ είχε ως στόχο μικρές και μικρομεσαίες επιχειρήσεις. Ο λόγος αυτής της στόχευσης ήταν προφανής. Επειδή οι μικρές επιχειρήσεις δεν έχουν τους πόρους για να έχουν καλύτερη ασφάλεια και προστασία από αυτές τις επιθέσεις θεωρούνται εύκολα θύματα.

Μια ακόμα έρευνα σε αυτόν τον τομέα της ασφάλειας ιστοσελίδων στο ίντερνετ έδειξε ότι το 60% πάλι των επιθέσεων γινόταν τον πρώτο χρόνο λειτουργίας της ιστοσελίδας ίσως από υποψία ότι μάλλον θα είχε κάποιο κενό ασφαλείας ή θα είχε πλημμελής ασφάλεια.

Το συμπέρασμα λοιπόν φίλοι μου είναι απλό. Δεν χρειάζεται η ιστοσελίδα σας να φτάσει στο μέγεθος του Facebook ή της Bmw για να αποκτήσει την ασφάλεια που της χρειάζεται.

Όσο μικρό και αν είναι το site σας όσο μικρή και αν είναι η ιστοσελίδα σας, πάλι θα αποτελεί λεία για έναν χάκερ που απλώς θέλει να επιβεβαιωθεί ότι μπορεί να ρίξει το site σας.

Κυβερνοεπιθέσεις με στόχο την φύτευση backlink

Nα θυμάστε κανένα site δεν είναι μικρό για να είναι ασφαλές από μαζικές κυβερνοεπιθέσεις. Και αυτό γιατί πάρα πολλά κακόβουλα bots και spambot προσπαθούν με αθέμιτο τρόπο να φυτεύσουν links στο site σας εκμεταλλευόμενα κάποια πιθανά κενά ασφαλείας ή κάποιες τρύπες ή ρυθμίσεις που έχετε ξεχάσει ανοικτές στο WordPress site σας.

Η απόκτηση ενός backlink ή η εμφύτευση δεκάδων backlinks στο site σας θα έχει ως αποτέλεσμα αρνητικό SEO στη Google και πιθανών να σας χαρακτηρίσει ως spam site ή και ως χακαρισμένο site και να σας αφαιρέσει από τα αποτελέσματα αναζήτησης.

 

5 To site μου είναι ασφαλές γιατί έχει ένα Πιστοποιητικό SSL

Ένα πιστοποιητικό SSL το οποίο μεταφράζεται σε https:// αντί για http:// για την ιστοσελίδα σας προσφέρει ένα επιπλέον επίπεδο ασφαλείας μεταξύ της ιστοσελίδας σας και των επισκεπτών σας.

Ειδικά άμα έχετε κάποιο eshop ή οι χρήστες σας στέλνουν ευαίσθητα προσωπικά δεδομένα μέσω της ιστοσελίδας σας τότε το SSL κρίνεται απαραίτητο και σας δίνει και μερικούς έξτρα πόντους στο SEO της ιστοσελίδας σας.

Όμως από άποψη ασφάλειας στο ίντερνετ και προστασίας από τους χάκερς ένα SSL δεν κάνει απολύτως τίποτα γιατί έχει ως μοναδικό σκοπό την κρυπτογράφηση των στοιχείων επικοινωνίας μεταξύ της ιστοσελίδας σας και των επισκεπτών σας.

Έτσι δεν ενισχύει καθόλου της ασφάλεια έναντι των spammers ή των χάκερς.

6 Το site μου χρησιμοποιεί ένα CDN ή ένα Cloud based Firewall που προστατεύει απόλυτα

Τα CDN ή τα Content delivery networds και τα cloud firewalls όπως αυτά που η Cloudflare ή η GoDaddy προσφέρει και μάλιστα εντελώς δωρεάν είναι για να προστατεύουν τους δικούς τους servers από κυβερνοεπιθέσεις και τίποτα παραπάνω.

Τα CDN όμως καθώς και οι υπηρεσίες τύπου cloudflare δεν προσφέρουν καμία ασφάλεια γιατί ακόμα και να αποκρύπτουν το IP του server σας, ακόμα και ο πιο απλός χάκερ με τα κατάλληλα εργαλεία θα μπορέσει να τον εντοπίσει εύκολα και θα μπορέσει και πάλι να επιτεθεί στο site σας.

Η απόκρυξη της διεύθυνσης IP του server σας είναι εξαιρετικά δύσκολη και πολλές φορές έχει ως αποτέλεσμα να έχετε και ποινή από τη Google η οποία θέλει να υπάρχει απόλυτη διαφάνεια για τον ιδιοκτήτη της ιστοσελίδας και τα στοιχεία του Web Whois.

