Πώς να διατηρήσω το WordPress site μου ασφαλές;

Transcript

1. Πώς να διατηρήσω το WordPress site μου ασφαλές; Βέλτιστες πρακτικές

   & συμβουλές Larissa WordPress Meetup - Φεβρουάριος 2025

2. Howdy 👋 👦 Ορέστης Σαμαράς 📌 Θεσσαλονίκη 🐘 PHP Developer

   💻10+ χρόνια WordPress 💚 Ταξίδια
3. None

4. Agenda ❏ Ασφάλεια εγκατάστασης WordPress ❏ Ασφάλεια server ❏ Βέλτιστες

   πρακτικές ❏ Ερωτήσεις

5. Γιατί να επιτεθεί κάποιος στο site μου; ❏ Οικονομικό όφελος

   (crypto mining, ransomware, ads, βιομηχανική κατασκοπεία) ❏ Κλοπή δεδομένων & πρόσβαση σε εσωτερικά συστήματα ❏ SEO SPAM / Δυσφήμηση ❏ Παραμόρφωση για Κοινωνικοπολιτικά Αίτια ❏ Κύρος

6. The stats… ❏ 43% όλων των websites παγκοσμίως είναι βασισμένα

   σε WordPress ❏ 90.000.000 επιθέσεις ημερησίως ❏ 30.000 παραβιασμένα websites ημερησίως ❏ Οι κύριες ευπάθειες ήταν: ❏ Κενά ασφαλείας σε plugins και themes (59%) ❏ Αδύναμοι κωδικοί πρόσβασης (28%) ❏ Μη ασφαλές ή μη ενημερωμένο hosting (13%) (πηγή: sucuri, wpscan, wordfence)
7. None

8. Είναι το WordPress ένα ασφαλές CMS;

9. Είναι το WordPress ένα ασφαλές CMS; ❏ Αυστηρά coding standards

   ❏ Tests ❏ Πολιτική για υπεύθυνη αποκάλυψη ευπαθειών ❏ Αυτόματη εγκατάσταση διορθώσεων ασφαλείας
10. None

11. Ασφαλείστε το WordPress

12. Ασφαλείστε το WordPress Κάντε τις ενημερώσεις ❏ Fixes κενών ασφαλείας

    στις ενημερώσεις ❏ Δημοσιοποίηση ευπαθειών σε changelogs ❏ Αυτοματοποιήστε τις ❏ Dashboard (WP > 5.6) ❏ wp-config.php constants ❏ Φίλτρα auto_update_XXX ❏ Tip! Ελέγξτε τις ενημερώσεις σε ένα staging περιβάλλον

13. Ασφαλείστε το WordPress Θωρακίστε την σελίδα σύνδεσης ❏ Δημοφιλής στόχος

    για επιθέσεις brute-force ❏ Μπλοκάρετε την πρόσβαση (BasicAuth, plugins, fail2ban, 3rd-party υπηρεσίες) ❏ Χρησιμοποιήστε captcha για να αποφύγετε τα bots ❏ Ενεργοποιήστε Two-Factor Authentication ❏ Κρύψτε την σελίδα σύνδεσης για τον πίνακα ελέγχου

14. Ασφαλείστε το WordPress Χρησιμοποιήστε επιλεγμένα plugins & themes ❏ Κατά

    την επιλογή ελέγξτε ❏ Συμβατότητα με WP και PHP ❏ Κριτικές ❏ Forum υποστήριξης ❏ Δημιουργός ❏ Χρησιμοποιήστε μόνο ότι χρειάζεστε! ❏ ΜΗΝ χρησιμοποιείτε nulled plugins ή themes

15. Ασφαλείστε το WordPress Χρησιμοποιήστε ένα plugin ασφαλείας ❏ Δεν είναι

    η λύση για όλα ❏ Χρησιμοποιήστε το συνδυαστικά με άλλα μέτρα που έχετε λάβει ❏ Εάν είναι δυνατόν επενδύστε σε ένα premium plugin

16. Ασφαλείστε το WordPress Παρακολουθήστε για αλλαγές αρχείων ❏ Όταν ένα

    site παραβιάζεται, αρχεία προστίθενται ή τροποποιούνται για να περιλαμβάνουν τον κακόβουλο κώδικα ❏ Χρησιμοποιήστε το WP CLI, ένα plugin ή υπηρεσία για να παρακολουθείτε τυχόν αλλαγές στα αρχεία της εγκατάστασής σας

17. Ασφαλείστε το WordPress Απενεργοποιήστε την επεξεργασία αρχείων ❏ Επεξεργασία αρχείων

    από τον πίνακα ελέγχου ❏ Ένας κακόβουλος χρήστης μπορεί να κάνει αλλαγές ❏ Για να την απενεργοποιήσετε, προσθέστε στο wp-config.php ❏ define(‘DISALLOW_FILE_EDIT’, true) ❏ define(‘DISALLOW_FILE_MODS’, true)

18. Ασφαλείστε το WordPress Απενεργοποιήστε την προβολή σφαλμάτων ❏ Ένα σφάλμα

    μπορεί να εμφανίσει σημαντικές πληροφορίες ❏ Αποκρύψτε τα σφάλματα με: ❏ define(‘WP_DEBUG_DISPLAY’, false) ❏ define(‘WP_DEBUG_LOG’, true) ❏ @ini_set(‘display_errors’, 0)

19. Ασφαλείστε το WordPress Αποτρέψτε την απαρίθμηση χρηστών ❏ Χρησιμοποιώντας πιθανά

