Security WordPress
Εξετάζοντας θέματα security που αφορούν την πλατφόρμα WordPress μέσω του wordfence
Security WordPress | WordFence : Το ζητούμενο της ασφάλειας στο wordpress όπως και η ταχύτητα του είναι θέματα μεγάλης σπουδαιότητας για την εύρυθμη & απρόσκοπτη λειτουργία της ιστοσελίδας σας. H φιλοξενία του WordPress ,όπως και κάθε cms ( content management system ) ,δεν είναι μια απλή υπόθεση όπως δικαίως μπορεί κάποιος να υποθέσει.
Οι διαφορετικές εκδόσεις php και οι κατά καιρούς αναβαθμίσεις τους είναι υποχρεωτικές τόσο σε επίπεδο ασφάλειας όσο και σε επίπεδο σταθερότητας και λειτουργίας του wordpress ενώ διασφαλίζουν πρωτίστως την ασφάλεια του ιστοτόπου σας.
Κάθε φορά που ένα κενό ασφαλείας βρίσκεται στο wordpress και ένα update έρχεται να το καλύψει αυτό ουσιαστικά δηλώνει σε κάθε επίδοξο hacker ποιο είναι το κενό ασφαλείας στην προηγούμενη έκδοση δίνοντας του ουσιαστικά οδηγίες για το πως να δημιουργήσει “κλειδί παραβίασης”
Εκτός αυτών υπάρχουν πλήθος έτοιμων εργαλείων που σκανάρουν τον κυβερνοχώρο για να βρουν παλιές εκδόσεις του wordpress (και plugin που αυτό χρησιμοποιεί) καθώς και αυτόματους μηχανισμούς παραβίασης του.
Αντιλαμβάνεστε λοιπόν ότι τα updates είναι ΑΠΑΡΑΙΤΗΤΑ. Παρότι όμως το wordpress έχει αυτόματο μηχανισμό ανανέωσης του wordpress και των plugin του αυτό μπορεί να επηρεάσει ποικιλοτρόπως την εμφάνιση και σταθερότητα λειτουργίας του site σας.
Το theme που έχετε επιλέξει (το εικαστικό γνωστό και ως template) μπορεί να μην είναι συμβατό με την νέα έκδοση του wordpress. Κάποια plugin ενδεχομένως και αυτά να μην είναι συμβατά με την έκδοση του wordpress ή και να “συγκρούονται” με κάποια άλλα.
Άρα τίθενται και θέματα εύρυθμης λειτουργίας και όχι μόνο wordpress security related θέματα
Όλα αυτά οδηγούν σε σημαντικά προβλήματα λειτουργίας όπως κάποια τμήματα ή το όλο site να μην λειτουργεί – εμφανίζεται με τον προβλεπόμενο τρόπο ή να παρατηρούνται τρομερές χρονικές καθυστερήσεις στην φόρτωση της σελίδας.
Αν έχετε αποφασίσει να χρησιμοποιήσετε την πλατφόρμα του wordpress για την κατασκευή της ιστοσελίδας σας είναι φρόνιμο και να το “ασφαλίσετε” αλλά και και να το κάνετε κατά την φάση της αρχικής δημιουργίας της ιστοσελίδας σας για να δείτε αν και πόσο θα επηρεάσει κάποια λειτουργικά της μέρη.
Θα περιγράψουμε μερικές από τις κύριες επιλογές του Wordfence που θα σας βοηθήσουν να κάνετε την ιστοσελίδα σας στο WordPress πιο ασφαλή. Αν διαβάζετε αυτό το άρθρο για το Wordfence, τότε έχετε αποφασίσει να ασφαλίσετε τον ιστότοπό σας μόνοι σας.
Το δωρεάν πρόσθετο ( υπάρχει και paid version) που επιλέξαμε ως “DIY” λύση ασφαλείας είναι το Wordfence, που χρησιμοποιείται από 2 εκατομμύρια χρήστες του WordPress.
