Μια εισαγωγή στο πως μπορούμε να πετύχουμε τη καλύτερη δυνατή ασφάλεια για τη WordPress ιστοσελίδα μας
Σε προηγούμενο άρθρο είχαμε αναφέρει ότι η ασφάλεια ιστοσελίδας είναι ένα από τα προβλήματα που υπάρχουν σε ιστοσελίδες παλαιάς κατασκευής. Εδώ θα δούμε τι μπορούμε να κάνουμε για να εξασφαλίσουμε την ασφάλεια μιας ιστοσελίδας που έχει κατασκευαστεί με WordPress.
To WordPress είναι από τα δημοφιλέστερα CMS παγκοσμίως, με περισσότερο από το 30% των διαχειριστών ιστοσελίδων να το χρησιμοποιούν. Η ίδια του η δημοτικότητα έχει το κόστος της: συχνά, οι ιστοσελίδες αυτές βρίσκονται στο στόχαστρο hacker και spammer που θα προσπαθήσουν να εκμεταλλευτούν πιθανά κενά στην ασφάλεια για δικό τους όφελος.
Όπως έχουμε τονίσει και στο παρελθόν, η επένδυση στην ασφάλεια μιας οποιασδήποτε ιστοσελίδας μπορεί μόνο να μειώσει τους κινδύνους κακόβουλης επίθεσης, και όχι να τους εξαλείψει. Η θωράκιση της ιστοσελίδας μας είναι μια συνεχής διαδικασία που απαιτεί συχνή αξιολόγηση των φορέων της επίθεσης.
Αν διαχειρίζεστε μια σελίδα WordPress, δείτε κάποιες βασικές τεχνικές ασφαλείας. Θα σας βοηθήσουν να βελτιώσετε την ασφάλειά της και να μειώσετε τον κίνδυνο έκθεσης σε επιθέσεις.
1. Ευπάθεια στο Λογισμικό. WordPress, θέματα και πρόσθετα
Ένας από τους λόγους διάδοσης του WordPress στο σύνολο των κατασκευαστών ιστοσελίδων είναι η ασφάλεια που παρέχει. Η ομάδα προγραμματιστών του εργάζεται επιμελώς ώστε να παρέχει σημαντικές ενημερώσεις ασφαλείας και να καλύπτει διεξοδικά τα όποια κενά εμφανίζονται στην ασφάλεια του λογισμικού του.
Με κάθε νέα έκδοση του wordpress, δημοσιοποιούνται και οι αλλαγές που έχουν γίνει στο λογισμικό του. Οι διαχειριστές του ενημερώνονται τόσο για το τι νέο υπάρχει, όσο και για τι λάθη έχουν διορθωθεί στους παλαιότερους κώδικες. Πρακτικά αυτό σημαίνει ότι μετά από κάθε έκδοση, αποκαλύπτονται τα κενά ασφαλείας που υπήρχαν σε προηγούμενες εκδόσεις.
Το πρώτο και σημαντικό βήμα που πρέπει να κάνει λοιπόν κάποιος που διαχειρίζεται μια ιστοσελίδα WordPress είναι να ενημερώνει κάθε φορά το WP στη τελευταία του έκδοση. Παλαιότερες εκδόσεις του WP, είναι το πρώτο που κοιτάζουν όσοι – για τους δικούς τους λόγους – σχεδιάζουν κάποια κακόβουλη επίθεση.
Και ενώ το ίδιο το λογισμικό του WP μπορεί να είναι ασφαλές όταν είναι ενημερωμένο, υπάρχουν ακόμη πολλά προγράμματα μέσα σε μια ιστοσελίδα που χρειάζονται τη προσοχή μας. Αναφερόμαστε στα πρόσθετα προγράμματα (plugins), αλλά και τα ίδια τα θέματα που βρίσκονται εγκατεστημένα στο WP.
Υπάρχουν δύο μέρη που πρέπει να προσέξουμε σε όσον αφορά τα προγράμματα αυτά.
1.1. Έλεγχος σε Θέματα και Πρόσθετα.
Σκοπός μας είναι να ελέγξουμε θέματα και πρόσθετα ώστε να είναι μην έχουμε κενά στην ασφάλεια της ιστοσελίδας μας. Σε ό,τι αφορά τον έλεγχο υπάρχουν δύο πράγματα που μπορούμε να δούμε. Το πρώτο είναι η χρήση τους, που αφορά τόσο τα plugins όσο και τα θέματα που είναι εγκατεστημένα στην ιστοσελίδα μας.
Απομακρύνετε ό,τι δεν χρησιμοποιείτε
Η ιστοσελίδα μας χρησιμοποιεί ένα θέμα, ίσως και το θυγατρικό του, για να λειτουργήσει, όλα τα άλλα θέματα λοιπόν που είναι προ-εγκατεστημένα σε αυτήν καλό θα ήταν να διαγραφούν. Σε όσον αφορά τα πρόσθετα, είναι απαραίτητο να κρατήσουμε μόνο όσα έχουμε σε χρήση και κρίνουμε απαραίτητα για τη λειτουργία της ιστοσελίδα μας, διαγράφοντας τα υπόλοιπα.
