WordPress biztonság – 12 tipp a biztonságos WordPress weboldalért

Ha WordPress weboldalad van, akkor biztosan hallottál már arról, hogy az oldalt bizony védeni kell. Feltörhető, támadható, de vannak olyan  WordPress biztonsági beállítások, plugin-ok, melyek telepítésével és helyes beállításával megvédhetjük weboldalunkat a betolakodóktól. A WordPress biztonság kérdését járom körbe és 12 pontban tippeket adok, hogy a te weboldalad se essen áldozatul a támadásoknak!

A WordPress a világ legnépszerűbb blogger és weboldal platformja. A világ összes weboldalának több, mint 25%-a WordPress-t használ . A WordPress nyílt forráskódú, ami azt jelenti, hogy a WordPress forráskódja mindenki számára nyilvánosan elérhető. Mivel ilyen sok weboldalon fut ugyanaz a rendszer, így a hackerek kedvelt célpontjává vált, hiszen ha sikerül egy biztonsági rést találni, azt nem csak egyetlen oldalon, hanem azonnal oldalak százezrein lehet kihasználni – minimális munka, rengeteg célpont.

Mit tennél, ha hacker lennél és minél kevesebb munkával, minél gyorsabban a lehető legtöbb weboldalt szeretnéd megfertőzni vagy tele spam-elni? Megpróbálnál egy biztonsági rést találni az elterjedt szoftverekben, vagy a népszerű szoftvereket használó weboldalakon és megfertőznéd őket. Ha egy hacker a WordPress-ben vagy a WordPress által használt sablonban vagy pluginban meg tudja találni a biztonsági rést, akkor nagyon gyorsan meg tudja támadni az összes olyan weboldalt, amely ugyanezt a biztonsági rést tartalmazza.

FONTOS! Mielőtt bármelyik, a cikkben felsorolt plugin-t kipróbálnád, MINDEN ESETBEN készíts biztonsági mentést az adatbázisodról vagy a teljes weboldaladról. Amiatt kell, hogy bármikor vissza tudd állítani az eredeti állapotot! 

Ki támadja a WordPress webhelyemet?

Általában három olyan szervezet létezik, amely megtámadja a WordPress weboldalakat:
Emberek: Ez egy olyan személy, aki egy billentyűzet előtt ül, kézzel próbálkozik és támad egy weboldalt.
Egyetlen Bot: Ez egy olyan automatizált program vagy szkript, amelyet egy hacker írt és automatizált módon támad / fedez fel jellemzően egy, de akár több célpontot egyszerre .
A Botnet: Ez olyan nagyszámú (akár több milliós) fertőzött eszközök csoportja, amelyek olyan programokat futtatnak a tulajdonosuk tudta nélkül a háttérben, amelyeket egy központi “parancs- és vezérlő” kiszolgáló (C & C szerver) koordinál, és amelyek szintén akár egyszerre egy vagy akár számos webhelyet automatizált módon támadnak egyidőben sok helyről.

Miért támadják meg a WordPress webhelyemet?

A támadó célja, hogy adminisztrátori szinten szerezzen irányítást a WordPress-ben. Ez azt jelenti, hogy az oldalon található összes fájlhoz és adathoz hozzáfér. Plusz módosíthatják a fájlokat, módosíthatják az adatbázist, megváltoztathatják a webhely viselkedését és a tartalmat. Ezt a következő okok miatt kívánják tenni:

Levélszemét elküldése: Spamet szeretne küldeni a weboldaladról. A hackerek a weboldaladon szkripteket futtathatnak, amelyek tömeges e-maileket küldenek onnan.

A rosszindulatú tartalmak befogadása és a szűrők kijátszása: A hackerek használhatják a feltört webholdalt olyan tartalmak tárolására, mint a pornográfia, az illegális kábítószer-értékesítés vagy egyéb spam tartalom.

A webhely adatainak ellopása: az adatok elérése és letöltése a weboldalról, beleértve az ügyfelek e-mail címét és nevét is.  Célja lehet a még több spam küldése és a személyazonosság-lopás vagy más rosszindulatú tevékenység.

