Υπάρχουν τόσοι πολλοί ιστότοποι στο διαδίκτυο αυτή τη στιγμή που είναι μια πραγματική γκαλερί σκοποβολής για όποιον επιθυμεί να εκτελέσει κακόβουλες διαδικτυακές δραστηριότητες. Αυτός είναι ο λόγος για τον οποίο η κυβερνοασφάλεια έχει γίνει μια τόσο σημαντική βιομηχανία, σε σημείο που το κυβερνοέγκλημα να είναι πραγματική λέξη που χρησιμοποιούμε για να περιγράψουμε εκείνους που διαπράττουν εγκλήματα στο Διαδίκτυο. Τώρα σκεφτείτε τα εξής: Το WordPress εξουσιοδοτεί περισσότερο από το 42% όλων των ιστότοπων. Δεδομένου ότι υπάρχουν περίπου 1,1 δισεκατομμύρια ιστότοποι παγκοσμίως, φανταστείτε ότι σχεδόν οι μισοί από αυτούς είναι μόνο το WordPress. Οι ιστότοποι που έχουν κατασκευαστεί με WordPress είναι μερικές από τις περισσότερες επιθέσεις.
Γι’ αυτό θέλαμε να γράψουμε αυτήν την ανάρτηση ιστολογίου, να συζητήσουμε ορισμένα τρωτά σημεία του WordPress και να προσφέρουμε συμβουλές και λύσεις. Η ασφάλεια του ιστότοπού σας είναι ζωτικής σημασίας και θα πρέπει να είναι μία από τις κορυφαίες προτεραιότητές σας στο διαδίκτυο, παρά το γεγονός ότι το WordPress θεωρείται ένα από τα πιο ασφαλή Συστήματα Διαχείρισης Περιεχομένου εκεί έξω. Ακόμα κι αν δεν χρησιμοποιήσατε το WordPress για τον ιστότοπό σας, μπορείτε να το χρησιμοποιήσετε για να μάθετε ποιοι τύποι κυβερνοεπιθέσεων κρύβονται στο Διαδίκτυο και ορισμένες συμβουλές ασφαλείας που πρέπει να εφαρμόσετε στον ιστότοπό σας.
Το ίδιο το WordPress είναι πολύ ασφαλές αρκεί να ακολουθείς καλές πρακτικές ασφαλείας, γι’ αυτό και δεν είναι ακριβώς εφικτό να δώσεις μια οριστική απάντηση στην ερώτηση. Υπάρχουν περισσότεροι παράγοντες που παίζουν από μόνο τον κώδικα του WordPress.
Όπως αναφέραμε στην εισαγωγή, το WordPress εξουσιοδοτεί περισσότερο από το 42% των ιστοσελίδων. Με τόσους πολλούς χρήστες, οι ευπάθειες ασφαλείας είναι αναπόφευκτες. Δεν είναι όλοι προσεκτικοί, διεξοδικοί ή συνειδητοί για την ασφάλεια, κάτι που οδηγεί στην ανακάλυψη των εν λόγω τρωτών σημείων. Και, όπου υπάρχει μια ευπάθεια, υπάρχει μια εκμετάλλευση. Οι εισβολείς μπορούν να βρουν εκμεταλλεύσεις σε ιστότοπους που εκτελούν παλιές ή μη ασφαλείς εκδόσεις του WordPress. Αλλά τι σχέση έχουν οι χρήστες με το πόσο ασφαλές είναι το WordPress; Η απάντηση σε αυτό το ερώτημα είναι ξεκάθαρη: ενημερώσεις και μέτρα που ελήφθησαν. Οι χρήστες έχουν τον έλεγχο αυτών των δύο πραγμάτων και κάθε φορά που παραμελούν τις ενημερώσεις ή τα μέτρα ασφαλείας ενός ιστότοπου, μπορεί να γίνει στόχος κυβερνοεπίθεσης. Οι ενημερώσεις είναι ζωτικής σημασίας για την ασφάλεια ενός ιστότοπου, επειδή οι πιο πρόσφατες εκδόσεις των βασικών αρχείων WordPress, οι προσθήκες που χρησιμοποιεί και τα θέματά του έχουν λιγότερες ευπάθειες από τις παλαιότερες εκδόσεις τους.
