Ασφάλεια · 25 Φεβρουαρίου 2026 · 4 λεπ. ανάγνωση

WordPress security: το minimum baseline για το 2026

Μεγάλο πορτοκαλί περίγραμμα ασπίδας με λευκό check mark στο εσωτερικό, σε σκούρο φόντο, που αναπαριστά το WordPress security baseline

Το WordPress τρέχει περίπου το 43% όλων των websites· είναι, με μεγάλη διαφορά, το CMS που δέχεται τις περισσότερες επιθέσεις. Οι περισσότερες όμως πετυχαίνουν όχι επειδή η πλατφόρμα είναι θεμελιωδώς ανασφαλής, αλλά επειδή ο κόσμος ξεχνά το default install και παραλείπει τα βασικά της ασφάλειας.

Αν δεν κάνετε τίποτα άλλο για να προστατέψετε το WordPress site σας το 2026, κάντε τουλάχιστον αυτά τα πέντε. Στήνονται σε λιγότερο από μία μέρα και σταματούν τη συντριπτική πλειονότητα των αυτοματοποιημένων επιθέσεων πριν καν φτάσουν στο site σας.

1. Κρατήστε core, themes, και plugins ενημερωμένα — αυτόματα

Ο πιο συνηθισμένος τρόπος παραβίασης ενός WordPress είναι ένα plugin με ευπάθεια που δεν έχει διορθωθεί ακόμα. Αναφέρεται μια ευπάθεια, βγαίνει διόρθωση, και έχετε ένα παράθυρο — μερικές φορές ώρες, συχνά μέρες — πριν αρχίσουν automated scanners να χτυπάνε κάθε site με την παλιά έκδοση.

Το WordPress 7 το κάνει πολύ ευκολότερο από παλιότερες εκδόσεις. Ενεργοποιήστε αυτόματες ενημερώσεις για core, themes, και έμπιστα plugins. Ορίστε ένα email ειδοποιήσεων για να μαθαίνετε όταν αποτυγχάνει κάποια ενημέρωση. Αν ένα plugin εγκαταλείφθηκε (καμία ενημέρωση εδώ και 18+ μήνες), αντικαταστήστε το ή αφαιρέστε το.

2. Ισχυρό admin username και 2FA

Το «admin» είναι το πρώτο username που δοκιμάζει κάθε bot. Ποτέ μην το χρησιμοποιείτε. Χρησιμοποιήστε ένα μη-προφανές username (όχι το όνομα της επιχείρησης, ούτε το πλήρες πραγματικό σας όνομα) και συνδυάστε το με έναν κωδικό που έχει δημιουργήσει password manager (20+ χαρακτήρες, πλήρως τυχαίος).

Μετά ενεργοποιήστε two-factor authentication. Κάθε σύγχρονο security plugin (All In One WP Security, Wordfence, iThemes Security, Solid Security) έρχεται με TOTP-based 2FA. Στήστε το μία φορά, σαρώστε QR code με Google Authenticator ή Authy, τέλος. Ακόμη κι αν διαρρεύσει ο κωδικός σας, ο επιτιθέμενος δεν μπορεί να συνδεθεί χωρίς το κινητό σας.

Από προεπιλογή, το WordPress επιτρέπει απεριόριστες προσπάθειες login στο /wp-login.php και /wp-admin. Τα brute-force bots το ξέρουν. Δοκιμάζουν χιλιάδες συνδυασμούς κωδικών την ώρα ενάντια σε κάθε WordPress site που βρίσκουν.

Εγκαταστήστε plugin που:

Περιορίζει προσπάθειες login (κλειδώστε την IP μετά από 5 αποτυχημένες προσπάθειες για μία ώρα).
Προαιρετικά μετονομάζει το login URL σε κάτι που ξέρετε μόνο εσείς.
Στέλνει email όταν χτυπιούνται όρια αποτυχημένων logins.

Τα περισσότερα security plugins κάνουν και τα τρία. Διαλέξτε ένα, ρυθμίστε το, μην το ξανακοιτάξετε.

