WordPress biztonság – 12 tipp a biztonságos WordPress weboldalért

Ha WordPress weboldalad van, akkor biztosan hallottál már arról, hogy az oldalt bizony védeni kell. Feltörhető, támadható, de vannak olyan  WordPress biztonsági beállítások, plugin-ok, melyek telepítésével és helyes beállításával megvédhetjük weboldalunkat a betolakodóktól. A WordPress biztonság kérdését járom körbe és 12 pontban tippeket adok, hogy a te weboldalad se essen áldozatul a támadásoknak!

A WordPress a világ legnépszerűbb blogger és weboldal platformja. A világ összes weboldalának több, mint 25%-a WordPress-t használ . A WordPress nyílt forráskódú, ami azt jelenti, hogy a WordPress forráskódja mindenki számára nyilvánosan elérhető. Mivel ilyen sok weboldalon fut ugyanaz a rendszer, így a hackerek kedvelt célpontjává vált, hiszen ha sikerül egy biztonsági rést találni, azt nem csak egyetlen oldalon, hanem azonnal oldalak százezrein lehet kihasználni – minimális munka, rengeteg célpont.

Mit tennél, ha hacker lennél és minél kevesebb munkával, minél gyorsabban a lehető legtöbb weboldalt szeretnéd megfertőzni vagy tele spam-elni? Megpróbálnál egy biztonsági rést találni az elterjedt szoftverekben, vagy a népszerű szoftvereket használó weboldalakon és megfertőznéd őket. Ha egy hacker a WordPress-ben vagy a WordPress által használt sablonban vagy pluginban meg tudja találni a biztonsági rést, akkor nagyon gyorsan meg tudja támadni az összes olyan weboldalt, amely ugyanezt a biztonsági rést tartalmazza.

FONTOS! Mielőtt bármelyik, a cikkben felsorolt plugin-t kipróbálnád, MINDEN ESETBEN készíts biztonsági mentést az adatbázisodról vagy a teljes weboldaladról. Amiatt kell, hogy bármikor vissza tudd állítani az eredeti állapotot! 

Ki támadja a WordPress webhelyemet?

Általában három olyan szervezet létezik, amely megtámadja a WordPress weboldalakat:
Emberek: Ez egy olyan személy, aki egy billentyűzet előtt ül, kézzel próbálkozik és támad egy weboldalt.
Egyetlen Bot: Ez egy olyan automatizált program vagy szkript, amelyet egy hacker írt és automatizált módon támad / fedez fel jellemzően egy, de akár több célpontot egyszerre .
A Botnet: Ez olyan nagyszámú (akár több milliós) fertőzött eszközök csoportja, amelyek olyan programokat futtatnak a tulajdonosuk tudta nélkül a háttérben, amelyeket egy központi “parancs- és vezérlő” kiszolgáló (C & C szerver) koordinál, és amelyek szintén akár egyszerre egy vagy akár számos webhelyet automatizált módon támadnak egyidőben sok helyről.

Miért támadják meg a WordPress webhelyemet?

A támadó célja, hogy adminisztrátori szinten szerezzen irányítást a WordPress-ben. Ez azt jelenti, hogy az oldalon található összes fájlhoz és adathoz hozzáfér. Plusz módosíthatják a fájlokat, módosíthatják az adatbázist, megváltoztathatják a webhely viselkedését és a tartalmat. Ezt a következő okok miatt kívánják tenni:

Levélszemét elküldése: Spamet szeretne küldeni a weboldaladról. A hackerek a weboldaladon szkripteket futtathatnak, amelyek tömeges e-maileket küldenek onnan.

A rosszindulatú tartalmak befogadása és a szűrők kijátszása: A hackerek használhatják a feltört webholdalt olyan tartalmak tárolására, mint a pornográfia, az illegális kábítószer-értékesítés vagy egyéb spam tartalom.

A webhely adatainak ellopása: az adatok elérése és letöltése a weboldalról, beleértve az ügyfelek e-mail címét és nevét is.  Célja lehet a még több spam küldése és a személyazonosság-lopás vagy más rosszindulatú tevékenység.

Más webhelyek megtámadására: Miután a weboldalad veszélybe került, a hacker használhatja a weboldalt olyan bot támadási parancsfájlok futtatására, amelyek más weboldalakra ugranak. Weboldalad egy – “botnet” nevű – gépek csoportjává válhat.

Fontos megjegyezni: Miután a weboldalad feltörték, nagyon valószínű, hogy rosszindulatú tevékenységekre fogják használni! Ez  tönkre teheti a weboldalad hírnevét SEO szempontból is. A keresőmotorok a rangsorolásnál büntetik is az ilyen weboldalakat. Ebből is látszik, milyen fontos a biztonság!

A leggyakrabban alkalmazott WordPress biztonsági megoldások

1. Tartsd a WordPress-ot naprakészen!

Amikor bejelentkezel és látod, hogy a “Frissítés elérhető”, kattints rá, és frissítsd webhelyed. Ha aggódsz, hogy valami elromlik vagy szétesik az oldal, készíts biztonsági másolatot a frissítés futtatása előtt. A legfontosabb az, hogy ezt rendszeresen megcsináld! Az előző változat biztonsági réseinek információi elérhetők a nyilvánosság számára is (és ebbe a hackerek is beletartoznak!), ami azt jelenti, hogy egy elavult weboldal még inkább sérülékeny, és a régebbi verziódon ki nem javitott sérülékenységi pontokat már meg sem kell találni.

