Βελτίωση ασφάλειας Joomla! & Wordpress

Η πρώτη ενέργεια που κάνουμε όταν μας παραδίδετε την ιστοσελίδα σας για βελτιστοποίηση ασφάλειας, είναι να πραγματοποιήσουμε έλεγχο - scan όλων των αρχείων της για να εντοπίσουμε αν τυχόν υπάρχει κάποιο ίχνος hacking. Αν εντοπιστεί κάτι, εξετάζουμε πιθανούς τρόπους αποκατάστασης και σας ενημερώνουμε. Αν δεν εντοπιστεί, προχωράμε στα επόμενα βήματα.

Ελέγχουμε αν τα extensions που χρησιμοποιούνται στην σελίδα έχουν κάποιο ιστορικό vulnerability και εξετάζουμε αν πρέπει να αναβαθμιστεί στην πιο πρόσφατη έκδοση του (αν έχει επιδιορθωθεί) ή αν πρέπει να αφαιρεθεί και να αντικατασταθεί από κάποιο άλλο αντίστοιχο.

Όπως είναι γνωστό σε όλους τους administrators, τα permissions των αρχείων και των φακέλων που απαρτίζουν το website σας, είναι οι πρώτοι θυροφύλακες ενάντια στους επίδοξους hackers. Είναι άκρως απαραίτητο λοιπόν, να είναι σωστά ρυθμισμένα σε 755 για τους φακέλους και 644 για τα αρχεία. Αυτό παρέχει το πρώτο επίπεδο ασφάλειας που επιθυμούμε.

Πλατφόρμες τόσο δημοφιλείς όπως το Joomla! και το Wordpress είναι πολύ συχνός στόχος κακόβουλων επιθέσεων. Είναι πολύ εύκολο για τα "ρομποτάκια" του κάθε hacker να επισκεφτούν την σελίδα login της διαχείρισης και να αρχίσουν να spamάρουν με κωδικούς έτσι ώστε να καταφέρουν να αποκτήσουν πρόσβαση. Αυτό εμείς το αντιμετωπίζουμε με 2 τρόπους:

• Αλλάζουμε το administrator Login URL σε κάτι εντελώς προσωπικό σας, έτσι ώστε να μην μπορεί κανείς πλέον να το επισκεφτεί εκτός από εσάς, καθώς δεν θα γνωρίζει την διεύθυνση.
• Σε περίπτωση που παρ' όλα αυτά κάποιος βρει το Login URL σας, πριν του επιτραπεί η πρόσβαση για να περάσει τους κεντρικούς κωδικούς σας, του θέτουμε έναν προκαταρκτικό κωδικό τον οποίο πρέπει επίσης να γνωρίζει.

Σε περίπτωση αποτυχημένων προσπαθειών Login, ενημερώνεστε αυτόματα με e-mail, για να κάνετε τις απαραίτητες ενέργειες ασφαλείας.

Το αρχείο .htaccess είναι υπεύθυνο για πολλές ρυθμίσεις σε επίπεδο server, όπως ο αποκλεισμός πρόσβασης σε αρχεία του συτήματος που δεν πρέπει να είναι προσβάσιμα από το web, η ανακατεύθυνση μεταξύ σελίδων με βάση custom κριτήρια, ή ακόμα και η βελτιστοποίηση απόδοσης της ιστοσελίδας. Εμείς κατασκευάζουμε ένα τέτοιο αρχείο για εσάς και με αυτό επιτυγχάνουμε μεγάλη αύξηση της ασφάλειας:

• Απόκρυψη directories: Γράφουμε τις απαραίτητες εντολές έτσι ώστε να μην είναι προσβάσιμοι οι φάκελοι της ισοσελίδας σας από το web.
• Αποκλεισμός File injections: Πολλοί χρήστες προσπαθούν να εμεταλευτούν αδυναμίες των extension της Joomla ή Wordpress ινστοσελίδας σας, και να τις ξεγελάσουν ώστε να συμπεριλάβουν κακόβουλο κώδικα που φιλοξενείται στον server του επιτιθέμενου. Περνώντας τις κατάλληλες εντολές στο αρχείο htaccess, αποκλείουμε τέτοιου είδους επιθέσεις.
• Αποκλεισμός 'PHP easter eggs': Τα 'PHP easter eggs' είναι ένας τρόπος για τον επίδοξο hacker να δεί την έκδοση PHP που χρησιμοποιεί η ιστοσελίδα σας και να εξαπολύσει εξειδικευμένη επίθεση για την συγκεκριμένη έκδοση. Με τις κατάλληλες ρυθμίσεις λοιπόν, απενεργοποιούμε αυτή τη δυνατότητα.
• Αποκλεισμός συγκεκριμένων robots: Με τις κατάλληλες εντολές, αποκλείουμε εντελώς την πρόσβαση στην ιστοσελίδα σας, συγκεκριμένων user agents που χρησιμοποιούνται κακόβουλα. Με την λίστα αποκλεισμού που φτιάχνουμε, μειώνεται αισθητά ο αριθμός τον ανεπιθύμητων επισκέψεων στην ιστοσελίδα σας.
• Βελτιστοποίηση απόδοσης: Στο αρχείο htaccess υπάρχει η δυνατότητα να συμπεριληφθούν εντολές βελτιστοποίησης της ταχύτητας αλλά και εντολές που βοηθούν στο SEO (κατάταξη google). Είναι μια έξτρα υπηρεσία μας που παρέχουμε εφόσον μας ζητηθεί.

