Hostdog - plugins https://www.hostdog.gr/taxonomy/term/4 el Πώς να κάνετε το WordPress site σας πιο ασφαλές https://www.hostdog.gr/blog/%CF%80%CF%8E%CF%82-%CE%BD%CE%B1-%CE%BA%CE%AC%CE%BD%CE%B5%CF%84%CE%B5-%CF%84%CE%BF-wordpress-site-%CF%83%CE%B1%CF%82-%CF%80%CE%B9%CE%BF-%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%AD%CF%82 <div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even">Αυτό το άρθρο αποτελεί συνέχεια των άρθρων της Hostdog για την <a href="https://www.hostdog.gr/blog/τι-να-κάνω-αν-μου-χάκαραν-την-ιστοσελίδα-μου-και-να-βρω-πώς-έγινε" title=" Τι να κάνω αν μου χάκαραν την ιστοσελίδα μου και να βρω πώς έγινε;">ασφάλεια των sites από επιθέσεις</a> και θα προσπαθήσει να καλύψει κάποια βασικά βήματα που μπορεί να ακολουθήσει ο καθένας ώστε να κάνει ακόμα πιο ασφαλή την εγκατάσταση WordPress που διατηρεί, τόσο σε επίπεδο server όσο κι εφαρμογής π.χ. με την χρήση plugins. Το WordPress φαίνεται ότι είναι η πιο δημοφιλή πλατφόρμα διαχείρισης περιεχομένου (CMS) και οι εκτιμήσεις για το 2013 που γράφτηκε αυτό το άρθρο, κάνουν λόγο για χρήση από το 20% των sites παγκοσμίως, ενώ ανάμεσα στις CMS εφαρμογές έχει ένα εντυπωσιακό μερίδιο που πλησιάζει το 60% ! Φυσικά δεν αποτελεί εξαίρεση στον κανόνα της ασφάλειας που λέει πως ό,τι είναι πιο δημοφιλές έχει και την έντονη προσοχή των κακόβουλων χρηστών και hackers. <h2>Server-side WordPress securing</h2> <h3>Backup, backup, backup!</h3> Για να διαβάζει κανείς αυτό το συγκεκριμένο για το WordPress άρθρο, φανταζόμαστε ότι δεν χρειάζεται να αναφερθούμε στο πόσο σημαντικό είναι να υπάρχουν backups και ότι ισχύει σε κάθε περίπτωση "όσο πιο πολλά, τόσο το καλύτερο". Θα πρέπει λοιπόν να παίρνει κανείς backup (ιδανικά καθημερινά): 1) Όλα τα αρχεία της <strong>εγκατάστασης WordPress</strong> 2) Ολόκληρη την <strong>database του WordPress</strong> Φυσικά υπάρχουν και plugins που κάνουν αυτήν την δουλειά όπως: <a href="http://wordpress.org/plugins/backupwordpress/" rel="nofollow" title="BackUpWordPress plugin for WordPress">BackUpWordPress</a>, <a href="" rel="nofollow" title=""></a>, <a href="http://wordpress.org/plugins/backwpup/" rel="nofollow" title="BackWPup (free) - WordPress Backup Plugin for WordPress">BackWPup (free)</a> <h3>webserver, filesystem, permissions</h3> <h4>Προστασία filesystem και αρχείων</h4> Τα directories της εγκατάστασης θα πρέπει να έχουν permissions 755, κάτι που μπορεί να εκτελεστεί εύκολα με την παρακάτω εντολή: <div class="codeblock"><code>find /path/to/wordpress -type d -exec chmod 755 {} \;</code></div> Και αντίστοιχα τα files <div class="codeblock"><code>find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;</code></div> Εξαίρεση αποτελεί το <strong>wp-config.php</strong> αρχείο που θα πρέπει να έχει permissions: 600. <em>Προσοχή! Μην βάζετε permissions 777 σε <strong>κανένα</strong> αρχείο ή directory!</em> <h4>Προστασία wp-config.php</h4> Προστατέψτε το αρχείο wp-config.php με την προσθήκη του παρακάτω κώδικα στο .htaccess αρχείο <div class="codeblock"><code>&lt;files wp-config.php&gt;<br />order allow,deny<br />deny from all<br />&lt;/files&gt;</code></div> <h2>WordPress securing</h2> <h3>Επιλέξτε προσεκτικά τα plugins και τα thems που χρησιμοποιείτε</h3> Το WordPress είναι πραγματικά μια μεγάλη κοινότητα, κάτι που κάνει τον έλεγχο όλων των plugins και themes πολύ δύσκολο, ακόμα και στο επίσημο plugin repository έχουν παρατηρηθεί κρούσματα όπου υπήρχε κακόβουλο λογισμικό. Δεν είπαμε και να διαβάσετε όλο το source code όλων των plugin που θέλετε να ενεργοποιήσετε αλλά σίγουρα προτιμάτε plugins με μεγάλο ιστορικό, ratings και downloads. Επίσης σε πολλά themes που είτε δεν