How to disable wordpress theme editor / plugin editor in admin and XMLRPC.PHP?

WordPress ασφάλεια δεν είναι μόνο να βάζουμε ένα security plugin αλλά και μερικές προσθήκες και αφαιρέσεις στον κώδικα. Σε αυτό το άρθρο θα σας δείξουμε πως να απενεργοποιήσετε το wordpress theme editor και το plugin editor.

1. Πως να απενεργοποιήσω το wordpress theme editor;
2. Πως να απενεργοποιήσω το wordpress editor plugin;
3. Πως να απενεργοποιήσω το XMLRPC.PHP;

Είναι χρήσιμο να κάνουμε ανανεώσεις σε plugins και σε θέματα αλλά το πιο βασικό είναι να κλείσουμε κάποιες “πόρτες” αν μας χακάρουν, δηλαδή βρουν τους κωδικούς του διαχειριστικού.

Το αλφα και το ωμέγα είναι να κρατάμε αντίγραφα ασφαλείας σε τοπικό αλλά και σε cloud επίπεδο. Αυτό γιατί εάν μας διαγράψουν αρχεία ή δούμε τα analytics να πέφτουν τότε πρέπει να έχουμε έναν άσο στο μανίκι μας.

Plugins για Migration

Κάποια εργαλεία που προτείνουμε είναι τα:

UpdraftPlus

Το απόλυτο εργαλείο αντιγραφής ασφαλείας για το WordPress, εξασφαλίζοντας την προστασία και ανάκαμψη των δεδομένων σας.

Duplicator

Μεταφέρετε, αντιγράψτε και εγκαταστήστε το WordPress με ευκολία και αξιοπιστία με αυτό το πρόσθετο.

BackWPup

Η ολοκληρωμένη λύση αντιγραφής ασφαλείας που διατηρεί τα δεδομένα σας ασφαλή και προσβάσιμα.

BoldGrid Backup

Προστατέψτε το WordPress σας με αυτό το προηγμένο εργαλείο αντιγραφής ασφαλείας.

Θα μας πείτε τώρα αφού βρήκαν τους κωδικούς πάει. Όχι εάν είστε ένα βήμα μπροστά. Άρα το πρώτο πράγμα αντίγραφα ασφαλείας, δεύτερο πράγμα να έχουν two authedicator login, και ενημέρωση μέσω εμαιλ κατα την εισαγωγή του διαχειριστικού.

Αν δεν τα έχουμε κάνει αυτά και τελικά κάποιος καταφέρει και μπει στο διαχειριστικό, αυτό που θα κάνει είναι να μας πειράξει τα αρχεία του θέματος και τα plugin, δηλαδή wordpress theme editor και editor plugin.

Ας ξεκινήσουμε λοιπόν με τα ερωτήματα μας:

Γιατί να απενεργοποιήσω το wordpress theme editor;

Το WordPress διαθέτει ενσωματωμένο πρόγραμμα επεξεργασίας κώδικα που σας επιτρέπει να επεξεργάζεστε αρχεία θέματος και WordPress plugin απευθείας από το διαχειριστικό.

Το πρόγραμμα επεξεργασίας θέματος, theme editor βρίσκεται στη σελίδα Appearance » Theme Editor . Από προεπιλογή, θα εμφανίζει τα τρέχοντα ενεργά αρχεία του θέματός σας.

Γιατί να απενεργοποιήσω το editor plugin;

Ομοίως, το plugin editor μπορεί να το δει κανείς στη σελίδα Προσθήκες » Επεξεργαστής προσθηκών . Από προεπιλογή, θα σας εμφανίσει ένα από τα εγκατεστημένα πρόσθετα από τον ιστότοπό σας που εμφανίζεται πρώτο με αλφαβητική σειρά.

Εάν επισκεφθείτε τη σελίδα του wordpress theme editor ή editor plugin για πρώτη φορά, το WordPress θα σας εμφανίσει και θα σας προειδοποιήσει ότι η χρήση του προγράμματος επεξεργασίας μπορεί να “σπάσει” την σελίδα σας.

