Ασφάλεια · 25 Φεβρουαρίου 2026 · 3 λεπ. ανάγνωση

WordPress security: το minimum baseline για το 2026

Μεγάλο πορτοκαλί περίγραμμα ασπίδας με λευκό check mark στο εσωτερικό, σε σκούρο φόντο, που αναπαριστά το WordPress security baseline

Το WordPress τρέχει περίπου το 43% όλων των websites. Αυτό το κάνει το πιο επιτιθέμενο CMS με σημαντική διαφορά. Οι περισσότερες επιθέσεις πετυχαίνουν όχι γιατί η πλατφόρμα είναι θεμελιωδώς ανασφαλής, αλλά γιατί το default install ξεχνιέται και τα βασικά ασφαλείας παραλείπονται.

Αν δεν κάνετε τίποτα άλλο για να προστατέψετε το WordPress site σας το 2026, κάντε αυτά τα πέντε. Παίρνουν λιγότερο από μία μέρα να στηθούν και σταματάνε τη συντριπτική πλειονότητα των αυτοματοποιημένων επιθέσεων στην πόρτα.

1. Κρατήστε core, themes, και plugins ενημερωμένα — αυτόματα

Ο μεγαλύτερος vector για WordPress συμβιβασμό είναι το un-patched plugin. Αναφέρεται μια ευπάθεια, βγαίνει διόρθωση, και έχετε ένα παράθυρο — μερικές φορές ώρες, συχνά μέρες — πριν αρχίσουν automated scanners να χτυπάνε κάθε site με την παλιά έκδοση.

Το WordPress 7 το κάνει πολύ ευκολότερο από παλιότερες εκδόσεις. Ενεργοποιήστε αυτόματες ενημερώσεις για core, themes, και έμπιστα plugins. Στήστε notification email για να ξέρετε όταν ενημερώσεις αποτυγχάνουν. Αν ένα plugin εγκαταλείφθηκε (καμία ενημέρωση εδώ και 18+ μήνες), βρείτε αντικαταστάτη ή αφαιρέστε το.

2. Ισχυρό admin username και 2FA

Το «admin» είναι το πρώτο username που δοκιμάζει κάθε bot. Ποτέ μην το χρησιμοποιείτε. Χρησιμοποιήστε μη-προφανές username (όχι το όνομα της επιχείρησης, όχι το πλήρες πραγματικό σας όνομα) και συνδυάστε με password manager-generated κωδικό (20+ χαρακτήρες, πλήρως τυχαίος).

Μετά ενεργοποιήστε two-factor authentication. Κάθε σύγχρονο security plugin (Wordfence, iThemes Security, Solid Security) έρχεται με TOTP-based 2FA. Στήστε το μία φορά, σαρώστε QR code με Google Authenticator ή Authy, τέλος. Ακόμη κι αν διαρρεύσει ο κωδικός σας, ο επιτιθέμενος δεν μπορεί να συνδεθεί χωρίς το κινητό σας.

Από προεπιλογή, το WordPress επιτρέπει απεριόριστες προσπάθειες login στο /wp-login.php και /wp-admin. Τα brute-force bots το ξέρουν. Δοκιμάζουν χιλιάδες συνδυασμούς κωδικών την ώρα ενάντια σε κάθε WordPress site που βρίσκουν.

Εγκαταστήστε plugin που:

Περιορίζει προσπάθειες login (κλειδώστε την IP μετά από 5 αποτυχημένες προσπάθειες για μία ώρα).
Προαιρετικά μετονομάζει το login URL σε κάτι που ξέρετε μόνο εσείς.
Στέλνει email όταν χτυπιούνται όρια αποτυχημένων logins.

Τα περισσότερα security plugins κάνουν και τα τρία. Διαλέξτε ένα, ρυθμίστε το, μην το ξανακοιτάξετε.

4. Πραγματικά backups, off-site, αυτόματα

Αν όλα πάνε λάθος αύριο — ransomware, hacked plugin, junior εργαζόμενος που σβήνει τη βάση — το backup σας είναι το μόνο που στέκεται ανάμεσα σε εσάς και την επανεκκίνηση του website της επιχείρησης από το μηδέν.

