Ευπάθεια στην προσθήκη Advanced Custom Fields για WordPress

28, Μάι 2023 | Support Wordpress, Ασφάλεια Wordpress

Η πρόσφατη κυβερνοεπίθεση που εντοπίστηκε από τον ερευνητή του Patchstack, Rafie Muhammad, στην προσθήκη “Advanced Custom Fields” για το WordPress είναι μια έντονη υπενθύμιση του πόσο ευάλωτοι μπορεί να είναι οι ιστότοποι στους χάκερ. Σε αυτήν την περίπτωση, πάνω από δύο εκατομμύρια χρήστες κινδύνευαν από επιθέσεις στον κυβερνοχώρο λόγω μιας ευπάθειας (ένα ελάττωμα, που εντοπίζεται ως CVE-2023-30777 ) που επέτρεπε σε παραβάτες να εισάγουν κακόβουλο κώδικα σε ιστοσελίδες και ενδεχομένως να παραβιάζουν λογαριασμούς διαχειριστών.

Αυτή η ευπάθεια ανακαλύφθηκε και αναφέρθηκε στον προμηθευτή τον Φεβρουάριο και παρόλο που ήταν ευαίσθητο στο χρόνο, η σχετική ενημέρωση κώδικα κυκλοφόρησε μόλις πριν από λίγες ημέρες. Οι χρήστες αυτού του πρόσθετου πρέπει τώρα να το ενημερώσουν τουλάχιστον στην έκδοση 6.1.6 για να αποτρέψουν την επίθεση, αν όχι ήδη.

Το Imunify360 διαθέτει ένα ισχυρό ευρετικό υποσύστημα που χρησιμοποιεί αλγόριθμους μηχανικής μάθησης και ανίχνευση βάσει υπογραφών για τον εντοπισμό και τον αποκλεισμό κακόβουλων παραγόντων σε πραγματικό χρόνο. Περιλαμβάνει επίσης χαρακτηριστικά όπως το WAF (Web Application Firewall), μια μονάδα προληπτικής άμυνας που παρεμποδίζει τα σενάρια κατά την εκτέλεση, έναν προηγμένο μηχανισμό IPS/IDS που έχει την κατάλληλη μονάδα PAM ως καινοτόμο τεχνολογία για να αποκλείει επιθέσεις ωμής βίας στο επίπεδο υπηρεσίας μειώνοντας το false -positives, ossec και το ευρετικό RBL του μαζί με μια καλά σχεδιασμένη greylisting (webshield/captcha) και έναν σαρωτή κακόβουλου λογισμικού υψηλής απόδοσης με υποστήριξη για εντοπισμό μέσω συμβάντων πυρήνα συστήματος αρχείων Linux που όταν συνεργάζονται εντοπίζουν και μετριάζουν περίπλοκες επιθέσεις στον κυβερνοχώρο .

Στην περίπτωση της ευπάθειας Advanced Custom Fields, το WAF του Imunify360 θα μπορούσε να είχε χρησιμοποιηθεί για να αποκλείσει τυχόν προσπάθειες εκμετάλλευσης της ευπάθειας φιλτράροντας την κακόβουλη επισκεψιμότητα πριν φτάσει στον ιστότοπο. Το IDS/IPS του θα μπορούσε επίσης να είχε εντοπίσει τυχόν προσπάθειες εκμετάλλευσης της ευπάθειας και να τις εμπόδιζε να πετύχουν.

Επιπλέον, ο σαρωτής κακόβουλου λογισμικού του Imunify360 θα μπορούσε να έχει βοηθήσει στον εντοπισμό οποιουδήποτε κακόβουλου λογισμικού που μπορεί να έχει εγχυθεί στον ιστότοπο λόγω της ευπάθειας, διασφαλίζοντας ότι θα αφαιρεθεί προτού μπορεί να προκαλέσει οποιαδήποτε βλάβη.

Το Imunify360 είναι μια ισχυρή λύση ασφαλείας που μπορεί να βοηθήσει στην προστασία των ιστότοπων και των χρηστών τους από διάφορους τύπους επιθέσεων στον κυβερνοχώρο.

Στην περίπτωση της ευπάθειας Advanced Custom Fields, το Imunify360 θα μπορούσε να είχε χρησιμοποιηθεί για να αποτρέψει την εκμετάλλευση της ευπάθειας, διασφαλίζοντας ότι πάνω από δύο εκατομμύρια χρήστες προστατεύονται από πιθανές επιθέσεις στον κυβερνοχώρο.

Websitepro και Imunify 360

Η Websitepro πρόσφατα επένδυσε στην προστασία των Server της με το λογισμικό ασφάλειας Imunify360 παρέχοντας στα sites που φιλοξενεί υψηλού επιπέδου ασφάλεια απέναντι σε Mallware και κακόβουλες επιθέσεις. Οι πελάτες της ενημερώνονται άμεσα απο το blog μας για οποιαδήποτε ευπάθεια ανακαλυφθεί.

Ζητήστε να σας ενημερώσουμε για τα πακέτα φιλοξενίας ιστοσελίδας

Πηγή: imunify360

Η έκδοση ασφαλείας του WordPress 6.0.3 διορθώνει 16 ευπάθειες

12, Νοέ 2022 | Support Wordpress, Wordpress, Ασφάλεια Wordpress

Δημοσιεύτηκε η έκδοση ασφαλείας του WordPress 6.0.3 για την επείγουσα επιδιόρθωση 16 συνολικά ευπαθειών

Το WordPress κυκλοφόρησε μια ενημέρωση ασφαλείας για να διορθώσει δεκαέξι ευπάθειες, προτείνοντας την άμεση ενημέρωση των τοποθεσιών.

Η ειδοποίηση ασφαλείας δεν παρείχε περιγραφή της σοβαρότητας των τρωτών σημείων, ωστόσο, δεδομένων των τύπων τρωτών σημείων που αναγνώρισε το WordPress και του μεγάλου αριθμού τους, ίσως είναι καλή ιδέα να λάβετε σοβαρά υπόψη αυτήν την έκδοση ασφαλείας.

Τα τρωτά σημεία διορθώθηκαν από το WordPress

Υπάρχουν συνολικά δεκαέξι επιδιορθώσεις που αντιμετωπίζονται σε αυτήν την έκδοση ασφαλείας που διορθώνουν πολλαπλά είδη ευπάθειας.

Αυτή είναι μια λίστα με τα τρωτά σημεία που διορθώθηκαν:

9 ζητήματα XSS, 6 από τα οποία είναι Αποθηκευμένα XSS
2 Ευπάθειες που σχετίζονται με το ηλεκτρονικό ταχυδρομείο
1 Ευπάθεια πλαστογράφησης αιτήματος διασταυρούμενης τοποθεσίας
1 SQL Injection
1 Έκθεση δεδομένων (τελικό σημείο REST)
1 Ανοίξτε την ανακατεύθυνση
1 Επαναφορά κοινών παρουσιών χρήστη (η δυνατότητα πιθανώς εισήγαγε μια ευπάθεια)

Έξι αποθηκευμένα τρωτά σημεία XSS

Μια αποθηκευμένη ευπάθεια XSS είναι αυτή στην οποία το ωφέλιμο φορτίο μεταφορτώνεται και αποθηκεύεται στους διακομιστές ιστότοπου του θύματος.

Μια ευπάθεια XSS εμφανίζεται γενικά οπουδήποτε το WordPress επιτρέπει μια είσοδο ή μια μεταφόρτωση.

