Mit kell tudnod a WordPress biztonságról?
A WordPress blogok és weboldalak a szoftver népszerűségének köszönhetően a rosszindulatú hackerek játszóterévé változott. Sajnos a legtöbb weboldal tulajdonosnak nem a biztonsági kérdések a legfontosabbak, pedig ha ez nincsen megoldva, nagyon könnyen minden munka kárba veszhet. Feltelepíti az oldalra a rövid tartalmat és utána már nem törődik sem a biztonsággal, sem a frissítéssel, emiatt következhetnek be a hacker támadások. Az ok nagyon gyakran az elavult WordPressben keresendő.
Mit tehetsz a biztonságod érdekében? Ebben a bejegyzésben megmutatom a legfontosabb lépéseket, hogyan védekezz az ilyen támadásoktól, illetve mi az, amit megtehetsz, és korlátozhatod, illetve megnehezítheted a hacker támadásokat.
Az oldalt csak biztonságos szerverről hostold!
Amikor szolgáltatót választasz, akkor bizonyosodj meg arról, hogy a szolgáltató a legfrissebb stabil, azaz számodra a legbiztonságosabb PHP verziót használja. Kérdezd meg vagy nézd meg az információk között, hogy milyen saját szerver védelmet használnak, és hogyan védik az adminisztrációs felületüket. A mappák jogosultságait hogyan választják meg? A saját tűzfalukat megfelelően konfigurálták?
Csak olyan tárhelyszolgáltatóval kezdj, aki
- könnyedén veszi a biztonsági akadályokat, azaz képes segíteni, ha gond van,
- az összes szerver szoftver tekintetében rendszeresen gondoskodik a szerveroldali szoftverek frissítéséről,
- megbízható módszerekkel rendelkezik a biztonsági mentés és a helyreállítás területén,
- támogatja az SFTP-t, hiszen így még nagyobb biztonságban vándorolhatnak az adataid, különösképpen a jelszavak tekintetében,
- legyen minőségi ügyfélszolgálata, azaz a nap 24 órájában elérhető legyen, főleg ha bajba kerül oldalad. Nézd meg, hányféle elérhetőséget adnak meg, hiszen már abból is le tudsz vonni következtetéseket.
Ha az alacsony árfekvése miatt döntöttél is a WordPress mellett, a tárhellyel kapcsolatban már ne legyél ennyire költséghatékony. Tartsd szem előtt, hogy amennyit fizetsz, pontosan annyit is fogsz kapni. Az „olcsó húsnak híg a leve” közmondás itt fokozottan be fog igazolódni. Ne tévesszenek meg a korlátlan lehetőségek, amiket felajánlanak, hiszen tudjuk, hogy semmi sincsen ingyen.
Tervezd meg jó előre, hogy körülbelül mekkora tárhelyre lesz szükséged és ebbe kalkuláld bele a fejlődési szakaszt is. Szedd össze azokat a funkciókat, amire biztosan szükséged lesz hosszútávon és ez alapján mérlegeld a döntésedet a tárhelyszolgáltató kiválasztásánál, illetve a csomagválasztásnál.
Soha ne használj olyan felhasználónevet, amely a domain névvel egyezik és kerüld az admin felhasználónevet is. Lehetőleg hozz létre új felhasználót 1-es számú felhasználó helyett.
A brute force támadások célpontjai lehetnek ezek a típusú felhasználónevek, ezért ezeket lehetőleg kerüld el. Az 1-es felhasználót rögtön a WordPress telepítése után célszerű törölnöd, helyette hozz létre egy újat. Az 1-es lehetőséget már nem fogja felajánlani a rendszer, így az ilyen támadásoktól már nem kell tartanod. Találj ki egy jópofa, és nem könnyű felhasználónevet és használd azt. Lehetőleg legyen benne kisbetű, nagybetű, szám és speciális karakter is.
További tippek a biztonságos belépéshez
Az erős jelszón kívül lehetőséged van még a belépések számának korlátozására, pl. a Limit Login Attemps bővítmény használatával. Így meghatározhatod, hogy hány kísérletet engedsz meg a belépéskor. Az összes ilyen belépést el fogja tárolni a rendszer, így utólag is lesz lehetőséged utána nézni, hány támadási kísérleted volt az elmúlt időszakban.
Erősítheted a rendszert a Captcha rendszer telepítésével, azaz csak egy plusz karaktersor begépelése után juthat be bárki is az oldalra. Ez manapság egyre népszerűbb, hiszen egyre többen döntenek a biztonságos megoldások mellett.
