Πώς ΔΕΝ θα ασφαλίσετε τον ιστότοπό σας στο WordPress

Πώς ΔΕΝ θα ασφαλίσετε τον ιστότοπό σας στο WordPress

Ποιο είναι το πρώτο πράγμα που θα κάνατε όταν θέλετε να ασφαλίσετε τον ιστότοπό σας στο WordPress; Μάθετε τις πέντε πρώτες προσθήκες ασφαλείας, σκεφτείτε πόσο προσιτές είναι και, στη συνέχεια, προχωρήστε και εγκαταστήστε ένα. Αυτό έγινε, τώρα μπορείτε να καθίσετε και να χαλαρώσετε, σωστά; Λανθασμένος!


Η χρήση ενός πρόσθετου ασφαλείας δεν διασφαλίζει την ασφάλεια. Η ασφάλεια δεν είναι απόλυτο πράγμα και κανείς δεν μπορεί να εγγυηθεί την πλήρη ασφάλεια. Το καλύτερο που μπορούμε να κάνουμε είναι να μειώσουμε τον κίνδυνο εισβολής. Και σε αντίθεση με τη δημοφιλή πεποίθηση, ο κάτοχος του ιστότοπου πρέπει να συμμετέχει στη διατήρηση της ασφάλειας του ιστότοπου. Είναι σημαντικό να γνωρίζετε τι πρέπει να κάνετε και τι δεν πρέπει να κάνετε.

Ενώ υπάρχουν διάφοροι οδηγοί για το τι πρέπει να κάνετε για να διατηρήσετε ασφαλή τον ιστότοπό σας στο WordPress, σας προσφέρουμε έναν οδηγό για το τι πρέπει να αποφύγετε. Θα σημειώσετε ότι οι συμβουλές εδώ έρχονται σε αντίθεση με τη γενική πεποίθηση. Αλλά από την εμπειρία μας, πολλές συμβουλές εκεί έξω είναι ξεπερασμένες και προσφέρουν μια ψευδή αίσθηση ασφάλειας.

Εάν το θέμα της ασφάλειας του WordPress σας ενοχλεί όσο μας κάνει, ρίξτε μια ματιά στα παρακάτω.

1. Μην χρησιμοποιείτε πάρα πολλά πρόσθετα ασφαλείας

Δεδομένου του μεγάλου εύρους προσθηκών που διατίθενται εκεί έξω, με διάφορα σύνολα δυνατοτήτων, είναι δελεαστικό να χρησιμοποιήσετε περισσότερες από μία προσθήκες ασφαλείας WordPress. Για να είμαι ειλικρινής, είναι υπερβολικό. Το να ανησυχείτε για την ασφάλεια του ιστότοπού σας είναι φυσιολογικό, αλλά πρέπει να αναρωτηθείτε εάν χρειάζεστε πραγματικά περισσότερες από μία προσθήκες ασφαλείας; Ποια είναι τα χαρακτηριστικά απαραίτητα για την απαίτηση του ιστότοπού σας; Τα χαρακτηριστικά θα βαδίσουν στα πόδια του άλλου?

Για παράδειγμα, μπορεί να προκύψει διένεξη όταν οι προσθήκες αρχίσουν να τροποποιούν αρχεία όπως το wp-config.php ή το htaccess. Τα πρόσθετα μπορούν εύκολα να ταιριάζουν με αυτά τα αρχεία, αλλά δεν τα τροποποιούν με έναν ομόφωνο τρόπο. Αυτό θα μπορούσε να δημιουργήσει διενέξεις και να καθυστερήσει τον ιστότοπό σας.

Με τους ιστότοπους του WordPress, τα πράγματα μπορεί να πάνε στραβά τώρα και ξανά. Όλοι μισούν την τρομακτική Λευκή Οθόνη του Θανάτου. Η ύπαρξη πολλαπλών προσθηκών που επηρεάζει βαθιά τον ιστότοπό σας μπορεί να δυσκολέψει τα προβλήματα εντοπισμού σφαλμάτων. Τώρα, αν υπήρχε μόνο ένα πρόσθετο, η εύρεση και η διόρθωση της αιτίας του σφάλματος θα ήταν ευκολότερη και λιγότερο περίπλοκη.