Αυτό το είδος ευπάθειας προκύπτει από ένα ελάττωμα στον κώδικα όπου το σημείο εισόδου δεν φιλτράρει επαρκώς ό,τι μπορεί να μεταφορτωθεί, με αποτέλεσμα τη δυνατότητα μεταφόρτωσης ενός κακόβουλου σεναρίου ή κάποιου άλλου απροσδόκητου αρχείου.

Ο μη κερδοσκοπικός ιστότοπος ασφαλείας Open Web Application Security Project (OWASP) περιγράφει αυτό το είδος ευπάθειας :

«Οι αποθηκευμένες επιθέσεις είναι εκείνες όπου το σενάριο που έχει εισαχθεί αποθηκεύεται μόνιμα στους διακομιστές-στόχους, όπως σε μια βάση δεδομένων, σε ένα φόρουμ μηνυμάτων, στο αρχείο καταγραφής επισκεπτών, στο πεδίο σχολίων κ.λπ.

Στη συνέχεια, το θύμα ανακτά το κακόβουλο σενάριο από τον διακομιστή όταν ζητά τις αποθηκευμένες πληροφορίες.”

Παραχάραξη αιτήματος μεταξύ ιστότοπων

Η πλαστογράφηση αιτημάτων μεταξύ ιστότοπων (CSRF) εξαρτάται από λίγη κοινωνική μηχανική για να ξεγελάσει έναν χρήστη ιστότοπου υψηλού επιπέδου με δικαιώματα διαχειριστή για να εκτελέσει μια ενέργεια όπως να ακολουθήσει έναν σύνδεσμο.

Αυτό το είδος ευπάθειας μπορεί να οδηγήσει σε ενέργειες διαχειριστή που μπορεί να θέσει σε κίνδυνο τον ιστότοπο.

Μπορεί επίσης να επηρεάσει τους τακτικούς χρήστες του ιστότοπου αναγκάζοντας έναν χρήστη να αλλάξει το email σύνδεσής του ή να αποσύρει χρήματα.

Ανοίξτε την Ανακατεύθυνση στο `wp_nonce_ays`

Μια ανοιχτή ανακατεύθυνση είναι ένα ελάττωμα στο οποίο ένας χάκερ μπορεί να εκμεταλλευτεί μια ανακατεύθυνση.

Σε αυτήν την περίπτωση, πρόκειται για ανακατεύθυνση που σχετίζεται με μια ειδοποίηση “είσαι σίγουρος” για επιβεβαίωση μιας ενέργειας.

Η επίσημη περιγραφή του WordPress αυτής της λειτουργίας είναι:

“Εάν η ενέργεια έχει το μήνυμα nonce εξηγεί, τότε θα εμφανιστεί μαζί με το “Είσαι σίγουρος;” μήνυμα.”

Το nonce είναι ένα διακριτικό ασφαλείας που δημιουργείται από τον ιστότοπο του WordPress.

Ο επίσημος κώδικας του WordPress ορίζει nonces :

“Το nonce είναι ένας “αριθμός που χρησιμοποιείται μία φορά” για να βοηθήσει στην προστασία διευθύνσεων URL και φορμών από ορισμένους τύπους κακής χρήσης, κακόβουλης ή άλλης χρήσης.

Τα nonces του WordPress δεν είναι αριθμοί, αλλά είναι ένας κατακερματισμός που αποτελείται από αριθμούς και γράμματα.

…Τα διακριτικά ασφαλείας του WordPress ονομάζονται “nonces” …επειδή εξυπηρετούν σχεδόν τον ίδιο σκοπό με τα nonces.

Βοηθούν στην προστασία από διάφορους τύπους επιθέσεων, συμπεριλαμβανομένου του CSRF, αλλά δεν προστατεύουν από επιθέσεις επανάληψης, επειδή δεν ελέγχονται για εφάπαξ χρήση.

Δεν πρέπει ποτέ να βασίζεστε στα Nonces για έλεγχο ταυτότητας, εξουσιοδότηση ή έλεγχο πρόσβασης.

Προστατέψτε τις συναρτήσεις σας χρησιμοποιώντας τη current_user_can(), και πάντα να υποθέτετε ότι οι nonces μπορούν να παραβιαστούν.”

Το WordPress δεν περιγράφει ακριβώς ποια είναι αυτή η ευπάθεια.

Η Google όμως δημοσίευσε μια περιγραφή του τι είναι μια ευπάθεια ανοιχτής ανακατεύθυνσης :

«Αυτή είναι μια ιδιαίτερα επαχθής μορφή κατάχρησης επειδή εκμεταλλεύεται τη λειτουργικότητα του ιστότοπού σας αντί να εκμεταλλεύεται ένα απλό σφάλμα ή ελάττωμα ασφαλείας.

Οι αποστολείς ανεπιθύμητης αλληλογραφίας ελπίζουν να χρησιμοποιήσουν τον τομέα σας ως προσωρινή “σελίδα προορισμού” για να εξαπατήσουν τους χρήστες ηλεκτρονικού ταχυδρομείου, τους χρήστες αναζήτησης και τις μηχανές αναζήτησης ώστε να ακολουθήσουν συνδέσμους που φαίνεται να δείχνουν προς τον ιστότοπό σας, αλλά στην πραγματικότητα να ανακατευθύνουν στον ιστότοπό τους με ανεπιθύμητο περιεχόμενο.”

Δεδομένου του τρόπου με τον οποίο αυτή η ευπάθεια επηρεάζει μια ευαίσθητη λειτουργία που σχετίζεται με την ασφάλεια και την πρόσβαση, μπορεί να είναι αρκετά σοβαρή.

Έγχυση SQL λόγω ακατάλληλης απολύμανσης στο “WP_Date_Query”.

Αυτός είναι ένας τύπος ευπάθειας όπου ο εισβολέας μπορεί να εισάγει δεδομένα απευθείας στη βάση δεδομένων.

Μια βάση δεδομένων είναι βασικά η καρδιά ενός ιστότοπου WordPress, όπου αποθηκεύονται οι κωδικοί πρόσβασης, οι αναρτήσεις κ.λπ.

Η ακατάλληλη απολύμανση είναι μια αναφορά σε έναν έλεγχο ασφαλείας που υποτίθεται ότι περιορίζει τα στοιχεία που μπορούν να εισαχθούν.

Οι επιθέσεις SQL Injection θεωρούνται πολύ σοβαρές επειδή μπορούν να οδηγήσουν σε παραβίαση του ιστότοπου.

Το OWASP προειδοποιεί :

«Οι επιθέσεις SQL injection επιτρέπουν στους εισβολείς να πλαστογραφήσουν την ταυτότητα, να παραποιήσουν υπάρχοντα δεδομένα, να προκαλέσουν ζητήματα απόρριψης, όπως ακύρωση συναλλαγών ή αλλαγή υπολοίπων, να επιτρέπουν την πλήρη αποκάλυψη όλων των δεδομένων στο σύστημα, να καταστρέψουν τα δεδομένα ή να τα καταστήσουν διαφορετικά διαθέσιμα και να γίνουν διαχειριστές ο διακομιστής της βάσης δεδομένων.

…Η σοβαρότητα των επιθέσεων SQL Injection περιορίζεται από την ικανότητα και τη φαντασία του εισβολέα και, σε μικρότερο βαθμό, από τα αντίμετρα σε βάθος άμυνας, όπως συνδέσεις χαμηλών προνομίων με τον διακομιστή βάσης δεδομένων και ούτω καθεξής. Σε γενικές γραμμές, θεωρήστε το SQL Injection με υψηλή βαρύτητα αντίκτυπου.»

