A WordPress biztonság alapjai
A WordPress rendszer – mivel ma már az egyik legnépszerűbb weboldal motor – szinte állandó támadásnak van kitéve. Ingyenes, népszerű és sokoldalú, mégis gyakran könnyen feltörik, éppen ezért rendkívül fontos, hogy beszéljünk a WordPress alapvető biztonságáról, mindarról, amit megtehetünk azért, hogy legalább megnehezítsük a behatolók dolgát, illetve a lehető legjobban megvédjük felhasználóink adatait.
Az utóbbi időkben megszaporodtak a feltört weboldal helyreállítási munkáink, így nem lehet a biztonságról eleget beszélni.
Mi okozza gyakran a feltörhetőséget?
Tapasztalataink alapján a leggyakoribb okok:
- Gyenge jelszó. Gyakran találkozunk túl könnyű jelszavakkal. Ne felejtsd el, a jelszavakat nem billentyűzet mellett ülő emberek próbálják feltörni, hanem jelszótörő programok, azok pedig pörögnek…
- Karbantartás hiánya. A weboldal tulajdonosa nem mer frissíteni, hátha elrontja. Vagy csak lusta. Mindegy. Az elavult rendszer mindig könnyebben törhető a frissen tartottnál.
- Megbízhatatlan, gyenge kódolású kiegészítők használata. A minőségileg gyenge bővítmény sokkal sebezhetőbb, mint a jó minőségben kódolt.
Az okokról bővebben olvashatsz a WordPress biztonság ebookomban.
A legalapvetőbb biztonsági intézkedések, amit minden WordPress honlap tulajdonosnak kötelezően meg kell tenni
Erős jelszó
Egy WordPress honlap legerősebb védelmét a jó jelszóválasztás adja. Bár a felhasználónév is fontos, de ez utóbbi még lényegesebb. Sokan túl paranoidnak tartják a WordPress jelszó erősség kijelzését, azonban nem lehet elég komolyan venni ezt a kérdést abban az esetben, ha honlapunkkal többet akarunk elérni annál, minthogy egy egyszerű blog legyen belőle. Általánosságban elfogadott nézet, hogy az a jelszó, amit meg tudunk jegyezni lap nélkül elsőre vagy másodikra, az nem elég erős ahhoz, hogy weboldalunkat védje. Persze nem is az a cél, hogy 10-20 karakter hosszú, konkrétan összefüggő, vagy megjegyezhető kereteken túli jelszavakat álmodjunk meg magunknak – bár nem rossz elgondolás –, ellenben egy jelszókezelő alkalmazással megkönnyíthetjük a dolgunkat, és megnövelhetjük oldalunk biztonságát is. Ilyen többek között a LastPass is, ami az egyik legnépszerűbb és legjobb alternatíva. Érdemes egyébként a prémium változatot választani belőle, amiért éves szinten 12 dollárt kell fizetni, ami a biztonságért egyáltalán nem sok.
Belépések korlátozása
A rengeteg brute-force támadás miatt mindenképpen érdemes korlátozni a belépési kísérletek számát. Nemcsak azért, hogy illetéktelen ne jusson be az admin felületünkre, de azért is, mert ezek a támadások be is tudják lassítani a weboldalt. Számtalan jól használható bővítmény létezik erre a célra. A biztonsági bővítmények általában tartalmaznak ilyen funkciót, de megfelel a Limit Login Attempts, a Login Lockdown vagy a Loginizer bővítmény is.
Még néhány alapvető biztonsági intézkedés
Nagyon sok olyan WordPress oldal tulajdonos van, aki hajlamos azt hinni, hogy az ő rendszere egy jó jelszóval már elég biztonságos, esetleg úgy véli, hogy az ő portálja olyannyira aprócska, hogy úgysem töri fel senki. Ne éljünk azonban álomvilágban, hiszen kis túlzással egyetlen olyan – nem blogként funkcionáló – weboldal sincs, amelyet egy bot hálózatnak például nem érné meg feltörni, tehát a méret nem lényeg, pláne annak fényében, hogy sokszor teljesen vakon próbálkoznak, ergo a mi oldalunk is bármikor célponttá válhat. Nem az a kérdés tehát, hogy fognak-e próbálkozni, hanem az, hogy mikor.
Az erős jelszón kívül persze hozhatunk más intézkedést is a cél érdekében. Az egyik legegyszerűbb megoldás, amennyiben a tárhely-szolgáltatónkat felkérjük arra – ha ezt nem tette meg alapból –, hogy a wp-login.php-ra irányuló kéréseket limitálja le, és egy bizonyos megtekintési szám után azonnal lassítsa le. Magyarán egy öt bejelentkezési kísérlet után az oldal hibakódot fog adni néhány percig, ami éppen elég idő arra, hogy az erősebb támadásokat lelassítsa, ezáltal nem fognak tovább próbálkozni, mert a brute force támadás lényege az, hogy minél gyorsabban és minél több kombinációt próbáljon ki a robot. Így azonban a próbálkozások közötti idő drasztikusan megnövekszik.
Még egy nagyon jó megoldás lehet az úgynevezett reverz proxy alkalmazása, aminek a lényege az, hogy egy extra biztonsági szolgáltatást teszünk az oldal elé. Ilyen például a CloudFlare – aminek sajnálatos módon éppen a napokban sikerült egy halom WordPress jelszót kiszivárogtatnia –, valamint az Incapsula, amiről alaposan megoszlanak a vélemények. Az ilyen reverz proxy-k lényege, hogy képesek nyilvántartani az interneten felbukkanó bothálózatokat, ezáltal automatikusan meg tudják fogni az összes kártékony próbálkozási kísérletet még az előtt, hogy az oldalunkig eljutna.