2. Μην αλλάξετε το πρόθεμα DB

Υπάρχουν διάφοροι τρόποι με τους οποίους ένας ιστότοπος WordPress μπορεί να τεθεί σε κίνδυνο. Ο εισβολέας μπορεί να αποκτήσει πρόσβαση στη βάση δεδομένων ενός ιστότοπου μέσω της επίθεσης SQL injection. Μια ευπάθεια σε μια προσθήκη ή ένα θέμα μπορεί να χρησιμοποιηθεί για να εισέλθει στη βάση δεδομένων του ιστότοπου (για αυτό σας προτείνουμε να χρησιμοποιήσετε ένα Πρόσθετη δημιουργία αντιγράφων ασφαλείας βάσης δεδομένων WordPress για να αποφευχθεί παρόμοια παγίδα). Μια δημοφιλής μέθοδος αποτροπής εισβολής των εισβολέων στον ιστότοπό σας είναι η αλλαγή του προεπιλεγμένου προθέματος πίνακα. Όπως μπορείτε να δείτε στην παρακάτω εικόνα, στο WordPress, το προεπιλεγμένο πρόθεμα πίνακα είναι «wp_». Το WordPress σας επιτρέπει να αλλάξετε το πρόθεμα πίνακα (για παράδειγμα, «xzy_»), ώστε να αποκρύψετε συγκεκριμένους πίνακες.

Προθέματα βάσης δεδομένων WordPress

Στην επιφάνεια, φαίνεται καλή ιδέα. Εάν οι εισβολείς δεν γνωρίζουν το όνομα του πίνακα, τότε δεν μπορούν να ανακτήσουν τα δεδομένα από αυτό. Ωστόσο, αυτός είναι ένας λανθασμένος συλλογισμός. Μόλις κάποιος παραβιάσει τη βάση δεδομένων σας, υπάρχουν ακόμα τρόποι για να μάθετε τους πίνακες. Επομένως, η αλλαγή των ονομάτων του προθέματος δεν είναι χρήσιμη. Επιπλέον, η τροποποίηση του προεπιλεγμένου προθέματος μπορεί να προκαλέσει εσφαλμένη συμπεριφορά πολλών προσθηκών.

Επιπλέον, η αλλαγή του προθέματος βάσης δεδομένων midflight είναι δύσκολο να εφαρμοστεί και μπορεί να προκαλέσει σφάλμα στον ιστότοπό σας. Αυτό συμβαίνει επειδή υπάρχουν πολλές αλλαγές που πρέπει να γίνουν σε κάθε επίπεδο. Οποιοδήποτε σφάλμα στη διαδικασία θα αποδειχθεί καταστροφικό για τον ιστότοπό σας.

3. Αποφύγετε την απόκρυψη της σελίδας σύνδεσής σας

Πάντα υπάρχει κάποιος που προσπαθεί να εισέλθει στον ιστότοπό σας σπάζοντας τον κωδικό πρόσβασής σας. Κατά τη διάρκεια βίαιων επιθέσεων, οι χάκερ προσπαθούν να συνδεθούν στον ιστότοπό σας χρησιμοποιώντας έναν συνδυασμό δημοφιλών ονομάτων χρήστη και κωδικών πρόσβασης. Τι γίνεται αν κρύβουμε τη σελίδα σύνδεσης; Αυτό θα σκοτώσει δύο πουλιά με μια πέτρα, σωστά; Ο εισβολέας δεν θα μπορούσε να βρει τη σελίδα σύνδεσης και η φόρτωση στον διακομιστή σας θα μειωθεί.

Το WordPress έχει μια προεπιλεγμένη σελίδα σύνδεσης. Η διεύθυνση URL της σελίδας μοιάζει συνήθως με αυτό το παράδειγμα.com/wp-login.php. Ένας πολύ γνωστός τρόπος για να σώσετε τον ιστότοπό σας από την επίθεση brute force είναι να κρύψετε ή να αλλάξετε την προεπιλεγμένη σελίδα σύνδεσης σε κάτι άλλο, όπως το example.com/mylogin.php. Παρόλο που αυτό ακούγεται σαν ένα ανόητο σχέδιο, ας μάθουμε πόσο αποτελεσματική είναι η μέθοδος στη διατήρηση της ασφάλειας του ιστότοπού σας στο WordPress.

Μείωση φόρτου διακομιστή

Αφού αποκρύψετε ή αλλάξετε την τοποθεσία της σελίδας σύνδεσής σας, κάθε φορά που κάποιος προσπαθεί να την ανοίξει, θα αντιμετωπίσει σφάλμα 404. Ωστόσο, οι προσπάθειες σύνδεσης είναι μια βαριά διαδικασία. Κάθε φορά που φορτώνεται η σελίδα σφάλματος 404, καταναλώνει πολλούς πόρους του διακομιστή σας. Και καταλήγει να επιβραδύνει τον ιστότοπό σας. Ως εκ τούτου, η κοινή πεποίθηση ότι η απόκρυψη της σελίδας σύνδεσης θα μειώσει τη φόρτωση στον διακομιστή είναι εσφαλμένη.