Έκδοση ασφαλείας WordPress

Η ειδοποίηση WordPress ανέφερε ότι αυτή η ενημέρωση ασφαλείας επηρεάζει όλες τις εκδόσεις από το WordPress 3.7.

Πουθενά στην ανακοίνωση δεν παρείχε λεπτομέρειες σχετικά με τη σοβαρότητα οποιουδήποτε από τα τρωτά σημεία.

Ωστόσο, μάλλον δεν είναι πολύ δύσκολο να πούμε ότι δεκαέξι ευπάθειες, συμπεριλαμβανομένων έξι αποθηκευμένων XSS και μίας ευπάθειας SQL Injection, προκαλούν ανησυχία.

Το WordPress συνιστά την άμεση ενημέρωση ιστοσελίδων.

BabaYaga: WordPress κακόβουλο λογισμικό

1, Απρ 2020 | Wordpress, Ασφάλεια Wordpress

Το BabaYaga είναι το μνημείο μιας νέας ποικιλίας WordPress Malware που έχει δημιουργήσει ένα όνομα για τον εαυτό του τελευταίο καιρό.

Είναι ασυνήθιστο, διότι είναι πραγματικά ικανό να αφαιρέσει άλλο κακόβουλο λογισμικό, προκειμένου να καταστεί ευκολότερη η μόλυνση του ιστότοπού σας. Ωστόσο, αυτό δεν σημαίνει ότι είναι φιλικό ή ότι δεν μπορεί να προκαλέσει ζημιά στον ιστότοπό σας.

Σε αυτό το άρθρο, θα σας πούμε όλα όσα πρέπει να ξέρετε για αυτή τη νέα απειλή. Θα συζητήσουμε πώς μπορείτε να επηρεαστείτε από το κακόβουλο λογισμικό BabaYaga και να σας παρέχουμε συστάσεις για να διατηρήσετε τον ιστότοπό σας καθαρό.

Πάμε!

Παρουσιάζοντας το Malware του BabaYaga

Το BabaYaga παρουσιάστηκε πρόσφατα στον κόσμο χάρη σε μια περιεκτική έκθεση από το Wordfence . Σύμφωνα με την αρχική έκθεση, το BabaYaga δεν αποτελεί στην πραγματικότητα νέα απειλή. Εντούτοις, τράβηξε την προσοχή της ομάδας λόγω των ασυνήθιστα περιεκτικών μεθόδων της για τη μόλυνση ιστότοπων:

Κανένα από αυτά τα αντίμετρα δεν είναι πρωτοποριακό ξεχωριστά, αλλά στο σύνολό τους περιλαμβάνουν μια σειρά λειτουργιών που είναι ασυνήθιστα αποτελεσματικές για χάκερς spam.

Το BabaYaga είναι επίσης αξιοσημείωτο το ότι στοχεύει μόνο τους ιστότοπους του WordPress. Ως εκ τούτου, είναι ιδιαίτερα ανθεκτικό σε πολλούς από τους συνήθεις τρόπους ανίχνευσης και κατάργησης κακόβουλου λογισμικού.

Έχουμε ήδη συζητήσει σε προηγούμενα άρθρα σχετικά με το πώς το κακόβουλο λογισμικό του WordPress είναι ένα σοβαρό πρόβλημα, οπότε θα πρέπει να είστε πάντα ενημερωμένοι με τις πιο πρόσφατες απειλές ασφάλειας.

Ως εκ τούτου, ας δούμε λίγο πιο κοντά στο BabaYaga.

Τι κάνει το BabaYaga στο WordPress Site σας

Το πιο σημαντικό χαρακτηριστικό του Malware BabaYaga είναι η ικανότητά του να απαλλαγεί από τους «ανταγωνιστές» του. Με λίγα λόγια, το BabaYaga τρώει άλλο κακόβουλο λογισμικό.

Αν και αυτό μπορεί να το κάνει να ακούγεται υπέροχο, σαν να έχετε μια φιλική αράχνη που τρώει τις μύγες στο σπίτι σας, είναι στην πραγματικότητα πιο ύπουλη.

Ο λόγος για τον οποίο το BabaYaga αφαιρεί άλλα κακόβουλα προγράμματα είναι για να κρατηθεί κρυμμένο. Όπως αναφέρει η λευκή βίβλος του Wordfence :

Ένα καλό Malware αν θέλει να κρατήσει ζωντανή την ιστοσελίδα που έχει εγκατασταθεί. Εάν όλα λειτουργούν σωστά, ο ιδιοκτήτης ενός επηρεαζόμενου ιστότοπου δεν θα μπορεί να γνωρίζει ποτέ ότι το έχει.

Ουσιαστικά, εάν το κακόβουλο λογισμικό καθιστά προφανή τη δική του ύπαρξη, ο ιδιοκτήτης του ιστότοπου είναι πιθανό να καθαρίσει τον ιστότοπό του από όλα τα κακόβουλα προγράμματα.

Έτσι, ο BabaYaga καταργεί σιωπηρά αυτές τις άλλες απειλές, ώστε να μην παρατηρήσετε ότι υπάρχει.

Ωστόσο, τι πραγματικά κάνει; Μόλις ο BabaYaga μολύνει τον ιστότοπό σας, θα αρχίσει να δημιουργεί περιεχόμενο ανεπιθύμητης αλληλογραφίας.

Οι σελίδες που δημιουργούνται θα είναι γεμάτες από κάποια λέξη-κλειδί, η οποία προφανώς θα εμφανιστεί στις μηχανές αναζήτησης. Εάν κάποιος θαέπρεπε να κάνει κλικ σε έναν σύνδεσμο, θα τον οδηγούσε σε έναν εξωτερικό συνεργάτη.

Ουσιαστικά, αυτός ο τρόπος σας κάνει να φαίνεστε ότι χρησιμοποιήσετε τον ιστότοπό σας, για να οδηγήσετε ανέντιμη επισκεψιμότητα προς τους συνδέσμους θυγατρικών, σε μια προσπάθεια να ξεγελάσετε απρόσεκτους χρήστες.

Φυσικά, αυτό μπορεί να βλάψει σοβαρά τη κατάταξη της ιστοσελίδας σας στα αποτελέσματα αναζήτησης το λεγόμενο SEO. Θα μπορούσε επίσης να επηρεάσει αρνητικά το εύρος ζώνης και την αποθήκευση, κάνοντας τον ιστότοπό σας ευάλωτο σε άλλες απειλές κατά της ασφάλειας.

Πώς να εντοπίσετε αν το BabaYaga έχει μολύνει τον ιστότοπό σας

Η Λευκή Βίβλος BabaYaga περιγράφει ορισμένους δείκτες που μπορείτε να ελέγξετε. Πρώτα απ ‘όλα, εάν ο διακομιστής σας έρχεται σε επαφή με τον παρακάτω κεντρικό υπολογιστή ή IP, ο ιστότοπός σας πιθανότατα έχει μολυνθεί:

7od.info (178.132.0.105)
my.wpssi.com (89.38.98.31)

Θα πρέπει επίσης να εκτελέσετε μια αναζήτηση Google για να δείτε αν ο ιστότοπός σας παράγει περιεχόμενο με ανεπιθύμητα μηνύματα.

Μπορείτε να το κάνετε αυτό πηγαίνοντας στο Google γράφοντας στο πεδίο αναζήτησης: site: yoursiteurlhere.com (προφανώς αντικαθιστώντας το yoursiteurlhere.com με τον δικό σας ιστότοπο).

