Több mint 60 milliĂł weboldal használja a WordPress nyĂlt forráskĂłdĂş, PHP alapĂş tartalomkezelĹ‘ (CMS) rendszerĂ©t, hiszen a felhasználĂłbarát kialakĂtás miatt akár laikusok is indĂthatnak vele weboldalakat, blogokat vagy akár webáruházakat is.
Annak ellenĂ©re, hogy rengetegen használják, a rendszer mĂ©gsem tökĂ©letes. IdĹ‘rĹ‘l idĹ‘re felfedeznek biztonsági rĂ©seket, amiket elĹ‘szeretettel használnak ki a hackerek, rosszindulatĂş támadĂłk. Ez minden hasonlĂł rendszert, sĹ‘t mĂ©g az egyedi fejlesztĂ©sű (nem nyĂlt forráskodĂş) megoldásokat is Ă©rintik, gondoljunk csak a Facebook-rĂłl idĹ‘nkĂ©nt kiszivárgĂł adatokra, csak hogy egyet emlĂtsĂĽnk.
TermĂ©szetesen az a legegyszerűbb megoldás, ha saját fejlesztĹ‘ csapattal vagy partnerrel dolgozunk folyamatosan egyĂĽtt Ă©s kezelt WordPress ĂĽzemeltetĂ©sben tartjuk fenn honlapunk, webáruházunk. Ezt ma már az átlagos kis- Ă©s közĂ©pvállalatok, de sok felhasználĂł is megengedheti magának. A folytatásban a WordPress önnálĂłan telepĂthetĹ‘ (WordPress.org) változatához adunk tippeket. A WordPress blog szolgáltatĂł (WordPress.com) esetĂ©ben ezek nem szĂĽksĂ©gesek.
A felhasználók többsége sajnos azonban abban a hitben él, hogy ha egy honlap elkészült, akkor az működni fog a végtelenségig és még picivel tovább. Sajnos nem és nem is érdemes hanyagolni a témát. A WordPress biztonság fontos téma és felhasználó szintű tudással is tudunk tenni azért, hogy WordPress honlapunk biztonságos legyen.
A honlap mint egy autĂł
Egy Ăşj autĂł vásárlásakor is tudjuk, hogy az igĂ©nyel törĹ‘dĂ©st, rendszeres karbantartást. Ha ez megvan, akkor fog magasabb biztonságot, megbĂzhatĂłságot Ă©s jobb utazási Ă©lmĂ©nyt biztosĂtani. Weboldalunk is Ăgy van ezzel. Ha nem tesszĂĽk ezt meg, egyre inkább romlik az állapota Ă©s nagyobb esĂ©llyel lesz működĂ©skĂ©ptelen Ă©s könnyű cĂ©lpont. A többsĂ©g abban bĂzik, hogyha nem piszkálja sokat a honlapot, akkor talán nem fogják megtalálni a hackerek a WordPress weboldalát. Azonban meg fogják, csak idĹ‘ kĂ©rdĂ©se.
Éppen ezért, amennyiben nincs lehetőségünk egy szakembert felfogadni, egyszerűbb módokon növelhetjük a honlapunk biztonságát. Növelhetjük, itt ez a kulcsszó, nem fogjuk tudni 100%-osan védetté tenni. Nézzük meg, milyen eszközökkel lehet harcolni az arcátlan kibertámadások és módszereik ellen, miközben mellőzük a NASA űrpilóta vizsgáját!
Mitől sebezhető a WordPress honlapom?
Mielőtt rátérünk arra, hogy hogyan lehet megvédeni a weboldalunkat egy esetleges hacker támadás ellen, nem árt tudni, hogy melyek azok a kockázati tényezők, amelyek hatására a támadók célpontjává válhat a weboldalunk.
Mitől lesz sérülékeny a WordPress oldalam?
- Könnyen kitalálható felhasználónév és jelszó
PĂ©ldául meghagyott “admin” user Ă©s password páros. - Idegen / megbĂzhatatlan forrásbĂłl származĂł sablonok, bĹ‘vĂtmĂ©nyek. (pluginok) Nem a hivatalos wordpress.org-tĂłl eltĂ©rĹ‘ forrásbĂłl származĂł.
