12 tipp a WordPress (admin mappa) biztonságáért

1. Soha ne legyen „admin” nevű felhasználó a rendszerben!
A Wp 3.0 előtt az alapértelmezett felhasználó az admin volt. Minden hacker és cracker tudja ezt.
2. Biztonságos jelszavunk legyen!
Ne használjunk gyenge jelszót a felhasználónak. A saját adatlapunkon van egy jelszó erősség mérő, ellenőrizzük le a jelszavunkat. Ezenkívül az sem árt, ha rendszeresen változtatjuk a jelszót.
3. Rendszeresen frissítsük a WordPresst, a bővítményeket és a sablont!
Nem véletlenül adnak ki időről-időre frissítéseket. Nemcsak újabb és újabb funkciókat kapunk, hanem az időközben felfedezett hibák, biztonsági rések javítását is.
Itt említem meg, hogy lehetőleg ne használjunk huzamosabb ideje (1-2 éve) nem frissített bővítményeket, sablonokat sem.
4. A felesleges bővítményeket, sablonokat töröljük.
Ne tároljuk feleslegesen a kipróbált, de nem használt bővítményeket, sablonokat. Nemcsak helyet takarítunk meg vele, hanem esetleges biztonsági réseket is eltüntetünk.
5. Limitáljuk a belépési kísérletek számát!
A hackerek általában nem kézzel próbálgatják a jelszavakat, hanem többnyire egy scripttel. Ezért nem árt limitálni a belépési kísérleteket.
A Limit Login Attempts bővítménnyel ezt könnyedén megtehetjük, csak be kell állítani hányszor kísérelhet meg belépni és mennyi időre tiltjuk ki.
6. Limitáljuk az admin mappa elérését!
Ha még nincs az admin mappánkban .htaccess fájl, akkor hozzuk létre az alábbi tartalommal:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>
Statikus IP esetén az x-ek helyét cseréljük le a saját ip címünkre.
Az internetszolgáltatók általában egy vagy néhány ip tartománnyal dolgoznak, így dinamikus IP esetén IP tartományt célszerű használni. Ebben az esetben az első két számot vegyük fel: xx.xx
Hátránya, hogy csak a megadott IP-ről, IP tartományból érjük el az adminfelületet.
7. Tisztítsuk meg a hibaüzenetektől a bejelentkező oldalt!
Alaphelyzetben ha rossz felhasználónevet vagy jelszót adunk meg belépésnél, akkor egy hibaüzenet jelenik meg a bejelentkező ablak fölött. Ez segíti a hackerek dolgát.
Az alábbi kód functions.php fájlban elhelyezésével a bejelentkező oldal nem küld hibaüzeneteket.
add_filter(
'login_errors',create_function('$a',
"return null;"));
8. Töröljük a fölösleges meta elemeket!
A functions.php fájlunkba kell elhelyeznünk néhány sort. Azok, amelyek általában nem szükségesek:
remove_action( 'wp_head', 'rsd_link' );
remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'index_rel_link' );
remove_action( 'wp_head', 'start_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0 );
remove_action( 'wp_head', 'wp_generator' );
Az újabb sablonok már tisztábbak, a régebbieknél még sokat jelenthet. Ahhoz, hogy a WordPress melyik verzióját használjuk, a hackereknek semmi köze.
9. Használjunk jelszavas védelmet az admin mappához!
Ezzel a megoldással kétszintűvé tesszük a bejelentkezést.
Legegyszerűbben ezzel a bővítménnyel oldható meg:
http://www.askapache.com/WordPress/htaccess-password-protect.html
Egyéb megoldás cPanel-es felhasználóknak:
A cPanel felületén elnavigálunk a „Password Protect Directories” részhez és ott kiválasztva az wp-admin mappát, megadjuk a szükséges adatokat.
10. Használjunk titkosított SSL elérést!
Amennyiben anyagilag megengedhetjük magunknak a hitelesítést (vagy magunk is képesek vagyunk „eljátszani” a hitelesítő szerepét), akkor jó megoldás lehet a titkosított kapcsolat.
Egy remek leírás a hitelesítésről itt: http://wiki.malina.hu/index.php/SSL_beállítása
Ha végigjártuk a hitelesítés folyamatát, az alábbi kódot kell a wp-config.php fájlba illeszteni:
define(
’FORCE_SSL_ADMIN’,
true);
11. Monitorozzuk a weboldalt!
Nem kell semmi extrára gondolni 🙂
Telepítsük a WordPress File Monitor bővítményt és állítsuk be.
Ezzel nem előzünk meg semmit, de ha megtörténik a baj (feltörik a honlapot), áldani fogod magad azért, hogy hallgattál rám.
12. „Ha nincs esze, legyen notesze!”
Fogadjuk meg a tanácsot, nem azért, mert nincs eszünk ellenkezőleg: azért mert van!
Soha ne tároljuk a számítógépen a belépési jelszavakat! A számítógépünket megfertőzhetik kémprogramokkal…
Ne használjunk Total Commandert sem, helyette inkább a FileZillát. Nemcsak azért mert jobb …
Névtelen
2013. 02 28. @ 21:48
[…] […]