είναι από το επίσημο site του Wordpress, είτε είναι "σπασμένα" είναι σχεδόν κοινή πρακτική να περιέχουν κακόβουλο κώδικα (διαβάστε περισσότερα στο γενικό άρθρο για την περίπτωση <a href="https://www.hostdog.gr/blog/τι-να-κάνω-αν-μου-χάκαραν-την-ιστοσελίδα-μου-και-να-βρω-πώς-έγινε" title="τι να κάνω αν μου "> hacking στο site και αντιμετώπιση </a>). Μάλιστα στο παρελθόν είχε γίνει έρευνα για δημοφιλείς αναζητήσεις όπως "free wordpress themes" και τα αποτελέσματα του google είχαν σελίδες που διένεμαν themes με κακόβουλο λογισμικό. <h3>Αποφεύγετε default ρυθμίσεις</h3> Για παράδειγμα, μην χρησιμοποιείτε <em>admin</em> ή <em>administrator</em> για το username του διαχειριστή, καθώς αυτόματα προσφέρετε στους κακόβουλους χρήστες το ένα από τα δύο πράγματα που χρειάζονται για να έχουν πρόσβαση στο site σας (username/password). Ακόμα η αλλαγή του default tablename prefix "wp_" μπορεί να σας γλιτώσει κάποια SQL injections. <h3>WordPress plugins for security</h3> Το <a href="http://wordpress.org/plugins/bulletproof-security/" rel="nofollow" title="BulletProof Security plugin for WordPress">BulletProof Security</a> plugin αποτελεί ένα από τα πιο πλήρη διαθέσιμα plugin για την <strong>ασφάλεια του WordPress</strong>. Ενημερώνεται συχνά και ακολουθεί πιστά τις ενημερώσεις του WordPress. Η λίστα με όλες τις λειτουργίες του είναι πολύ μεγάλη για να την αναφέρουμε, εν συντομία, φροντίζει από <strong>απλές επιθέσεις</strong> (brute-forcing, Code/SQL injection) μέχρι και <em>εξελιγμένες</em> κι <strong>άγνωστες</strong> (CSS, CSRF, RFI) εφαρμόζοντας κατάλληλα μέτρα ασφαλείας στο .htaccess αρχείο, καθώς επίσης προστατεύει και το login form. Το <a href="http://wordpress.org/plugins/better-wp-security/" rel="nofollow" title="Better WP Security plugin for WordPress">Better WP Security</a> είναι ένα ακόμα ολοκληρωμένο και δημοφιλές plugin ασφαλείας για το WordPress που εφαρμόζει ένα σύνολο καλών τακτικών ασφαλείας (security best practices). Ένα ακόμα plugin-σουίτα ασφαλείας σαν τα δύο προηγούμενα που αξίζει σίγουρα μια ματιά είναι το <a href="http://wordpress.org/plugins/wordfence/" rel="nofollow" title="Wordfence Security plugin for WordPress">Wordfence Security</a> Το <a href="http://wordpress.org/plugins/antivirus" rel="nofollow" title="AntiVirus plugin for WordPress">AntiVirus</a> είναι ένα security plugin για το WordPress που ελέγχει αυτόματα καθημερινά την εγκατάσταση του WordPress για κακόβουλο λογισμικό και έχει την δυνατότητα να στέλνει e-mail ειδοποιήσεις. Τελευταίο στην λίστα, αλλά πολλά υποσχόμενο plugin είναι το <a href="http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/" rel="nofollow" title="All In One WP Security &amp; Firewall plugin for WordPress">All In One WP Security &amp; Firewall</a> που με έναν πολύ όμορφο και συγκεντρωτικό τρόπο αναλαμβάνει να εφαρμόσει τις υποδείξεις της WordPress που θα βρείτε και στο τέλος του άρθρου. <h2>Optimization</h2> Τέλος μπορεί να μην φαίνεται ότι έχει άμεση σχέση, αλλά κι από άποψη ασφάλειας μία <strong>optimized εγκατάσταση WordPress</strong> μπορεί να αντεπεξέλθει πιο εύκολα σε μικρότερες επιθέσεις. Η χρήση αντίστοιχων plugins είναι συνήθως απαραίτητη (σχετικό άρθρο γενικά και ειδικά WordPress). Καθώς επίσης κάποια CDN όπως το <a href="https://www.cloudflare.com/" rel="nofollow" title="CloudFlare CDN">CloudFlare</a> απαγορεύουν την πρόσβαση από κακόβουλα bots και αφαιρούν σημαντική ποσότητα φόρτου από τον webserver. Απαραίτητη αναφορά είναι η σελίδα που διατηρούν όλα τα CMS σχεδόν με κοινές καλές πρακτικές ασφαλείας σχετικά: <a href="http://codex.wordpress.org/Hardening_WordPress" rel="nofollow" title="Hardening