PĂ©ldául “pár dollálĂ©rt 100 plugin” csali csomagokban gyakoriak a backdoor rejtett kapuk, kĂłdok. - Ingyenes sablonok, bĹ‘vĂtmĂ©nyek, melyekhez már hosszabb ideje nem Ă©rkezett frissĂtĂ©s
- Elavult WordPress rendszer (core) verziĂł, ha nem frissĂtjĂĽk hosszabb ideig
- MegbĂzhatatlan (tĂşl olcsĂł, szakĂ©rtelem nĂ©lkĂĽli) hosting, tárhely szolgáltatĂłknál törtĂ©nĹ‘ működtetĂ©s
- EllenĹ‘rizetlen (vĂrusos) feltöltĂ©sek (kĂ©pek, videĂłk, szövegek, stb.)
- Kétlépcsős autentikáció hiánya
- SFTP, SSL, illetve WAF alkalmazás hiánya
- Bejelentkezési oldal látható és nincs rajta védelem
- WordPress Ă©s plugin-ok, theme-ek verziĂłzám megjelenĂtĂ©se a kĂłdban
- Nem biztonságos helyről történő bejelentkezés az admin felületre.
Például ingyenes WIFI-n át egy kávézóból.
Ezek a leggyakoribb okok, Ăgy ezeket mindnekĂ©pp Ă©rdemes ellenĹ‘rizni.
Feltörhették a honlapom, hol látom ezt?
Erre rövid Ă©s biztos mĂłdot nem fog tudni senki sem mondani. Érdemes idĹ‘nkĂ©nt saját honlapunk inkognĂtĂł mĂłdban vĂ©gignĂ©zni, vĂ©gigkattintgatni. Továbbá erĹ‘sen ajánlott a Google Search Console bekötĂ©se is, mely jelzi nekĂĽnk, amennyiben a Google keresĹ‘robotjai ártalmas, veszĂ©lyes kĂłdot találnak.
Leggyakoribb észlelhető jelek, ha feltörték honlapod:
- Egyes url-ek átirányĂtása kĂĽldi url cĂmekre.
- Idegen nyelvű indexelt tartalmak.
- Honlapunk tartalmában megjelenő idegen szöveges és linkelt tartalmak.
- Jelentősen belassul honlapunk.
- Leveleink a cĂmzetteknĂ©l a SPAM-be kerĂĽlnek.
Persze ezeken kĂvĂĽl elĂ©g sok trĂĽkk Ă©s megoldás lapul a támadĂłk zsebĂ©ben.
Milyen további jelei vannak, ha hacker támadás éri a WordPress weboldalamat?
- Drasztikus forgalom csökkenést látunk, profitkiesést tapasztalunk.
- Nem tudunk belépni az eddigi felhasználónevünkkel / jelszavunkkal az oldal adminjába.
- A Google kiĂrja, hogy az oldal nem biztonságos.
- A Google és több böngésző (Chrome, Firefox) blokkolja az oldalt, mert veszélyes / etikátlan tartalmat talált rajta.
- A Google index-ben eltérő nyelvű indexelt oldalak jelennek meg.
Gyakori trĂĽkk a támadĂłk rĂ©szĂ©rĹ‘l, hogy adminkĂ©nt belĂ©pve nem látszĂłdik semmi mĂłdosĂtás, kártĂ©kony kĂłd, idegen nyelvű tartalom Ă©s csak vendĂ©gek, látogatĂłk (Ă©s a keresĹ‘robotok) látják azokat. ĂŤgy Ă©rdemes nĂ©ha kilĂ©pni Ă©s Ăşgy megnĂ©zni honlapunk. Erre ajánlott a böngĂ©szĹ‘k inkognĂtĂł mĂłdja.
Rottenbacher Tamás
Senior WP fejlesztő
rottenbacher.hu
Hogy néz ki egy hacker támadás?
