Wordpress Security, Tips/Tricks

Πως να απενεργοποιήσετε το wordpress theme editor/plugin editor στο διαχειριστικό και το XMLRPC.PHP;

5/5 - (3 votes)

WordPress ασφάλεια δεν είναι μόνο να βάζουμε ένα security plugin αλλά και μερικές προσθήκες και αφαιρέσεις στον κώδικα. Σε αυτό το άρθρο θα σας δείξουμε πως να απενεργοποιήσετε το wordpress theme editor και το plugin editor. 

  1. Πως να απενεργοποιήσω το wordpress theme editor;
  2. Πως να απενεργοποιήσω το wordpress editor plugin;
  3. Πως να απενεργοποιήσω το XMLRPC.PHP;

Είναι χρήσιμο να κάνουμε ανανεώσεις σε plugins και σε θέματα αλλά το πιο βασικό είναι να κλείσουμε κάποιες “πόρτες” αν μας χακάρουν, δηλαδή βρουν τους κωδικούς του διαχειριστικού.

Το αλφα και το ωμέγα είναι να κρατάμε αντίγραφα ασφαλείας σε τοπικό αλλά και σε cloud επίπεδο. Αυτό γιατί εάν μας διαγράψουν αρχεία ή δούμε τα analytics να πέφτουν τότε πρέπει να έχουμε έναν άσο στο μανίκι μας.

Κάποια εργαλεία που προτείνουμε είναι τα:

Θα μας πείτε τώρα αφού βρήκαν τους κωδικούς πάει. Όχι εάν είστε ένα βήμα μπροστά. Άρα το πρώτο πράγμα αντίγραφα ασφαλείας, δεύτερο πράγμα να έχουν two authedicator login, και ενημέρωση μέσω εμαιλ κατα την εισαγωγή του διαχειριστικού. 

Αν δεν τα έχουμε κάνει αυτά και τελικά κάποιος καταφέρει και μπει στο διαχειριστικό, αυτό που θα κάνει είναι να μας πειράξει τα αρχεία του θέματος και τα plugin, δηλαδή wordpress theme editor και editor plugin.

Ας ξεκινήσουμε λοιπόν με τα ερωτήματα μας: 

Περιεχόμενα Εμφάνιση

Γιατί να απενεργοποιήσω το wordpress theme editor;

Το WordPress διαθέτει ενσωματωμένο πρόγραμμα επεξεργασίας κώδικα που σας επιτρέπει να επεξεργάζεστε αρχεία θέματος και WordPress plugin απευθείας από το διαχειριστικό.

Το πρόγραμμα επεξεργασίας θέματος, theme editor βρίσκεται στη σελίδα Appearance » Theme Editor . Από προεπιλογή, θα εμφανίζει τα τρέχοντα ενεργά αρχεία του θέματός σας.

Γιατί να απενεργοποιήσω το editor plugin;wordpress theme editor

Ομοίως, το plugin editor μπορεί να το δει κανείς στη σελίδα Προσθήκες » Επεξεργαστής προσθηκών . Από προεπιλογή, θα σας εμφανίσει ένα από τα εγκατεστημένα πρόσθετα από τον ιστότοπό σας που εμφανίζεται πρώτο με αλφαβητική σειρά.

wordpress plugin editor

Εάν επισκεφθείτε τη σελίδα του wordpress theme editor ή editor plugin για πρώτη φορά, το WordPress θα σας εμφανίσει και θα σας προειδοποιήσει ότι η χρήση του προγράμματος επεξεργασίας μπορεί να “σπάσει” την σελίδα σας.

theme editor warning

Το μεγαλύτερο πρόβλημα με τον ενσωματωμένο πρόγραμμα επεξεργασίας αρχείων,wordpress theme editor είναι ότι παρέχει πλήρη πρόσβαση για την προσθήκη οποιουδήποτε είδους κώδικα στο site σας.

Άρα, για να βελτιώσετε την ασφάλεια του WordPress,wordpress security. συνιστούμε να τα αφαιρέσετε εντελώς.

