Mit tehetsz a WordPress oldalad biztonságáért?

Mit lehet tenni a WordPress oldalad biztonságáért?

A következőkben felsorolok számos javaslatot, hogyan lehet biztonságossá tenni egy WordPress weboldalt. Sajnos nincs bevált recept, tökéletes megoldás. Szinte nincs egy olyan tanács sem, amiben mindenki maradéktalanul egyetértene.

Minden weboldal feltörhető! A tiéd is!

Gondoljunk bele, hogy néha olyan rendszereket és webhelyeket is feltörnek, ahol komplett fejlesztőgárda dolgozik nap mint nap az adatok biztonsága érdekében. Akinek az ilyen webhelyek feltörése sem jelet akadályt, a te weboldalad sem fogja megállítani.

Milyen beállításokkal növelhető egy WordPress weboldal biztonsága?

Egy viszont biztos. Rengeteg lehetőség áll a rendelkezésedre, hogy megnehezítsd a dolgukat. Főleg, hogy szinte kizárólag robotok támadnak, akik tipikus hibákat és biztonsági réseket keresnek, ha pedig nem találnak, akkor automatikusan tovább állnak.

Biztonsági mentések

Korábban már említettem, hogy mennyire fontos a rendszeres biztonsági mentés készítése a weboldalakról. A legjobb megoldás ha rendelkezel a site-od egy nem túl régi (de eléggé régi) állapotával, amit gond nélkül visszaállíthatsz baj esetén. Az biztos, hogy így tudod a legolcsóbban megúszni ezt a problémát!

Amit csak lehet, oldj meg plugin nélkül

Egyes pluginok tényleg kiválthatóak már pár sor kóddal, és te is jobban megérted a WordPress működését, ha nem mindig csak a bővítményekre támaszkodsz.

Ha egy neves fizetős sablont használsz (pl. Divi, Avada) rengeteg plugint megúszhatsz a használatukkal. Lehet először drágának hangzik egy ilyen sablon megvásárlása, de ahogy telnek az évek többszörösen visszahozza az árát!

Soha ne legyen „admin” a felhasználóneved

Mivel sokan meghagyják a WordPress által felkínált „admin” felhasználónevet a későbbiekben is, ezzel nagyon megkönnyítik a hackerek dolgát. Ha neked még mindig van „admin” nevű és adminisztrátori jogosultsággal rendelkező felhasználó az oldaladon, haladéktalanul változtasd meg a nevét.

Rejtsd el a WordPress belépési oldalt

Az egyik legnépszerűbb támadási felület a wp-login.php célbavétele. Sokat tehetsz weboldalad biztonsága érdekében, ha átnevezed ezt a fájl és ezáltal elrejted a belépési oldalt a hívatlan vendégeid elől.
Megteheted ezt plugin segítségével:
https://hu.wordpress.org/plugins/hide-login-page/
https://hu.wordpress.org/plugins/wps-hide-login/
Vagy inkább kerüld el a plugin használatát, a .htaccess fájl átírásával
Így néz ki eredetileg az átírandó rész:

 
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
 

A RewriteBase / sor után nyomj egy entert és írd be az új parancsot:

 
RewriteRule ^bejelentkezes$ wp-login.php
 

Most be lehet lépni a „bejelentkezes” oldalon, de még a régi is működik. El kell tüntetni a wp-login.php-t is, tehát még nem vagyunk készen!

A functions.php fájlba kell beírnod a következőket:

 
add_filter('site_url', 'wplogin_filter', 10, 3);
function wplogin_filter( $url, $path, $orig_scheme )
{
$old = array( "/(wp-login\.php)/");
$new = array( "belepes");
return preg_replace( $old, $new, $url, 1);
 

Innentől, amikor a WordPress bárhol a “wp-login.php”-ra hivatkozik, akkor helyette a “bejelentkezes”-t fog megjelenni.

reCHAPTA

A Captcha arra szolgál, hogy megkülönböztesse a valódi felhasználókat a robotoktól. Ilyenkor olyan feladatot kell megoldanunk egy weboldalon, amire csak egy ember képes. Pl. felismerni egy kép bizonyos elemeit, vagy válaszolni egy kérdésre. A captcha segítségével számos funkcióhoz adhatunk egy extra védelme:

  • regisztrációs űrlapok
  • bejelentkező oldal
  • jelszó-emlékeztető kérés
  • felhasználónév emlékeztető kérés
  • kapcsolati űrlapok

Ezeket a plugineket használhatod a reCHAPTA beállításához:

Captcha bővítmény
Confident Captcha bővítmény
Google Captcha bővítmény
No More Captchas bővítmény

Inaktiváld a WordPress beépített szerkesztőjét

Bár sok esetben a beépített szerkesztő egy nagyon praktikus megoldás, de sajnos nem csak te érheted el vele a weboldalad fájljait könnyen és gyorsan, hanem az a hívatlan vendég is, aki betört a weboldaladra. Összesen annyi a teendőd, hogy a wp-config.php fájlt kiegészíted ezzel a kis kóddal!