Μη ξεχνάμε, όσα περισσότερα προγράμματα “τρέχουν” σε μια ιστοσελίδα, τόσο πιο αυξημένος είναι ο κίνδυνος “τρύπας” στην ασφάλειά της!
Αξιολογήστε την ασφάλεια των θεμάτων και των plugins
Η αξιολόγηση αυτή πρέπει να είναι διαρκής και να ξεκινά πριν την επιλογή κ΄ εγκατάσταση του θέματος ή του πρόσθετου που θα χρησιμοποιήσουμε. Συγκεκριμένα, πριν την επιλογή καλό είναι να ελέγχεται:
- Ο αριθμός των χρηστών που έχουν το έχουν εγκαταστήσει. Ένα προβληματικό θέμα ή πρόσθετο δέχεται γρήγορα αρνητικές κριτικές, και σταματάει η χρήση του από τη κοινότητα. Απεναντίας, ένας αυξημένος αριθμός χρηστών του μας δίνει ασφάλεια ότι το θέμα (ή το πρόσθετο) είναι πράγματι λειτουργικό.
- Η βαθμολογία. Μια παλαιότερη ορθή λειτουργία δεν εγγυάται και τη μετέπειτα ορθή λειτουργία του θέματος ή πρόσθετου. Αν κάποια από τις αναβαθμίσεις του το κάνουν μη λειτουργικό, αυτό θα αντικατοπτριστεί στη βαθμολογία που θα του δώσουν οι χρήστες του. Αποφεύγουμε προγράμματα με μέση ή χαμηλή βαθμολογία.
- Οι αναβαθμίσεις. Έχουμε ξαναπεί για το πόσο σημαντικό είναι για ένα πρόγραμμα να υποστηρίζεται από τους δημιουργούς του. Αν η τελευταία του έκδοση δεν είναι λίγων εβδομάδων (για πρόσθετα) ή λίγων μηνών (για θέματα), τότε δεν μας κάνει.
- Οι δημιουργοί του. Κάποιες ομάδες προγραμματιστών είναι γνωστές, με πρόσθετα ή θέματα ευρέως διαδεδομένα και άκρως λειτουργικά, τα ονόματά τους λοιπόν είναι μια καλή εγγύηση για τη ποιότητα του υλικού που θα χρησιμοποιήσουμε. Γενικότερα, ελέγχουμε τη φυσική ύπαρξη της συντακτικής ομάδας των δημιουργών.
Tip
Κάποιες ομάδες ή άτομα φέρνουν στην ιδιοκτησία τους κάποιο plugin ακριβώς για να εγκαταστήσουν μέσα του ένα κακόβουλο λογισμικό. Ελέγχετε τακτικά για πιθανές αλλαγές στην ιδιοκτησία των πρόσθετων που χρησιμοποιείτε!
1.2. Ενημερώσεις.
Ενημέρωση του WordPress
Το αναφέραμε και πριν, το τονίζουμε και τώρα. Η ενημέρωση του WP στη πιο πρόσφατη έκδοση είναι σημαντική για την ασφάλεια της ιστοσελίδας μας. Όποτε είναι διαθέσιμη μια νέα του έκδοση, θα ενημερώνεστε από τον Πίνακα Ελέγχου ->Ενημερώσεις.
Το WP ενημερώνεται σε τακτά χρονικά διαστήματα. Φροντίζουμε εξ΄ ίσου συχνά να μπαίνουμε στη διαχείριση της ιστοσελίδας μας και να ελέγχουμε για νέες ενημερώσεις. Αν δεν μπορούμε να το κάνουμε αυτό, φροντίζουμε απαραίτητα να αναλάβει κάποια εξειδικευμένη ομάδα τη διαχείριση και τον έλεγχο της ιστοσελίδας μας.
Κάποιες ενημερώσεις του WP γίνονται αυτόματα και αφορούν αλλαγές εκδόσεων πχ από 5.0.1 σε 5.0.2. Άλλες ενημερώσεις πρέπει να τις κάνουμε εμείς, όπως αυτές που αλλάζουν έκδοση πχ. από 4.9 σε 5.0. Η λειτουργία κάθε νέας έκδοσης του WP είναι γενικά εξασφαλισμένη, και αν θέλουμε να γίνονται όλες οι ενημερώσεις αυτόματα μπορούμε να εισάγουμε τον κώδικα
define( ‘WP_AUTO_UPDATE_CORE’, true );
στο αρχείο wp-config.php του WP μας. Αυτό που χρειάζεται προσοχή σε αυτή τη περίπτωση είναι είμαστε σίγουροι για τη ποιότητα των plugins που έχουμε επιλέξει, ώστε να συνεχίσουν να είναι λειτουργικά και μετά την αναβάθμιση. Γενικότερα, αν δεν έχουμε εξασφαλίσει ότι ο φιλοξενητής μας λαμβάνει καθημερινά αντίγραφα ασφαλείας του site μας, είναι προτιμότερο να αποφεύγουμε την αυτόματη ενημέρωση του WP.