Αν βρείτε αρκετές σελίδες που δεν αναγνωρίζετε ότι είναι σαφώς spam, μπορείτε να είστε σίγουροι ότι το BabaYaga έχει επηρεάσει τον ιστότοπό σας:

Εάν διαπιστώσετε ότι το BabaYaga σας έχει εμολύνει, ήρθε η ώρα να καθαρίσετε την ιστοσελίδα σας. Αρχίστε να εκτελείτε μια ανίχνευση κατά του ιού στο τοπικό σας μηχάνημα, ακολουθούμενη από την αλλαγή όλων των σχετικών κωδικών πρόσβασης.

Αυτό περιλαμβάνει για τον ιστότοπό σας, τα διαπιστευτήρια του πρωτοκόλλου μεταφοράς αρχείων (FTP) και τον διακομιστή σας. Ενδέχεται επίσης να θέλετε να επαναφέρετε τον ιστότοπό σας σε ένα προηγούμενο αντίγραφο ασφαλείας .

Επειδή το BabaYaga είναι ασυνήθιστα ανθεκτικό, μπορεί να χρειαστεί να περάσετε λίγο χρόνο για να καθαρίσετε το site σας. Ίσως θελήσετε ακόμη να εξετάσετε το ενδεχόμενο να απευθυνθείτε στο Wordfence για να σας βοηθήσουν να καθαρίσετε τον ιστότοπό σας αν οι προσπάθειές σας δεν επαρκούν. Το συστήσαμε πριν, και θα το κάνουμε ξανά!

Πώς να προστατεύσετε το site σας από το BabaYaga (ή άλλο Malware)

Αν είστε τυχεροί και ο ιστότοπός σας δεν έχει μολυνθεί από το BabaYaga, αυτό δεν σημαίνει ότι μπορείτε να χαλαρώσετε ακόμα.

Στην πραγματικότητα, το επόμενο βήμα θα πρέπει να είναι να διασφαλίσετε ότι ο ιστότοπός σας προστατεύεται γενικότερα. Ωστόσο, αυτό δεν είναι μια δύσκολη διαδικασία.

Παρόλο που το BabaYaga είναι ένα ιδιαίτερα κακό και δύσκολο να ανιχνευθεί λογισμικό, εξακολουθεί να είναι απλώς malware. Ως εκ τούτου, μπορείτε να το αντιμετωπίσετε και να το σταματήσετε όπως και τα υπόλοιπα Malware.

Για να αποφευχθεί η μόλυνση του ιστότοπού σας, θα πρέπει να βεβαιωθείτε ότι ο ιστότοπός σας είναι γενικά ασφαλής.

Έχουμε συζητήσει για τη διατήρηση του ιστοτόπου σας ασφαλείς σε προηγούμενο άρθρο, οπότε ας ανακεφαλαιώσουμε γρήγορα μερικά βασικά σημεία:

Εγκαταστήστε ένα τείχος προστασίας και άλλα μέτρα ασφαλείας.
Χρησιμοποιείτε πάντα ισχυρούς κωδικούς πρόσβασης και ονόματα χρηστών για τον ιστότοπό σας WordPress.
Βεβαιωθείτε ότι η οθόνη σύνδεσης είναι ασφαλής και αντέχει σε βίαιες επιθέσεις δυνάμεων.
Σαρώστε τον ιστότοπό σας για κακόβουλα προγράμματα τακτικά.
Κρατήστε το WordPress, συμπεριλαμβανομένου του θέματος και των plugins σας, ενημερωμένα ανά πάσα στιγμή.

Αξίζει επίσης να θυμηθούμε ότι καμία ασφάλεια δεν είναι τέλεια ή αιώνια. Πρέπει να συμβαδίσετε συνεχώς με νέες απειλές, καθώς οι επιτιθέμενοι πάντα εξελίσσουν τις στρατηγικές τους.

Ακόμα κι αν κατορθώσετε να σταματήσετε το BabaYaga, θα υπάρχει πάντα ένα νέο κακόβουλο λογισμικό που θα δημιουργηθεί και θα είναι εξίσου επικύνδινο.

Αν θέλετε τις παραπάνω ενέργειες να τις κάνει εξειδικευμένος τεχνικός για εσάς καλέστε μας.

Επικοινωνία

Malware πως επηρεάζει πραγματικά τις ιστοσελίδες WordPress

29, Μαρ 2020 | Wordpress, Ασφάλεια Wordpress

Το WordPress, ως πλατφόρμα, είναι πιο ασφαλές από πολλούς άλλους. Ωστόσο, υπάρχουν πάντα τρωτά σημεία σε οποιαδήποτε υπηρεσία χρησιμοποιείτε.

Όσο πιο δημοφιλής είναι μια πλατφόρμα, τόσο πιο πιθανό είναι ότι οι επιτιθέμενοι να προσπαθήσουν να σπάσουν τις άμυνες της.

Σε ότι αφορά στο WordPress, το Malware (κακόβουλο λογισμικό) αποτελεί μία από τις μεγαλύτερες ανησυχίες σας, καθώς μπορεί να επηρεάσει την ιστοσελίδα σας με διάφορους τρόπους.

Αν δεν ξέρετε πώς λειτουργεί, θα είναι δύσκολο να προστατεύσετε την ιστοσελίδα σας από αυτό.

Σε αυτό το άρθρο, πρόκειται να μιλήσουμε περισσότερο για το Malware και την ασφάλεια του WordPress.

Θα συζητήσουμε επίσης μερικούς από τους πιο συνηθισμένους τύπους WordPress Malware και πώς μπορούν να σας επηρεάσουν.

Ας δούμε παρακάτω!

Η κατάσταση της ασφάλειας του WordPress

Το WordPress είναι το πιο δημοφιλές σύστημα διαχείρισης περιεχομένου (CMS) στον παγκόσμιο ιστό. Η δημοτικότητα έχει πολλά προνόμια, αλλά έχει και με μερικά μειονεκτήματα.

Για παράδειγμα, οι μελέτες δείχνουν ότι πάνω από το 70% των ιστοσελίδων του WordPress είναι ευάλωτες σε παραβιάσεις της ασφάλειας με τον ένα ή τον άλλο τρόπο.

Ωστόσο, το πρόβλημα με το WordPress δεν βρίσκεται σε ελαττωματικούς κώδικες ή σε κακές πρακτικές ασφαλείας από τους προγραμματιστές του. Στην πραγματικότητα, η πλατφόρμα είναι εξαιρετικά ασφαλής.

Στις περισσότερες περιπτώσεις, θα χρησιμοποιήσετε ένα μοναδικό συνδυασμό θεμάτων, προσθηκών και προσαρμοσμένου κώδικα για να τροφοδοτήσετε την WordPress ιστοσελίδα σας.

Οι προσθήκες και τα θέματα, ειδικότερα, είναι επιρρεπή σε κενά ασφάλειας , γεγονός που αποτελεί έναν από τους λόγους που απαιτούν συνεχείς ενημερώσεις.

Αν αποτύχετε να ενημερώσετε τα στοιχεία της ιστοσελίδας σας, εκθέτετε ολόκληρη τη λειτουργία σε παραβιάσεις.

Όταν συνδυάζετε τα τρωτά σημεία στοιχείων τρίτων (Thrird Party Plugins) με σφάλματα χρήστη, όπως η επαναχρησιμοποίηση κωδικών πρόσβασης, η μη αξιοποίηση του ελέγχου ταυτότητας δύο παραγόντων και άλλα, καταλήγετε σε ένα σύστημα με πολλά σημεία επίθεσης.

