5 απαραίτητα βήματα για ένα ασφαλές WordPress Blog!

24 Αυγούστου 2011, από

Safe WordPress

Όταν έχουμε δημιουργήσει, με κόπο, αγάπη περισσή και αφιερώνοντας πολύτιμο χρόνο, το blog μας, το ελάχιστο που οφείλουμε να κάνουμε, είναι να το προστατέψουμε από επιτήδιους, φασαριόζους crackers/hackers!
Παρακάτω θα βρείτε τις 5 σημαντικότερες ενέργειες που μπορείτε να κάνετε, για να έχετε ένα ασφαλές και προστατευμένο blog. Είναι απλές και εύκολα εφαρμόσιμες από όλους.
Πριν όμως αυτό, σιγουρευτείτε ότι:
α) Ο υπολογιστής που χρησιμοποιείτε για να κάνετε posts στο WP blog σας είναι ασφαλής, δεν έχει κολήσει κάποιο ιό, ότι είναι spyware-free και ότι δεν τρέχει κάποιο κακόβουλο λογισμικό!


β) Δεν χρησιμοποιείτε “σπασμένους” FTP clients ή “σπασμένα” antivirus, μιας και τέτοιου είδους προγράμματα χρησιμοποιούν οι hackers για να συλλέγουν κωδικούς πρόσβασης. Αν δεν θέλετε να αγοράσετε, υπάρχουν πολύ καλές και δωρεάν εκδόσεις FTP clients και antivirus που μπορείτε να κατεβάσετε από το Internet (πχ Filezilla, Avast).
Τα παραπάνω σας τα τονίζω γιατί δεν έχει νόημα να προχωρήσετε σε κάποια από τις ενέργειες που θα ακολουθήσουν, εάν υπάρχει κάποιος keylogger στον υπολογιστή σας.

 

Τα 5 σημαντικότερα σημεία για ένα ασφαλές WordPress Blog

1. Update, Update, Update!
Μην αμελείτε την ενημέρωση της version του WordPress που έχετε, καθώς σε κάθε νέα έκδοση έχουν φροντίσει να “κλείσουν τις τρύπες ασφαλείας” της παλαιότερης. Αν έχετε από την έκδοση WordPress 2.6 και μετά, η διαδικασία ενημέρωσης του WordPress και των Plugins είναι πολύ εύκολη! Για τo πότε υπάρχει νέα διαθέσιμη έκδοση, θα δείτε μια μικρή, κίτρινη ανακοίνωση μέσα στο wp-admin, ενώ μπορείτε να εγγραφείτε και στο WordPress developers blog με RSS ή email για να ενημερώνεστε σχετικά με τις τελευταίες εκδόσεις που κυκλοφορούν.
2. Εισάγετε σωστά δικαιώματα!
Το καλύτερο είναι να μην βάλετε τα χεράκια σας στα permissions των αρχείων μετά την εγκατάσταση. Aυτό θα ήταν το ιδανικό! Στην περίπτωση όμως που τα ανακατέψατε, σιγουρευτείτε ότι όλα τα δικαιώματα των φακέλων είναι 755 και των αρχείων 644. Ποτέ, ΜΑ ΠΟΤΕ, δεν θα πρέπει να δώσετε δικαιώματα 777, γιατί επιτρέπετε αμέσως σε κάποιον hacker, να κάνει ό,τι θέλει με το site σας.
3. Super Duper, προστασία Password σύνδεσης
Αρχικά, σιγουρευτείτε ότι ο κωδικός σύνδεσης ως admin είναι αρκετά “δυνατός”! Στη συνέχεια πραγματοποιήστε τις 2 προσθήκες παρακάτω για να προστατέψετε τη σύνδεση στο blog σας.
α) Προστατεύσετε τον φάκελο /wp-admin/ με directory Password protect. Δείτε βήμα βήμα τη διαδικασία στην FAQ του Papaki “Πως εφαρμόζω μέσα από το Plesk 10, προστασία Password Protect (server-side protect) σε ένα φάκελο στο site μου;”.
β) Μπορείτε επίσης να εγκαταστήσετε το plugin Login LockDown, το οποίο εισάγει άλλη μία δικλείδα σφαλείας, η οποία “παγώνει” ένα χρήστη (συγκεκριμένα ελέγχει την IP του) για 1 ώρα, εφόσον έχει εισάγει λανθασμένους κωδικούς πάνω από 3 φορές, μέσα σε 5 λεπτά. Μπορείτε να αλλάξετε αυτά τα default στοιχεία μέσα από το panel διαχείρισης της εφαρμογής. Έτσι μπλοκάρεται ο χρήστης για συγκεκριμένο χρονικό διάστημα και με αυτόν τον τρόπο αποφεύγετε τυχόν attacks επιτήδειων!
4. Εγκαταστήστε το Replace-WP Version για να αντικαταστήσετε την έκδοση WP που διαθέτετε, ώστε να μην εμφανίζει την έκδοση σε hackers που θέλουν να εκμεταλλευτούν τις “τρύπες” ασφαλείας της δικής σας έκδοσης.
5. Προστατέψτε το αρχείο wp-config.php Το αρχείο αυτό περιλαμβάνει όλα τα στοιχεία σύνδεσης της βάσης δεδομένων σας και θα πρέπει πάντα να παραμένει κρυφό! Θα πρέπει οπωσδήποτε να μην είναι σε public view και για να το πετύχετε αυτό εισάγετε στο φάκελο .htaccess το παρακάτω:

order allow,deny
deny from all
Για οδηγίες επεξεργασίας του .htaccess αρχείου, δείτε το .htaccess tutorial
Τα παραπάνω είναι τα σημαντικότερα σημεία τα οποία εκμεταλλεύονται οι hackers για να εισέλθουν σε ένα WP blog. Γνωρίζετε περισσότερα; Έχετε απορίες; Για απαντήσεις και extra οδηγίες αφήστε τα σχόλια σας παρακάτω!

 

Διαβάστε επίσης: WordPress Security: Η ασφάλεια του site σου σε 5 απλά βήματα

Μπες στη συζήτηση

Πες μας τη γνώμη σου!