Το μεγαλύτερο πρόβλημα με τον ενσωματωμένο πρόγραμμα επεξεργασίας αρχείων,wordpress theme editor είναι ότι παρέχει πλήρη πρόσβαση για την προσθήκη οποιουδήποτε είδους κώδικα στο site σας.

Άρα, για να βελτιώσετε την ασφάλεια του WordPress,wordpress security. συνιστούμε να τα αφαιρέσετε εντελώς.

Πως να απενεργοποιήσω το wordpress theme editor/editor plugin;

Κατεβάστε από το server σας ή από το ftp account σας το αρχείο wp-config.php (/public_html/YourDomain.com/) και επικολλήστε τον παρακάτω κώδικά ΠΡΙΝ την πρόταση “That’s all, stop editing! Happy publishing”.

define( ‘DISALLOW_FILE_EDIT’, true );

Το ανεβάζετε πάλι είτε από ftp ή από τον server, και αυτό ήταν. Εάν κάνετε refresh την σελίδα του διαχειριστικού τότε θα δείτε ότι θα έχουν φύγει.

Αυτή ήταν η εκδοχή χωρίς να χρησιμοποιήσετε plugin, αλλά αν δεν το έχετε με τον κώδικα και φοβόσαστε μην κάνετε κάποιο λάθος μπορείτε να contact μαζί μας, και ο Νίκος ή ο Γιάννης είναι εδώ για να σας βοηθήσουν.

Τώρα εάν θέλετε έναν πιο εύκολο τρόπο, δεν το συνιστούμε, είναι να κατεβάσετε το plugin “Disable File Editor’ και μόλις το ενεργοποιήσετε θα τα απενεργοποιήσει αυτόματα. Έχουμε αναφέρει ότι όσο περισσότερα plugins έχουμε τόσο το site θα πέφτει σε ταχύτητα και όχι μόνο.

Παρακάτω θα αναφέρουμε κάποια security plugins ονομαστικά και σε επόμενο άρθρο μας θα τα αναλύσουμε, για αυτό stay tuned στο blog us.

WordPress Security Plugins

Το WordPress είναι ένα εκπληκτικό εργαλείο, αλλά η ασφάλεια πρέπει να είναι στο επίκεντρο κάθε ιστοσελίδας. Ευτυχώς, υπάρχουν εξαιρετικά plugins που μπορούν να κάνουν την ιστοσελίδα σας άτρωτη. Ας ρίξουμε μια ματιά σε μερικά από τα καλύτερα στον χώρο.

1. Sucuri – Ο Ασπός Του WordPress

Το Sucuri είναι ό,τι χρειάζεστε για να προστατεύσετε το WordPress σας. Με προηγμένες λειτουργίες firewall, DDoS προστασία και άμεση ανίχνευση κακόβουλου λογισμικού, το Sucuri είναι η πρώτη γραμμή άμυνας.

Δείτε περισσότερα για το Sucuri

2. Jetpack – Πολυεργαλείο του WordPress

Το Jetpack δεν είναι απλώς ένα plugin ασφαλείας, αλλά και ένα πολυεργαλείο για τη βελτιστοποίηση του WordPress. Από ενσωματωμένες ειδοποιήσεις ασφαλείας μέχρι αντίσταση σε επιθέσεις brute force, το Jetpack είναι ένα must-have.

Δείτε περισσότερα για το Jetpack

3. Wordfence – Ο Φρουρός της Ιστοσελίδας Σας

Ο Wordfence προσφέρει προηγμένη προστασία, ανιχνευτές κακόβουλων ενημερώσεων, και παρακολούθηση πραγματικού χρόνου. Είναι σαν να έχετε έναν εκπαιδευμένο φρουρό για την ιστοσελίδα σας.

