Ασφάλεια WordPress: Βήματα συντήρησης & προστασίας

Η σωστή συντήρηση ενός WordPress site είναι κρίσιμη για την ασφάλεια και την ομαλή λειτουργία του.
Με κατάλληλη φροντίδα και τακτικούς ελέγχους, μπορείτε να αποτρέψετε πιθανές ανεπιθύμητες μολύνσεις και κακόβουλο περιεχόμενο και να διατηρήσετε το site σας πάντα ασφαλές και ενημερωμένο.
Παρακάτω παραθέτουμε τις βασικές ενέργειες που πρέπει να γίνονται τακτικά για να διασφαλίσετε ότι το site σας παραμένει ενημερωμένο και προστατευμένο.

Βασικά βήματα πρόληψης και συντήρησης

Ενημερώσεις

• Κάνουμε πάντα ενημερώσεις στον πυρήνα του WordPress, στα WordPress plugins και στα WordPress themes. Οι ενημερώσεις είναι κρίσιμο να γίνονται πάντα έγκαιρα, καθώς κλείνουν κενά ασφαλείας και βελτιώνουν τη λειτουργικότητα.
• Αν υπάρχει WordPress plugin ή theme που δεν υποστηρίζεται ή δεν ενημερώνεται, το αφαιρούμε ή/και το αντικαθιστούμε με άλλο, καθώς σε αυτή την περίπτωση αν βρεθεί υπάθεια ασφαλείας, δεν την διορθώνει ο κατασκευαστής.
• Ελέγχουμε επίσης αν υπάρχει plugin ή theme που δεν προσφέρει αυτόματα updates εντός του WordPress (ή για να δίνει τα updates χρειάζεται πληρωμή/ενεργή άδεια), καθώς μπορεί να μη δίνει update εντός του WordPress αλλά να υπάρχει update που δεν το έχετε κάνει.

Διαχείριση Χρηστών

• Ελέγχουμε ποιοι χρήστες έχουν πρόσβαση και δικαιώματα διαχειριστή. Αφαιρούμε τα accounts όσων δεν χρειάζονται πια πρόσβαση και αλλάζουμε τακτικά τα passwords σε όσους έχουν αυξημένα δικαιώματα (πχ. administrators).

Ασφάλεια Login και Πρόσβασης στο Διαχειριστικό

• Χρησιμοποιoύμε μέτρα ασφαλείας όπως 2FA (έλεγχος δύο παραγόντων), captcha στο login, και περιορισμό πρόσβασης από συγκεκριμένες IP ή χώρες.
• Χρησιμοποιούμε plugins όπως Wordfence για προστασία, Hide WP Admin για απόκρυψη του admin panel.

Σάρωση για Ιούς

• Κάνουμε τακτικές σάρωσεις σε όλα τα αρχεία του site, χρησιμοποιώντας εργαλεία από το hosting ή ειδικά WordPress plugins.

Βασικά βήματα εκκαθάρισης μολυσμένου WordPress

Παρακάτω ακολουθεί μια λίστα από ενδεικτικές ενέργειες στην περίπτωση που βρεθείτε με μόλυνση σε WordPress website.

Έλεγχος Χρηστών και δικαιωμάτων

• Ελέγχουμε με προσοχή τους WordPress χρήστες, μην έχει δημιουργηθεί κάποιος νέος διαχειριστής που δεν είναι αληθινός ή και γενικά ρόλος με αυξημένα δικαιώματα.
• Αλλάζουμε password σε όλους τους WordPress χρήστες με αυξημένα δικαιώματα (π.χ. administrators).

Βάση Δεδομένων

• Αλλάζουμε password στη βάση δεδομένων και ενημερώνουμε το αρχείο wp-config.php με το νέο password.
• Συγκρίνουμε την/τις βάσεις δεδομένων από τρέχουσες εξαγωγές (exports) με καθαρά/παλαιότερα backups για να ανιχνεύσετε ύποπτο/κακόβουλο περιεχόμενο.

Έλεγχος και Καθαρισμός Αρχείων

• Κάνουμε έλεγχο σε βασικά αρχεία όπως το .htaccess και το wp-config.php για ανεπιθύμητες αλλαγές.
• Ελέγχουμε αν υπάρχει plugin ή theme που δεν υποστηρίζεται ή δεν ενημερώνεται. Αν υπάρχει, τότε το αφαιρούμε ή/και το αντικαθιστούμε με κάποιο που ενημερώνεται και υποστηρίζεται, καθώς αν έχει βρεθεί ευπάθεια ασφαλείας, δεν την διορθώνει ο κατασκευαστής.
• Κάνουμε scan σε όλα τα αρχεία, όχι μόνο του WordPress για μολύνσεις (ακόμα και σε φακέλους με εικόνες). Το scan αυτό μπορεί να γίνει μέσω του hosting μας, αλλά αν θέλετε και με WordPress plugin.
• Ελέγχουμε τα crons του χρήστη μας, μην έχει προστεθεί κάποιο ανεπιθύμητο cron.

Διαχείριση Πολλαπλών Sites

• Αν διαχειρίζεστε περισσότερα του ενός WordPress sites στον ίδιο user, φροντίστε να εφαρμόζετε αυτούς τους ελέγχους σε όλα τα sites παράλληλα.

Εργαλεία για Έλεγχο Ακεραιότητας Αρχείων

• Χρησιμοποιoούμε το εργαλείο wp-cli (το οποίο προσφέρεται από το hosting μας) για να ελέγχουμε αν έχουν τροποποιηθεί αρχεία του WordPress core (wp core verify-checksums).
• Μπορούμε με την εντολή wp core download --force --skip-content να κάνουμε ξανά εγκατάσταση της τρέχουσας έκδοσης του WordPress Core, ώστε να αντικατασταθούν τα WordPress Core αρχεία με τα πρωτότυπα.

Επαναφορά από Backup

• Πάντοντε υπάρχει η δυνατότητα να αξιοποιήσετε τα backups που σας προσφέρει το hosting μας για να επαναφέρετε το site στην κατάσταση πριν από τυχόν προβλήματα ή μόλυνση.