Αυτό σημαίνει ότι πρέπει να ακολουθήσετε τις βέλτιστες πρακτικές αν θέλετε η ιστοσελίδα σας να παραμείνει ασφαλής. Δείτε μερικά παραδείγματα:

Χρησιμοποιήστε μόνο αξιόπιστα πρόσθετα και θέματα. Στις περισσότερες περιπτώσεις, θα πρέπει να αποφύγετε θέματα με λίγες αναβαθμίσεις και εγκαταστάσεις, καθώς και εκείνες που δεν έχουν ενημερωθεί για μεγάλο χρονικό διάστημα.
Να ενημερώνετε πάντα τα στοιχεία της ιστοσελίδας σας. Η μη ενημέρωση κάθε πτυχής της ιστοσελίδας σας το εκθέτει σε πιθανές μολύνσεις από Malware.
Χρησιμοποιήστε έναν ασφαλή κωδικό πρόσβασης. Χρησιμοποιήστε σύνθετους κωδικούς πρόσβασης που συνδυάζουν γράμματα, αριθμούς και σύμβολα, αν είναι δυνατόν. Σας συνιστούμε επίσης να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης για να κάνετε τη ζωή σας πιο εύκολη.
Σαρώστε την ιστοσελίδα σας για κακόβουλα προγράμματα. Όπως κάνετε με τον υπολογιστή σας, έτσι θα πρέπει επίσης να σαρώσετε τον ιστότοπό σας για κακόβουλο λογισμικό από καιρό σε καιρό.
Δημιουργήστε αντίγραφα ασφαλείας της ιστοσελίδας σας τακτικά Αν κάτι πάει στραβά, ο ευκολότερος τρόπος για να επαναφέρετε την ιστοσελίδα σας σε μια σταθερή κατάσταση είναι μέσω ενός πρόσφατου αντιγράφου ασφαλείας .

Οι ιστοσελίδες απαιτούν προστασία και θα πρέπει να δουλέψετε για καλές πρακτικές ασφαλείας.

Ωστόσο, μόλις εξοικειωθείτε με αυτές, θα γίνουν δεύτερη φύση σας και θα σαρώνουν συνεχώς για WordPress, και το Malware θα είναι παρελθόν.

Τι είναι το Malware

Το Malware είναι ένας ευρύς όρος που περιλαμβάνει διάφορους τύπους κακόβουλου λογισμικού. Για παράδειγμα, οι ιοί είναι ένα υποσύνολο κακόβουλου λογισμικού που ξεχωρίζει λόγω της μολυσματικότητας και της πρόθεσής τους να εξαπλωθούν σε όσο το δυνατόν περισσότερα συστήματα.

Ωστόσο, το κακόβουλο λογισμικό μπορεί επίσης να είναι κακόβουλος κώδικας που χρησιμοποιείται για τη μόλυνση ενός μόνο συστήματος ή εφαρμογής.

Όταν πρόκειται για ιστότοπους, το Malware συνήθως προσπαθεί να πάρει τον έλεγχο ορισμένων βασικών λειτουργιών.

Για παράδειγμα, το πιο επιθετικό είδος WordPress Malware εστιάζει στη μόλυνση των συσκευών εκείνων που επισκέπτονται έναν ιστότοπο.

Άλλοι ίσως απλώς να αντικαταστήσουν μέρος του περιεχομένου σας ή μπορεί να εκτελέσουν μικρότερες αλλαγές που μπορούν να περάσουν απαρατήρητες, εκτός και αν είστε επιφυλακτικοί.

Οι στατιστικές δείχνουν ότι περίπου το 1% όλων των ιστότοπων έχουν μολυνθεί ενεργά με κακόβουλο λογισμικό ανά πάσα στιγμή.

Ωστόσο, στις περισσότερες περιπτώσεις το κακόβουλο πρόγραμμα δεν θα «ρίξει» την ιστοσελίδα σας ούτε θα την καταστήσει απρόσιτη.

Αυτό συμβαίνει επειδή οι επιτιθέμενοι χρειάζονται την ιστοσελίδα σας για να δουλέψει γι ‘αυτούς για να επιτύχουν ότι έχει καθοριστεί ώς στόχος του Malware. Λειτουργεί προς όφελός σας καθώς έχετε τη δύναμη να διορθώσετε τα πράγματα εάν η WordPress ιστοσελίδα σας είναι μολυσμένη.

Ας δούμε τώρα μερικούς από τους τρόπους με τους οποίους μια τέτοια μόλυνση μπορεί να επηρεάσει την ιστοσελίδα σας.

3 τρόποι Malware μπορούν να επηρεάσουν την WordPress ιστοσελίδα σας

Το Malware εξελίσσεται συνεχώς, οπότε το να μιλάμε για συγκεκριμένους τύπους κακόβουλου κώδικα είναι περίπλοκο.

Αντί αυτού, θα επικεντρωθούμε στον τρόπο με τον οποίο το Malware επηρεάζει συχνότερα μια ιστοσελίδα WordPress και πώς μπορείτε να την προστατεύσετε.

1. Βλάβη της βελτιστοποίησης μηχανών αναζήτησης SEO Malware

Οι περισσότεροι από εμάς ξοδεύουμε πολύ χρόνο για να δουλέψουμε στο SEO της ιστοσελίδας μας . Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό μπορεί να αναιρέσει μια μεγάλη προσπάθεια χρησιμοποιώντας την ιστοσελίδα σας για τη δημιουργία ανεπιθύμητων συνδέσμων σε άλλους τομείς.

Αυτό λειτουργεί με τη χρήση κακόβουλου λογισμικού που μολύνει την ιστοσελίδα σας και αντικαθιστά τους εξερχόμενους συνδέσμους σας ώστε να κατευθύνονται σε άλλους τομείς που επιθυμούν να ενισχύσουν.

Είναι μια προσέγγιση “blackhat” για το χτίσιμο συνδέσμων που μπορεί να δώσει στις περιοχές αυτές μια γρήγορη ώθηση, αλλά μπορεί επίσης να επηρεάσει αρνητικά τον SEO σας (Negative SEO).

Σε ορισμένες περιπτώσεις, το Malware μπορεί επίσης να δημιουργήσει εικονικές σελίδες, γεμάτες με λέξεις-κλειδιά για να προσελκύσουν επισκέπτες, οι οποίοι στη συνέχεια τους οδηγούνται κάπου αλλού.

Και οι δύο αυτές πρακτικές αξιολογούνται αρνητικά από τις μηχανές αναζήτησης, και τα αποτελέσματα στο SEO σας μπορεί να είναι απογοητευτικά.

Αυτός ο τύπος επίθεσης μπορεί να είναι δύσκολο να εντοπιστεί αν δεν επιθεωρείτε περιοδικά τους εξερχόμενους συνδέσμους σας.

Πολλοί ιστότοποι περιέχουν εκατοντάδες, αν όχι χιλιάδες, εξωτερικών συνδέσμων σε όλα τα άρθρα τους.

Με αυτό στο μυαλό σας, το πιο έξυπνο πράγμα που μπορείτε να κάνετε είναι να ρυθμίσετε ένα εργαλείο όπως το Google Analytics , το οποίο σας επιτρέπει να παρακολουθείτε τους εξερχόμενους συνδέσμους και να δείτε πού πηγαίνουν οι επισκέπτες σας.

Χρησιμοποιώντας το Google Analytics, μπορείτε επίσης να ελέγξετε ποιες λέξεις-κλειδιά οδηγούν τους χρήστες στον ιστότοπό σας .