Το Wordfence έχει πολλές επιλογές και προσφέρει τόσο το τείχος προστασίας, που εγκαθίσταται εσωτερικά στον ιστότοπό σας, το οποίο σαρώνει εργαλεία για την ανίχνευση malware, Trojans, backdoor και άλλων γνωστών ευπαθειών. Εγκαταστήστε το πρόσθετο όπως κάνετε συνήθως και πηγαίνετε στο dashboard.
To Dashboard του Wordfence
Όπως κάθε ταμπλό που σέβεται τον εαυτό του, σε αυτή τη σελίδα βρίσκουμε τη σύνοψη των διαφόρων δραστηριοτήτων που πραγματοποιεί το πρόσθετο. Έχουμε τη λίστα και την κατάσταση όλων των ενεργών υπηρεσιών και εκείνων που θα είναι ενεργές μόνο έναντι αμοιβής.
Στο Threat Defense Feed βρίσκετε τον αριθμό των τύπων επιθέσεων έναντι στους οποίους αμύνεται το πρόσθετο. Το πρώτο και ο αριθμός για όλους τους χρήστες, το δεύτερο για την επί πληρωμή υπηρεσία.
Στη συνέχεια, υπάρχουν διάφορα στατιστικά στοιχεία, όπως ο αριθμός των επιθέσεων που έχουν αποκλειστεί για την ιστοσελίδα μας και μια αναφορά για όλες τις παγκόσμιες επιθέσεις που υπερασπίζεται το WordFence, που έχουν ενδιαφέρον για να κατανοήσετε επίσης τα έθνη στα οποία συμβαίνουν οι επιθέσεις, για την ιστοσελίδα μας και για ολόκληρο τον κόσμο.
Μπορούμε να δούμε τον αριθμό των αποκλεισμένων IP και ένα αρχείο καταγραφής των προσπαθειών σύνδεσης.
Επιλογές Wordfence
Πρώτα μεταβείτε στον πίνακα επιλογών του Wordfence για να ορίσετε τις ρυθμίσεις.
Σε αυτή τη σελίδα μπορούμε να ενεργοποιήσουμε ή να απενεργοποιήσουμε πολλές από τις λειτουργίες του πρόσθετου. έχουμε τη λειτουργία Enable Live Traffic View. Το Wordfence στην πραγματικότητα σας επιτρέπει να βλέπετε ζωντανά όλη την κίνηση που έρχεται στον ιστότοπό σας.
Ως βασική λειτουργία και ένα χαρακτηριστικό που επηρεάζει την απόδοση, αφήστε το απενεργοποιημένο. Αν έχετε την ανάγκη να το χρησιμοποιήσετε, μπορείτε να το ενεργοποιήσετε ούτως ή άλλως αργότερα. Είναι σημαντικό να ελέγξετε ότι έχετε ενεργοποιήσει το Enable automatic scheduled scans (Ενεργοποίηση αυτόματων προγραμματισμένων σαρώσεων). Έτσι θα σαρώνει αυτόματα για ιούς.
Αν θέλετε επίσης το Wordfence να εγκαθιστά αυτόματα τις ενημερώσεις, τσεκάρετε την επιλογή “Update Wordfence automatically…”. Διαφορετικά να θυμάστε ότι, ένα πρόσθετο πρέπει να ενημερώνεται με σταθερότητα, και ιδιαίτερα όσα σχετίζεται με την ασφάλεια, οπότε πάντα να ελέγχετε ότι δεν υπάρχουν εκκρεμείς ενημερώσεις.
Τώρα εισάγετε το email στο οποίο θέλετε τις ειδοποιήσεις στο στοιχείο όπου θα στέλνετε ειδοποιήσεις με email. Κάτω από το κείμενο how does Wordfence get IPs (πώς το Wordfence συλλέγει IPs), επιλέξτε τη δεύτερη επιλογή (use “PHP built in…”), η οποία θα πρέπει να ταιριάζει στις περισσότερες περιπτώσεις, διαφορετικά, αν υπάρχουν προβλήματα ή ειδοποιήσεις, επιστρέψτε στην πρώτη επιλογή “Let Wordfence use the most…”
Όπως μπορείτε να δείτε οι επιλογές του Wordfence χωρίζονται σε διαφορετικές ενότητες. Κατεβείτε σε αυτές που είναι συνυφασμένες με τις ειδοποιήσεις.