Το WordPress τρέχει σε κώδικα ανοιχτού κώδικα και έχει μια ομάδα αφοσιωμένη στην εύρεση, τον εντοπισμό και τη διόρθωση ζητημάτων ασφαλείας. Καθώς οι προγραμματιστές ανακαλύπτουν ευπάθειες ασφαλείας, οι διορθώσεις προωθούνται αμέσως για να τις διορθώσουν. Αλλά παρατηρήσατε ότι αναφέραμε και πρόσθετα και θέματα WordPress. Αυτό συμβαίνει επειδή τα πρόσθετα και τα θέματα είναι το πιο κοινό σημείο εισόδου για κυβερνοεπιθέσεις: περισσότερο από 92% για προσθήκες και περισσότερο από 6% για θέματα.
Για να αναλύσουμε την αρχική μας δήλωση σχετικά με το πόσο ασφαλές είναι το WordPress, είναι τόσο ασφαλές όσο το κάνετε. Ενημερώστε όλο το λογισμικό που χρησιμοποιεί και ακολουθήστε σταθερές πρακτικές ασφαλείας, τις οποίες θα συζητήσουμε αργότερα σε αυτήν την ανάρτηση ιστολογίου.
Πριν συζητήσουμε πώς να προστατεύσετε καλύτερα τον ιστότοπό σας στο WordPress, θέλουμε να αναφέρουμε τους πιο συνηθισμένους κινδύνους ασφαλείας για το WordPress. Αυτά είναι τα ευάλωτα σημεία που ταλανίζουν το WordPress, αλλά δεν είναι αποκλειστικά μόνο του WordPress.
Εύκολα η πιο απλή τεχνική εισβολής, η ωμή εξαναγκασμός χρησιμοποιεί προσπάθειες σύνδεσης δοκιμής και σφάλματος για να μαντέψει τα στοιχεία σύνδεσης διαχειριστή και να αποκτήσει πρόσβαση στον πίνακα ελέγχου διαχείρισης του ιστότοπού σας. Από εκεί, ένας χάκερ μπορεί να έχει πρόσβαση στις ευαίσθητες πληροφορίες του ιστότοπού σας. Ακόμη χειρότερα, οι χάκερ μπορούν να εμποδίσουν την πρόσβασή σας, ώστε να μην μπορείτε να καταπολεμήσετε τις επιθέσεις τους. Ευτυχώς, οι επιθέσεις ωμής βίας είναι εύκολο να αντιμετωπιστούν εάν δοκιμάσετε οποιαδήποτε από αυτές τις λύσεις.
Οποιαδήποτε από αυτές τις μεθόδους θα ασφαλίσει τον πίνακα ελέγχου διαχείρισης του ιστότοπού σας, που είναι το πιο ουσιαστικό μέρος του.
Το συζητήσαμε στην προηγούμενη ενότητα, αλλά θα το αναλύσουμε τώρα. Η ενημέρωση είναι τόσο σημαντική, διότι όταν εντοπίζεται μια ευπάθεια στον κώδικα οποιουδήποτε από τα τρία εν λόγω κομμάτια λογισμικού, συνήθως διορθώνεται όταν κυκλοφορήσει μια νεότερη έκδοση. Το παλαιότερο λογισμικό δεν έχει αυτές τις διορθώσεις ασφαλείας, καθιστώντας το πιο επιρρεπές σε επιθέσεις. Ωστόσο, κατανοούμε πλήρως ότι η ενημέρωση δεν είναι πάντα το πιο βολικό πράγμα, και αυτό είναι εντάξει. Δεν χρειάζεται να είστε πάνω από όλες τις νέες εκδόσεις τη στιγμή που οι προγραμματιστές τις κυκλοφορούν. Μιλάμε πιο γενικά εδώ: ελέγξτε για ενημερώσεις μία φορά την εβδομάδα και εφαρμόστε τις όταν βολεύει, για παράδειγμα.
Μπορείτε να εκτελέσετε τις ενημερώσεις με μη αυτόματο τρόπο από τον πίνακα ελέγχου διαχείρισης, ο οποίος είναι ο πιο συνηθισμένος τρόπος με τον οποίο γίνονται τα πράγματα. Ορισμένες υπηρεσίες τρίτων μπορούν να βοηθήσουν σε αυτό, ανάλογα με τον πάροχο φιλοξενίας που διαθέτετε. Εδώ στη 19CLOUDS, όλες οι υπηρεσίες μας διαθέτουν το WP Toolkit, το οποίο – μεταξύ των πολλών λειτουργιών του – προσφέρει έναν ασφαλή και εύκολο τρόπο ελέγχου και εκτέλεσης ενημερώσεων χωρίς καν να χρειάζεται να συνδεθείτε στον ιστότοπό σας.