Ez attĂłl fĂĽgg, hogy pontosan milyen jellegű a támadás, milyen cĂ©llal törtĂ©nik / indul. A következĹ‘kben megemlĂtĂĽnk röviden nĂ©hány pĂ©ldát:
- Amennyiben a szervert éri a támadás, akkor az magával ránthat további weboldalakat is, gyakorlatilag mindegyiket, amelyet azon a szerveren tároltak.
- Ha egy nem frissĂtett pluginon keresztĂĽl sikerĂĽlt bejutnia a hackernek, akkor nemcsak a mi weboldalunkat tudja tönkretenni, hanem azokat is, amelyek ugyanezt a rĂ©gi plugint használják más weboldalunkon.(Ez a leggyakoribb)
- Ha pĂ©ldául a WordPress egyik rĂ©gi verziĂłját használjuk, akkor pedig mĂ©g könnyebben fel tudják törni, hiszen ez már publikus adat, Ăgy gyakorlatilag le van Ărva nekik, hogy hol Ă©rdemes prĂłbálkozni, hol vannak a kiskapuk.
A támadásoknak egy átlagos “checklist”-et fel lehet állĂtani, amik á következĹ‘ lĂ©pĂ©sekbĹ‘l állnak:
- Saját BOT-ok random megnĂ©zik a honlapunkat. Keresik a kĂłdban a verziĂłszámokat Ă©s egyes kulcs elemeket. PĂ©ldául a generator meta cĂmkĂ©t, a wp-admin, wp-login.php wp-content elĂ©rhetĹ‘sĂ©gĂ©t. Továbbá kikeresik a kĂłdban a felhasználĂłnk nevĂ©t, amivel tartalmakat töltĂĽnk fel. Ez ellen korlátozottan tudunk vĂ©dekezni.
- Ezután jön a második kör, amit szintĂ©n BOT-ok vĂ©geznek.Ilyenkor ha a wp-admin Ă©s a wp-login.php nincs vĂ©dve, ezeket meghĂvják Ă©s prĂłbálkoznak a legegyszerűbb jelszĂłval.Ilyenkor gyakran az alapĂ©rtelmezett “admin”nĂ©vvel prĂłbálkoznak. EzĂ©rt sem szabad ezt a felhasználĂłnevet használni. Ez ellen vĂ©dekezhetĂĽnk, ha limitáljuk melyik országbĂłl lehet belĂ©pni, kĂ©tfaktoros authentikáciĂłt alkalmazunk Ă©s / vagy nĂ©hány sikertelen prĂłbálkozás után tiltjuk a BOT ip cĂmĂ©t (egyiket a sokbĂłl).
- Amennyiben a jelszĂłprĂłbálkozás nem hoz sikert számukra (vagy csak cĂ©lorientáltabbak) Ă©s az 1. LĂ©pĂ©sben begyűjtött adatokban találnak sĂ©rĂĽlĂ©kenysĂ©get tartalmazĂł verziĂłt (akár alap WordPress core, sablon vagy bĹ‘vĂtmĂ©ny) akkor cĂ©lzottan annak a hibáját, sĂ©rĂĽlĂ©kenysĂ©gĂ©t használják ki. A leggyakrabban ezt is BOT-ok csinálják.
Miért ennyi BOT és mik ezek?
LĂ©nyegĂ©ben elĹ‘re elkĂ©szĂtett terv alapján automatizáltan futĂł programok ezek, melyek feladatok sorát hajtják vĂ©gre. Ezek szervereken futnak Ă©s jelentĹ‘sen gyorsabban tudnak Ăgy “haladni” mintha maga a hacker nĂ©zne mindent meg szemĂ©lyesen. Gyakorlatilag a támadások 99,9% ilyen automatizált BOT prĂłbálkozások, amik nem gondolkodnak, csak feltĂ©telek mentĂ©n prĂłbálkoznak.
Rottenbacher Tamás
Senior WP fejlesztő
rottenbacher.hu
Meg lehet menteni a WordPress weboldalt, ha feltörték?