Wordpress">http://codex.wordpress.org/Hardening_WordPress</a></div></div></div><div class="field field-name-field-tags field-type-taxonomy-term-reference field-label-above clearfix"><h3 class="field-label">Tags: </h3><ul class="links"><li class="taxonomy-term-reference-0"><a href="https://www.hostdog.gr/taxonomy/term/3">WordPress</a></li><li class="taxonomy-term-reference-1"><a href="https://www.hostdog.gr/taxonomy/term/6">security</a></li><li class="taxonomy-term-reference-2"><a href="https://www.hostdog.gr/tags/linux">linux</a></li><li class="taxonomy-term-reference-3"><a href="https://www.hostdog.gr/taxonomy/term/4">plugins</a></li></ul></div> Thu, 05 Sep 2013 14:57:47 +0000 ploupas 578 at https://www.hostdog.gr Γιατί να ενημερώνω τα plugins του WordPress; https://www.hostdog.gr/blog/%CE%B3%CE%B9%CE%B1%CF%84%CE%AF-%CE%BD%CE%B1-%CE%B5%CE%BD%CE%B7%CE%BC%CE%B5%CF%81%CF%8E%CE%BD%CF%89-%CF%84%CE%B1-plugins-%CF%84%CE%BF%CF%85-wordpress <div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even"><p>Το WordPress ενημερώνεται από τους δημιουργούς του αρκετά συχνά Τόσο ώστε να χρειάζεται να αφιερώνει κανείς αρκετό χρόνο παρακολουθώντας τις συνεχείς και ασταμάτητες ενημερώσεις των plugin. Οπότε πολύ εύστοχα κάποιοι από εμάς αναρωτιούνται: Είναι απαραίτητες όλες αυτές οι ενημερώσεις; Και τι θα γίνει αν τις αγνοήσω;</p><p>Με αυτό το κείμενο λοιπόν θα επιχειρήσουμε να απαντήσουμε σε αυτά τα ερωτήματα και να δείξουμε ότι ενώ η συνεχείς ενημερώσεις ενός προγράμματος μπορεί να μας ταλαιπωρούν, είναι σημαντικές και χρήσιμες για τη βέλτιστη λειτουργία.</p><p>Γενικά μια επιτυχημένη εγκατάσταση του WordPress είναι αρκετή ώστε να τρέχει ομαλά και χωρίς προβλήματα. Παρόλα αυτά, υπάρχουν διάφοροι λόγοι για να διατηρούμε WordPress συνεχώς ενημερωμένο.</p><ol><li>Καμιά φορά οι καινούριες εκδόσεις plugin βγαίνουν έτσι ώστε να δώσουν λύση σε σοβαρά προβλήματα ασφάλειας που παλιότερες εκδόσεις αδυνατούσαν</li><li>Όταν εγκαθιστάτε μια καινούρια έκδοση του WordPress τότε πρέπει να ανανεώσετε και τα plugins του αλλιώς δε θα λειτουργούν.</li><li>Η νέα έκδοση των plugins ενδεχομένως να έχει και καινούριες λειτουργίες και δεν έχετε να χάσετε τίποτα με το να τις αποκτήσετε.</li><li>Η όλη διαδικασία της ανανέωσης διαρκεί ελάχιστα δευτερόλεπτα.</li><li>Μπορείτε να ανανεώσετε όλα τα plugins με το πολύ ένα-δυο κλικ.</li><li>Η εγκατάσταση διαρκεί λιγότερο χρόνο από αυτό που χρειάζεται για να διαβάσετε αυτό το άρθρο.</li></ol><p>Είναι σαφές ότι το να ακολουθούμε τις εξελίξεις του WordPress και να εγκαθιστούμε κάθε νέα ενημέρωση που ανακοινώνεται είναι εξαιρετικά εύκολο και γρήγορο. Αν σκεφτεί κανείς ότι έτσι αποφεύγουμε ενδεχόμενα προβλήματα ασφάλειας και προστασίας τότε δεν υπάρχει κανένας σοβαρός λόγος να το αποφεύγουμε.</p></div></div></div><div class="field field-name-field-tags field-type-taxonomy-term-reference field-label-above clearfix"><h3 class="field-label">Tags: </h3><ul class="links"><li class="taxonomy-term-reference-0"><a href="https://www.hostdog.gr/taxonomy/term/3">WordPress</a></li><li class="taxonomy-term-reference-1"><a href="https://www.hostdog.gr/taxonomy/term/4">plugins</a></li><li class="taxonomy-term-reference-2"><a href="https://www.hostdog.gr/taxonomy/term/5">updates</a></li><li class="taxonomy-term-reference-3"><a href="https://www.hostdog.gr/taxonomy/term/6">security</a></li><li class="taxonomy-term-reference-4"><a href="https://www.hostdog.gr/taxonomy/term/7">ενημερώσεις</a></li><li class="taxonomy-term-reference-5"><a href="https://www.hostdog.gr/taxonomy/term/8">ασφάλεια</a></li></ul></div> Wed, 18 Jan 2012 12:12:46 +0000 kyriakos 54 at https://www.hostdog.gr