 
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
 

Limitáld a belépési kísérletek számát

Alapvetően a WordPress akárhány belépési próbálkozást megenged a felhasználóknak az oldalakon. Ez szintén elég kényelmes lehet, de sajnos annak is sokkal könnyebb a dolga, aki éppen a site feltörésére készül.
Döntsd el, te hány próbálkozást engedsz meg és mennyi időre zárod ki a felhasználót a rossz próbálkozások után, majd ezt állítsd be a Login Lockdown pluginnak a segítségével.

Megbízható tárhelyszolgáltató

Nem csak te tehetsz az oldalad védelméért, az sem mindegy, hogy milyen tárhelyszolgáltatónál bérelsz tárhelyet.
Egy jó tárhelyszolgáltató folyamatosan figyeli, hogy vannak-e bármelyik náluk hosztolt weboldalon vírustámadásra utaló nyomok. Például nem mindegy, hogy mikor derül ki, ha egy terheléses támadás lefolytatására használják az oldaladat, mert ha későn, akkor azt a Google biztosan nem nézi majd jó szemmel. Egy profi tárhelyszolgáltató modern és frissített hardverekkel és szoftverekkel dolgozik, ami szintén nagyobb védelmet nyújt a támadásokkal szemben. Akik valóban jó tárhelyesek, azok készenállnak arra, hogy vírustámadások utána helyreállítsák a hackerek által okozott károkat!

Frissítések

A folyamatos frissítéseket nem szabad elhanyagolni, ez talán az a pont, amiben minden szakértő egyetért a témában. Ha valamelyik bővítményben hibát/biztonsági rést fedeznek fel, akkor a bővítmény fejlesztői, a hiba korrigálása után frissítés formájában juttatják el a felhasználóknak a remélhetőleg hibátlan változatot. Frissíteni igazán könnyű. Menj az admin felületen belül a bővítmények menüpontra és látni fogod, hogy melyik pluginból jött már ki frissebb verzió. Igazából csak néhány kattintás az egész, és már megtetted az egyik legnagyobb lépést a weboldalad biztonsága érdekében. Ha nem tudsz/akarsz rendszeresen belépni az admin felületre ezért, akkor további bővítmények segítségét is igénybe veheted, aki helyetted elvégzi ezt a munkát és automatikusan frissíti ezeket a pluginokat. De olyan megoldás is létezik (pl. a Wordfence ingyenes verziója is tudja), hogy emailben értesítést kapsz akkor, ha egy-egy bővítményre kiadtak egy új frissítést. Ekkor nincs más dolgod, mint belépni az admin felületre és elvégezni azt a pár kattintást.

Erős jelszavak

Nem csak a WordPress admin felületére való belépéshez szükséges jelszót értjük ezalatt. Fontos az erős jelszó használata az FTP, a tárhelyszolgáltató felülete, az adatbázisok és a levelezés esetében is! Ha nem vagy az a típus, aki gond nélkül megjegyezne egy 16 random karakterből álló betű és számsort, arra is van megoldás. Vannak olyan szoftverek (pl. LastPass), ahol egy mesterjelszó használatával kiválthatjuk az összes általunk használt oldalakon a jelszavakat. Ez is egy jó megoldás. Persze a legbiztonságosabb az, ha megjegyzed és soha nem osztod meg senkivel, de nyilvánvaló, hogy ez bizonyos szám felett ez már lehetetlen.

Használj WordPress security pluginokat

Számos plugin közül válogathatsz, amelyekről önállóan is lehetne írni jónéhány blogbejegyzést. Rengeteg funkciójuk lehetséges. Pl. előfordulhat, hogy monitorozzák a weboldaladat és értesítenek minden olyan esetben, amit megadtál nekik a beállítások között (elavult plugin, fájlok módosítása, új belépés az admin felületre stb.).

A következő pluginok talán a legismertebbek ebben a témában:

Tűzfal engedélyezése

A tűzfal még azelőtt tudja blokkolni az oldaladra irányuló rosszindulatú forgalmat, mielőtt még elérné magát a weboldalt.
Például ezeknek a pluginoknak a segítségével tudsz tűzfalat beállítani az oldaladhoz:
https://wordpress.org/plugins/bulletproof-security/
https://wordpress.org/plugins/wordfence/
https://hu.wordpress.org/plugins/sucuri-scanner/

SSL/HTTPS átállás

Az SSL segítségével egy titkosított csatornán keresztül történik a kommunikáció a kliens és a szerver között, tehát sokkal nagyobb biztonságba kerülnek így az weboldalon keresztül megadott adatok. Azt, hogy egy oldal SSL-en keresztül kommunikál-e, arról is felismerheted, hogy http helyett https-sel kezdődő címen jelenik meg az oldal. Létezik az SSL-nek fizetős és ingyenes (Let's Encrypt) változata is. Az ingyenes változatot sok tárhelyszolgáltatónál készséggel be is állítják, ha az ügyfél igényt tart rá.

