Sok ezer weboldalt törnek fel nap mint nap. A WordPress weboldalak népszerű célpontjai a támadóknak, mivel számos olyan site van, amelyek elavult verzióval, biztonsági hibákkal rendelkező pluginekkel vannak telepítve, és gyenge jelszavak védik őket. A legtöbb WordPress weboldal tulajdonos sajnos nincs tisztában azzal, hogy a biztonsági intézkedések elmaradása miatt milyen támadásoknak van kitéve. Következzen most néhány jó tanács a biztonság fokozásához, és a károk megelőzéséhez.

 

 

WordPress weboldalad biztonsága a saját géped biztonságánál kezdődik. Ha a PC-d fertőzött, akkor az FTP vagy admin kapcsolódások során könnyen megfertőzheti a weboldalad is, illetve a károkozók hozzáféréseket, jelszavakat szivárogtathatnak a gépedről. Ezek elkerüléséhez az alábbi intézkedések javasolhatók:

- Telepíts egy víruskereső programot, és frissítsd rendszeresen

- Telepíts egy tűzfal szoftvert a gépedre

- Ne lépj be a WordPress admin oldalra publikus WiFi hálózatból

- FTP kapcsolódás esetén alkalmazz FTPS-t a sima FTP helyett.

 

 

Bár az ajánlatok böngészése során nem tűnhet fel, de tárhely szolgáltató és tárhely szolgáltató között igenis van különbség. Kérdezz rá milyen - adott esetben speciálisan WordPress-re kifejlesztett - biztonsági megoldásaik vannak.

 

 

A rendszeres mentés weboldalad állományairól és adatbázisáról rendkívül fontos. Egy vírusfertőzés nagyon kellemetlen tud lenni, de ha megtörténik és még adatvesztéssel is jár, akkor a biztonsági mentés az egyetlen kapaszkodó, ami segíthet. Egy egynapos vagy egyhetes mentésből visszaállítani a site-ot sokkal egyszerűbb, mint mindent újra felépíteni.

 

 

A WordPress alaprendszer, illetve a pluginek frissítésének egyik oka a biztonsági rések befoltozása. Ha egy sérülékenység napvilágot lát, akkor elkészül rá a javítás, amit a lehető leghamarabb fel kell telepíteni, ellenkező esetben egy verziószám alapján megállapítható, hogy a weboldalad sérülékeny-e vagy sem. Ez az, amit általában a hekkerek kihasználnak, és módszeresen támadják azokat a site-okat, amiken a biztonsági rések nem lettek befoltozva.

 

 

A WordPress alapértelmezett adatbázis előtagja a "wp_". Ha ezt megtartod, akkor a weboldalad fokozottabban ki lesz téve az SQL injection típusú támadásoknak, mert ezeknél a támadónak tudnia kell, hogy mi az előtag.

 

A telepítés során ezért módosítsd a "wp_" előtagot véletlenszerű (saját) értékre. Ha már futó weboldalad van, akkor a wp-config.php-ben is meg tudod ezt tenni. Ha ez megvan, akkor magát az adatbázist is módosítanod kell, amihez segítséget nyújthat például az iThemes Security nevű plugin.

 

 

A nyílt forráskódú tartalomkezelő rendszerek előnye, hogy rengeteg ingyenes (és persze fizetős) plugin létezik hozzájuk. De honnan tudhatod, hogy az XY által írt plugin nem lesz-e biztonsági szempontból veszélyes a site-odra nézve? Honnan tudod, hogy a plugin írója milyen információbiztonsági ismeretekkel rendelkezik, és mennyire volt körültekintő a kód megírása során? Sajnos alapvetően sehonnan. Éppen ezért, a kockázatok minimalizálása érdekében válassz a legnépszerűbb pluginek közül: a letöltések száma és a jó értékelés, valamint a támogatás egyértelmű előnyt élvez a kevésbé népszerűekkel szemben.

 

 

Egy jelszóvédett adminisztrációs rendszer első védelmi szintje maga a beléptetésre szolgáló oldal. Ha valaki felhasználó nevet és jelszót kap az adminisztrációs felülethez, akkor ezen a védelmi vonalon gyakorlatilag azonnal túljut, és jogosultságától függően szinte bármit meg tud tenni. Adatokat módosítani, törölni, a weboldal működését akadályozni vagy ellehetetleníteni. Ezért fontos, hogy csak azok kapjanak hozzáférést az admin oldalhoz, akiknek valóban dolguk van ott. A hozzáférésük legyen annyira lekorlátozva, amennyire csak lehetséges. Ugyanezen szabályok vonatkoznak az FTP hozzáférésre is.

 

 

A WordPress alapértelmezett admin belépési URL-je a domain/wp-admin vagy a domain/wp-login.php. Aki ezt a felületet támadni szeretné, az alapértelmezés szerint rögtön tudja, hogy milyen URL-el próbálkozzon. Ha megváltoztatod az admin felület elérhetőségét, akkor egy sor olyan automatizált rosszindulatú script-et kizárhatsz, amelyek az előbb felsorolt, "gyári" URL-lel próbálkoznak. 