Ha gyakran változtatod meg a jelszavadat – pl. havonta -, akkor is közelebb kerülsz ahhoz, hogy totális védelmet biztosíts oldaladnak.
Ne használj gyári alap sablont
A gyári sablonok a WordPress telepítéssel érkeznek, azokat általában minden hacker ismeri, jobb megoldás, ha kereskedelmi sablont választasz, a legjobb, ha saját és egyedileg programozottat használsz, akkor ezt a típusú támadást már ki is zárhatod. Nagyon lényeges, hogy ne tedd publikussá. A sablon készítésénél is figyelj a biztonsági elemek meglétére. Prémium sablont vásárolni tudsz például a ThemeForest.net oldalon. Lehetőleg kerüld el messzire az ingyenes sablonokat, ha mégis efelé tendálsz, akkor letöltés előtt alaposan nézd meg a forráskódját és a fájlrendszerét is. Jól nézd meg azt is választás előtt, hogy a WordPress telepített verziójával kompatibilis-e és nézd meg, hogy milyen gyakran frissül. Mennyire foglalkozik vele illetve mennyire tartja karban a készítője.
Tilos a 777-es jogosultság
A szerver szolgáltató minden esetben beállítja a mappa jogosultságokat – legtöbbször megfelelően, ezeket ne módosítsd, hagyjuk úgy, ahogy van. A teljes írásra és olvasásra való jogosultság megadása tilos, azaz a 777 használata.
Az adminok is használjanak erős jelszavakat
A neten számtalan ingyenes jelszó generátor van, érdemes ezeket használni még az adminoknak is. Azon kívül, hogy erős jelszót választasz, azt soha ne írd ki sehová, és az e-mail fiókodból is tüntesd el, ha azt feltörik, ugyanúgy hozzájutnak a jelszavakhoz a hackerek. Ha egy szöveges txt dokumentumba mented el, onnan csak be kell másolnod, ezáltal a billentyűleütések kikémlelése ellen is tudsz védekezni. Ezután fájllal együtt írd ki egy adathordozóra, mondjuk egy CD-re vagy egy DVD-re. ha még nagyobb biztonságban szeretnéd tudni a jelszavakat, akkor egy pendrive-ra vagy egy külső merevlemezre, füzetbe is lementheted. Amikor a jelszavadat megváltoztatod, akkor a WordPress automatikusan jelzi neked, hogy mennyire erős az a jelszó, amit éppen kiválasztottál. Érdemes ezt komolyan venni, és ha nem megfelelő erősségű, akkor azonnal változtass rajta. Hidd el, sok múlik ezen a döntéseden.
Térjünk egy kicsit itt ki a felhasználói jogkörökre is a WP esetében. A legkisebb, azaz legalacsonyabb a „Feliratkozó”. Ő regisztrálni tud, kommentelni és értékelni. Az „Adminisztrátor” funkció a legerősebb, ő az, aki tulajdonképpen bármihez hozzáférhet (vagy a superadmin, multisite esetén). Tud törléseket végezni, installálni, hozzáfér az összes felhasználói adathoz és természetesen publikálhat is. Ha valakit csak szerkesztéssel szeretnél megbízni, akkor ne adj neki automatikusan admin jogkört. Ő lehet Szerkesztő vagy Szerző.
Tűzfal, security program és fájl ellenőrző feltelepítése elengedhetetlen
A különféle pluginok nagy segítséget nyújtanak oldalad biztonságosabbá tételében. Használd őket a tűzfalhoz, a fájl ellenőrzéshez. A fájl ellenőrző nagyon praktikus, hiszen átvizsgálja a rosszindulatú kódokat vagy részleteket keresve az összes könyvtárra vetítve. Sok bővítmény közül válogathatsz, pl. egy kombináció lehet a Wordfence, a Ninja Firewall és az iThemes security pluginokat használni. Ezeknél pl. fontos a telepítés sorrendje is, mert ha az iThemes kerül először telepítésre, akkor a Ninja-t már nem tudod utána végigfuttatni. Kezd a Ninja telepítésével majd utána az iThemes telepítésével folytasd, és a végére hagyd a Wordfence-t.
Mit tud a WordFence? Teljes fájl rendszer átvizsgálás és képes a WP fájlokon kívül is keresgélni. Ha csak az ingyenes verzióban gondolkodsz, akkor az a hibák javítására nem lesz elegendő.