 

7  Το WordPress από μόνο του είναι μια πλατφόρμα με προβλήματα ασφαλείας

Το WordPress  είναι πρώτο σε δημοτικότητα και στις προτιμήσεις των χρηστών πράγμα που σημαίνει ότι όντως η εταιρεία που το διαχειρίζεται, η Automattic δεν έχει κανένα κενό ασφαλείας γιατί άμα είχε απλώς το 25% των ιστοσελίδων του ίντερνετ θα σταματούσε να λειτουργεί σήμερα κιόλας.

Οπότε όλη αυτή η παράλογη παραφιλολογία γύρω από την ασφάλεια του WordPress πρέπει να σταματήσει τώρα.

Το 25% των συνολικών ιστοσελίδων στο ίντερνετ είναι σε WordPress που είναι 4 φορές περισσότερο από όλα τα sites σε Drupal και Joomla μαζί. Και επειδή είναι το δημοφιλέστερο πρόγραμμα κατασκευής ιστοσελίδων παγκοσμίως έχει την μεγαλύτερη ενεργή κοινότητα έμπειρων χρηστών και προγραμματιστών οι οποίοι εργάζονται 24/7/365 για να ανιχνεύσουν πιθανά προβλήματα ασφαλείας και να τα επιλύσουν με νέα updates στον πυρήνα του κώδικα του ίδιου του WordPress.

Κανένα άλλο πρόγραμμα κατασκευής ιστοσελίδων, καμία άλλη εφαρμογή eshop δεν έχει τόσους πολλούς  τεχνικούς ασφαλείας και προγραμματιστές που να ασχολούνται με το αυτονόητο.

Ακόμα και να υπάρχουν πάρα πολλές περιπτώσεις για διαρρήξεις ασφαλείας ιστοσελίδων σε WordPress, το 80% όλων αυτών των περιστατικών οφείλεται σε παλιές εκδόσεις WordPress που δεν έχουν ανανεωθεί και σε πρόσθετα που και αυτά δεν έχουν ανανεωθεί.

Κρατήστε ενημερωμένο το WordPress site σας

Το συμπέρασμα και εδώ είναι ένα: Κρατήστε πάντα ανανεωμένα όλα τα πρόσθετα, τα θέματα και την έκδοση του WordPress στην πιο πρόσφατη έκδοση της. Επίσης για λόγους ταχύτητας, ασφάλειας και οικονομίας χώρου και χρόνου καλό θα ήταν να απεγκαταστήσετε όλα τα πρόσθετα που δεν χρησιμοποιείτε καθώς και όλα τα θέματα που δεν χρειάζεστε.

Συμπεράσματα για την ασφάλεια στο WordPress

Φαντάζομαι ότι φτάσατε να διαβάζετε μέχρι εδώ θα έχετε καταλάβει άμα το WordPress τελικά είναι ασφαλές ως πρόγραμμα διαχείρισης ιστοσελίδων ή όχι. Επίσης θα έχετε καταλάβει ότι από μόνο του τίποτα δεν είναι ασφαλές είτε είναι σε WordPress είτε σε Joomla είτε σε κάτι άλλο.

Θα πρέπει σε συνεργασία με μια έμπειρη εταιρεία κατασκευής ιστοσελίδων να χαράξετε την δική σας στρατηγική ασφαλείας στο ίντερνετ για να κοιμάστε ήσυχοι τα βράδια.

Δείτε περισσότερα για την ασφάλεια στο WordPress:

Ζητήστε μια προσφορά σήμερα για κατασκευή ιστοσελίδας ή προώθηση ιστοσελίδας

ZHTHSTE PROSFORA DIGITAL MARKETING-1

Αν είστε πριν την κατασκευή ιστοσελίδας ή την ανακατασκευή της ιστοσελίδας σας, πριν κάνετε οτιδήποτε ζητήστε μια προσφορά για web design ή κατασκευή eshop.

Ζητήστε προσφορά κατασκευής  ή προώθησης ιστοσελίδας

Δωρεάν Μαθήματα SEO Αξίας 129€

seo-google

Πάρτε εντελώς δωρεάν τον οδηγό μαθημάτων αξίας 129€ SEO εντελώς δωρεάν! Αυξήστε την επισκεψιμότητα και τις πωλήσεις της ιστοσελίδας σας κατακόρυφα ακολουθώντας μικρά βήματα βελτιστοποίησης.

Μενού
Shares