 

 

A legalapvetőbb WordPress biztonsági intézkedések egyike, hogy egyedi felhasználónevet és jelszót választasz. A brute force típusú támadások zöme arra épít, hogy az emberek nagy része valamilyen egyszerű, könnyen megjegyezhető jelszót választ. A korábbi adatszivárgásokból származó sok millió jelszó elemzése alapján könnyen megállapítható, hogy melyik a legnépszerűbb 1000 jelszó. A brute force támadás során pedig egy szoftver automatikusan végig próbálgatja ezeket a jelszavakat a bejutás reményében.

 

 

A WordPress korábbi verzióiban az admin volt az alapértelmezett felhasználónév, amelyet sokan lustaságból vagy tudatlanságból nem változtattak meg. Innentől kezdve a támadónak már csak a jelszóval kellett próbálkoznia a bejutás reményében.

 

 

Megfelelően biztonságos felhasználónév és jelszó választása még csak fél siker, ugyanis kellő számú próbálkozással szinte bármi törhető. A védelem következő fokozata, ha korlátozod a belépési próbálkozások számát. Ez azt jelenti, hogy az ugyanarról az IP címről jövő sikertelen próbálkozások amint meghaladnak egy bizonyos mennyiséget, az IP címet egy meghatározott időre kitiltod a rendszerből. Banki rendszereknél ez már bevett szokás, nem árt, ha te is alkalmazod.

 

 

A kétlépcsős autentikáció azt jelenti, hogy a hagyományos bejelentkezési folyamatba még egy lépést beiktatsz. A szokásos admin felületen belépsz a felhasználóneveddel és a jelszavaddal, majd a második lépcső általában egy SMS-ben kapott kód begépelése, amely végképp kizárja a brute force típusú támadással próbálkozókat.

 

 

Az SSL titkosítás lehetővé teszi, hogy a weben küldött, kényes információk egy titkosított csatornán kerüljenek továbbításra. Ha e-business oldalad van, akkor az SSL kötelezőnek mondható, de a Google által is erősen javasolt különösen olyan site-okon, ahol kényes információkat, pl. személyes adatokat, hitelkártya adatokat stb. kérünk be. Az SSL titkosítás természetesen az adminisztrátori belépés során megadott adataidat is védi.

 

 

A WordPress biztonsági kulcsok, amelyeket SALT-nak is hívnak, segítik a böngésző cookie-kban tárolt információ titkosítását, ezáltal jelszavakat és más kényes adatokat védenek. A SALT-ok olyan kifejezések, amelyek segítenek az adatok erősebb titkosításában. Módosítani a wp-config.php-ben tudod őket.

 

 

Ha olyan gyanús viselkedésre leszel figyelmes pl. a szerver napló fájljaiban, ami arra utal, hogy támadják a weboldalad, akkor a lehető leghamarabb intézkedj az érintett IP címek kizárásáról. Komoly körültekintést igényel, de még hathatósabb megoldás azon országok IP tartományának a teljes kizárása, ahonnan a potenciális támadások nagy része érkezik.

 

 

Alapból a WordPress tartalmaz egy olyan meta taget, amely a forráskódban jelöli a weboldalad WordPress rendszerének verziószámát. Ez az információ hasznos lehet azok számára, akik az elavult verziók gyenge pontjainak támadására utaznak. 

 

 

Vannak olyan WordPress biztonsági pluginek, amelyek feladata a különböző károkozók felderítése a weboldalban. Ezeknek a plugineknek a rendszeres, időzített futtatásával a felderítés automatizálható és a weboldal tisztán tartható.

 

 

A fájl és mappa jogosultságok a szerveren kiemelt fontosságúak. Ha a jogosultságok túl megengedőek, akkor egy rosszindulatú támadó előnyére fordíthatja őket. Ha viszont túl szigorúak, akkor az a site működésére van hátrányos hatással. Éppen ezért törekedj egy olyan szintre, amely még működőképes környezet mellett csökkenti a kockázatokat.

 

 

A WordPress régebbi verzióiban, ha a MySQL adatbázisban hiba volt, akkor a pontos hibaüzenet megjelent a böngészőben, amit egy támadó kihasználhatott. Ez ellen védekezni úgy tudsz, ha frissíted a WordPress-t a legújabb verzióra. Ha az adatbázissal valami gond van, akkor az már csak egy általános hibaüzenetet fog visszaadni, semmi olyan konkrétumot, amit ellened felhasználhatnának.

 

 

Az eddig felsorolt védelmi megoldások közül jó párat beépítettek WordPress biztonsági pluginekbe, amelyekből több népszerű is elérhető ingyenes vagy fizetős formában. Ezeket érdemes szemügyre venni, mert egy csomagban több védelmi problémát is képesek kezelni.