HosszĂş Ă©s nehĂ©z munkával (Ă©s szakĂ©rtelemmel) igen, viszont a gyakorlat azt mutatja, hogy nem minden esetben Ă©rdemes, mert egy ilyen eset után a Google elĹ‘tt hatalmas presztĂzst veszĂt az oldal domain-je, ami megbĂzhatatlanná teszi az egĂ©sz weboldalt Ă©s a jĂł Google találati listás helyezĂ©seinket elveszĂthetjĂĽk. A legnagyobb gond ez Ă©s ennek a helyreállĂtása hosszabb feladat, mint maga a honlap javĂtása, kitakarĂtása.
Semelyik keresĹ‘motor sem szereti a megbĂzhatatlan oldalakat, hiszen ezzel a saját felhasználĂłit tudja fĂ©lrevezetni, veszĂ©lyeztetni, Ăgy nem Ă©rdemes harcolni egy olyan oldalĂ©rt, ami egy ilyen hackertámadás miatt feketelistára kerĂĽlt. EzĂ©rt is fontos a megelĹ‘zĂ©s, mivel Ă©vek munkáját tudja tönkretenni egy ilyen támadás, fĹ‘kĂ©ppen ha nem vesszĂĽk idĹ‘ben Ă©szre.
Jobb megelĹ‘zni Ă©s karbantartásra biztosĂtani keretet, mint sem a helyreállĂtásra, mivel az jĂłval nagyobb költsĂ©get fog jelenteni.
Így növeld WordPress honlapod biztonságát, védelmét
Hogyan védekezhetünk támadás ellen WordPress honlap esetében? Mutatok olyan lehetőségeket, amiket bárki meg tud csinálni és haladóbb megoldásokból is bemutatok néhányat.
Hiteles forrásbĂłl származĂł Ă©s minĹ‘sĂ©gi sablon/bĹ‘vĂtmĂ©ny
Amennyiben nem megbĂzhatĂł forrásbĂłl használunk sablont, elĹ‘fordulhat, hogy lesz benne olyan kĂłdrĂ©szlet, amely sĂ©rĂĽlĂ©kennyĂ© teszi a támadásokkal szemben a weboldalunkat. Egyre nĂ©pszerűbbek az ilyen $9.99-Ă©rt több mint száz fizetĹ‘s sablont, bĹ‘vĂtmĂ©nyt tartalmazĂł “kedvezmĂ©nyes csomagok”. Ezek sok hátránnyal rendelkeznek Ă©s az egyik ilyen, hogy elrejthetnek benne idegen kĂłdokat Ă©s Ăgy saját magunk engedjĂĽk be, hĂvjuk meg a támadĂłkat. Több Ă©v munkáját kidobhatjuk Ăgy, csak mert 30-40 dollárt spĂłrolni szeretnĂ©nk.
Biztonságos tárhely
Fontos, hogy meglegyen az SSL tanĂşsĂtvány, 99,9%-os elĂ©rhetĹ‘sĂ©g, illetve a tárhely adminisztráciĂłja használjon mindig HTTPS protokollt. Legyen elĂ©rhetĹ‘ Ă©s segĂtĹ‘kĂ©sz ĂĽgyfĂ©lszolgálat. ErrĹ‘l bĹ‘vebben a WordPress tárhely cikkben olvashat.
Rendszeres adatmentés
A rendszer, az adatbázis, a bĹ‘vĂtmĂ©nyek Ă©s a sablon adatmentĂ©se is fontos. Az Ăgy lĂ©trejövĹ‘ adatokat egy kĂĽlön szerveren tároljuk, hiszen ha egy helyen tárolunk mindent, s feltörik a szervert, akkor az egĂ©sz eddigi munkánk megy a levesbe. Ez elsĹ‘sorban a minĹ‘sĂ©gi tárhelyszolgáltatĂł feladata, azonban nem árt saját magunknak is biztosĂtani az adataink.
