Το WordPress έχει γίνει το πιο δημοφιλές CMS στον κόσμο. Επειδή είναι τόσο δημοφιλές, αυτό είναι ακόμα περισσότερο λόγος για την ενίσχυση της ασφάλειας του WordPress αν το χρησιμοποιείτε για την ιστοσελίδα σας. Οι περισσότεροι άνθρωποι κατανοούν πώς να κάνουν την ιστοσελίδα τους ασφαλή, αλλά αν δεν εστιάζετε στην ασφάλεια του ιστότοπού σας WordPress περιορίζοντας την πρόσβαση σε σημαντικά αρχεία και φακέλους, τότε εξακολουθείτε να κινδυνεύετε. Για να γίνει αυτό, δεν θα κάνετε καμία αλλαγή στο WordPress, αλλά μάλλον αλλάζοντας τον τρόπο λειτουργίας του WordPress σε ένα διακομιστή και πόση πρόσβαση έχουν οι χρήστες στα αρχεία του.
Οι ιστότοποι WordPress αποτελούνται από μια σειρά αρχείων και φακέλων, καθένα με τις δικές τους μοναδικές διευθύνσεις URL, πράγμα που σημαίνει ότι αν κάποιος πληκτρολογεί τη σωστή διεύθυνση URL θα μπορούσε να έχει πρόσβαση ή να αλλάξει ευαίσθητα αρχεία που εκτελούν τον ιστότοπό σας. Ένας από τους πιο συνηθισμένους στόχους για αυτό το είδος hacking είναι ο φάκελος wp-includes, οπότε πρόκειται να προσθέσουμε κάποιο πρόσθετο κώδικα στο αρχείο διαμόρφωσης του διακομιστή για να ενισχύσουμε την ασφάλεια και να αποτρέψουμε αυτά τα είδη απειλών. Όταν τελειώσουμε με αυτό, οποιοσδήποτε επιχειρεί να αποκτήσει πρόσβαση σε αυτά τα αρχεία, επαναπροσανατολίζεται.
Για να ξεκινήσετε, θα θέλετε να ανοίξετε το αρχείο .htaccess για τον ιστότοπό σας. Μπορείτε να το κάνετε αυτό μέσω οποιουδήποτε επεξεργαστή κειμένου, δεν έχει σημασία ποιο γιατί το μόνο που κάνουμε είναι να προσθέσουμε ένα μικρό απόσπασμα κώδικα στο αρχείο. Θα παρατηρήσετε ότι το αρχείο έχει ήδη κωδικό σε αυτό, που δημιουργήθηκε από το WordPress. Σε μια από τις πρώτες γραμμές του κώδικα, θα βρείτε μια γραμμή που λέει # BEGIN WordPress . Ακριβώς πάνω από αυτόν τον κώδικα, προσθέτουμε τις πρόσθετες γραμμές κώδικα, οι οποίες θα ενισχύσουν την άμυνα του ιστότοπου περιορίζοντας την πρόσβαση στον φάκελο wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L] Στη συνέχεια, απλά πρέπει να μεταφορτώσετε ξανά το αρχείο στο διακομιστή και τελειώσατε. Ενώ οι αλλαγές εδώ φαίνονται μικρές, μπορεί να έχουν μεγάλο αντίκτυπο στις άμυνες του ιστότοπού σας. Επειδή πολλές από τις προηγμένες λειτουργίες του WordPress βρίσκονται μέσα στο φάκελο wp-includes, είναι ένας σημαντικός στόχος για τους χάκερ που θα ακολουθήσουν. Με αυτές τις αλλαγές που εφαρμόζονται, όταν οι χρήστες επιχειρούν να αποκτήσουν πρόσβαση σε αυτόν το φάκελο, θα μεταφερθούν αυτόματα στην πρώτη σελίδα του ιστότοπού σας.
Το επόμενο βήμα μας για την ενίσχυση της ασφάλειας του WordPress είναι να περιορίσουμε την πρόσβαση στο αρχείο wp-config.php. Όταν δημιουργήσατε για πρώτη φορά τον ιστότοπό σας WordPress, έπρεπε να δημιουργήσετε ένα όνομα βάσης δεδομένων, όνομα χρήστη, κωδικό πρόσβασης και πρόθεμα πίνακα, το οποίο περιέχεται στο αρχείο wp-config.php. Ο λόγος που θέλετε να προστατεύσετε αυτό το αρχείο είναι επειδή περιέχει τις πληροφορίες που χρειάζεται το WordPress για να μιλήσει στη βάση δεδομένων και, μακροπρόθεσμα, ελέγξτε τον ιστότοπό σας.