2. Tartsd naprakészen a bővítményeket és a témákat is!

Ahogy a WordPress keret rendszeresen frissül, frissíteni kell a bővítményeket és a témákat is. Minden weboldalra telepített bővítmény és téma olyan, mint egy hátsó ajtó a weboldalhoz. Hacsak nem megfelelően biztosítják (alaposan ellenőrizve, rendszeresen frissítve stb.), a bővítmények és témák utat nyithatnak a betolakodóknak.

3. Távolíts el minden olyan bővítményt vagy témát, amit nem használsz!

Az ok ugyanaz, mint fent is írtam: ha nincsenek fent nem használt, elavult témák, pluginek, akkor az is csökkenteni fogja a feltörés valószínűségét. A pluginok deaktiválása általában nem elegendő; kattints a “Törlés” gombra.

4. Csak jól ismert forrásokból tölts le plugineket és témákat!

Ha lehet, akkor a WordPress.org-ról tölts le, mert ott alaposan megvizsgálják őket, mielőtt elfogadnák a témát vagy a bővítményt. Ha prémium témát vagy bővítményt szeretnél, akkor is csak ismert forrásból töltsd le őket, mint például a Themeforest vagy egy népszerű fejlesztő webhelye.

5. Soha ne használd az “admin” felhasználónevet!

Ha már telepítetted a WordPress-t az “admin” felhasználónévvel, vagy valami nagyon egyszerű user nevet választottál (pl. kiscica), akkor mindenképp változtasd meg azt! Ezek lesznek az elsők, amikkel a feltöréskor próbálkozni fognak.

6. Gyakran változtasd a jelszavad és nem mellesleg csak erős jelszót válassz!

A véletlenszerű betűk, számok és egyéb karakterek használata a legjobb. Használhatsz egy jelszógenerátort is mint a Norton Password Generator vagy a Strong Password Generator. SOHA ne legyen a jelszód password, admin vagy a saját neved! Le is ellenőriheted a jelenlegi jelszavad erősségét ezen a weboldalon

7. Használj kétlépcsős hitelesítést belépéskor!

A brute force támadások elkerülésére nagyon jó módszer a kétlépcsős azonosítás beállítása. Ez azt jelenti, hogy jelszó szükséges, plusz egy engedélyezési kód, amelyet elküldenek a telefonodra, hogy be tudj lépni a weboldaladra. Általában a második bejelentkezési kód SMS-ben érkezik. Számos pluging használható ehhez a funkcióhoz, pl. a Google Authenticator vagy a Duo.

8. Korlátozd a sikertelen belépések számát!

A brute force támadás a hackerek kedvelt taktikája. Ha engedélyezed, hogy megtegyék, akkor újra és újra megpróbálnak bejelentkezni a weboldalra, addig, amig meg nem találják a helyes név- jelszó kombinációt. Azért nevezik “brute force”-nak, mert a támadás “buta”, de hatásos – többet erővel, mint ésszel. Vannak azonban plugin-ek, amelyek lehetővé teszik, hogy korlátozzuk annak számát, ahányszor egy bizonyos IP-ről egy személy megpróbálhat bejelentkezni meghatározott időn belül. Vannak biztonsági plugin-ek, melyek rengeteg funkciót kínálnak és legtöbbször tartalmazzák a bejelentkezések számának korlátozását is. Ilyen például az iThemes Security és a Sucuri Security., a Wordfence vagy az All in one WP SecurityEzek közül mindig használj egyet!

9. Mindig legyen biztonsági mentés a weboldaladról!

Ne  csak alkalmanként, amikor eszedbe jut, akkor ments, hanem rendszeresen. Úgy értem, kiszámíthatóan és menetrend szerint. Az ütemezett biztonsági másolatok a webhelyek biztonsági stratégiájának lényeges részét képezik, mivel biztosítják, hogy weboldalad sérülése esetén könnyebben vissza lehessen azt állítani egy korábbi verzióra. Létezik automatizált megoldás, mint a  BackWPUpUpdraftPlus WP Backup.

10. Tűzfal és vírusirtó telepítése a számítógépedre!

Ez egy extra lépés, igen, de legalább egyszerű. És ha telepíted, akkor pluszban lesz még egy védelmi vonalad a hackerek ellen.

11. SOHA ne tölts le prémium plugin-eket ingyenes letöltős oldalakról!

A prémium bővítmények illegális változatai általában rosszindulatú kódot tartalmaznak.
Ez azt jelenti, hogy az egykor nagyszerű prémium plugin kiváló kóddal most egy hacker közvetlen hozzáférését fogja biztosítani a weboldaladhoz. És miért fogják feltörni az oldalad? Csak azért, mert meg akartál spórolni néhány ezer forintot.

12. A bejelentkezési oldal url-jét változtasd meg

Végülis a webhely egyes elemeinek elrejtése nem akadályozza meg a hackerek hozzáférését, de legalább megnehezíti a feladatukat. És ez jó, nem?

bejelentkezési oldal áthelyezése vagy átnevezése gyors módja annak, hogy a hacker munkáját nehezebbé tedd. A brute force támadások jellemzően automatizáltak, tehát ha a bejelentkezési oldal más, mint a www.weboldal.com/wp-admin vagy a www.weboldal.com/wp-login.php, akkor azt több idő támadni és a hacker könnyebb célpontot választ. Számos plugin áll rendelkezésre, amelyek ezt az egyszerű változtatást teszik lehetővé. Ilyen pl. a WPS Hide login is vagy a fent említett All In One WP Security. Csak ne felejts el, hogy mi az új belejentkezési URL-ed!

Tehát ezek az ALAP beállítások, amelyeket minden WordPress weboldal tulajdonosnak ajánlott elvégeznie ahhoz, hogy legyen egy biztos védelme a támadások többsége ellen.

Itt is adok néhány tippet, ha WordPress weboldalad van, érdemes azt is elolvasni!