TelepĂtsĂĽnk biztonsági bĹ‘vĂtmĂ©nyt
Rengeteg olyan plugin találhatĂł már, amelyek segĂtenek megvĂ©deni az esetleges támadásoktĂłl. Amennyiben nem tudjuk milyet Ă©rdemes használni, kezdjĂĽk pĂ©ldául a Sucuri plugin, a Wordfence Security vagy az iThemes Security bĹ‘vĂtmĂ©nyekkel. FeltĂ©tlenĂĽl kĂ©rdezzĂĽnk meg egy szakembert, hiszen ezekbĹ‘l nem szabad 1-nĂ©l többet telepĂteni Ă©s Ă©rteni is kell ezek beállĂtásához. NĂ©zzĂĽk meg a beállĂtáshoz a tutorial-okat Ă©s dokumentáciĂłkat ezen bĹ‘vĂtmĂ©nyeknĂ©l, hogy biztosan vĂ©djenek Ă©s ne csak lassĂtsák honlapunk.
FrissĂtsĂĽnk, frissĂtsĂĽnk, frissĂtsĂĽnk!
FrissĂtsĂĽnk mindent: sablonokat, bĹ‘vĂtmĂ©nyeket, s WordPress rendszert is RENDSZERESEN. FigyeljĂĽk Ă©s elĹ‘re olvassuk el, hogy milyen változásokat hoznak az Ăşj verziĂłk. Ezeket a “Változások” vagy changelog rĂ©szeknĂ©l találjuk. Ész nĂ©lkĂĽl nem tanácsos a frissĂtĂ©s, ezt meg kell alapozni Ă©s utánanĂ©zni. Azonban a frissĂtĂ©sek igen fontosak. Fontos tanács: mindig kĂ©szĂtsĂĽnk egy biztonsági mentĂ©st az összes adatrĂłl egy kĂĽlön szerverre vagy a saját számĂtĂłgĂ©pĂĽnkre, mielĹ‘tt frissĂtenĂ©nk. További informáciĂłk a WordPress frissĂtĂ©s elvĂ©gzĂ©sĂ©rĹ‘l.
Erős, változatos jelszavak
A felhasználónév ne admin, a jelszó pedig ne 123456 legyen. Használjunk kis és nagybetűket, számokat, és lehetőleg minimum 1 db olyan speciális karaktert, mint például ?,!,%,=,(,).. A jelszót és felhasználónevet semmiképp se mentsük el a böngészőnkben. Továbbá egy jelszót, csak egy weboldalon használjunk!
Alkalmazzunk kétlépcsős ellenőrzést!
Ezt a bankok oldalain szokhattuk meg, de ezt tökĂ©letes arra, hogy egy hacker ne tudjon belĂ©pni az oldalra, hiszen nemcsak a jelszĂłra van Ăgy szĂĽksĂ©g, hanem az SMS-ben vagy kapott kĂłdra is. Illetve össze lehet kötni mobiltelefonunkkal, Ăgy növelve a biztonságot.
Használjunk automatikus kijelentkezést
Ezt is a bankoknál szoktuk látni, mely azĂ©rt hasznos, mert gyakran megesik, hogy egyesek felállnak a gĂ©p mellĹ‘l, ahol Ă©pp nyitva van az admin felĂĽlet. Ez nyitva maradhat akár napokig is, ami hatalmas biztonsági kockázatot jelent. Használjuk a weboldalunk biztonsága Ă©rdekĂ©ben is egy idĹ‘korlátot, hogy mikor lĂ©ptetjĂĽk ki automatikusan az inaktĂv felhasználĂłkat. Ez kĂĽlönösen fontos, ha nem csak mi fĂ©rĂĽnk hozzá a gĂ©pĂĽnkhöz, hanem pĂ©ldául cĂ©ges gĂ©prĹ‘l lĂ©pĂĽnk be saját, szemĂ©lyes weboldalunkra.
SFTP titkosĂtás
Ez elsĹ‘dlegesen fejlesztĹ‘knek Ă©rdemes alkalmazni. Amikor szerkesztjĂĽk az oldalt, akkor azt FTP kapcsolaton keresztĂĽl mĂłdosĂtjuk Ă©s ez a kapcsolat a szerverrel. Ezt Ă©rdemes titkos Ăşton tenni, azaz használjunk SFTP kapcsolatot.
