7 + 7 alig ismert tipp WordPress weboldalad biztonságossá tételéhez
Biztonságos WordPress weboldal témában számtalan cikkünk született már és az internet alapvetően telis tele van ilyesmikkel, de akad néhány olyan apróság (vagy nem is annyira apróság), amit a cikkek, tippek, tutorialok jelentős része kihagy a számításból. Ezeket vagy azért nem említik, mert talán nem bíznak a felhasználók képességeiben vagy pedig úgy gondolják, hogy egy webmester, weboldal fejlesztő, készítő számára készült cikkben lenne csak a helye.
Nos, igaz, hogy egyik másik dologhoz kicsit jobban utána kell nézni a WordPress és alapvetően a weboldalak működésének, sőt, ha nem vagyunk biztosak a dolgunkban és tapasztalatlanok vagyunk, fontos hozzájuk segítséget kérni. A lényeg az, hogy minden WordPress weboldal tulajdonos tudjon ezekről és vagy saját maga vagy inkább szakember segítségével maximalizálhassa weboldala biztonságát, valamint a listán kipipálva az apróságokat, biztos legyen abban, hogy biztonságban van.
A biztonságos weboldalhoz kellenek a folyamatos frissítések, a megfelelő biztonsági pluginek, a fölösleges bővítmények törlése, a megfelelően beállított, nehéz jelszavak, melyek nem tartalmazzák a weboldal szavait, a folyamatosan sulykolt biztonsági mentések és hasonlók. No, elég vajon mindez? Koránt sem. Ehhez még 8 könnyebb és 7 nehezebb apróságot kell hozzávenni, hogy oldalunkat a lehető legnagyobb biztonságban tudjuk. Egyébként a belépési adatokat érdemes időnként módosítani, ahogy a biztonsági mentések és frissítések, valamint azok ellenőrzése sem egyszeri feladat.
A 7 egyszerűbb biztonsági megoldás (amihez nem feltétlenül kell segítség, bárki meg tudja oldani egy kis odafigyeléssel):
- Mindenképpen a lehető legjobban vigyázzunk a vírusokkal. Tegyünk meg mindent annak érdekében, hogy a számítógép, melyről weboldalunkat szerkesztjük vagy amelyről/amelyekről belépünk admin felületünkre, mentes legyen a vírusoktól és hatékony védelemmel legyen felszerelve. Egy jelszólopó program iszonyatos károkat képes okozni.
- WordPress sablont csak megbízható helyről szerezzünk be! Érdemes a készítőtől, a sablon gyártójának oldaláról megvásárolni és leltölteni a WP sablont és érdemes szemügyre venni a hozzá tartozó szerződést is. A nem legális sablonokban, a feltört sablonokban számos olyan rejtett beállítás, spamlink stb. lehet, ami roppant veszélyes. Csak legális sablonnal dolgozzunk! A hackerek nagyon ügyes és alattomos népség, a feltört sablonokkal hátsó ajtókat nyitnak maguknak weboldaladhoz. A megbízható, gyártótól beszerzett sablonok esetében ilyesmitől nem kell tartani, ráadásul ezekhez folyamatosan jár az ügyfélszolgálat, a támogatás így probléma esetén kompetens segítséget kapunk. Ráadásul az ő érdekük is, vásárlóiknál semmilyen gond ne merüljön fel.
- A bővítményeket is csak megbízható helyről töltsük le. Ugyanúgy és ugyanolyan problémákat okozhatnak, mint a nem legális, feltört sablonok. Ne gondoljuk, hogy ezek apróságok, mert egyetlen apró kis „résen” is elérhetik céljukat a betolakodók.
- A nem használt sablonokat és plugineket távolítsuk el az oldalunkról, mert meglepő lehet, de ezek is biztonsági réseket jelenthetnek.
- Az újdonságokat (sablon, bővítmény) ne élesben teszteljük. Ezek is rizikófaktort jelentenek.
- Soha ne nyúljunk bele a WP rendszerfájlba, mert így esetleg nem tudunk majd frissíteni vagy minden frissítésnél elvesznek a változtatásaink.
- A sablonfájlba se nyúljunk bele! Ugyanolyan okból kifolyólag ne piszkáljunk bele a sablonfájlba, amiért a WP rendszerfájlba sem szabad.
A 7 bonyolultabb biztonsági megoldás (amihez már segítség kellhet, mert nem éppen egyszerű internetezők szintjéhez mért feladatok, hanem talán már webmesteri irányba mutatók):
- Rejtsd el a jelenleg használt WP verzióadatokat. Ha a betolakodó nem tudja, milyen verziójú a WordPressed, akkor nehezebb dolga van.
- Töröld szerveredről a felesleges fájlokat (telepítő fájl, readme, licence, sample fájlok, mert ezekből a támadók számukra hasznos és dolgukat megkönnyítő információkat nyerhetnek.
- Bánj óvatosan és csínján a fájl jogosultságokkal. Csak annak adj írási és végrehajtási jogokat, akiben megbízol, akinek muszáj. Ezeket a dolgokat jól át kell gondolni és semmiképpen sem szabad félvállról venni. Egyébként semmilyen szerkesztési, változtatási jogot nem szabad csak úgy bárkinek odaadni, mert ha nem is hacker szintű bajokat okozhatnak, de meglehetősen nagy galibákat képesek generálni azok, akik rossz szándékkal vagy teljes inkompetenciával állnak hozzá.
- Tiltsd le az admin és a plugin fájlokat s Google robotok elől!
- Tiltsd a wp-config.php és a .htaccess elérést
- Tiltsd le a könyvtártallózást
- Tiltsd le az uploads és az includes mappákban a php futtatást