Εάν αρχίσετε να βλέπετε λέξεις-κλειδιά που δεν σχετίζονται με την θέση σας, υπάρχουν πιθανότητες να συμβαίνει κάτι ύποπτο στην ιστοσελίδα σας.

Σε αυτές τις περιπτώσεις, το καλύτερο που έχετε να κάνετε είναι να επαναφέρετε την ιστοσελίδα σας σε ένα προηγούμενο αντίγραφο ασφαλείας.

Θα πρέπει επίσης να προχωρήσετε και να αλλάξετε τον κωδικό πρόσβασης σας στο WordPress, όπως και να ενημερώσετε τα κλειδιά SALT σε περίπτωση που ο λογαριασμός σας έχει παραβιαστεί.

Η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων θα βοηθήσει για την περαιτέρω προστασία της ιστοσελίδας σας.

2. Παράνομη υποκλοπή κρυπτογράφησης

Τα Cryptocurrencies είναι ένα καυτό θέμα αυτές τις μέρες, και δεν προκαλεί έκπληξη το γεγονός ότι οι προγραμματιστές Malware έχουν επίσης εντρυφήσει με μανία σε αυτό.

Έχετε ακούσει πιθανώς για κλείδωμα με κρυπτογράφηση των δεδομένων σας, κάτι το οποίο είναι σήμερα ένα από τα πιο δημοφιλή είδη Malware.

Ωστόσο, μπορεί να μην γνωρίζετε ότι κάποιο κακόβουλο λογισμικό μπορεί να έχει μολύνει την ιστοσελίδα σας και να χρησιμοποιεί τα προγράμματα περιήγησης των επισκεπτών σας για κρυπτογράφηση.

Τα καλά νέα είναι ότι αυτός ο τύπος επίθεσης είναι μάλλον αναποτελεσματικός, με την έννοια ότι πιθανότατα δεν θα επηρεάσει σημαντικά την απόδοση των συσκευών του επισκέπτη σας.

Ωστόσο, υπήρξαν πολλές αντιδράσεις κατά των ιστοσελίδων που βρέθηκαν να συμπεριλαμβάνουν αυτή τη λειτουργία χωρίς να προειδοποιούν τους επισκέπτες. Αυτό σημαίνει ότι διακινδυνεύετε να χάσετε την εμπιστοσύνη του χρήστη, αν διαπιστώσει ότι η ιστοσελίδα σας τις χρησιμοποιεί, ακόμα κι αν αυτό ήταν ανεπιθύμητο από την πλευρά σας.

Όταν πρόκειται να προστατεύσετε την ιστοσελίδα σας από αυτό το είδος κακόβουλου λογισμικού, το καλύτερο που έχετε να κάνετε, είναι να εγκαταστήσετε ένα πλήρες πρόσθετο ασφαλείας.

Για παράδειγμα, το Sucuri Security μπορεί να σας βοηθήσει να προστατευθείτε από Malware που επιχειρεί να εμφυτεύσει έναν τέτοιο κώδικα στην ιστοσελίδα σας:

Ευτυχώς, δεδομένου ότι αυτή η επίθεση είναι στο προσκήνιο, οι κατασκευαστές plugin ασφαλείας εργάζονται σκληρά για να σας προστατεύσουν από αυτές.

Όσο χρησιμοποιείτε ένα ισχυρό πρόσθετο ασφαλείας, θα είστε ασφαλείς.

Εάν θέλετε να πάτε το ένα βήμα παρακάτω, σας συνιστούμε επίσης να δημιουργήσετε ένα εργαλείο καταγραφής ασφαλείας .

Αυτός ο τύπος plugin μπορεί να σας βοηθήσει να παρακολουθείτε πότε κάποιος κάνει αλλαγές στα αρχεία πυρήνα του WordPress και σε άλλους τύπους συμβάντων ασφαλείας.

Εάν παρακολουθείτε τα αρχεία καταγραφής σας, θα μπορείτε να εντοπίζετε τυχόν ζητήματα ασφάλειας. Αυτό σας δίνει τη δυνατότητα να τα διορθώσετε πολύ πριν καταφέρουν να έχουν σημαντικό αντίκτυπο στην ιστοσελίδα σας.

3. Μη εξουσιοδοτημένες ανακατευθύνσεις

Αν υπάρχει ένα πράγμα χειρότερο από το Malware που προσθέτει ανεπιθύμητα links στην ιστοσελίδα σας, είναι μολύνσεις που ανακατευθύνουν τους επισκέπτες σε άλλες ιστοσελίδες. Υπάρχουν διάφορες παραλλαγές αυτού του τύπου Malware.

Σε ορισμένες περιπτώσεις, ο κακόβουλος κώδικας μπορεί να ανακατευθύνει τους χρήστες σε ένα μη ασφαλές αντίγραφο της ιστοσελίδας σας, ελπίζοντας να συλλέξει τα προσωπικά του στοιχεία.

Άλλες παραλλαγές απλώς οδηγούν τους χρήστες προς άλλους δικτυακούς τόπους, ως έναν τρόπο να αποκτήσουν περισσότερη κίνηση.

Σε κάθε περίπτωση, οι μηχανές αναζήτησης λαμβάνουν αυτό το θέμα σοβαρά και μπορεί να αποφασίσουν να εμφανίσουν προειδοποιήσεις όταν κάποιος προσπαθεί να έχει πρόσβαση στην ιστοσελίδα σας. Εδώ είναι ένα τέτοιο παράδειγμα:

Το χειρότερο από την μείωση της οργανικής κίνησης είναι ότι η μηχανή αναζήτησης προειδοποιεί τους επισκέπτες να μείνουν μακριά από την ιστοσελίδα σας. Όταν έχετε μια μόλυνση αυτού του μεγέθους, η καλύτερη προσέγγιση είναι να επαναφέρετε την ιστοσελίδα σας σε ένα προηγούμενο αντίγραφο ασφαλείας που γνωρίζετε ότι είναι καθαρό.

Θα πρέπει επίσης να ελέγξετε την ιστοσελίδα σας για ευπάθεια και να επαναφέρετε τον κωδικό πρόσβασης σας.

Αφού γίνει αυτό, θα πρέπει να υποβάλετε την ιστοσελίδα σας για έλεγχο – τουλάχιστον από την Google – ώστε να μπορούν να επιβεβαιώσουν ξανά ότι η ιστοσελίδα σας είναι και πάλι ασφαλής.

Μπορεί να χρειαστεί λίγος χρόνος μέχρι η κατάταξη της ιστοσελίδας σας να ανακάμψει μετά από την αντιμετώπιση αυτού του τύπου κακόβουλου λογισμικού, οπότε να είστε υπομονετικοί!

Συμπερασματικά

Υπάρχουν διάφοροι τύποι κακόβουλου λογισμικού, που σημαίνει ότι μπορεί να επηρεάσουν την WordPress ιστοσελίδα σας με διάφορους τρόπους. Το Malware δεν θα καταστρέψει πλήρως την ιστοσελίδα σας, αλλά θα επηρεάσει τη λειτουργικότητά του με πιο λεπτούς, ύπουλους τρόπους.

Μια μόλυνση μπορεί να έχει μακροχρόνιες αρνητικές επιπτώσεις στην ιστοσελίδα σας, όπως στην εφαρμογή του SEO.