TakarĂtsuk ki a szervert!
TöröljĂĽnk le minden olyan adatot (kĂ©pet, videĂłt, szöveget, stb), amelyet nem használunk. Továbbá ĂĽgyeljĂĽnk arra, hogy ne legyen inaktĂv theme, plugin az oldalon. Ha nem használjuk, akkor töröljĂĽk.
Haladóbb tippek és megoldások a WordPress biztonság növelésére
Ebben a rĂ©szben már kĂłdokkal fogunk foglalkozni, hiszen honlap kezelĹ‘jekĂ©nt, szerkesztĹ‘jekĂ©nt ezek esszenciálisak ahhoz, hogy maximálishoz közelĂtĹ‘ biztonságot tudjunk nyĂşjtani egy-egy weboldal esetĂ©ben.
1. Kapcsoljuk ki a sablonok és pluginok szerkesztési lehetőségét a wp-config.php fájlban:
// Disallow file edit define( ‘DISALLOW_FILE_EDIT’, true ); |
2. Kapcsoljuk ki a PHP hibabejelentés-küldés lehetőséget. Így kevesebb információt láthatnak a támadók az esetleges gondokról, verziókról. Tegyük hozzá a következő kódot a wp-config.php fájlhoz:
@ini_set(‘display_errors’,’Off’);@ini_set(‘error_reporting’,0); |
3. TávolĂtsuk el a hibaĂĽzeneteket a belĂ©ptetĹ‘ felĂĽletekrĹ‘l, amennyiben ez nem okoz gondot a regisztrált felhasználĂłk számára Ă©s adjuk az alábbi kĂłdot a functions.php fájlhoz:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”)); |
4. TávolĂtsuk el a WordPress verziĂłszámát. Adjuk hozzá a következĹ‘ kĂłdot a functions.php fájlhoz:
remove_action(‘wp_head’, ‘wp_generator’); |
5. Védjük a jelszavunkat és a hozzáférést a wp-config.php fájlban és adjuk hozzá a .htaccess fájlt a következő tartalommal:
<Files wp-config.php> Order allow,deny Deny from all </Files> |
6. Ha tudjuk Ă©s van Fix IP cĂmĂĽnk, akkor korlátozzuk a vezĂ©rlĹ‘pult elĂ©rhetĹ‘sĂ©gĂ©t az IP cĂmĂĽnkre, hogy csak mi tudjunk belĂ©pni. A /wp-admin/ mappához tegyĂĽnk hozzá egy Ăşj .htaccess fájlt a lenti tartalommal:
# Admin IP cim korlatozas 0.1.2.34.56 (fix ip cimunk) Order deny,allow Allow from 0.1.2.34.56 Deny from all |
7. TávolĂtsuk el a php, script Ă©s css fájlokat a mappa kilistázásnál Ăşgy, hogy a fĹ‘könyvtárban lĂ©vĹ‘ .htaccess fájlhoz hozzáadjuk a következĹ‘ kĂłdot:
Options – IndexesIndexIgnore *.php *.js *.css |
8. Vegyük le a szerver oldali fájl listázást a mappa nézetnél. Ezt a saját .htaccess fájlunkkal is megoldhatjuk. A következő kódot szükséges hozzáadnunk a főkönyvtárban lévő .htaccess fájlhoz:
IndexIgnore * |
9. Akadályozzuk meg, hogy script kĂłdot tudjon menteni az adatbázisba a rendszer, amennyiben ez nem okoz gondot a használt sablon optimális működĂ©sĂ©ben. (Több prĂ©mium sablon használ sajnos ilyen funkciĂłt, ezĂ©rt ezt a kĂłdot, akkor használjuk ezeknĂ©l, amikor befejeztĂĽk annak szerkesztĂ©sĂ©t, mĂłdosĂtását.) Ehhez a következĹ‘ket tegyĂĽk bele a .htaccess fájlba:
Options +FollowSymLinksRewriteEngine OnRewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L] |
További tanácsok:
Vigyázzunk, hogy ne essĂĽnk át a lĂł tĂşloldalára, Ăgy igyekezzĂĽnk minimálisra csökkenteni a biztonsági bĹ‘vĂtmĂ©nyek használatát. Ha ez nincs optimálisan beállĂtva – szakember által – akkor elĹ‘fordulhat, hogy kizárjuk magunkat Ă©s a vásárlĂłkat is a rendszerbĹ‘l, lelassulhat az oldal sebessĂ©ge, Ă©s lemaradhatunk fontos Ă©rtesĂtĂ©sekrĹ‘l, illetve egyes funkciĂłk sem biztos, hogy jĂłl fognak működni.