Más webhelyek megtámadására: Miután a weboldalad veszélybe került, a hacker használhatja a weboldalt olyan bot támadási parancsfájlok futtatására, amelyek más weboldalakra ugranak. Weboldalad egy – “botnet” nevű – gépek csoportjává válhat.

Fontos megjegyezni: Miután a weboldalad feltörték, nagyon valószínű, hogy rosszindulatú tevékenységekre fogják használni! Ez  tönkre teheti a weboldalad hírnevét SEO szempontból is. A keresőmotorok a rangsorolásnál büntetik is az ilyen weboldalakat. Ebből is látszik, milyen fontos a biztonság!

A leggyakrabban alkalmazott WordPress biztonsági megoldások

1. Tartsd a WordPress-ot naprakészen!

Amikor bejelentkezel és látod, hogy a “Frissítés elérhető”, kattints rá, és frissítsd webhelyed. Ha aggódsz, hogy valami elromlik vagy szétesik az oldal, készíts biztonsági másolatot a frissítés futtatása előtt. A legfontosabb az, hogy ezt rendszeresen megcsináld! Az előző változat biztonsági réseinek információi elérhetők a nyilvánosság számára is (és ebbe a hackerek is beletartoznak!), ami azt jelenti, hogy egy elavult weboldal még inkább sérülékeny, és a régebbi verziódon ki nem javitott sérülékenységi pontokat már meg sem kell találni.

2. Tartsd naprakészen a bővítményeket és a témákat is!

Ahogy a WordPress keret rendszeresen frissül, frissíteni kell a bővítményeket és a témákat is. Minden weboldalra telepített bővítmény és téma olyan, mint egy hátsó ajtó a weboldalhoz. Hacsak nem megfelelően biztosítják (alaposan ellenőrizve, rendszeresen frissítve stb.), a bővítmények és témák utat nyithatnak a betolakodóknak.

3. Távolíts el minden olyan bővítményt vagy témát, amit nem használsz!

Az ok ugyanaz, mint fent is írtam: ha nincsenek fent nem használt, elavult témák, pluginek, akkor az is csökkenteni fogja a feltörés valószínűségét. A pluginok deaktiválása általában nem elegendő; kattints a “Törlés” gombra.

4. Csak jól ismert forrásokból tölts le plugineket és témákat!

Ha lehet, akkor a WordPress.org-ról tölts le, mert ott alaposan megvizsgálják őket, mielőtt elfogadnák a témát vagy a bővítményt. Ha prémium témát vagy bővítményt szeretnél, akkor is csak ismert forrásból töltsd le őket, mint például a Themeforest vagy egy népszerű fejlesztő webhelye.

5. Soha ne használd az “admin” felhasználónevet!

Ha már telepítetted a WordPress-t az “admin” felhasználónévvel, vagy valami nagyon egyszerű user nevet választottál (pl. kiscica), akkor mindenképp változtasd meg azt! Ezek lesznek az elsők, amikkel a feltöréskor próbálkozni fognak.

6. Gyakran változtasd a jelszavad és nem mellesleg csak erős jelszót válassz!

A véletlenszerű betűk, számok és egyéb karakterek használata a legjobb. Használhatsz egy jelszógenerátort is mint a Norton Password Generator vagy a Strong Password Generator. SOHA ne legyen a jelszód password, admin vagy a saját neved! Le is ellenőriheted a jelenlegi jelszavad erősségét ezen a weboldalon

7. Használj kétlépcsős hitelesítést belépéskor!

A brute force támadások elkerülésére nagyon jó módszer a kétlépcsős azonosítás beállítása. Ez azt jelenti, hogy jelszó szükséges, plusz egy engedélyezési kód, amelyet elküldenek a telefonodra, hogy be tudj lépni a weboldaladra. Általában a második bejelentkezési kód SMS-ben érkezik. Számos pluging használható ehhez a funkcióhoz, pl. a Google Authenticator vagy a Duo.

