Οι συμβουλές ασφάλειας για το WordPress στο διαδίκτυο συνήθως ακολουθούν έναν από δύο δρόμους: είτε αγνοούνται εντελώς, είτε καταλήγουν σε δώδεκα plugins που συγκρούονται μεταξύ τους. Να η μέση οδός που καλύπτει τη συντριπτική πλειονότητα των επιθέσεων στην πράξη.

Τα βασικά που σταματούν τις περισσότερες αυτοματοποιημένες επιθέσεις

  • Κρατήστε ενημερωμένα τον πυρήνα του WordPress, τα themes και τα plugins — οι περισσότερες παραβιάσεις εκμεταλλεύονται γνωστές ευπάθειες που έχουν ήδη διορθωθεί.
  • Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς και ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) για κάθε λογαριασμό διαχειριστή.
  • Μετακινήστε ή κρύψτε την προεπιλεγμένη διεύθυνση σύνδεσης — η συντριπτική πλειονότητα των bots brute-force δοκιμάζει μόνο το /wp-login.php.
  • Περιορίστε τις προσπάθειες σύνδεσης για να επιβραδύνετε τις αυτοματοποιημένες απόπειρες εικασίας κωδικών.
  • Αφαιρέστε εντελώς τα plugins και τα themes που δεν χρησιμοποιείτε, αντί απλώς να τα απενεργοποιείτε — ο ανενεργός κώδικας μπορεί και πάλι να αποτελέσει στόχο.

Το λιγότερο προφανές επίπεδο: θωράκιση (hardening)

Πέρα από τα βασικά της λίστας, η απενεργοποίηση του XML-RPC, το μπλοκάρισμα της απαρίθμησης χρηστών (user enumeration) μέσω των διευθύνσεων author archive, και η απόκρυψη των αριθμών έκδοσης από τον πηγαίο κώδικα της σελίδας αφαιρούν μικρά κομμάτια πληροφορίας που χρησιμοποιούν οι αυτοματοποιημένοι scanners για να «χαρτογραφήσουν» έναν ιστότοπο πριν του επιτεθούν.

Τα αντίγραφα ασφαλείας είναι μέρος της στρατηγικής ασφάλειάς σας, όχι κάτι ξεχωριστό

Καμία θωράκιση δεν είναι 100% εγγυημένη. Το πραγματικό δίχτυ ασφαλείας είναι ένα πρόσφατο, δοκιμασμένο αντίγραφο ασφαλείας εκτός διακομιστή — ώστε στη χειρότερη περίπτωση, το «επαναφορά από σήμερα το πρωί» να είναι πραγματική επιλογή αντί για καταστροφή.