Με την προσθήκη Firewall (τοίχους προστασίας) επιτυγχάνουμε πολύ μεγάλη αύξηση της ασφάλειας της ιστοσελίδας σας και σας προστατεύουμε από τους περισσότερους πιθανούς κινδύνους:

• IP Blacklist και Whitelist: Παρακολουθείται 24/7 η επισκεψιμότητα στο website σας, και οι διευθύνσεις IP που εμφανίζουν συχνές προσπάθειες παραβίασης της ιστολίδας σας τοποθετούνται αυτόματα σε Blacklist απαγορεύοντας την πρόσβαση στο website σας. Αντίθετα, αν χρησιμοποιείτε συγκεκριμένες διευθύνσεις IP για να διαχειρίζεστε το website σας, μπορούμε να θέσουμε αυτές τις διευθύνσεις σε Whitelist και να έχουν μόνο αυτές προσβαση στην διαχείρηση της σελίδας σας.
• Αποκλεισμός SQL injections: Τα SQL injections είναι μέθοδος επίθεσης στην βάση δεδομένων σας, μέσω εισαγωγής κακόβουλου κώδικα SQL. Το firewall σας προστατεύει από τέτοιου είδους επιθέσεις οι οποίες ανήκουν στο top10 των συχνότερων διαδικτυακών επιθέσεων.
• Anti-Spam: Σε κάθε φόρμα εγγραφής ή επικοινωνίας, εισάγεται ένα κρυφό πεδίο, το οποίο δεν φαίνεται στο γυμνό μάτι, παρά μόνο στον κώδικα. Με αυτό τον τρόπο, όταν κάποιο robot προσπαθήσει να συμπληρώσει αυτή τη φόρμα, θα συμπληρώσει και αυτό το πεδίο, το οποίο θα καταδείξει ότι δεν πρόκειται για άνθρωπο αλλά για bot, και θα αποκλειστεί από το firewall. Επίσης, αν μας ζητηθεί, κατασκευάζουμε μια λίστα με "κακές" λέξεις που συνήθως συνοδεύουν τα spam, όπως φαρμακευτικές ορολογίες κλπ, και όποτε εντοπίζεται μια από αυτές, αυτομάτως μπλοκάρεται.
• Upload Scanner: Κάθε αρχείο που προσπαθεί να γίνει upload, ελέγχεται από το firewall. Αν περιέχει έστω και μια γραμμή κώδικα PHP, μπλοκάρεται.

Το Project Honeypot είναι μια ομαδική προσπάθεια συλλογής στοιχείων spammers και κατάταξης τους σε μια λίστα επικινδυνότητας ανάλογα με την δραστηριότητα τους. Έτσι λοιπόν, όταν κάποιος έχει συγκεντρώσει αρκετούς "πόντους" κακής συμπεριφοράς, μπλοκάρεται αυτόματα από όλα τα websites που συμμετέχουν στο project Honeypot. Με αυτό τον τρόπο, μπλοκάρουμε τους κακούς χρήστες πριν καν τους δωθεί η ευκαιρία να επιδείξουν κακή συμπεριφορά και στο δικό σας website.

Εκτός από την αύξηση ταχύτητας, ένα σωστό CDN παρέχει και αύξηση της ασφάλειας της ιστοσελίδας σας. Εμείς σας παρέχουμε δωρεάν CDN (Content Delivery Network) μέσω του οποίου θα κερδίσετε μια basic βελτιστοποίηση του κώδικά σας, μία έξτρα λειτουργία caching για μεγαλύτερες ταχύτητες καθώς και αξιοποίηση του firewall του CDN ως μια έξτρα προστασία - φίλτρο, μεταξύ του website σας και των επισκεπτών.

Σε περίπτωση που παρά τα παραπάνω, εξακολουθείτε να έχετε πρόβλημα με spamming bots, εγκαθιστούμε την εφαρμογή reCAPTCHA της Google. Δηλαδή σε κάθε φόρμα επικοινωνίας, εγγραφής, comment κλπ θα εμφανίζεται κάποιο test στο οποίο ο χρήστης θα πρέπει να απαντήσει ή να δράσει σωστά για να προχωρήσει παρακάτω.

Το generator meta tag, είναι η πληροφορία που περιέχεται στον πηγαίο κώδικα της ιστοσελίδας σας και δείχνει με τι εργαλείο είναι κατασκευασμένη η ιστοσελίδα, πχ Joomla! ή Wordpress. Όλες οι μεγάλες και δημοφιλείς πλατφόρμες όπως οι 2 που αναφέραμε προηγουμένως, γίνονται συχνά στόχος hackers που τυχαίνει να έχουν εντοπίσει μια αδυναμία της πλατφόρμας και στέλνουν τα robots τους να τους βρουν υποψήφια θύματα! Κρύβοντας λοιπόν ή παραποιώντας αυτή την πληροφορία, μπερδεύουμε τα robots που scannάρουν την σελίδα σας ψάχνοντας για αδυναμίες και δεν τους επιτρέπουμε να εξαπολύσουν την στοχευμένη επίθεση τους.

Η Firstidea συνεργάζεται με την Siteground και σας παρέχει άριστες υπηρεσίες φιλοξενίας οι οποίες θα σας απαλάξουν από κάθε ανησυχία θα βελτιώσουν την ιστοσελίδα σας σε ασφάλεια και ταχύτητα. Διαβάστε περισσότερα εδώ: Υπηρεσίες Φιλοξενίας ιστοσελίδων.