Συντομογραφία του κακόβουλου λογισμικού Malware, το κακόβουλο λογισμικό είναι ακριβώς αυτό που ακούγεται: λογισμικό του οποίου ο μοναδικός σκοπός είναι να προκαλέσει όσο το δυνατόν μεγαλύτερο όλεθρο στον ιστότοπό σας (ή ακόμα και στον λογαριασμό φιλοξενίας ή τον διακομιστή σας). Το κακόβουλο λογισμικό μπορεί να είναι είτε ένα αρχείο είτε κάποιος κώδικας που έχει εισαχθεί στα υπόλοιπα αρχεία ή κώδικας του ιστότοπού σας. Εάν υποπτεύεστε κακόβουλο λογισμικό στον ιστότοπό σας, ένα από τα πιο εύκολα πράγματα που μπορείτε να κάνετε είναι να κοιτάξετε τα πρόσφατα αλλαγμένα αρχεία. Επικοινωνήστε με τον πάροχο φιλοξενίας σας ή έναν ειδικό σε θέματα ασφάλειας στο διαδίκτυο εάν παρατηρήσετε οτιδήποτε παράταιρο.
Παρακάτω είναι οι πιο συνηθισμένοι τύποι κακόβουλου λογισμικού με τους οποίους μολύνεται το WordPress όταν αφεθεί ξεπερασμένο και μη ασφαλές.
Δεδομένου ότι αυτοί οι τύποι κακόβουλου λογισμικού βασίζονται σε ένα μολυσμένο αρχείο ή κομμάτι κώδικα, οι χρήστες μπορούν να τους αντιμετωπίσουν καθαρίζοντας το αρχείο ή τον κώδικα. Μπορείτε να το κάνετε είτε επανεγκαθιστώντας τα βασικά αρχεία του WordPress (το WP Toolkit μπορεί να το κάνει αυτό για εσάς, για παράδειγμα) είτε σαρώνοντας τον κατάλογο με μια λύση προστασίας από ιούς, η οποία μπορεί να εντοπίσει το κακόβουλο λογισμικό και να το αφαιρέσει.
Οι χάκερ χρησιμοποιούν συχνά δέσμες ενεργειών μεταξύ τοποθεσιών για να αποκτήσουν πρόσβαση σε έναν ιστότοπο. Αυτός ο τύπος επίθεσης λειτουργεί βάζοντας ένα θύμα να φορτώσει ιστοσελίδες με κακόβουλο JavaScript σε αυτές. Αυτό το JavaScript εισήχθη στη σελίδα από τον εισβολέα και όταν ένας τελικός χρήστης ανοίξει την εν λόγω σελίδα, φορτώνει το κακόβουλο σενάριο. Αυτά τα σενάρια φορτώνονται χωρίς να το γνωρίζει ο επισκέπτης, ειδικά επειδή είναι ένας κατά τα άλλα αξιόπιστος ιστότοπος. Μόλις εκτελεστεί, το σενάριο μπορεί να εκτελέσει πολλές λειτουργίες. Κάτι μικρό, όπως η αλλαγή του φόντου του παραθύρου συνομιλίας του ιστότοπου, σε κάτι πολύ επικίνδυνο, όπως η κλοπή δεδομένων προγράμματος περιήγησης. Τα πιο συχνά κλεμμένα δεδομένα προγράμματος περιήγησης είναι τα cookie ή ακόμα και τα αναγνωριστικά περιόδου λειτουργίας. Αυτά τα δύο πράγματα περιέχουν ευαίσθητα δεδομένα, όπως πληροφορίες σύνδεσης. Όπως μπορείτε να φανταστείτε, κάποιος που κλέβει τα στοιχεία σύνδεσής σας μπορεί να προκαλέσει πολλά προβλήματα.