    ID χρηστών, έχουμε λίστα με usernames ❏ https://yoursite.com/?author=1 → https://yoursite.com/author/username ❏ Για να το αποτρέψετε: ❏ Μπλοκάρετε αιτήματα με τη παράμετρο author ❏ Επιτρέψτε την προβολή της λίστας χρηστών του REST API μόνο σε συνδεδεμένους χρήστες ❏ Αφαιρέστε τους χρήστες από το sitemap και από τα embeds ❏ Απενεργοποιήστε τα author archives … ή χρησιμοποιήστε ένα plugin

20. Ασφαλείστε το WordPress Κρύψτε τις συμβουλές σύνδεσης (login hints) ❏

    Εμφανίζονται μετά από λάθος προσπάθεια σύνδεσης ❏ Μπορούν να χρησιμοποιηθούν για να προσδιοριστεί η ύπαρξη ενός χρήστη ❏ Αλλάξτε το μήνυμα λάθους με το φίλτρο login_errors … ή χρησιμοποιήστε ένα plugin

21. Ασφαλείστε το WordPress Απενεργοποίηση του XML-RPC ❏ Το XML-RPC επιτρέπει

    την δημοσίευση περιεχομένου στο site σας από απομακρυσμένα συστήματα ❏ Χρησιμοποιείται για επιθέσεις brute-force και DDoS ❏ Απενεργοποιήστε το ❏ Με το φίλτρο xmlrpc_enabled ❏ Μπλοκάροντας requests μέσω του .htaccess ή του nginx.conf … ή χρησιμοποιώντας ένα plugin

22. Ρυθμίσεις server

23. Ρυθμίσεις του server Backup, backup, backup ❏ Το κακό θα

    συμβεί! Προετοιμαστείτε ❏ Ωριαία, ημερήσια, εβδομαδιαία ή μηνιαία backups ❏ Αυτοματοποιήστε την δημιουργία των backups - server ή plugin ❏ Διατηρήστε τα backups σε διαφορετικές τοποθεσίες ❏ Tip! Πάντα επαληθεύετε τα backups

24. Ρυθμίσεις του server Χρησιμοποιήστε πιστοποιητικά SSL ❏ Κρυπτογράφηση δεδομένων που

    μεταφέρονται μεταξύ του server και του browser ❏ Οι πάροχοι hosting συνήθως αναλαμβάνουν την εγκατάσταση των SSL ❏ Βεβαιωθείτε ότι ανακατευθύνετε όλους τους επισκέπτες στην ασφαλή έκδοση ❏ Με οδηγίες στο .htaccess ή στο nginx.conf … ή χρησιμοποιώντας ένα plugin

25. ❏ Πάνω από το 50% των εγκαταστάσεων WordPress χρησιμοποιούν μη

    υποστηριζόμενες εκδόσεις PHP (< 8.1) ❏ Για να αναβαθμίσετε, ελέγξτε τις ρυθμίσεις του server σας ή μιλήστε με τον πάροχο hosting ❏ Tip! Πριν την ενημέρωση, βεβαιωθείτε για την συμβατότητα των εγκατεστημένων επεκτάσεων σε ένα δοκιμαστικό περιβάλλον (πηγή: wordpress.org) Ρυθμίσεις του server Ενημέρωση έκδοσης PHP

26. Ρυθμίσεις του server Ασφαλής μεταφορά αρχείων ❏ SFTP αντί για

    FTP ❏ Κρυπτογράφηση δεδομένων ❏ Χρησιμοποιεί μία θύρα ❏ Βεβαιώνει την ταυτότητα του παραλήπτη ❏ Εναλλακτικές: scp, rsync, CI/CD pipeline
27. None

28. Ρυθμίσεις του server With great power, comes great responsibility ❏

    Αλλαγές στις ρυθμίσεις του server ή στο αρχείο .htaccess ή nginx.conf μπορεί να είναι καταστροφικές ❏ Κάντε δοκιμές σε staging ❏ Επικοινωνήστε με τον πάροχο hosting ή απευθυνθείτε σε κάποιον επαγγελματία

29. Βέλτιστες πρακτικές

30. Βέλτιστες πρακτικές Χρήση δυνατών κωδικών πρόσβασης ❏ Δυνατός κωδικός σημαίνει

    ❏ Τουλάχιστον 8 χαρακτήρες ❏ Συνδυασμός από κεφαλαία και πεζά γράμματα, αριθμούς και σύμβολα ❏ Μοναδικός και τυχαίος ❏ Επιβολή δυνατών κωδικών ❏ Tip! Χρησιμοποιήστε ένα password manager

31. Βέλτιστες πρακτικές Αποφυγή κοινών ονομάτων χρηστών ❏ admin είναι το

    πιο δημοφιλές όνομα χρήστη ❏ Εάν έχετε ήδη έναν τέτοιο λογαριασμό ❏ Δημιουργήστε έναν νέο λογαριασμό και διαγράψετε τον προηγούμενο ❏ Αλλάξτε το όνομα χρήστη απευθείας από την βάση δεδομένων

32. Βέλτιστες πρακτικές Ανάθεση ρόλων χρηστών ❏ Κάθε χρήστης έχει έναν

    ρόλο, που καθορίζει τι ενέργειες μπορεί να κάνει ❏ Δώστε στους χρήστες τον ρόλο που αντιστοιχεί στην εργασία τους ❏ Πιο λεπτομερής έλεγχος των ρόλων μπορεί να γίνει με χρήση plugin

33. Αυτόματες ενημερώσεις Κωδικοί πρόσβασης https://shorturl.at/3dTsJ Ασφάλεια server https://shorturl.at/Bi4qw Ασφάλεια custom

    plugins https://shorturl.at/Ll8UU https://shorturl.at/qtVIC
34. None