Ninja Firewall: ennél sem lesz elég az ingyenes verzió, érdemes megvásárolni a teljes verziót. A fájlmódosulások nyomon követésében lesz segítségedre és befoltozza a biztonsági réseket.
iThemes Security: az ingyenes verzió is sokat segíthet oldalad védelmében. Minél előbb töltsd le és használd!
A template, core és plugin fájlokat folyamatosan frissítsd
Csak olyan bővítményeket használj, amelyeknek rendszeres a frissítése. Elavult bővítmények esetén újabb hacker támadás áldozatává válhat oldalad. Figyelj arra, hogy a nem használt pluginokat mindig távolítsd el, soha ne hagyd a bővítménylistádban. Ez vonatkozik azokra is, amelyeket csak kipróbálásra töltöttél le. Ha van olyan plugin amit ritkán, de azért használsz, akkor kapcsold ki, azokat nem szükséges azonnal törölnöd.
Az alverziók automatikusan frissülnek, de a főverziók nem. Fontold meg a főverziók automatikus frissítésének beállítását.
Hogy az automatikus frissítés elérhető legyen a bővítményeknél, a következő kódot add wp-config.php fájlhoz:
add_filter( 'auto_update_plugin', '__return_true' );
A sablonok automatikus frissítéséhez a következő kódot használd:
add_filter( 'auto_update_theme', '__return_true' );
Ha nagyon szűk a költségvetésed, illetve most alapítottad meg a vállalkozásodat, akkor javasolom, nézz meg pár ingyenes plugint is, de csak amellett dönts, amiről biztosan tudod, hogy biztonságos. Ezeket a plugin ajánlásokat a WordPress.org oldalon megtekintheted. A piacon több 10 vagy akár több 100 dollárt is elkérhetnek egy jobb pluginért.
A fájlokról és az adatbázisról mindig készíts biztonsági mentést
A BackupBuddy ebben nagy segítségedre lesz, de persze más módon is mentheted a fájlokat. Ha hacker támadás érte az oldaladat, akkor a legutolsó biztonsági frissítést meg tudod keresni, és offline tudod a hibákat javítani. Ezután már gyerekjáték lesz visszahozni az oldalt. Ha korrekt a tárhelyszolgáltatód, akkor meg tudsz velük egyezni abban, hogy ők is folyamatosan frissítsék és mentsék a webtárhely tartalmát. Így, ha nagyon nagy a baj, akkor ők is segíteni tudnak majd a visszaállításban. A lényeg, hogy minden frissítés előtt készüljön egy biztonsági mentés is, így nagyon sok felesleges munkától megkímélheted magadat.
Vagy használhatod pl. a BackWPup bővítményt is. Van fizetős verzió is, de az ingyenes is teljesen jól megteszi.
Az általános látogatók felé tiltsd a wp-admin-t, a .htaccess segítségével
A kódrészlet beillesztésével minden olyan látogatótól mentesítjük az oldalunkat, akit nem rendeltünk hozzá. A lista bővíthető és új IP címeket is adhatsz hozzá. Nem túl jó, ha sok IP cím van hozzá rendelve, így azok, akik dinamikus IP címmel dolgoznak, nem lesznek könnyű helyzetben. Nekik időintervallumokat lehet beállítani, amikor el tudják érni az admin felületet.
order deny,allow Deny from all
Mindig legyen meg a legfrissebb WordPress frissítésed
A WordPress mindig újabb frissítésekkel jön ki, ezeket érdemes alkalmazni, hiszen sokat foglalkoznak a biztonsági rés problémájával. Ha egyet azonosítanak, akkor a következő frissítésbe már bele is teszik az összes fellelt hibára a megoldást. Minden egyes nagyobb frissítés után piacra dobják a kisebb frissítéseket, amelyek ezeket a hibákat küszöbölik ki. Csakúgy, mint a többi modern szoftvercsomagot a WordPresst is folyamatosan frissítik. Oldalad biztonsága folyamatos aggodalomra adhat okot, ezért lehetőleg mindig a naprakész verziókat használd.
Ha nem akarsz bajlódni a frissítésekkel, akkor a következő kódrészletet használd (WordPress motor frissítése, beleértve a főverziókat is):
# Enable all core updates, including minor and major: define( 'WP_AUTO_UPDATE_CORE', true );
Ha attól félsz, hogy az automatikus frissítés esetleg támadási lehetőséget is rejthet magában, akkor a következő kód részletet illeszd be wp-config.php-ba:
# Disable all core updates: define( 'WP_AUTO_UPDATE_CORE', false );
Ebben az esetben magadnak tudod frissíteni, amikor belépsz.