Πως να απενεργοποιήσω το wordpress theme editor/editor plugin;

Κατεβάστε από το server σας ή από το ftp account σας το αρχείο wp-config.php (/public_html/YourDomain.com/) και επικολλήστε τον παρακάτω κώδικά ΠΡΙΝ την πρόταση “That’s all, stop editing! Happy publishing”.

define( ‘DISALLOW_FILE_EDIT’, true );

Το ανεβάζετε πάλι είτε από ftp ή από τον server, και αυτό ήταν. Εάν κάνετε refresh την σελίδα του διαχειριστικού τότε θα δείτε ότι θα έχουν φύγει.

Αυτή ήταν η εκδοχή χωρίς να χρησιμοποιήσετε plugin, αλλά αν δεν το έχετε με τον κώδικα και φοβόσαστε μην κάνετε κάποιο λάθος μπορείτε να επικοινωνήσετε μαζί μας, και ο Νίκος ή ο Γιάννης είναι εδώ για να σας βοηθήσουν. 

Τώρα εάν θέλετε έναν πιο εύκολο τρόπο, δεν το συνιστούμε, είναι να κατεβάσετε το plugin “Disable File Editor’ και μόλις το ενεργοποιήσετε θα τα απενεργοποιήσει αυτόματα. Έχουμε αναφέρει ότι όσο περισσότερα plugins έχουμε τόσο το site θα πέφτει σε ταχύτητα και όχι μόνο. 

Παρακάτω θα αναφέρουμε κάποια security plugins ονομαστικά και σε επόμενο άρθρο μας θα τα αναλύσουμε, για αυτό stay tuned στο blog μας.

WordPress Security Plugins

  1. Sucuri
  2. Jetpack
  3. Wordfence
  4. iThemes Security
  5. All In One WP Security
  6. BulletProof Security
  7. Anti-Malware Security and Brute Force Firewall
  8. WPScan

Πως να απενεργοποιήσω το XMLRPC.PHP;

 Αυτό το αρχείο χρησιμοποιείται συνήθως από χάκερ για να βρουν το όνομα χρήστη και τον κωδικό πρόσβασής σας όταν το login.php προστατεύεται.Η συντριπτική πλειοψηφία των ανθρώπων δεν γνωρίζουν καν ότι αυτή η λειτουργία υπάρχει στον ιστότοπό τους στο WordPress, οπότε δεν υπάρχει λόγος να το διατηρήσουμε ενεργό ως φορέα επίθεσης.

Ας βάλουμε λοιπόν αυτόν τον κώδικα στο αρχείο .htaccess και ας ασφαλίσουμε το WordPress.

Πρώτα συνδεθείτε στο cPanel του λογαριασμού φιλοξενίας σας. Στη συνέχεια, βρείτε και κάντε κλικ στο εικονίδιο Διαχείριση αρχείων και επιλέξτε το Document Root για τον ιστότοπο που θέλετε. Μπορείτε επίσης να συνδεθείτε χρησιμοποιώντας FTP, εάν αισθάνεστε πιο άνετα με αυτό.

Εάν δεν βλέπετε σωστά ένα .htaccess στον ιστότοπο, μπορείτε να το κάνετε κάνοντας κλικ στην Προσθήκη νέου αρχείου στη Διαχείριση αρχείων ή κάνοντας δεξί κλικ και επιλέγοντας Δημιουργία νέου αρχείου μέσω FTP.

# BEGIN Disable XML-RPC.PHP

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

# END Disable XML-RPC.PHP

Ανοίξτε το αρχείο .htaccess και επικολλήστε τον κώδικα από πάνω σε αυτό. Δεν χρειάζεται να κάνετε προσαρμογές στον κώδικα. Μόλις επικολληθεί, αποθηκεύστε το αρχείο και είστε έτοιμοι.

5/5 - (3 votes)

Avatar of XNWeb Team
XNWeb Team