Τα πρόσθετα ασφαλείας και το Τείχος προστασίας εφαρμογών Ιστού (WAF) είναι ανεκτίμητα εδώ. Επιπλέον, χρησιμοποιήστε αξιόπιστες και αξιόπιστες προσθήκες όταν προσθέτετε διαδραστική λειτουργικότητα στον ιστότοπό σας (φόρμες επικοινωνίας, πλαίσια σχολίων κ.λπ.). Αυτά τα πρόσθετα θα είναι πολύ πιο ασφαλή και θα λαμβάνουν επίσης τακτικές ενημερώσεις. Επιπλέον, αξιόπιστες προσθήκες επαληθεύουν συχνά τα δεδομένα χρήστη και τα διαπιστευτήρια αυτών που αλληλεπιδρούν μαζί τους. Εάν ένα από τα πρόσθετά σας δεν έχει ενημερωθεί για περισσότερο από ένα χρόνο, συνήθως αυτό σημαίνει ότι το ίδιο εγκαταλείπεται και δεν είναι πλέον ασφαλές. Σε τέτοιες περιπτώσεις, συνιστούμε να αναζητήσετε μια εναλλακτική που να λαμβάνει τακτικές ενημερώσεις.
Τώρα που γνωρίζουμε μερικούς από τους πιο δημοφιλείς τρόπους επίθεσης σε έναν ιστότοπο WordPress, πρέπει να συζητήσουμε τα αντίμετρα. Γνωρίζουμε ότι η παραβίαση του ιστότοπού σας και η κλοπή των πληροφοριών σας είναι δυσάρεστο να το σκεφτόμαστε. Ωστόσο, αν ακολουθήσετε τις συμβουλές που θα σας δώσουμε, ακόμη και μερικές από αυτές, θα μειώσετε δραστικά την πιθανότητα να παραβιαστεί ο δικός σας ιστότοπος WordPress.
Γνωρίζουμε ότι συζητήσαμε προηγουμένως μερικά από αυτά τα πράγματα στην ανάρτηση του ιστολογίου. Ωστόσο, θέλαμε να τις αναφέρουμε ξανά, ώστε να συνοδεύονται από τις υπόλοιπες συμβουλές ασφαλείας και να τις αναλύσουμε περισσότερο. Με αυτά τα λόγια, ας προχωρήσουμε στην ασφάλεια του ιστότοπού σας στο WordPress!
Ένας πάροχος φιλοξενίας έχει ζωτικό ρόλο στην ασφάλεια του ιστότοπού σας στο WordPress. Όταν επιλέγετε τον πάροχο φιλοξενίας σας, αναζητήστε έναν που ειδικεύεται στη φιλοξενία WordPress. Συνήθως, θα έχει μεγαλύτερη εμπειρία στο χειρισμό προβλημάτων WordPress και στην παροχή υπηρεσιών που συμπληρώνουν έναν ιστότοπο WordPress.
Η PHP είναι η ραχοκοκαλιά του ιστότοπού σας στο WordPress. Ο κώδικας του WordPress βασίζεται στην PHP για να λειτουργεί, επομένως χρησιμοποιείτε πάντα την πιο πρόσφατη διαθέσιμη έκδοση στον διακομιστή σας. Φυσικά, όταν κυκλοφορήσει μια νέα έκδοση, δεν χρειάζεται να κάνετε εναλλαγή αμέσως, καθώς το WordPress, τα θέματα και τα πρόσθετά του μπορεί να χρειαστεί ακόμα να προσθέσουν συμβατότητα. Αναβαθμίστε την έκδοση PHP όταν βολεύει.
Η ομάδα πίσω από την PHP συνήθως υποστηρίζει πλήρως τις κύριες εκδόσεις PHP για δύο χρόνια μετά την κυκλοφορία τους. Κατά τη διάρκεια αυτής της περιόδου, επιδιορθώνουν τακτικά σφάλματα και ζητήματα ασφάλειας. Οι ιστότοποι WordPress που εκτελούνται σε PHP 7.4 ή νεότερη έκδοση δεν έχουν πλέον υποστήριξη ασφαλείας και εκτίθενται σε ευπάθειες ασφαλείας που δεν έχουν επιδιορθωθεί.
Σύμφωνα με την επίσημη σελίδα Στατιστικά WordPress, περισσότερο από το 50% των χρηστών του WordPress εξακολουθούν να χρησιμοποιούν PHP 7.4 ή χαμηλότερη κατά τη στιγμή της σύνταξης αυτής της ανάρτησης. Αυτός δεν είναι μικρός αριθμός, λαμβάνοντας υπόψη πόσο εύκολο είναι να μεταβείτε σε μια υποστηριζόμενη έκδοση της γλώσσας σεναρίου.
Ένας ισχυρός κωδικός πρόσβασης καθιστά πιο δύσκολο για τους χάκερ να ανοίξουν τον ιστότοπό σας. Εξάλλου, η κλοπή κωδικών πρόσβασης είναι η πιο κοινή μέθοδος για πειρατεία.