A WordPress fejlesztők Rád is számítanak. Te is segíthetsz a biztonsági kérdések aktualizálásában, hiszen ha úgy érzed, hogy találtál egy biztonsági rést, akkor jelentheted nekik a Biztonsági kérdések menüpont alatt. Ott részletesen megtalálod, hogy kell beküldeni a jelentést.
Használj két lépcsős hitelesítést
Biztosan találkoztál már kétlépcsős hitelesítéssel életedben, hiszen a bankok is ezt használják. A következőket ajánlom: Google Authenticator, WordFence, Authy és Duo. A kétlépcsős hitelesítés tényleg nem egy új dolog. A bankoknál az egyik hitelesítés maga a bankkártya a második a PIN kód. A WordPress esetében ez azt jelenti, hogy a belépéskor már egy másik kódra is szükség van, ami általában egy telefonra megküldött kód. A Biztonsági Beállítások fül alatt lehet a telefonszámot hozzárendelni az oldalhoz. A telefonszám hozzáadása után életbe is lép a biztonsági lépés.
Védd a saját számítógéped!
Figyelj oda a saját számítógépedre is, hogy vírus és malware mentes legyen
Amennyiben ingyenes megoldást szeretnél, akkor az Avas-t is használhatod erre a célra. Ha fertőzött a géped, akkor a hacker általában a böngésző biztonsági réseit kihasználva fér hozzá az adatokhoz. Mindig ellenőrizd le, hogy a számítógéped mentes a kémprogramoktól, a rosszindulatú programoktól és a vírusfertőzésektől.
Egyéb beállítási tippek a fokozottabb biztonság érdekében
Távolítsd el a felesleges fájlokat, mint például az olvasdel.html fájlt, hiszen a hacker máris tudni fogja, hogy melyik verzióját használod éppen a WP-nek. Így nagyon gyorsan rájönnek arra is, hogy melyik az a módszer, amellyel a leggyorsabban feltörhetik oldaladat.
Változtasd meg az adatbázis prefixet a WordPress telepítésekor. Az alapértelmezett a wp_. ezt kell megváltoztatnod.
Mindenképpen rejtsd el az avatatlan szemek elől a WordPress verziót. A weboldalad forráskódjában automatikusan látható a verzió szám.
Regisztrálj weboldal figyelő szolgáltatásokra
Ezek az oldalak különféle szempontok szerint szó szerint monitorozzák oldaladat és szükség esetén értesítést küldenek. Folyamatosan figyelik, hogy él-e az oldalad, figyelik a vírusokat, az adathalászatokat, illetve figyelik a tiltó listára való felkerüléseket is különböző okokból, mint például a spam és káros tartalom. A Search Console – régebbi nevén: Google Webmaster Tools – teljesen ingyenes, de természetesen vannak fizetős megoldások is pl a ManageWP.
Néhány további ingyenes WordPress plugin, ami még segítségedre lehet a rendszered tisztán tartásában:
- Akismet – spam szűrő alkalmazás, ez már alapvetően integrálva van a WP-be, kérsz kódot, beüzemeled és kevesebb gondod lesz,
- BackUpWordPress – segítségével az adatbázisról és a fájlrendszerről készíthetsz másolatot,
- BackWPup Free – WordPress Backup – adatbázis és fájlrendszer másolatot készíthetünk, exportálhatunk ki XML-t,
- Better WP Security – a biztonsági rések betömködésére szolgál, elérési utakat módosíthatsz, felhasználói fiókokat és jogosultságokat tilthatsz le, brute force támadások ellen védekezhetsz,
- Wordfence Security – tűzfal, anti-vírus szkennelő funkciót, kétlépcsős hitelesítési rendszert és ténylegesen valós idejú támadás blokkolást nyújt,
- Limit login attemps – több hibás bejelentkezés után (limitálni lehet) letiltja a felhasználó IP címét,
- Custom Login – az admin felület bejelentkező paneljét lehet vele lecserélni,
Fast Secure Contact Form – biztonságos form-ok létrehozására szolgál.
Még több WordPress biztonság tipp kell?
Gyakorlati útmutató: 44 oldalon keresztül 6368 szóban, 46192 karakterben minden, Amit a WordPress biztonságról tudni akartál. Töltsd le most! Klikk ide! (Hasonlításként: ez a bejegyzés 2027 szó.)