Το WordPress, είναι μια πλατφόρμα κατασκευής ιστοσελίδων ή με τη κατάλληλη προσθήκη, ενός ηλεκτρονικού καταστήματος. Πάνω από 40% παγκοσμίως οι ιστοσελίδες που κατασκευάζονται, είναι δομημένες στη συγκεκριμένη πλατφόρμα. Τα θέματα ασφάλειας όμως, μπορεί να ξεπεράσουν κατά πολύ τον αριθμό που κανείς μπορεί να φανταστεί και αυτό οφείλεται σε πολλούς παράγοντες, πέραν των ενδεχόμενων κενών ασφαλείας που ίσως έχει το WordPress. Έτσι, συχνά κάποιος που κατέχει μια ιστοσελίδα στο WordPress, μπορεί να πέσει θύμα επίθεσης χάκερ. Τι ενέργειες θα πρέπει να γίνουν όμως σε αυτή τη περίπτωση;

Τι είναι το WordPress;

Το WordPress, είναι μια φιλική πλατφόρμα για τον χρήστη, που χωρίς γνώσεις κώδικα, μπορεί να κατασκευάσει μια ιστοσελίδα. Αυτό είναι το μεγαλύτερο πλεονέκτημα της, αλλά ταυτόχρονα και μειονέκτημα. Έτσι, ενώ προσεγγίζει εύκολα και τον πιο απλό χρήστη και του προσφέρει τα εργαλεία για να κατασκευάσει μια ιστοσελίδα ή ένα ηλεκτρονικό κατάστημα, τον αφήνει εντελώς ακάλυπτο στο θέμα της ασφάλειας. Το WordPress, είναι ευρέως διαδεδομένο και οι περισσότερες σελίδες του ιστού, είναι κατασκευασμένες με αυτό. Υπάρχουν πολλά θέματα δωρεάν και επί πληρωμή για να επιλέξει κάποιος, ώστε να προβάλλει ένα εξατομικευμένο και μοναδικό αποτέλεσμα. Δεν απαιτεί γνώσεις προγραμματισμού ή Web developer/design. 

Η κατασκευή ιστοσελίδας όμως, δεν απαιτεί μόνο τον χειρισμό του WordPress. Θα πρέπει να υπάρχει ένα όνομα τομέα (Domain Name), που είναι η ταυτότητα της σελίδας ουσιαστικά, και ένας πάροχος φιλοξενίας ιστοσελίδων (Web Hosting Provider). 

Είναι ασφαλές μια ιστοσελίδα με WordPress;

Καμία ιστοσελίδα, σε καμία πλατφόρμα, δεν μπορεί να υπάρξει 100% ασφαλής απέναντι σε μια κυβερνοεπίθεση. Αυτό που μπορεί να γίνει είναι να υπάρξουν όσα περισσότερα εμπόδια και “κλειστές πόρτες”, για να αποθαρρυνθεί ο επίδοξος εισβολέας και να στραφεί αλλού. Το μειονέκτημα λοιπόν με το WordPress είναι κυρίως, ότι χειρίζεται από ανθρώπους με διαφορετικό επίπεδο γνώσης στο θέμα της ασφάλειας και της κατασκευής ιστοσελίδων. Αυτό θα κάνει μια σελίδα που δεν έχει πάρει τα κατάλληλα μέτρα, πιο ευάλωτη σε μια επίθεση. Μια απλοϊκή προσέγγιση, χωρίς προστασία κωδικών, χωρίς SSL πιστοποιητικά και χωρίς επιμέρους ενέργειες, σίγουρα θα γίνει, πολύ εύκολος στόχος για έναν χάκερ. 

Δεν παρέχει καμία ασφάλεια το WordPress;

Για καλή τύχη των περισσοτέρων, το WordPress έχει κάποια εργαλεία που σχετίζονται με την ασφάλεια της ιστοσελίδας ή του ηλεκτρονικού καταστήματος. Η κυριότερη όμως πηγή ασφάλειας, βρίσκεται στο κομμάτι του παρόχου φιλοξενίας ιστοσελίδων, ο οποίος παρέχει συνήθως και κρυπτογράφηση δεδομένων με τη προσθήκη SSL πιστοποιητικών. Έτσι, παρέχεται ένας αρκετά βασικός κορμός ασφάλειας σε πρώτο χρόνο σε μια ιστοσελίδα WordPress, αλλά δεν αρκεί. Το WordPress, στηρίζει τη λειτουργία του, ή τουλάχιστον ένα μεγάλο μέρος της λειτουργίας του, σε επεκτάσεις (plugins). Μερικά από αυτά τα plugins λοιπόν, παρέχουν ασφάλεια στον ιστότοπο, σε έναν επίσης ικανοποιητικό βαθμό, αλλά πρέπει να εγκατασταθούν από τον χρήστη.

Υπάρχει ένα πιο περιεκτικό άρθρο για την ασφάλεια στο WordPress, “7+1 τρόποι για μέγιστη ασφάλεια στο WordPress.“

Θύμα επίθεσης χάκερ στο WordPress.