Αυτή είναι μια τόσο μεγάλη συμβουλή ασφαλείας που πρέπει να την αναφέρουμε ξανά. Το να διατηρείτε τα πράγματα ενημερωμένα είναι ένας από τους καλύτερους τρόπους για να ενισχύσετε την ασφάλεια του ιστότοπού σας στο WordPress. Βεβαιωθείτε ότι ενημερώνετε πάντα τον πυρήνα του WordPress και όλα τα πρόσθετα και τα θέματά σας. Όλα αυτά λαμβάνουν ενημερώσεις για έναν λόγο, που είναι οι βελτιώσεις ασφαλείας και οι διορθώσεις σφαλμάτων τις περισσότερες φορές.
Το WordPress, από προεπιλογή, επιτρέπει απεριόριστες προσπάθειες σύνδεσης. Δυστυχώς, αυτό μειώνει την ασφάλεια και αυξάνει τις πιθανότητες να εξαναγκάσουν οι εισβολείς βίαια τον κωδικό πρόσβασής σας. Οι χάκερ μπορούν να δοκιμάσουν διαφορετικούς συνδυασμούς κωδικών πρόσβασης για όσο διάστημα θέλουν μέχρι να μπουν στον ιστότοπό σας. Οι χρήστες μπορούν εύκολα να το λύσουν αυτό μέσω πολλών προσθηκών. Για παράδειγμα, το Wordfence παρέχει τέτοια λειτουργικότητα ή μπορείτε να λάβετε μια ξεχωριστή προσθήκη, όπως το Limit Login Attempts Reloaded.
Ένα πιστοποιητικό SSL είναι απαραίτητο, ειδικά εάν έχετε ένα ηλεκτρονικό κατάστημα. Πρώτον, η Google απαιτεί πλέον από όλους τους ιστότοπους να διαθέτουν SSL. Διαφορετικά, το URL σας θα συνοδεύεται από ένα κόκκινο κείμενο που θα λέει “Not Secure”, το οποίο θα απομακρύνει τους ανθρώπους. Δεύτερον, η ύπαρξη SSL θα κάνει πολύ δύσκολο για τους χάκερ να ανακτήσουν ευαίσθητα κοινόχρηστα δεδομένα μεταξύ των επισκεπτών και του διακομιστή σας. Τι ακριβώς είναι όμως ένα SSL και τι κάνει για να ασφαλίσει τα δεδομένα σας;
Με απλά λόγια, το SSL είναι ένα πρωτόκολλο κρυπτογράφησης που προστατεύει τα δεδομένα που ρέουν μεταξύ ενός χρήστη και ενός διακομιστή. Με αυτόν τον τρόπο, οι χάκερ δεν μπορούν να το υποκλέψουν και, επομένως, να μην το διαβάσουν. Τέτοια δεδομένα περιλαμβάνουν ευαίσθητες πληροφορίες, όπως email, ονόματα, διευθύνσεις, στοιχεία κάρτας κ.λπ. Όπως μπορείτε να δείτε, είναι όλες οι πληροφορίες που θέλετε να ΜΗΝ πέσουν σε λάθος χέρια. Όπως αναφέραμε στην αρχή αυτού του μέρους, αυτό ισχύει σημαντικά για τα ηλεκτρονικά καταστήματα, καθώς χειρίζονται ζωτικά δεδομένα με τη μορφή πληροφοριών κάρτας.
Η ασφάλεια του ιστότοπου είναι ένα εκτενές θέμα, αλλά ελπίζουμε ότι οι συμβουλές ασφαλείας που περιγράφονται σε αυτήν την ανάρτηση ιστολογίου θα σας βοηθήσουν να κάνετε τον ιστότοπό σας πολύ πιο δύσκολο να σπάσει. Αναγνωρίζουμε ότι ορισμένοι λαμβάνουν υπόψη τις βασικές πρακτικές του ιστότοπου που περιγράψαμε. Ωστόσο, έχουμε παρατηρήσει ότι πολλοί άνθρωποι αγνοούν την ασφάλεια του ιστότοπού τους με τον ένα ή τον άλλο τρόπο: μη ενημέρωση, έλλειψη πιστοποιητικού SSL, χρήση αμφισβητήσιμων προσθηκών ή θεμάτων κ.λπ. Να είστε προνοητικοί και ασφαλείς με τον ιστότοπό σας για να γλιτώσετε από πιθανούς πονοκεφάλους.
Θοδωρής Μαγκλάρας