Διαβάστε αυτές τις καταχωρήσεις και ενεργοποιήστε ή απενεργοποιήστε εκείνες για τις οποίες θέλετε να λαμβάνετε ειδοποίηση. Προσέξτε να μην ενεργοποιήσετε τα πάντα, γιατί επιλογές όπως Alert me when a non-admin user signs in (Ειδοποίηση όταν συνδέεται ένας χρήστης που δεν είναι διαχειριστής) θα σας στέλνουν ένα email κάθε φορά που κάποιος χρήστης συνδέεται στον ιστότοπό σας.
Πηγαίνετε κάτω στην ενότητα επιλογών του Wordfence με την ονομασία Scan to Include.
Ενεργοποιήστε το Scan theme files και το Scan plugin files against repository versions for changes. Έτσι το plugin θα ελέγξει ότι τα αρχεία των θεμάτων σας και των plugins σας είναι τα ίδια με αυτά που βρίσκονται στο αποθετήριο του WordPress.
Δεδομένου ότι η επεξεργασία των βασικών αρχείων, των plugins και των θεμάτων του WordPress, δεν συνιστάται, τα αρχεία θα πρέπει πάντα να ταιριάζουν με αυτά του διακομιστή του WordPress.
Λογικά, αυτή η επιλογή δεν λειτουργεί με plugins και θέματα που αγοράστηκαν ή δεν υπάρχουν στο επίσημο αποθετήριο. Χρησιμοποιήστε σάρωση χαμηλών πόρων και μια ρύθμιση που λαμβάνει υπόψη αν ο διακομιστής σας δεν είναι πολύ ισχυρός. Ενεργοποιώντας, η σάρωση θα παρατείνεται με την πάροδο του χρόνου, κουράζοντας λιγότερο το μηχάνημα στο οποίο βρίσκεται ο ιστότοπός σας.
Τις άλλες επιλογές τις αφήνετε ως εξής. Αν σας ενδιαφέρει κάποια από αυτές, μπορείτε πάντα να πατήσετε το εικονίδιο “I” για να λάβετε περισσότερες πληροφορίες σχετικά με τη συγκεκριμένη λειτουργία.
Σάρωση
Προχωρήστε στη σάρωση για να ελέγξετε για κακόβουλο λογισμικό, άλλα τρωτά σημεία, τροποποιημένα βασικά αρχεία ή άλλα.
Πατήστε το κουμπί Start (Έναρξη) για να ξεκινήσει η σάρωση του Wordfence. Ο χρόνος που απαιτεί η διαδικασία εξαρτάται από το μέγεθος του ιστότοπού σας. Μόλις ολοκληρωθεί, θα σας εμφανιστούν τα αποτελέσματα. Εάν το πρόσθετο βρει κάτι λάθος, τότε θα ενημερωθείτε και για τις συνιστώμενες ενέργειες που πρέπει να εκτελέσετε.
Πάντα στη Σάρωση, θα βρείτε την καρτέλα προγραμματισμού στην κορυφή. Για τη δωρεάν έκδοση η σάρωση πραγματοποιείται κάθε 24 ώρες, ενώ αν θέλετε να διαχειριστείτε τον προγραμματισμό με μη αυτόματο τρόπο, θα πρέπει να μεταβείτε στην επί πληρωμή. Στην καρτέλα Options (Επιλογές) του Wordfence θα βρείτε τις ρυθμίσεις που έχουμε ξαναδεί στο στοιχείο μενού Επιλογές.
Τείχος προστασίας
Το Wordfence προτείνει τη λειτουργία του τείχους προστασίας με δύο διαφορετικούς τρόπους. Στο βασικό σετ το τείχος προστασίας λειτουργεί σε επίπεδο πρόσθετου. Αυτό σημαίνει ότι όταν ζητείται μια σελίδα, το τείχος προστασίας φορτώνεται μαζί με τα άλλα πρόσθετα.