Tip
Ορισμένες ενημερώσεις μπορεί να “σπάσουν” την ιστοσελίδα. Φροντίστε να κάνετε πάντα έναν έλεγχο αμέσως μετά την ενημέρωση και να έχετε κρατήσει ένα backup πριν από αυτήν!
Δοκιμάστε τη νέα έκδοση σε ένα τοπικό αντίγραφο της ιστοσελίδας σας και ελέγξτε τη λειτουργία της σε αυτό!
Και δείτε αμέσως μετά τον κωδικό σας, καθώς και έναν εύκολο τρόπο απομνημόνευσής του!Ενημέρωση των plugins
To WP ενημερώνει αυτόματα τα πρόσθετα που έχουν δημιουργηθεί από την ομάδα του WP. Οτιδήποτε είναι ιδιοκτησία 3ου, πρέπει να ενημερωθεί από τους διαχειριστές της ιστοσελίδας. Σε γενικές γραμμές η άμεση ενημέρωσή τους δεν ελοχεύει κινδύνους, είναι απαραίτητο όμως πριν από αυτή να ελέγξουμε αν έχει δοκιμαστεί στη τελευταία έκδοση του WP που χρησιμοποιούμε.
Αν, παρ΄ όλα αυτά, υπάρξει κάποιο πρόβλημα με τη νέα έκδοση του πρόσθετου, τότε:
- Κάνουμε απενεργοποίηση του πρόσθετου ή και διαγραφή του και το εγκαθιστούμε από την αρχή. Αν το πρόβλημα παραμείνει, εξετάζουμε να ενσωματώσουμε κάποιο άλλο πρόσθετο που να εκτελεί την ίδια λειτουργία.
- Στη περίπτωση που το πρόσθετο “κρεμάσει” τη σελίδα μας και δεν έχουμε πρόσβαση στη διαχείρησή της, μπαίνουμε στο φάκελο wp-content -> plugins, βρίσκουμε το φάκελο με το πρόσθετο που δημιούργησε το πρόβλημα και απλά τον διαγράφουμε. Η ιστοσελίδα μας βρίσκεται πάλι στη διάθεσή μας.
Ενημέρωση του θέματος
Όπως και το WP, έτσι και οι νέες ενημερώσεις του θέματος που χρησιμοποιούμε γίνονται, εκτός των άλλων, και για να καλύψουν θέματα ασφαλείας. Η ενημέρωσή του λοιπόν είναι το ίδιο σημαντική με την ενημέρωση του WordPress.
Το να “κρεμάσει” ένα site μετά από κάποια νέα έκδοση είναι γενικά απίθανο. Αυτό που δεν είναι καθόλου απίθανο όμως είναι να αλλοιωθούν κάποια στοιχεία που συμπεριλαμβάνονται στην ιστοσελίδα μας, όπως εικονίδια, διάφοροι χαρακτήρες και αντικείμενα κτλ. Για απόλυτη ασφάλεια λοιπόν κάνουμε και στο θέμα ενημέρωση τοπικά, ή τουλάχιστον έχουμε έτοιμο ένα πρόσφατο αντίγραφο της ιστοσελίδας μας. Σημαντικό επίσης είναι να προσέξουμε το εξής.
- Να σιγουρευτούμε ότι η ιστοσελίδα μας κατασκευάστηκε πάνω σε θυγατρικό θέμα, και όχι στο γονικό.
- Αν δεν έχουμε θυγατρικό θέμα, σιγουρευόμαστε ότι δεν έχουν γίνει αλλαγές σε αυτό: προσοχή, μετά την αναβάθμιση, ό,τι αλλαγές έχουν γίνει στο γονικό θέμα, θα χαθούν!
- Αν έχουν γίνει κάποιες αλλαγές στο γονικό θέμα και δεν διαθέτουμε θυγατρικό. Βρίσκουμε τότε τις αλλαγές, τις περνάμε σε ένα νέο φάκελο, αναβαθμίζουμε το θέμα και μετονομάζουμε το φάκελο των αλλαγών μας αντικαθιστώντας τον αντίστοιχο φάκελο του γονικού.
- Ανάλογα το είδος των αλλαγών που έχουν γίνει στο γονικό θέμα, είναι πιθανόν να χρειάζεται η μεταμόρφωση του φακέλου με FTP.
Tip
Σε περίπτωση που ήδη χρησιμοποιείτε θυγατρικό θέμα, η ενημέρωση είναι απλή: όλες οι αλλαγές που έχετε κάνει στο θέμα αυτό θα περάσουν χωρίς πρόβλημα στο θυγατρικό θέμα, ακόμη και μετά την ενημέρωση!
Θα δούμε σε επόμενο άρθρο για το πως μπορούμε να κρατήσουμε την ιστοσελίδα μας ασφαλή στο επόμενο άρθρο. Σε αυτό, θα ασχοληθούμε με την ασφάλεια της διαχείρισης και τον έλεγχο της πρόσβασης στο του site.