Όσα μέτρα και αν παρθούν (πόσο μάλλον αν δεν παρθούν), ίσως πάλι τελικά να υπάρξει κάποιο κενό ασφαλείας και ένας ιστότοπος να πέσει θύμα επίθεσης χάκερ. Σε αυτή τη περίπτωση, το θύμα, θα πρέπει να προβεί αρχικά σε άμεσες ενέργειες και στη συνέχεια σε ενέργειες δευτερεύουσας σημασίας.

Το βασικό όλων είναι να ανακτηθεί η πρόσβαση και η κατοχή του ιστοτόπου. Άμεσα να αφαιρεθούν τυχόν μη εξουσιοδοτημένοι χρήστες, καθώς και η σελίδα θα πρέπει να εμφανίζει ότι βρίσκεται υπό κατασκευή/συντήρηση σε κάποιον που προσπαθεί να την επισκεφτεί.

Πως μπορεί να αντιληφθεί ο κάτοχος σελίδας WordPress, ότι έπεσε θύμα επίθεσης χάκερ.

Για να προβεί κανείς σε ενέργειες αποκατάστασης ζημιών στη σελίδα, θα πρέπει αρχικά να εντοπίσει ότι έπεσε θύμα κυβερνοεπίθεσης. Ενώ μια επίθεση τέτοιου είδους, μπορεί να είναι αρκετά μεθοδευμένη και να μην αφήσει πολλά ίχνη, πάντα υπάρχουν σημάδια που θα πρέπει να θορυβήσουν.

• Δεν υπάρχει η δυνατότητα σύνδεσης στον ιστότοπο. 
• Ο ιστότοπός έχει αλλάξει χωρίς να έχει προβεί ο διαχειριστής ή άλλος χρήστης σε αλλαγές. (για παράδειγμα, η αρχική σελίδα έχει αντικατασταθεί από μια στατική σελίδα ή έχει προστεθεί νέο περιεχόμενο). 
• Ο ιστότοπός ανακατευθύνεται σε άλλο ιστότοπο. 
• Όταν ο διαχειριστής ή άλλοι χρήστες προσπαθούν να αποκτήσουν πρόσβαση στον ιστότοπό, λαμβάνουν μια προειδοποίηση στο πρόγραμμα περιήγησης. 
• Όταν γίνεται αναζήτηση για τον ιστότοπό, η Google προειδοποιεί ότι μπορεί να έχει παραβιαστεί. 
• Έχει ληφθεί μια ειδοποίηση από την προσθήκη ασφαλείας για μια παραβίαση ή μια απροσδόκητη αλλαγή. 
• Ο πάροχος φιλοξενίας έχει προειδοποιήσει για ασυνήθιστη δραστηριότητα στο λογαριασμό.

Αν κάποιο ή κάποια από τα παραπάνω συμβαίνει τότε, θα πρέπει να θορυβήσουν τον κάτοχο ή διαχειριστή μιας σελίδας WordPress και να πρέπει να προβεί σε περαιτέρω ενέργειες.

Τι ενέργειες πρέπει να κάνει ένα θύμα επίθεση χάκερ;

Με το που υπάρξει η υποψία ότι ο ιστότοπος έχει πέσει θύμα επίθεσης χάκερ, θα πρέπει να γίνουν κάποιες άμεσες ενέργειες. Έτσι, σε πρώτο χρόνο, πρέπει να εξασφαλιστεί η πρόσβαση στον ιστότοπο και τα εργαλεία του. Αναλυτικά:

• Πρόσβαση στον ιστότοπο.
• Εμφάνιση ότι ο ιστότοπος βρίσκεται υπό κατασκευή/συντήρηση.
• Ενημέρωση θεμάτων και προσθηκών.
• Αφαίρεση μη εξουσιοδοτημένων χρηστών.
• Καθαρισμός όλων των μολυσμένων στοιχείων.
• Επανεγκατάσταση προσθέτων ή θεμάτων που δεν λειτουργούν.
• Επανυποβολή χάρτη ιστοτόπου.

Αφαίρεση μη εξουσιοδοτημένων μελών.

Πρόσβαση στον ιστότοπο WordPress.

Πρέπει ο διαχειριστής ιστοτόπου που δέχτηκε επίθεση από χάκερ, να ανακτήσει τον έλεγχο και πάλι. Επειδή προφανώς δεν μπορεί να εντοπιστεί με ποιον κωδικό ο εισβολέας, κατάφερε να εισχωρήσει, θα πρέπει να αλλαχτούν όλοι οι κωδικοί πρόσβασης τόσο του WordPress όσο και από τη μεριά του παρόχου φιλοξενίας. Έτσι σε πρώτο χρόνο εξασφαλίζεται ότι δεν θα μπορέσει ο εισβολέας να ξαναπάρει τα ηνία της σελίδας.

Σελίδα υπό κατασκευή/συντήρηση.