Όταν πρόκειται για κακόβουλο λογισμικό WordPress, υπάρχουν τρεις από τους πιο συνηθισμένους τύπους λοιμώξεων που θα συναντήσετε:

SEO spam: Αυτός ο τύπος κακόβουλου λογισμικού γεμίζει την ιστοσελίδα σας με ανεπιθύμητες συνδέσεις σε άλλες σελίδες.
Υποκλοπή Κρυπτογράφησης: Χρησιμοποιεί τους browsers των επισκεπτών σας για κρυπτογράφηση.
Μη εξουσιοδοτημένες ανακατευθύνσεις: Αυτό οδηγεί τους επισκέπτες σας σε μια εξωτερική ή μη ασφαλισμένη σελίδα.

Αν χρειάζεστε βοήθεια με για την ασφάλεια της ιστοσελίδα σας μην διστάσετε να έρθετε σε επαφή μαζί μας

Τεχνική Υποστήριξη – Chat – Ticket Support

Οδηγός Ασφάλειας WordPress σε 8 βήματα

21, Μαρ 2020 | Wordpress, Ασφάλεια Wordpress

Όλοι θέλουμε να έχουμε μια ασφαλή ιστοσελίδα, χωρίς κενά ασφάλειας και ανεπιθύμητες καταστάσεις από κακόβουλες επιθέσεις. Αυτός ο οδηγός θα σας εξηγήσει από την αρχή της ιστοσελίδας τα βήματα για την θωράκιση της.

Ασφάλεια WordPress βήμα βήμα

1 Επιλογή κατάλληλου Hosting

Η επιλογή του Hosting είναι το βασικότερο μέρος της υποδομής ασφάλειας που θα δημιουργήσετε. Χρειάζεστε καθημερινό Backup, λειτουργίες Firwall, Virus Scaning, και Antispam. Επίσης όταν μιλάμε για WordPress ιστοσελίδα θα πρέπει μεταξύ του λειτουργικού Plesk ή Cpanel διαθέτουν οι Servers να επιλέξετε Plesk Obsibian.

Το Plesk εκτός πολλών λειτουργιών που υπερέχουν μακράν του Cpanel διαθέτουν ένα σημαντικό εργαλείο για το WordPress Tool Kit το οποίο θα σας βοηθήσει σημαντικά στην ασφάλεια και την συντήρηση του WordPress.

2 Απόκρυψη σελίδας εισόδου

Το WordPress έρχετε με μια στάνταρ σελίδα εισόδου στην διαχείριση την σελίδα wp-login.php. Είτε πληκτρολογήσετε αυτήν την σελίδα (www.mydomain.gr/wp-login.gr) ή (www.mydomain.gr/admin) ή (www.mydomain.gr/wp-admin) θα βρεθείτε στην σελίδα εισαγωγής διαπιστευτηρίων

Εδώ είναι το σημείο που ένας επιτιθέμενος θα ξεκινήσει μια επίθεση. Να θυμάστε ότι οι Hackers το πρώτο που κάνουν είναι να μαντέψουν συνηθισμένα username και ανίσχυρα passwords. Ένα βήμα λοιπόν ώστε να δυσκολέψουμε αυτήν την διαδικασία είναι να αποκρύψουμε αυτήν την σελίδα και να την μετονομάσουμε σε μια σελίδα που ξέρουμε μόνο εμείς.

Αυτό επιτυγχάνετε με ένα πρόσθετο που θα κάνει αυτήν την αλλαγή. Ένα από αυτά που χρησιμοποιώ εγώ είναι το WPS Hide Login

3 User name & Passwords

Πάρα πολλές φορές συναντώ user name (admin) και ανίσχυρα passwords (1234567). Είναι το σημείο μηδέν της ασφάλειας. Το user name δεν πρέπει ποτέ να είναι (Admin) ή το όνομα του Domain Name σας. Το password θα πρέπει να περιέχει Control χαρακτήρες (!@#$%^&*) γράμματα πεζά, γράμματα κεφαλαία και αριθμούς.

4 Απενεργοποίηση XMLRPC – Comments – WP Version

Θα πρέπει να κλείσετε όλες τις πηγές πληροφοριών για την επίθεση που θα ήθελε κάποιος να κάνει. Τ αρχείο Xmlrpc δίνει πολύ χρήσιμες πληροφορίες στον επιτιθέμενο όπως και η έκδοση WordPress που χρησιμοποιείτε.

Τα σχόλια είναι επίσης ένα σημείο εμφύτευσης κακόβουλων link ή Malware. Αν δεν υπάρχει σημαντικός λόγος να έχετε σχόλια απενεργοποιήστε τα. Μπορείτε να χρησιμοποιήσετε τα έξεις πρόσθετα:

5 Εγκατάσταση Firewall

Ένα τοίχος προστασίας θα δημιουργήσει μια ασπίδα στην ιστοσελίδα σας, περιέχοντας και πολλά από τα παραπάνω. Θα σας ειδοποιεί κάθε φορά που αποτρέπει μια επίθεση και θα σκανάρει καθημερινά την ιστοσελίδα σας για κακόβουλες επιθέσεις και θα σας συμβουλεύει για ενέργειες που πρέπει να πραγματοποιήσετε.

Θα μπορούσα να γράψω ένα άρθρο μόνο για το Wordfence το κορυφαίο Firewall για WordPress. Είναι άπειρες οι φορές που με προειδοποίησε και απέτρεψε εκατομμύρια επιθέσεις σε πάνω από 200 site που το έχω εγκαταστήσει. Η συμβολή του δεν στην ανακάλυψη ευπαθειών σε πρόσθετα και θέματα του WordPress είναι τεράστια. Απλά εγκαταστήστε το.

6 Updates Updates Updates

Αυτήν την στιγμή που μιλάμε το 83% των WordPress δεν είναι ενημερωμένες στις τελευταίες εκδόσεις. Φανταστείτε ότι αυτές οι ενημερώσεις κατά το 80% κλείνουν κενά ασφάλειας. Το WordPress κάνει μια ενημέρωση κατά μέσο όρο κάθε 1,5 μήνα. Τα πρόσθετα και τα θέματα συμπαρασύρονται να αναβαθμιστούν και αυτά για να συμβαδίζουν.

Έχω συναντήσει site όπου ο “προγραμματιστής – γραφίστας – ανιψιός – φίλος – Μαρκετίστας” που την έφτιαξε συμβούλεψε τον ιδιοκτήτη να μην κάνει ποτέ update “γιατί θα στραβώσουν όλα”. Δεν υπάρχει αυτό. Αν μια ιστοσελίδα WordPress έχει στηθεί σωστά από άτομο που γνωρίζει το WordPress δεν θα στραβώσει ποτέ. Αντιθέτως όταν είναι πλήρως ενημερωμένη η σελίδα θα είναι πάντα ασφαλής, γρήγορη με μια ευχάριστη εμπειρία πλοήγησης στους επισκέπτες της.

7 Πετάξτε ότι δεν χρησιμοποιείτε

Πρόσθετα ή θέματα που δεν χρησιμοποιείτε μπορεί να μετατραπούν σε εισόδους κακόβουλων επιθέσεων, ή καθυστέρησης ταχύτητας της ιστοσελίδας σας. Οτιδήποτε δεν χρησιμοποιείτε, δεν αρκεί να είναι απενεργοποιημένο θα πρέπει να διαγραφεί. Το λιγότερο κακό είναι να φορτώνει την βάση δεδομένων καθώς όλα τα πρόσθετα δημιουργούν εγγραφές στην βάση δεδομένων.

