Το WordPress είναι μια εκπληκτική πλατφόρμα κατασκευής ιστοσελίδων, online περιοδικών, portfolios και η Auttomatic (η εταιρία πίσω από το WordPress) πάντα προσπαθεί να το ασφαλίζει έτσι ώστε εκατομμύρια blogs και sites να είναι προστατευμένα από την απειλή των (wannabe και μη) hackers αλλά και να το κάνει να φορτώνει γρήγορα όταν οι περιστάσεις το απαιτούν.
Ασφάλεια
Τον Ιανουάριο του 2010, ακόμη και το πασίγνωστο TechCrunch από τα μεγαλύτερα ενημερωτικά blogs, δέχθηκε 2 φορές μέσα σε λίγες ώρες την επίθεση αγνώστων που εκμεταλλεύτηκαν ένα ανασφαλές plugin του WordPpress. Ο hacker χρησιμοποίησε τη μέθοδο του php injection και αφού απέκτησε πρόσβαση στο Διαχειριστικό πίνακα του WordPress του TechCrunch, του άλλαξε την αρχική σελίδα (deface).
Επειδή η μάχη ενάντια στους hackers είναι δύσκολη, ψάξαμε και βρήκαμε τα καλύτερα tips και plugins για τη μέγιστη ασφάλεια του WordPress σας!
Συμβουλές ασφαλείας
- Μην εγκαθιστάτε το WordPress στο root directory του domain σας. Εγκαταστήστε το σε ένα φάκελο με τυχαίο/περίεργο όνομα που δεν θα είναι εύκολο να μαντέψει κανείς, πχ κάτι σαν: jjdy7eyhj64e, κι έτσι θα γλυτώσετε από bots και hackers. Ακολουθήστε αυτό τον οδηγό για το πως να ανοίγει το WordPress από τη διεύθυνση του domain σας, όταν το εγκαταστήσετε σε ένα υποφάκελο του domain σας.
- Αλλάξτε το πρόθεμα των πινάκων της βάσης του WP (database tables prefix) για να αποφύγετε την επίθεση με sql injection.
- Μη χρησιμοποιείτε το λογ/σμό του admin. Μετά την εγκατάσταση του WordPress αλλάξτε το όνομα χρήστη του διαχειριστή.
Πρόσθετα ασφαλείας (Plugins)
Κρυπτογραφεί τον διαχειριστικό κωδικό σας όταν κάνετε είσοδο σε http://, χωρίς τη χρήση πιστοποιητικού ασφαλείας SSL (https://).
Stealth Login
Αυτό το plugin σας επιτρέπει να φτιάξετε προσωπικά admin links για είσοδο και αποσύνδεση (login και logout). Το προκαθορισμένο είναι να συνδέεστε από το http://to-domain-mou.gr/wp-admin αλλά με αυτό το plugin θα μπορέσετε να αντικαταστήσετε το wp-admin με όποια λέξη θέλετε εσείς και έτσι μόνο εσείς θα γνωρίζετε τη σελίδα σύνδεσής σας.
WordPress Antivirus
Το AntiVirus για το WordPress επιτηρεί για ανίχνευση κακόβουλων ενέσεων κώδικα και σας ειδοποιεί για πιαθνές επιθέσεις, γλυτώνοντάς σας από την αποστολή και δημοσίευση spam. Πολύ σημαντικό πρόσθετο.
Αυτό το πρόσθετο ελέγχει τα απαραίτητα ftp permissions και htaccess permissions έτσι ώστε αν κάποιο είναι λάθος να το διορθώσετε και να απεγκαταστήσετε το πρόσθετο μετά τον έλεγχο.
Backup
Τέλος, θα πρέπει να κρατάτε κάθε μέρα ένα backup της βάσης δεδομένων του WordPress σας και ένα εβδομαδιαίο από όλο το φάκελο του, έτσι ώστε αν κάτι πάει στραβά να το επαναφέρετε. Μπορείτε να χρησιμοποιήσετε το WP Database backup για αυτό το σκοπό. Α, ξέχασα αν έχετε web hosting στην dnHost, δε χρειάζεται να μπείτε στον κόπο! Έχουμε το καλύτερο managed backup που υπάρχει!