Η εναλλακτική διεύθυνση URL δεν είναι δύσκολο να μαντέψει

Μέρος της επιτυχίας του WordPress ως CMS οφείλεται σε προσθήκες που διευκολύνουν τις τροποποιήσεις σε έναν ιστότοπο. Δεν προκαλεί έκπληξη το γεγονός ότι ένας δημοφιλής τρόπος απόκρυψης μιας σελίδας σύνδεσης ενός ιστότοπου είναι χρησιμοποιώντας μια προσθήκη. Αυτές οι προσθήκες έρχονται με ένα σύνολο προεπιλεγμένων εναλλακτικών διευθύνσεων URL σύνδεσης, όπως xzy.com/wplogin.php, κ.λπ. Μόλις εγκαταστήσουμε την προσθήκη και αλλάξουμε τη διεύθυνση URL μας, δεν το σκεφτόμαστε πολύ. Υπάρχουν όμως τόσα πολλά URL που μπορεί να προσφέρει ένα πρόσθετο. Δεν είναι πολύ δύσκολο να μάθετε αυτά τα προκαθορισμένα URL σύνδεσης. Επομένως, η χρήση εναλλακτικής διεύθυνσης URL ενδέχεται να είναι αναποτελεσματική στις περισσότερες περιπτώσεις.

Ζητήματα ευχρηστίας

Η ομορφιά του WordPress είναι ότι είναι εύκολο στη χρήση. Είναι μια οικεία πλατφόρμα. Για έναν ιστότοπο με πλήθος χρηστών, η αλλαγή ή η απόκρυψη της σελίδας σύνδεσης θα μπορούσε να δημιουργήσει ορισμένα προβλήματα. Αρκετές φορές έχουμε συναντήσει αναρτήσεις σε φόρουμ WordPress όπου οι χρήστες είναι κλειδωμένοι από έναν ιστότοπο λόγω αλλαγής στη διεύθυνση URL σύνδεσης. Στις περισσότερες περιπτώσεις οι αλλαγές έγιναν χρησιμοποιώντας ένα πρόσθετο και οι χρήστες δεν ενημερώθηκαν για την κατάσταση που προκαλεί χάος.

4. Μην αποκλείετε χειροκίνητα τις διευθύνσεις IP

Εάν έχετε εγκαταστήσει μια προσθήκη ασφαλείας στον ιστότοπό σας, θα ενημερώνεστε κάθε φορά που κάποιος προσπαθεί να συνδεθεί στον ιστότοπό σας. Μπορείτε εύκολα να κρατήσετε το IP στέλνοντας αυτά τα κακόβουλα αιτήματα και αποκλεισμός τους χρησιμοποιώντας το αρχείο .htaccess. Είναι μια χειροκίνητα εντατική εργασία και όχι μια πολύ βολική πρακτική.

Δεν είναι φιλικό προς τον χρήστη

Ένα μη τεχνικό άτομο που προσπαθεί να τροποποιήσει τα αρχεία .htaccess είναι μια συνταγή για καταστροφή. Ένα σύστημα διαχείρισης περιεχομένου όπως το WordPress έχει πολύ αυστηρή μορφοποίηση. Ακόμη και η χρήση των πιο δημοφιλών εργαλείων όπως το FTP / SFTP είναι πολύ επικίνδυνη. Ένα μικρό σφάλμα ή λανθασμένη τοποθέτηση εντολών μπορεί να προκαλέσει διακοπή λειτουργίας του ιστότοπου.

Πάρα πολλά IP για αποκλεισμό

Για να αποφευχθεί η μαύρη λίστα, οι χάκερ χρησιμοποιούν διευθύνσεις IP από όλο τον κόσμο. Προηγουμένως, συζητήσαμε για τον αποκλεισμό μη αυτόματα διευθύνσεων IP που προσπαθούν συνεχώς να εισβάλλουν στον ιστότοπό σας. Η εργασία (όπως έχουμε αναφέρει προηγουμένως) απαιτεί πολύ χρόνο και προσπάθεια, αλλά δεν είναι ακριβώς μια πολύ αποτελεσματική χρήση του χρόνου. Αλλά αν χρησιμοποιείτε κάποια από τα κορυφαία πρόσθετα ασφαλείας του WordPress, για παράδειγμα, Malcare, μπορείτε να αυτοματοποιήσετε τη διαδικασία αποκλεισμού. Τέτοια πρόσθετα ασφαλείας φροντίζουν όλα τα κενά ασφαλείας WP.