Το αμέσως επόμενο βήμα, είναι πως η σελίδα πρέπει να εμφανίζει στους επισκέπτες, ότι βρίσκεται υπό κατασκευή ή συντήρηση. Έτσι μέχρι να διορθωθούν τα επιμέρους προβλήματα, δεν θα φανεί σε τρίτους ότι ο ιστότοπος αντιμετωπίζει τέτοιου είδους καταστάσεις. Μια λύση για να επιτευχθεί αυτό εύκολα είναι με ένα πρόσθετο στο WordPress, που εμφανίζει σε επισκέπτες ακριβώς αυτό, ότι η σελίδα βρίσκεται υπό συντήρηση.

Ενημέρωση θεμάτων και προσθηκών.

Πολλές φορές, ένας εισβολέας, μπορεί να βρει κενά ασφαλείας σε θέματα ή σε πρόσθετα. Γι’αυτό και οι ενημερώσεις είναι σημαντικό κομμάτι της συντήρησης ενός ιστοτόπου WordPress. Περισσότερα για τη συντήρηση μιας σελίδας σε WordPress, μπορούν να βρεθούν σε προηγούμενο άρθρο, “Συντήρηση στο WordPress. Ποιες ενέργειες πρέπει να γίνουν;“. Όταν εισέλθει ο διαχειριστής στη σελίδα ξανά, άμεσα θα πρέπει να ενημερώσει τα θέματα και τα πρόσθετα που έχει εγκατεστημένα. Έτσι, τυχόν κενά ασφαλείας θα εξαλειφθούν. 

Αφαίρεση μη εξουσιοδοτημένων χρηστών και διαχειριστών.

Στο πεδίο “χρήστες” εμφανίζονται όλοι όσοι έχουν πρόσβαση στο ιστότοπο καθώς και δικαιώματα τους. Σε περίπτωση που εντοπιστεί κάποιος χρήστης άγνωστος και μη εξουσιοδοτημένος, τότε πρέπει να απομακρυνθεί άμεσα. Πρέπει να διασφαλιστεί ότι πρόσβαση στη σελίδα θα έχουν μόνοι όσοι έχουν αυτό το δικαίωμα.

Καθαρισμός όλων των αρχείων.

Σε αυτό το σημείο προτείνεται να συμβουλευτεί κάποιος, έναν ειδικό προγραμματιστή. Έτσι, ενώ όλα τα υπόλοιπα ίσως φαίνονται εντάξει, να υπάρχει κάποιο μολυσμένο αρχείο στον ιστότοπο και σε ανύποπτο χρόνο να δημιουργήσει και πάλι προβλήματα. Υπάρχουν κάποιοι τρόποι να καθαριστούν αρχεία και να εντοπιστούν τα μολυσμένα, ωστόσο πιο ενδεδειγμένο είναι να ελέγξει τον ιστότοπο κάποιος επαγγελματίας.

Επανεγκατάσταση θεμάτων και προσθέτων.

Μετά από τις παραπάνω ενέργειες, ίσως κάποια πρόσθετα ή ακόμα και το κυρίως θέμα να μην λειτουργούν. Έτσι η διαγραφή θεμάτων ή προσθέτων και επανεγκατάσταση, θα λύσουν το παραπάνω πρόβλημα.

Εγκατάσταση του θέματος από την αρχή.

Επανυποβολή χάρτη ιστοτόπου.

Προφανώς μετά την επίθεση ενός χάκερ, η Google έχει επισημάνει τον ιστότοπο ως μη ασφαλές. Έτσι, θα πρέπει να γίνει ξανά υποβολή του χάρτη ιστοτόπου, για να δηλωθεί στη Google, ότι όλα και πάλι είναι φυσιολογικά και η σελίδα έχει επιστρέψει στον κάτοχο της. Για να δημιουργηθεί ο χάρτης ιστοτόπου μπορεί να χρησιμοποιηθεί απλώς ένα πρόσθετο με SEO δυνατότητες. 

Επίλογος. 

Κάθε ιστότοπος, είτε κατασκευασμένος σε WordPress είτε σε άλλη πλατφόρμα, έχει κίνδυνο να πέσει θύμα κυβερνοεπίθεσης. Ωστόσο, θα πρέπει οι κινήσεις να είναι γρήγορες και άμεσες για να διασφαλιστούν όσο πιο γρήγορα γίνεται τα δεδομένα του ιστοτόπου. Προτείνεται πάντα, η συμβολή ενός έμπειρου προγραμματιστή επειδή ο κίνδυνος μόλυνσης αρχείων και δεδομένων, μπορεί να καραδοκεί και μετά από κάποιες ενέργειες που ίσως γίνουν. Ένας ειδικός, θα διασφαλίσει την υγεία του ιστοτόπου στο 100%. Πάντα υπάρχει η επιλογή, να γίνουν οι ενέργειες από μη εξειδικευμένο προσωπικό, με όσους κινδύνους μπορεί αυτό να ελλοχεύει.