Απαιτήσεις για πραγματικό backup:

Off-site. Όχι στον ίδιο server με το site σας. Αν ο server συμβιβαστεί, το on-server backup πάει μαζί.
Αυτόματο. Καθημερινό για βάση, εβδομαδιαίο για αρχεία τουλάχιστον. Τα χειροκίνητα backups ξεχνιούνται.
Δοκιμασμένο. Μια φορά το τρίμηνο, restore το backup σε staging περιβάλλον και επαληθεύστε ότι το site φορτώνει. Τα μη-δοκιμασμένα backups δεν είναι backups.
Πολλά παράθυρα διατήρησης. 7 daily + 4 weekly + 12 monthly είναι standard μείγμα. Μερικές φορές αντιλαμβάνεστε συμβιβασμό μόνο εβδομάδες αργότερα.

Το shared hosting της kapaweb περιλαμβάνει εβδομαδιαία off-site backups από προεπιλογή. Για μεγαλύτερη συχνότητα ή διατήρηση, premium πακέτα το καλύπτουν.

5. Ασφαλής host, HTTPS-only

Μερικώς εκτός του ελέγχου σας — ο host πρέπει να κάνει το μέρος του. Αλλά:

HTTPS only. Force-redirect HTTP σε HTTPS στο server level. Δωρεάν Let's Encrypt certificates περιλαμβάνονται στο kapaweb hosting και ανανεώνονται αυτόματα. Δεν υπάρχει δικαιολογία για HTTP-only το 2026.
HSTS header. Πείτε στους browsers να αρνηθούν οποιαδήποτε HTTP σύνδεση στο site σας για τον επόμενο χρόνο. Ρυθμίστε το μία φορά στο .htaccess ή server config.
Server-level firewalls. Ο host σας πρέπει να τρέχει mod_security, fail2ban ή αντίστοιχο. Ρωτήστε. Αν όχι, αλλάξτε.
PHP version. Τρέξτε υποστηριζόμενη PHP έκδοση (8.3 ή νεότερη το 2026). Το WordPress 7 απαιτεί PHP 8.3+ ούτως ή άλλως. Το control panel της kapaweb σας αφήνει να διαλέξετε έκδοση ανά site.

Τι δεν είναι στη λίστα — και γιατί

Μπορεί να έχετε διαβάσει άλλες συστάσεις. Γιατί δεν είναι στο top 5:

Αλλαγή του WordPress database table prefix. Οριακό όφελος. Παράλειψη σε νέο site, μην ασχοληθείτε αναδρομικά.
Απενεργοποίηση XML-RPC. Χρήσιμο αν δεν το χρησιμοποιείτε, αλλά σπάνια καθοριστικό.
Web Application Firewall (Cloudflare-style). Χρήσιμο σε κλίμακα· υπερβολή για τα περισσότερα small business sites με τα βασικά στη θέση τους.
Security plugins που σκανάρουν για malware. Defence in depth, ναι. Αλλά αν έχετε κάνει τα 1–5, είστε ήδη στο 95%.

Η ειλικρινής πραγματικότητα

Τα περισσότερα συμβιβασμένα WordPress sites δεν χτυπήθηκαν από εξεζητημένους επιτιθέμενους. Χτυπήθηκαν από automated scripts που έψαχναν για sites που παρέλειψαν κάποιο από τα παραπάνω. Αν κάνετε και τα πέντε, το site σας είναι στη μικρή μειονότητα που απλώς δεν αξίζει να επιτεθούν — το bot πάει σε ευκολότερους στόχους.

Αν δεν είστε σίγουροι αν το τρέχον setup σας τα καλύπτει, η ομάδα τεχνικής υποστήριξης της kapaweb μπορεί να κάνει audit στο site σας σε μία ώρα και να σας πει ακριβώς τι είναι εκτεθειμένο και τι να διορθώσετε πρώτο.

← Επιστροφή στο blog