5. Απόκρυψη του WordPress

Υπάρχει μια γενική υπόθεση ότι η απόκρυψη του CMS σας καθιστά δυσκολότερο για άτομα με άθλια πρόθεση να εισέλθουν στον ιστότοπό σας. Τι γίνεται αν θα μπορούσαμε να κρύψουμε το γεγονός ότι ο ιστότοπός σας λειτουργεί στο WordPress. Αυτό θα προστατεύσει τον ιστότοπό σας από εισβολείς που θέλουν να εκμεταλλευτούν κοινές ευπάθειες. Ένας εύκολος τρόπος να το κάνετε αυτό είναι (το μαντέψατε) χρησιμοποιώντας ένα πρόσθετο. Ωστόσο, η μέθοδος αποτυγχάνει όταν οι εισβολείς δεν ενδιαφέρονται σε ποια πλατφόρμα λειτουργεί ο ιστότοπός σας. Εκτός αυτού, υπάρχουν πολλοί τρόποι για να μάθετε εάν ένας ιστότοπος εκτελείται στο WordPress.

Εκτός από τη χρήση ενός πρόσθετου, μπορεί κανείς να επιλέξει να κάνει τη δουλειά χειροκίνητα. Αλλά είναι μια χρονοβόρα διαδικασία. Μια μεμονωμένη ενημέρωση του WordPress μπορεί να αναιρέσει όλη την εργασία σας μέσα σε λίγα δευτερόλεπτα. Αυτό σημαίνει, είτε θα πρέπει να επαναλάβετε τη διαδικασία ξανά και ξανά ή να αποφύγετε τις ενημερώσεις WP. Η παράλειψη ενημερώσεων του WordPress είναι σαν να ανοίξετε την μπροστινή πόρτα για να εισέλθει ένας χάκερ κατευθείαν στο σπίτι σας.

6. Η προστασία με κωδικό πρόσβασης wp-admin δεν λειτουργεί

Η προεπιλεγμένη σελίδα σύνδεσης στο WordPress (που μοιάζει με αυτό – example.com/wp-admin) είναι μια πύλη προς τον ιστότοπό σας. Μια τυπική σελίδα σύνδεσης μοιάζει με την παρακάτω εικόνα.

Εδώ θα χρειαστεί να χρησιμοποιήσετε τα διαπιστευτήριά σας για να αποκτήσετε πρόσβαση στον πίνακα ελέγχου του WordPress. Ο κωδικός πρόσβασης που προστατεύει τη σελίδα σύνδεσης βοηθά στην απόκρυψη ή την προστασία αυτής της πύλης στον πίνακα ελέγχου. Είναι καλή ιδέα, αλλά όχι χωρίς τα κενά της.

Παράδειγμα LookLinux Password Protect

Η εικόνα είναι ευγενική προσφορά: LookLinux

Πρώτα απ ‘όλα, είναι δύσκολο να διατηρήσετε ή ακόμα και να αλλάξετε τον κωδικό πρόσβασης, εάν τυχαίνει να τον χάσετε. Εκτός από την αναποτελεσματική παροχή πρόσθετης ασφάλειας, τέτοιες τροποποιήσεις στον ιστότοπό σας μπορεί να αποδειχθούν πολύ επικίνδυνες. Για παράδειγμα, όταν προστατεύετε με κωδικό πρόσβασης τη σελίδα διαχειριστή, αίτημα όπως το /wp-admin/admin-ajax.php δεν μπορεί να παρακάμψει την προστασία. Υπάρχουν προσθήκες που θα μπορούσαν να εξαρτώνται από τη λειτουργικότητα Ajax του ιστότοπού σας. Και όταν δεν μπορούν να έχουν πρόσβαση σε αυτήν τη λειτουργικότητα, αρχίζουν να συμπεριφέρονται εσφαλμένα. Ως εκ τούτου, αυτό μπορεί να προκαλέσει τη διακοπή του ιστότοπου.

Σε σένα

Εάν έχετε οποιεσδήποτε ερωτήσεις ή προτάσεις σχετικά με το τι πρέπει να αποφύγετε για να ασφαλίσετε έναν ιστότοπο WordPress, ενημερώστε μας στα σχόλια.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map