Η δεύτερη μέθοδος είναι η εκτεταμένη προστασία. Σε αυτή την περίπτωση το τείχος προστασίας τίθεται σε λειτουργία πριν από τη φόρτωση του πυρήνα του WordPress, των θεμάτων και των πρόσθετων. Όπως μπορείτε να φανταστείτε, η τελευταία μέθοδος είναι η ασφαλέστερη, επειδή επεμβαίνει πριν από οποιοδήποτε άλλο στοιχείο.
Για να ενεργοποιήσετε αυτή τη ρύθμιση, πατήστε Optimize the Wordfence Firewall (Βελτιστοποίηση του τείχους προστασίας του Wordfence).
Στο παρακάτω στιγμιότυπο οθόνης μπορείτε να δείτε ότι, αυτόματα, το Wordfence ανακτά πληροφορίες σχετικά με τον διακομιστή στον οποίο εγκαταστήσατε τον ιστότοπο. Πατήστε Continue (Συνέχεια).
Wordfence Detect Server
Για να μπορέσετε να βάλετε σε λειτουργία το τείχος προστασίας πριν από οτιδήποτε άλλο, είναι απαραίτητο να επιτρέψετε στο Wordfence να αλλάξει το αρχείο .htaccess της εγκατάστασης του WordPress σας. Στην πραγματικότητα, σε αυτό το αρχείο καταγράφονται ρυθμίσεις που δρουν απευθείας στον διακομιστή.
Για να αποφύγετε προβλήματα κατεβάστε ένα αντίγραφο ασφαλείας πατώντας το κουμπί download .htaccess.
Σε περίπτωση που έχετε προβλήματα, αυτό που πρέπει να κάνετε είναι να συνδεθείτε μέσω FTP, να διαγράψετε το αρχείο .htaccess που υπάρχει στο root του site σας, να ανεβάσετε το αρχείο που μόλις κατεβάσατε και να το μετονομάσετε στο διακομιστή ακριβώς σε .htaccess, με την τελεία στην αρχή και χωρίς το .txt στο τέλος.
Εντάξει, τώρα μπορείτε να πατήσετε το κουμπί Continue Συνέχεια.
Βλέπετε το τείχος προστασίας και τη Λειτουργία Εκμάθησης.
Με το Wordfence, αντί να χρειαστεί να ορίσετε όλες τις διάφορες ρυθμίσεις, με τη χρήση της Λειτουργίας Εκμάθησης για μια εβδομάδα, αυτό θα συλλέξει τα δεδομένα που χρησιμοποιείτε στον ιστότοπό σας και θα προσπαθήσει να καταλάβει πώς να κάνει τις καλύτερες δυνατές ρυθμίσεις.
Μετά από αυτή την εβδομάδα, θα αλλάξει αυτόματα την κατάστασή του σε Enable and Protecting (Ενεργοποίηση και Προστασία).
Αφήστε τις ρυθμίσεις στα Brute Force Protection και Rate limiting ως προεπιλεγμένες.
Ζωντανή Kυκλοφορία
Όπως είπαμε το Wordfence, στην ενότητα Live traffic, σας επιτρέπει να δείτε όλη την κίνηση που περνάει από τις σελίδες σας. Αν σας ενδιαφέρει να αναλύσετε έναν συγκεκριμένο τύπο κίνησης, μπορείτε να χρησιμοποιήσετε το φίλτρο επιλέγοντας μία από τις επιλογές: και μπορείτε να αποκλείσετε την IP του επισκέπτη.
Αποκλεισμός και Εργαλεία
Όλες οι IP που έχουν μπλοκαριστεί και η διαχείρισή τους βρίσκονται στην ενότητα blocking. Στα Tools (Εργαλεία) το μόνο μέρος που μας ενδιαφέρει είναι τα διαγνωστικά, όπου βρίσκουμε μια ολόκληρη σειρά από χρήσιμες πληροφορίες σε περίπτωση δυσλειτουργιών.