4. Πραγματικά backups, off-site, αυτόματα

Αν όλα πάνε λάθος αύριο — ransomware, hacked plugin, ένας υπάλληλος που από λάθος σβήνει τη βάση — το backup σας είναι το μόνο που στέκεται ανάμεσα σε εσάς και την επανεκκίνηση του website της επιχείρησης από το μηδέν.

Απαιτήσεις για πραγματικό backup:

Off-site. Όχι στον ίδιο server με το site σας. Αν παραβιαστεί ο server, το on-server backup πάει μαζί.
Αυτόματο. Καθημερινό για τη βάση, εβδομαδιαίο για τα αρχεία ως ελάχιστο. Τα χειροκίνητα backups ξεχνιούνται.
Δοκιμασμένο. Μια φορά το τρίμηνο, επαναφέρετε το backup σε ένα staging περιβάλλον και βεβαιωθείτε ότι το site φορτώνει. Τα μη-δοκιμασμένα backups δεν είναι backups.
Πολλά παράθυρα διατήρησης. 7 daily + 4 weekly + 12 monthly είναι standard μείγμα. Μερικές φορές αντιλαμβάνεστε μια παραβίαση μόνο εβδομάδες αργότερα.

Το shared hosting της kapaweb περιλαμβάνει εβδομαδιαία off-site backups από προεπιλογή. Για μεγαλύτερη συχνότητα ή διατήρηση, premium πακέτα το καλύπτουν.

5. Ασφαλής host, HTTPS-only

Ένα κομμάτι ξεφεύγει από τα χέρια σας — εδώ έχει ευθύνη και ο host. Αλλά:

HTTPS only. Force-redirect HTTP σε HTTPS στο επίπεδο του server. Δωρεάν Let's Encrypt certificates περιλαμβάνονται στο kapaweb hosting και ανανεώνονται αυτόματα. Δεν υπάρχει δικαιολογία για HTTP-only το 2026.
HSTS header. Πείτε στους browsers να αρνηθούν οποιαδήποτε HTTP σύνδεση στο site σας για τον επόμενο χρόνο. Ρυθμίστε το μία φορά στο .htaccess ή server config.
Server-level firewalls. Ο host σας πρέπει να τρέχει mod_security, fail2ban ή αντίστοιχο. Ρωτήστε. Αν όχι, αλλάξτε.
PHP version. Τρέξτε μια έκδοση PHP που υποστηρίζεται ακόμα (8.3 ή νεότερη το 2026). Το WordPress 7 απαιτεί PHP 8.3+ ούτως ή άλλως. Το control panel της kapaweb σας αφήνει να διαλέξετε έκδοση ανά site.

Τι δεν είναι στη λίστα — και γιατί

Ίσως έχετε διαβάσει και άλλες συστάσεις. Γιατί δεν μπήκαν στο top 5:

Αλλαγή του WordPress database table prefix. Οριακό όφελος. Παραλείψτε το σε νέο site· μην ασχοληθείτε αναδρομικά.
Απενεργοποίηση XML-RPC. Χρήσιμο αν δεν το χρησιμοποιείτε, αλλά σπάνια καθοριστικό.
Web Application Firewall (Cloudflare-style). Χρήσιμο σε κλίμακα· υπερβολή για τα περισσότερα small business sites με τα βασικά στη θέση τους.
Security plugins που σκανάρουν για malware. Defence in depth, ναι. Αλλά αν έχετε κάνει τα 1–5, είστε ήδη στο 95%.

Η ειλικρινής πραγματικότητα

Τα περισσότερα WordPress sites που έχουν παραβιαστεί δεν χτυπήθηκαν από εξεζητημένους επιτιθέμενους. Τα χτύπησαν automated scripts που ψάχνουν για sites τα οποία έχουν παραλείψει κάποιο από τα παραπάνω. Αν κάνετε και τα πέντε, το site σας είναι στη μικρή μειονότητα που απλώς δεν αξίζει να επιτεθούν — το bot πάει σε ευκολότερους στόχους.

Αν δεν είστε σίγουροι αν το τρέχον setup σας τα καλύπτει, η ομάδα τεχνικής υποστήριξης της kapaweb μπορεί να κάνει audit στο site σας σε μία ώρα και να σας πει ακριβώς τι είναι εκτεθειμένο και τι να διορθώσετε πρώτο.

← Επιστροφή στο blog