8. Korlátozd a sikertelen belépések számát!

A brute force támadás a hackerek kedvelt taktikája. Ha engedélyezed, hogy megtegyék, akkor újra és újra megpróbálnak bejelentkezni a weboldalra, addig, amig meg nem találják a helyes név- jelszó kombinációt. Azért nevezik “brute force”-nak, mert a támadás “buta”, de hatásos – többet erővel, mint ésszel. Vannak azonban plugin-ek, amelyek lehetővé teszik, hogy korlátozzuk annak számát, ahányszor egy bizonyos IP-ről egy személy megpróbálhat bejelentkezni meghatározott időn belül. Vannak biztonsági plugin-ek, melyek rengeteg funkciót kínálnak és legtöbbször tartalmazzák a bejelentkezések számának korlátozását is. Ilyen például az iThemes Security és a Sucuri Security., a Wordfence vagy az All in one WP SecurityEzek közül mindig használj egyet!

9. Mindig legyen biztonsági mentés a weboldaladról!

Ne  csak alkalmanként, amikor eszedbe jut, akkor ments, hanem rendszeresen. Úgy értem, kiszámíthatóan és menetrend szerint. Az ütemezett biztonsági másolatok a webhelyek biztonsági stratégiájának lényeges részét képezik, mivel biztosítják, hogy weboldalad sérülése esetén könnyebben vissza lehessen azt állítani egy korábbi verzióra. Létezik automatizált megoldás, mint a  BackWPUpUpdraftPlus WP Backup.

10. Tűzfal és vírusirtó telepítése a számítógépedre!

Ez egy extra lépés, igen, de legalább egyszerű. És ha telepíted, akkor pluszban lesz még egy védelmi vonalad a hackerek ellen.

11. SOHA ne tölts le prémium plugin-eket ingyenes letöltős oldalakról!

A prémium bővítmények illegális változatai általában rosszindulatú kódot tartalmaznak.
Ez azt jelenti, hogy az egykor nagyszerű prémium plugin kiváló kóddal most egy hacker közvetlen hozzáférését fogja biztosítani a weboldaladhoz. És miért fogják feltörni az oldalad? Csak azért, mert meg akartál spórolni néhány ezer forintot.

12. A bejelentkezési oldal url-jét változtasd meg

Végülis a webhely egyes elemeinek elrejtése nem akadályozza meg a hackerek hozzáférését, de legalább megnehezíti a feladatukat. És ez jó, nem?

bejelentkezési oldal áthelyezése vagy átnevezése gyors módja annak, hogy a hacker munkáját nehezebbé tedd. A brute force támadások jellemzően automatizáltak, tehát ha a bejelentkezési oldal más, mint a www.weboldal.com/wp-admin vagy a www.weboldal.com/wp-login.php, akkor azt több idő támadni és a hacker könnyebb célpontot választ. Számos plugin áll rendelkezésre, amelyek ezt az egyszerű változtatást teszik lehetővé. Ilyen pl. a WPS Hide login is vagy a fent említett All In One WP Security. Csak ne felejts el, hogy mi az új belejentkezési URL-ed!

Tehát ezek az ALAP beállítások, amelyeket minden WordPress weboldal tulajdonosnak ajánlott elvégeznie ahhoz, hogy legyen egy biztos védelme a támadások többsége ellen.

Itt is adok néhány tippet, ha WordPress weboldalad van, érdemes azt is elolvasni! 

Ha hasznosnak találod a cikket, kérlek oszd meg!

Megosztás itt: facebook
Facebook
Megosztás itt: twitter
Twitter
Megosztás itt: linkedin
LinkedIn
Megosztás itt: pinterest
Pinterest

Ezek is érdekelhetnek:

Landig page – 12 fontos elem és jobban fog konvertálni az érkező oldalad

Landig page – 12 fontos elem és jobban fog konvertálni az érkező oldalad

Mi az a landing page? A digitális marketingben a céloldal/landing page önálló weboldal, amelyet kifejezetten egy marketing- vagy reklámkampány céljára…
Google Analytics beállítása és WordPress weboldalhoz kapcsolása

Google Analytics beállítása és WordPress weboldalhoz kapcsolása

Miért fontos a Google Analytics a weboldal tulajdonosokak? Miután elindítottál egy blogot, egy weboldalt vagy egy webáruházat az elsődleges célja,…
Ezért készíts webáruházat!

Ezért készíts webáruházat!

Ha csodás termékeid vannak, saját márkád, fantasztikus ötleteid, elengedhetetlen, hogy legyen saját webáruházad is. Tudom, hogy ódzkodsz a feladattól, és legyőzhetetlen kihívásként…