8 Buck up – Αντίγραφα Ασφαλείας

Όπως είπαμε στην αρχή του άρθρου η επιλογή του Hosting πρέπει να περιέχει δυνατότητα αυτόματων αντιγράφων ασφαλείας καθημερινά για 7 ημέρες. Αν δεν υπάρχει αυτή η δυνατότητα θα πρέπει να εγκαταστήσετε εσείς ένα πρόσθετο που θα διασφαλίσει ότι καθημερινά έχετε ένα αντίγραφο ασφάλειας της ιστοσελίδας σας. Μπορείτε να χρησιμοποιήσετε το UpdraftPlus WordPress Backup

Οδηγός Ασφάλειας WordPress σε 8 βήματα έχει σκοπό να σας βοηθήσει στο να ασφαλίσετε το WordPress site σας. Αν χρειάζεστε περισσότερες πληροφορίες επικοινωνήστε μαζί μας

Επικοινωνία

Γιατί είναι σημαντική η υποστήριξη και συντήρηση του WordPress;

1, Μαρ 2020 | Support Wordpress, Wordpress, Ασφάλεια Wordpress

Γιατί είναι σημαντική η υποστήριξη και συντήρηση του WordPress;

Κατά μέσο όρο, κάθε δύο μήνες έρχεται με μια νέα ενημέρωση για το WordPress όπου ενσωματώνει νέα χαρακτηριστικά και λειτουργικότητα για να διορθώσει σφάλματα, να βελτιώσει τα ζητήματα ασφάλειας και τη συνολική απόδοση των ιστοσελίδων του WordPress “έτσι ώστε να λειτουργούν ομαλά”. Τα βασικά συστατικά στοιχεία που ενημερώνονται είναι η βασική πλατφόρμα, τα θέματα και τα plugins.

Ο ρόλος της ιστοσελίδας σήμερα

Σε αντίθεση με τα προηγούμενα χρόνια, όπου ιστοσελίδα είχαν μόνο όσοι είχαν καταλάβει τι επιφυλάσσει το μέλλον μιας επιχείρησης, σήμερα όλοι ξέρουν ότι το σημείο αναφοράς, ενός επαγγελματία, οργανισμού, καλλιτέχνη ή επιχείρησης, είναι η ιστοσελίδα που διαθέτει.

Αυτό όμως που δεν έχει κατανοηθεί πλήρως είναι ότι η ιστοσελίδα, εκτελώντας από απλές ή πολύπλοκες λειτουργίες, έχει ανάγκη τεχνικής υποστήριξης.

Δηλαδή έχει καταλάβει κάποιος ότι δεν μπορεί να χρησιμοποιεί πια το άλογο, όταν έχουν όλοι αυτοκίνητο, αλλά δεν έχει καταλάβει ότι αυτό το μέσο, χρήζει τεχνικής υποστήριξης και συντήρησης.

Πολλοί μάλιστα βρίσκονται στο σημείο όπου έχουν φτιάξει μια ιστοσελίδα αλλά δεν ξέρουν αν λειτουργεί. Ακόμη υπάρχουν οι περιπτώσεις σελίδων οι οποίες έχουν χακαριστεί άλλα ο ιδιοκτήτης δεν το γνωρίζει. Άλλες ιστοσελίδες λειτουργούν αλλά ο χρόνος φόρτωσης ξεπερνά τα 4 δευτερόλεπτα, με αποτέλεσμα ο επισκέπτης να τις εγκαταλείπει.

Στην περίπτωση του WordPress, την διασημότερη και ποιο εύχρηστη πλατφόρμα στον κόσμο, “άρα και δημοφιλέστερος στόχος κακόβουλων επιθέσεων” η ανάγκη υποστήριξης είναι πολύ μεγαλύτερη από κάθε άλλη ιστοσελίδα.

Όπως πολύ καλά καταλαβαίνετε μια ιστοσελίδα έχει την ανάγκη τεχνικής υποστήριξης και συντήρησης.

Γιατί χρειάζεστε επαγγελματική υποστήριξη και συντήρηση;

Παρόλο που είναι εύκολο να κάνετε τις ενημερώσεις μόνοι σας με ένα μόνο κλικ ενός κουμπιού, η κατάλληλη εκτέλεση είναι αρκετά επικίνδυνο και χρονοβόρο έργο για ένα μη εξειδικευμένο άτομο.

Ωστόσο, μερικές φορές μπορείτε να αντιμετωπίσετε μερικά απροσδόκητα ζητήματα όπως, κάποιο Plugins έρχεται σε σύγκρουση με την τρέχουσα έκδοση του WordPress, η ιστοσελίδα καταρρεύσει δημιουργώντας μια πολύ κακή εμπειρία για τους επισκέπτες του δικτυακού σας τόπου.

Η ασφάλεια είναι ένας άλλος σημαντικός λόγος, που θα πρέπει να επιλέξετε να αναθέσετε την υποστήριξη και τη συντήρηση των ιστοσελίδων του WordPress, σε κάποιον επαγγελματία που ειδικεύεται στην συγκεκριμένη πλατφόρμα.

Η υπηρεσία ασφάλειας WordPress θα παρακολουθεί και θα μειώνει τον κίνδυνο παραβιάσεων της ασφάλειας, θα διατηρεί τον ιστότοπο ασφαλή από προσπάθειες hacking, θα λαμβάνει αντίγραφα ασφαλείας τακτικά και θα φιλοξενεί τον ιστότοπο σε προσωρινό διακομιστή, ώστε ο ιστότοπος να μην καταρρεύσει και να παρέχει μια άψογη εμπειρία στους επισκέπτες σας.

Οι εργασίες υποστήριξης και συντήρησης του WordPress περιλαμβάνουν:

Ενημερώσεις WordPress πυρήνα, θέμα & Plugins
Ασφάλεια Παρακολούθηση & Προστασία
Υποστήριξη Συμβατότητα (Πρόσθετα & Θέματα)
Επιθεώρηση & διόρθωση σπασμένων συνδέσμων
Πλήρης αντίγραφα ασφαλείας
Performance & Βελτιστοποίηση βάσης δεδομένων
Αχρησιμοποίητα Πρόσθετα & Αφαίρεση Spam

Αυτά είναι μόνο λίγα από τα σημεία συντήρησης που θεωρούνται απαραίτητα σε μια ιστοσελίδα WordPress, και είναι αλήθεια ότι η συντήρηση του WordPress δεν είναι εύκολη υπόθεση.

Πως θα επιλέξετε αυτόν που θα αναλάβει την τεχνική υποστήριξη της ιστοσελίδας σας

Θα πρέπει να επιλέξετε προσεκτικά το πακέτο τεχνικής υποστήριξης για την ιστοσελίδα σας. Εκτός από τις παραπάνω παροχές θα πρέπει ο υπεύθυνος τεχνικής υποστήριξης να διαθέτει Ticket Support System, Chat System και 24/7 ώρες υποστήριξη.

Το Websitepro πρωτοστατεί στην υποστήριξη WordPress και θα ασχοληθεί με τα ζητήματα της ιστοσελίδας σας άμεσα με λογικό κόστος, έτσι ώστε η ανάγκη της υποστήριξης και συντήρησης του WordPress, για αυτούς που κατανοούν την σημασία της, να μην είναι πρόβλημα.

Στην Websitepro προσφέρουμε λύσεις υποστήριξης και συντήρησης ιστοσελίδων WordPress, σε όλα τα μεγέθη επιχειρήσεων και οργανισμών. Δημιουργούμε μακροχρόνιες επιχειρηματικές σχέσεις με τους πελάτες μας και θέλουμε να μπορούν να εκμεταλλευτούν στο μέγιστο τις ιστοσελίδες τους.