Για να προστατεύσετε το αρχείο wp-config.php, θα χρειαστεί να κάνετε μερικά απλά βήματα. Πρώτον, θα θέλαμε να ανοίξουμε ξανά το αρχείο .htaccess. Στη συνέχεια, θα θελήσουμε να αντιγράψουμε το απόσπασμα του κώδικα παρακάτω και να το επικολλήσουμε στο αρχείο .htaccess, όπως ακριβώς κάναμε με το βήμα 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all Τέλος, αποθηκεύστε και μεταφορτώστε ξανά το αρχείο.
Όπως μπορείτε να δείτε με τα βήματα 1 και 2, το αρχείο .htaccess μπορεί να είναι εγγενές στην υπεράσπιση του ιστότοπου WordPress από κακόβουλες εξωτερικές απειλές. Αυτός είναι ο λόγος για τον οποίο σε αυτό το βήμα πρόκειται να προστατέψουμε το αρχείο .htaccess, εμποδίζοντας τους hackers να απομακρύνουν τις προστασίες που έχουμε ήδη δημιουργήσει.
Για να γίνει αυτό θα ανοίξουμε ξανά το αρχείο .htaccess. Στη συνέχεια, εισαγάγετε τον παρακάτω κώδικα στον υπάρχοντα κώδικα.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all Και με αυτή την απλή προσθήκη, το αρχείο .htaccess προστατεύεται από εξωτερικές απειλές.
Για το τελικό βήμα θα πρέπει να αρνούμαστε την πρόσβαση των χάκερ σε ένα από τα πιο καταστροφικά εργαλεία που θα μπορούσαν να πάρουν τα χέρια τους: τον επεξεργαστή μέσα στο ταμπλό του WordPress. Σας επιτρέπει να επεξεργαστείτε τα αρχεία θεμάτων σας, τα οποία είναι χρήσιμα αλλά μπορούν να είναι επικίνδυνα. Αν κάποιος, εκτός από εσάς, θα έχει πρόσβαση σε αυτό, τότε θα μπορούσε να αλλάξει τον κωδικό σας και να σπάσει τον ιστότοπό σας.
Με αυτό το έργο, θα καταργήσουμε τον επεξεργαστή από τον πίνακα ελέγχου του WordPress. Αντί να προσπελάσετε το αρχείο μέσω του WordPress, σας συνιστώ να την αποκτήσετε μέσω ενός προγράμματος-πελάτη ftp, όπως το FileZilla, το οποίο είναι καλύτερο για την ακεραιότητα του ιστότοπου.
Για να γίνει αυτό το έργο, πρώτα θα θέλουμε να ανοίξουμε το αρχείο wp-config.php. Μόλις το έχουμε ανοιχτό, θα πάμε στο τέλος του κώδικα, εδώ θα βρείτε το κείμενο "Αυτό είναι όλο, σταματήστε την επεξεργασία! Happy blogging " . Πριν από αυτό το κείμενο θα προσθέσουμε τον παρακάτω κώδικα για να καταργήσουμε εξ ολοκλήρου την επεξεργασία αρχείων από το WordPress.
define('DISALLOW_FILE_EDIT', true);Αφού προσθέσετε τον κώδικα, αποθηκεύστε το αρχείο και ξαναφορτώστε τον στο διακομιστή. Τώρα ο ιστότοπός σας στο WordPress είναι ασφαλής από οποιονδήποτε αποκτά πρόσβαση στον ιστότοπό σας και προσπαθεί να χειριστεί τον κώδικα.
Αν ακολουθήσετε όλα αυτά τα βήματα, ο ιστότοπός σας θα πρέπει να είναι πολύ πιο ασφαλής. Με τη μείωση της ποσότητας πρόσβασης των hackers στα αρχεία που είναι σημαντικά για τη λειτουργία του ιστότοπού σας, έχετε αυξήσει τη συνολική ασφάλεια του ιστότοπού σας στο WordPress.