Tiltsd le a PHP fájlok végrehajtását

Vannak olyan mappák a WordPress-ben, ahol felesleges ez a funkció, így teljesen értelmetlen meghagyni, csak a hackereknek adunk vele támadási felületet. Ilyen mappa például a /wp-content/uploads. Összesen annyi a dolgod, hogy egy szövegszerkesztőbe (pl. Notepad) másold be az alábbi kódrészletet és mentsd el a számítógépeden .htaccess néven.

 
<Files *.php>
deny from all
</Files>
 

Ezután FTP-n keresztül töltsd fel ezt a fájlt a /wp-content/uploads mappába és már kész is vagy!

Adj két lépcsős azonosítást az oldaladhoz!

Ma már mindenki tudja, hogy mit jelent ez az igencsak hatékonyan működő védelmi rendszer. Pl. a netbankba való belépéshez nem elég tudni az azonosítókat és a jelszavakat, a telefonunkra is kapunk egy számsort, ami csak pár percig érvényes és szükséges a belépéshez. Ilyesmit készíthetsz te is a saját oldaladra!

Szerencsére létezik rá a Two Factor Authentication plugin, amivel gyorsan elérheted a kívánt eredményt.

Haladó megoldások

Haladó megoldások

Módosítsd a WordPress adatbázis előtagját

Mivel a WordPress alapbeállítás szerint a wp előtagot használja az adatbázis táblákhoz, így a hackereknek nincs túl nehéz dolga, amikor az adatbázistáblád nevét kell kitalálniuk. Kicsit ezzel is meg tudod nehezíteni az életüket!

Tiltsd meg, hogy indexelni vagy keresni lehessen a mappáidat

A hackerek ezzel a módszerrel kutatnak azután, hogy vannak-e olyan fájljaid a weboldalon, amelyek valamilyen ismert sebezhetőséggel rendelkeznek. Ahhoz, hogy megtiltsd az indexelést vagy a keresést a weboldalaldon történő fájlok között, ahhoz FTP vagy cPanel kapcsolaton keresztül kell elérned majd módosítanod a .htaccess fájlt úgy, hogy a következő sort írod a végére:

 
Options –Indexes
 

Egészen pontosan úgy kell csinálni, hogy lemented az eredeti fájlt, átírod annak a tartalmát, majd az új tartalommal visszatöltöd az eredeti helyére!

Védd jelszóval a WordPress bejelentkezési oldaladat

Ha a hackerek könnyedén elérik a wp-admin mappát, hatalmas teret engedünk nekik a próbálkozásokhoz. Ha van cPaneled, akkor pár kattintással beállíthatod az extra jelszó használatát a Könyvtár adatvédelme menüpont alatt!

Tiltsd le az XML-RPC-t

Az XML-RPC funkciója szerint alapvetően megkönnyíti az oldal összekapcsolását más webes és mobilalkalmazásokkal, viszont a hackerek is igazán rajonganak érte. Segítségével sok ezer jelszóvalkombinációval próbálkozhatnak minimális időkereten belül, hogy feltörjék a weboldalad. Ha nem használod ezt a funkciót, érdemes inkább kikapcsolni.

A tűzfal pluginok ezt sok esetben megteszik helyetted!

Automatikus kiléptetés a WordPress Admin felületéről

Ha több felhasználó is dolgozik a weboldaladon, sajnos nem mindig lehetsz elég biztos benne, hogy mindig, mindenben kellően körültekintően járnak-e el. Lehetséges, hogy megnyitva hagyják az oldalad admin felületét, miközben felügyelet nélkül hagyják a gépet, amin dolgoznak. Erre az esetre lehet jó megoldás az Inactive Logout plugin, amivel pillanatok alatt beállíthatod ezt a funkciót és bizonyos időkorlát letelte után, automatikusan kilépteti a felhasználót az oldalról!

A rendszeres, időzített karbantartás nagyon fontos

Egy weboldal sem hagyható magára az elkészítése után. Többek között biztonsági okokból is folyamatos odafigyelést, karbantartást követelnek ezek e rendszerek. A biztonsági frissítésekkel nem érdemes várni, és érdemes rendszeres időközönként a bővítményeket is felülvizsgálni. Ellenőrizni kell a felhasználókat és a hozzászólásokat is, és minden furcsaságnak, anomáliának érdemes utánajárni.

Ha pedig mégis megtörtént a baj, olvasd el a saját történetem, amiben összefoglaltam, hogy mit tehetsz, ha feltörték a WordPress weboldalad.

Share this post