Ταχύτητα! Τι είναι το Caching;
Κάθε φορά που επισκέπτεστε το παρόν blog ή οποιοδήποτε άλλο php site, πχ στην περίπτωσή μας το WordPress, το WP θα κάνει μια διαδικασία για να συνθέσει και να δημιουργήσει όλα όσα βλέπετε σε αυτή τη σελίδα εκείνη τη στιγμή που το ζητάτε. Θα επεξεργαστεί τον PHP κώδικα, ο οποίος θα κάνει πολλές κλήσεις στην βάση δεδομένων του site και τελικά θα εξάγει και θα σας σερβίρει την απαραίτητη HTML που θα εμφανίσει ο browser σας. Σε μερικά blogs αυτό συμβαίνει από 20 έως 200 φορές ανά σελίδα!
Αν ενεργοποιήσετε το caching στο web hosting server σας, τότε μόνο ο 1ος επισκέπτης θα περάσει από αυτή τη διαδικασία μιας και ο μηχανισμός του caching θα αποθηκεύσει τα δεδομένα και θα σερβίρει κάθε επόμενο αίτημα επισκέπτη στο τελικό αποτέλεσμα που είδε ο 1ος επισκέπτης. Έτσι θα επιταχυνθεί το σημαντικά το WordPress!
WP Super Cache: Το WP Super Cache είναι ένα πολύ δημοφιλές plugin once βασισμένο στο WP-Cache και που συστήνεται πολύ στα διάφορα WordPress communities.
WP Widget Cache: Το WP Widget Cache είναι ένα plugin που θα χρησιμεύσει σε blogs με πολλά ή βαριά widgets. O συγγραφέας του script συστήνει να το τρέξετε μαζί με το WP-Cache ή το Super Cache.
DB Cache: To DB Cache αντί να φτιάχνει και να αποθηκεύει τις σελίδες, κάνει το ίδιο με τα ερωτήματα προς τη βάση δεδομένων (database queries).
DB Cache Reloaded: To DB Cache Reloaded μοιάζει με το DB Cache και στην ουσία είναι ένα αντίγραφό του, μιας και ο συγγραφέας του πίστευε ότι το DB Cache δεν ανανεωνόταν αρκετά συχνά.
Hyper Cache: Το Hyper Cache είναι ένα νέο caching plugin που απευθύνεται στο καθημερινό blog ή σε όσα είναι hosted σε χαμηλού κόστους shared hosting servers.
W3 Total Cache: Το W3 Total Cache είναι η “μητέρα” όλων των caching plugins. Είναι τεράστιο, πολύ καλά καταγεγραμμένο και περιέχει ένα εντυπωσιακό ποσό ρυθμίσεων για καλύτερη απόδοση.
Eπίσης υπάρχουν και τα Really Static και Quick Cache. Δείτε εδώ το σχετικό benchmark των παραπάνω.
Συνδυάζοντας Plugins
Μπορείτε να συνδυάσετε τα αναφερθέντα πρόσθετα, πχ το Hyper Cache με το DB Cache Reloaded. Όμως μερικοί συνδυασμοί μπορεί και να μειώσουν πολύ την απόδοση όπως το WP Super Cache με Οτιδήποτε άλλο..
Τι να μήν Cach-άρετε!
Διαφημίσεις, feeds ή ότι άλλο δυναμικό περιεχόμενο αποκτάται μέσω της php ή από ένα σύστημα server side. Αν έχετε περιεχόμενο που πρέπει να αλλάζει σε κάθε επισκέπτη, τότε θα πρέπει να αποφύγετε το caching αυτής της σελίδας ή του περιεχομένου. Τα Google Ads ή BuySellAds σερβίρονται μέσω της javascript και το caching δε θα τις επηρεάσει.
Aν έχετε κάποια εμπειρία με ένα από τα παραπάνω πρόσθετα ή για οτιδήποτε σχετικό, θα μου άρεσε να αφήσετε το σχόλιό σας!