Αν θέλετε να γνωρίζετε λεπτομερώς κάθε τύπο ρύθμισης, το Wordfence διαθέτει πλήρη τεκμηρίωση.
Άλλες χειροκίνητες λειτουργίες
Για το Wordfence και για όλα, αλλά εξακολουθούμε να δίνουμε τις πιο πρόσφατες οδηγίες για να σας παρέχουμε μια περαιτέρω ανάλυση της εγκατάστασης του WordPress.
Απενεργοποιήστε τον επεξεργαστή του WordPress
Για να απενεργοποιήσετε τον επεξεργαστή πρέπει να εισάγετε στο αρχείο WP-CONFIG. php αυτόν τον κώδικα:
Define (\’ DISALLOW_FILE_EDIT \’, true);
Με αυτόν τον τρόπο δεν θα μπορείτε πλέον να επεξεργάζεστε από το Appearance > Editor τα βασικά αρχεία, αυτά των θεμάτων και των προσθέτων.
Απενεργοποίηση της άμεσης εκτέλεσης των PHP scripts
Για να αποφύγετε την άμεση εκτέλεση των αρχείων PHP σε ορισμένους καταλόγους θα πρέπει, χρησιμοποιώντας έναν Test editor, να δημιουργήσετε ένα νέο αρχείο και να επικολλήσετε αυτόν τον κώδικα:
<Files * .php>
deny from all
</ Files>
Αποθηκεύστε το αρχείο ως .htaccess και ανεβάστε το μέσω FTP στο φάκελο που θέλετε να μπλοκάρετε τα scripts, όπως για παράδειγμα στο φάκελο WP-content/uploads.
Συνιστώ: δημιουργήστε αυτό το αρχείο με έναν επεξεργαστή κειμένου όπως το Atom ή το sublite text, και να έχετε υπόψη σας ότι τα αρχεία με την τελεία στην αρχή δεν είναι ορατά από το λειτουργικό σας σύστημα, επειδή είναι κρυφά αρχεία. Αντίθετα, είναι ορατά από τον editor και τον client του FTP, όπως το Filezilla, που χρησιμοποιείτε για να το ανεβάσετε στον διακομιστή.
Αποφυγή εμφάνισης περιεχομένων καταλόγου (λίστα καταλόγου)
Δεν είναι καλό να έχετε έναν online διακομιστή που δείχνει τα περιεχόμενα των καταλόγων. Αν μετά τον έλεγχο διαφορετικών φακέλων, δείτε τη λίστα με τα αρχεία, τις εικόνες και τους φακέλους σας, τότε θα πρέπει να κατεβάσετε το αρχείο. htaccess που βρίσκεται στο root του ιστότοπού σας και να προσθέσετε την ακόλουθη γραμμή:
Options-Indexes
Απενεργοποίηση XML-RPC
Το πρωτόκολλο XML-RPC χρησιμοποιείται από το WordPress για την εκτέλεση διαδικασιών εξ αποστάσεως. Από την έκδοση 3.4 έχει ενεργοποιηθεί από προεπιλογή και είναι ένας παράγοντας που θα μπορούσε να προκαλέσει επιθέσεις brute Force.
Αυτό το πρωτόκολλο δεν χρειάζεται να είναι ενεργό εάν:
- Δεν δημοσιεύετε στον ιστότοπό σας μέσω του Windows Live Writer.
- Δεν χρησιμοποιείτε την εφαρμογή WordPress για κινητά τηλέφωνα.
- Δεν χρησιμοποιείτε κανενός είδους υπηρεσία για απομακρυσμένη σύνδεση με τον ιστότοπό σας.
Σε αυτή την περίπτωση βρίσκουμε πάντα το αρχείο. htaccess, αυτό που βρίσκεται στο root του ιστότοπου, όπου πρέπει να εισάγουμε
order deny, allow
deny from all
allow from xxx.xxx.xxx.xxx
</ Files>
Όπου τη γραμμή allow from την εισάγουμε αν θέλουμε να ενεργοποιήσουμε μόνο μια συγκεκριμένη IP να έχει πρόσβαση