Δείτε περισσότερα για το Wordfence

4. iThemes Security – Ο Προσωπικός Σας Σωματοφύλακας

Με λειτουργίες όπως η προστασία από brute force επιθέσεις, το iThemes Security είναι ο προσωπικός σας σωματοφύλακας στον κόσμο του WordPress.

Δείτε περισσότερα για το iThemes Security

5. All In One WP Security – Όλα Σε Ένα

Όπως λέει και το όνομά του, το All In One WP Security προσφέρει μια ολοκληρωμένη προσέγγιση στην ασφάλεια του WordPress. Από ανίχνευση ανεπιθύμητων προσπαθειών σύνδεσης μέχρι εργαλεία ελέγχου ασφαλείας, είναι το όλα-σε-ένα πακέτο.

Δείτε περισσότερα για το All In One WP Security

6. BulletProof Security – Η Περιοχή Ασφαλείας Σας

Το BulletProof Security προσφέρει εντυπωσιακή προστασία με λειτουργίες όπως οι επιθέσεις firewall και οι προηγμένες ρυθμίσεις ασφαλείας. Είναι η περιοχή ασφαλείας του WordPress σας.

Δείτε περισσότερα για το BulletProof Security

7. Anti-Malware Security and Brute Force Firewall – Ο Προστάτης του WordPress

Απομακρύνει απειλές όπως τα malware και προστατεύει από brute force επιθέσεις. Ο Anti-Malware Security and Brute Force Firewall είναι ο αξιόπιστος προστάτης του WordPress σας.

Δείτε περισσότερα για το Anti-Malware Security

8. WPScan – Ελέγξτε την Ασφάλεια Σας

Το WPScan είναι ένα εργαλείο ελέγχου ασφαλείας που βοηθάει στην εντοπισμό τυχόν ευπάθειών στο WordPress σας. Μην αφήνετε τίποτα να περάσει απαρατήρητο.

Δείτε περισσότερα για το WPScan

Αυτά τα plugins ασφαλείας είναι ό,τι χρειάζεστε για να κάνετε το WordPress σας ασφαλές και προστατευμένο. Επιλέξτε το κατάλληλο για εσάς και απολαύστε την ασφάλεια στο διαδίκτυο!

Πως να απενεργοποιήσω το XMLRPC.PHP;

Αυτό το αρχείο χρησιμοποιείται συνήθως από χάκερ για να βρουν το όνομα χρήστη και τον κωδικό πρόσβασής σας όταν το login.php προστατεύεται.Η συντριπτική πλειοψηφία των ανθρώπων δεν γνωρίζουν καν ότι αυτή η λειτουργία υπάρχει στον ιστότοπό τους στο WordPress, οπότε δεν υπάρχει λόγος να το διατηρήσουμε ενεργό ως φορέα επίθεσης.

Ας βάλουμε λοιπόν αυτόν τον κώδικα στο αρχείο .htaccess και ας ασφαλίσουμε το WordPress.

Πρώτα συνδεθείτε στο cPanel του λογαριασμού φιλοξενίας σας. Στη συνέχεια, βρείτε και κάντε κλικ στο εικονίδιο Διαχείριση αρχείων και επιλέξτε το Document Root για τον ιστότοπο που θέλετε. Μπορείτε επίσης να συνδεθείτε χρησιμοποιώντας FTP, εάν αισθάνεστε πιο άνετα με αυτό.

Εάν δεν βλέπετε σωστά ένα .htaccess στον ιστότοπο, μπορείτε να το κάνετε κάνοντας κλικ στην Προσθήκη νέου αρχείου στη Διαχείριση αρχείων ή κάνοντας δεξί κλικ και επιλέγοντας Δημιουργία νέου αρχείου μέσω FTP.

# BEGIN Disable XML-RPC.PHP

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

# END Disable XML-RPC.PHP

Ανοίξτε το αρχείο .htaccess και επικολλήστε τον κώδικα από πάνω σε αυτό. Δεν χρειάζεται να κάνετε προσαρμογές στον κώδικα. Μόλις επικολληθεί, αποθηκεύστε το αρχείο και είστε έτοιμοι.