Csak Ă©s kizárĂłlag biztonságos wifi hálĂłzatrĂłl (kávĂ©zĂłk, Ă©ttermek, ingyenes wifi spot-ok nem számĂtanak biztonságosnak) jelentkezzĂĽnk be bármilyen fontos felĂĽletre, honlapra, hiszen ha pĂ©ldául egy nyilvános wifi kapcsolattal rendelkezĹ‘ kávĂ©zĂłbĂłl nyitjuk meg ezeket a szenzitĂv informáciĂłkat tartalmazĂł admin felĂĽleteket, akkor az Ăgy beĂrt adatokat a ki tudja szedni egy hacker.
Ne felejtsĂĽk el beállĂtani a mappa Ă©s fájl hozzáfĂ©rĂ©si jogokat sem, Ăgy használjuk a következĹ‘ket:
- Minden mappa: 755 vagy 750
- Minden fájl: 644 vagy 640
- wp-config.php: 600
Korlátozzuk a sikertelen belĂ©pĂ©sek számát, hiszen lĂ©tezik olyan tĂpusĂş támadás, amikor a hacker egy script segĂtsĂ©gĂ©vel kiprĂłbál mindenfĂ©le karakter-kombináciĂłt a jelszĂłhoz Ă©s felhasználĂłnĂ©vhez, hogy be tudjon jutni a rendszerbe.
Zárjuk ki a gyanĂşs IP cĂmeket akár egyes országok akár több tartományaibĂłl is, ha ezekrĹ‘l a terĂĽletekrĹ‘l Ă©rzĂ©keljĂĽk a legtöbb támadásra utalĂł jelet. Ilyen pĂ©ldául az az eset, amikor egy magyarországi webáruház a teljes ázsiai, amerikai Ă©s afrikai ip cĂm tartományt kitilthatja, hiszen Ăgy a Google keresĹ‘robot EurĂłpábĂłl elĂ©ri a webshopját, azonban ázsiai rendelĂ©sek nem Ă©rkeznek minden hĂ©ten. ĂŤgy jelentĹ‘sen csökkenthetjĂĽk a rosszindulatĂş BOT aktivitást.
Ă–sszefoglalva
Vannak elemek amiket felhasználĂłi ismeretekkel is tudunk vĂ©deni, Ăgy akár magunk is növehetjĂĽk a weblapunk biztonságát. Azonban a fentiek nem garantálják a 100%-os biztonságot, hiszen a WordPress biztonság nem gyerekjátĂ©k, fontos Ă©s igĂ©nyel tapasztalatot. Ahogy a saját autĂłnk sem állunk neki otthon szerelni, hanem keresĂĽnk egy megbĂzhatĂł szerelĹ‘t, szervĂzt. Az a biztos Ă©s akkor használhatjuk bátran Ă©s megnyugodva.
ĂŤrta:
Rottenbacher Tamás
WordPress Magyarország szerkesztő
NyĂlt Web AlapĂtvány alapĂtĂł
Senior WP fejlesztő
Forrás anyagok:
- WP Beginner: WordPress Security (angol)
- RotiSoft blog: WordPress biztonság növelése + Top 5 leggyakoribb támadási módszer és védekezelés ezek ellen
- WordPress Magyarország: WordPress biztonság kategória