Napjainkban a WordPress a legelterjedtebb tartalomkezelő rendszer (CMS). Sajnos a népszerűséggel együtt jár, hogy a legtöbb támadást is WordPress alapú weboldalak ellen indítják, ezért kiemelt figyelmet kell fordítani a WordPress oldalak biztonságára. Cikkünkben bemutatunk 15 alapvető óvintézkedést, melyekkel biztonságosabbá teheted WordPress oldaladat.

 

1. Tartsd tisztán a tárhelyed

Bizonyosodj meg arról, hogy a tárhelyedről törölve lettek a WordPress korábbi verziói. A nem használt WordPress témákat, bővítményeket és egyéb fájlokat akkor is törölni kell, ha nem aktívak.

2. Mindig frissítsd a használt témákat és bővítményeket

A WordPress elleni támadások nagyjából 30 %-a az elavult témákon és bővítményeken keresztül történik. Ezért mindig a legfrissebb verzióját használd az oldalad összetevőinek! Amennyiben API – n keresztül frissíted az oldalad, a wordpress.org által biztosított elérést használd.

3. Változtasd meg az adatbázisaid előtagját (prefix)

    A WordPress alapértelmezetten minden adatbázis esetében a „wp_” előtagot használja. Ezzel a támadóid is tisztában vannak, ezért már az előtag megváltoztatásával biztonságosabbá teheted weboldalad. Amennyiben több adatbázisod is van, használd a Change Table Prefix plugint és egy kattintással megváltoztathatod adatbázisaid előtajait.

4. SSH2 (SFTP) kapcsolatot használj az oldalad frissítéséhez!

Az úgynevezett SSH2 (SFTP) kapcsolatok sokkal biztonságosabbak, mint a sima FTP kapcsolatok. Használatával a teljes adatátvitel titkosítva lesz, ezzel is megnehezítve az oldalad megtámadását. Az SSH SFTP Updater Support plugin segítségével pillanatok alatt létrehozhatod titkosított kapcsolatodat a szerverrel.

5. Használj SSL tanúsítványt!

Az SSL (Secure Socket Layer) tanúsítvány az egyik legjobb lehetőség a WordPress weboldalad védelmére. Használatával megnehezíted a hackerek számára az adataid eltulajdonítását, ráadásul a Google algoritmusa is pozitívan értékeli meglétét, weboldaladat biztonságosnak tekinti. A Google már hivatalosan is elismerte, hogy magasabban rangsorolja azokat a weboldalakat melyek rendelkeznek SSL tanúsítvánnyal, mint azokat, amelyek nem használják. Ráadásul a felhasználóid bejelentkezési adatai is nagyobb biztonságban lesznek használatával.

6. Rendszeresen készíts biztonsági mentést!

A rendszeres biztonsági mentés készítése nem a weboldal elleni támadások kivédésében segítenek, hanem amikor történik valami az oldaladdal. A biztonsági mentésből könnyen visszaállíthatod a teljes weboldaladat, ezáltal nem sérül a működésed.

7. Védd a „.htaccess” fájlt

    A „.htaccess” alapvetően meghatározza a WordPress biztonsági korlátait. Annak érdekében, hogy megvédd weboldaladat a támadásoktól, egyszerűen helyezd el a következő kódot a .htaccess fájlba: # STRONG HTACCESS PROTECTION</code> <Files ~ “^.*\.([Hh][Tt][Aa])”> order allow,deny deny from all satisfy all </Files>

8. Tedd biztonságosabbá a wp-confing.php -t!

A wp-confing.php fájl a webhelyed gyökérkönyvtárának legfontosabb fájlja, mivel kulcsfontosságú információkat tárol a WordPress weboldaladról. Ennek a fájlnak a védelme azt jelenti, hogy megnehezíted a webhelyedről származó információk megértését a külső támadóknak, mert egyszerűen elérhetetlenné válik a számukra. 

9. Védd meg a WordPress adminisztrátor oldalt!

    A „wp-admin” könyvtár a WordPress weboldalak legfontosabb része. Az itt okozott esetleges károk, tönkre tehetik az egész weboldalt. Ezt a könyvtárat külön jelszavas védelemmel kell ellátni, hogy megnehezítsd az esetleges támadók feladatát.  A weboldal elemeit csak Te, vagy egy hozzáféréssel rendelkező személy érheti el. Korlátozhatod a hozzáférést, pontosabban szinte teljesen biztonságossá teheted, ha IP cím alapú hozzáférést rendelsz a „wp-admin” könyvtárhoz. 

10. HTTPS használatával jelentkezz be a WordPress adminisztrációs felületébe!

A HTTPS használatakor az adatok titkosított formában kerülnek elküldésre, sima szöveg helyett. Ez megnehezíti az esetleges külső támadók számára a bejelentkezési adatok (felhasználónév, jelszó) feltörését.

11. Töröld az inaktív adminisztrátorokat és szerkesztőket

Az inaktív felhasználói fiókok veszélyt jelentenek a webhelyedre. Ezért a legjobb, ha minden inaktív felhasználói fiókot törölsz a rendszerből. Konzultálj a webfejlesztőddel és nézzétek át az adminhoz hozzáférő felhasználók listáját és jogosultságait. 

12. Használj kétlépős azonosítást a bejelentkezéshez

A WordPress adminisztrációs felületre való bejelentkezés során, az egyszerű felhasználónév + jelszó megadása helyett, használj kétlépcsős bejelentkezést. Ezzel szinte lehetlenné teszed, hogy rajtad kívül más is belépjen a Te nevedben! Ne feledd, hogy nem csak te, hanem rajtad kívül a weboldalad fejlesztői is hozzáférnek az adminsztrációs rendszerhez. Ez jó webfejlesztő egészen biztosan mindent megtesz az ügyfelei adatainak védelme érdekében, de nem árt erre neked is rákérdezned.

13. Használj erős jelszavakat

Az erős jelszó minden esetben a védelem első vonala, nem csak egy WordPress oldal esetében. Használj kis és nagybetűket, speciális karaktereket és számokat jelszavaid létrehozásánál. Az erős jelszavak alapvető követelmei: • Számok, kis és nagybetűk és speciális karakterek használata (@, #, *) • Tartalmazhat szóközöket is • 3 havonta változtasd meg • legalább 10 karakter, de ideális esetben akár 50 karakter hosszú

14. A sikertelen bejelentkezési kisérletek korlátozása

A bejelentkezési kisérletek számának korlátozásával elkerülheted az úgynevezett „Brute Attack” támadásokat. Ennek a lényege, hogy a támadók minden lehetséges jelszóval próbálkozik, amíg eggyel sikerül belépnie. Amennyiben korlátozod s ikertelen bejelentkezési lehetőségek számát, könnyen elkerülheted ezt a támadási formát.

15. Változtasd meg az alapértelmezett bejelentkezési adatokat

Egyértelműnek tűnhet, azonban még napjainkban is rengeteg felhasználó nem változtatja meg az alapértelmezett „admim” „admin” felhasználónév és jelszó párost, vagy csak a felhasználónevet változtatja meg. Az első dolgod mindig ezeknek a megváltoztatása legyen!  

Összefoglalás

A cikkben szereplő tippek nem garantálják, hogy WordPress oldaladat nem fogják megtámadni, esetleg feltörni. Azonban a fenti pontok végrehajtása után a külső támadók dolga sokkal nehezebb lesz, mint eddig volt. Minél inkább növeled weboldalad biztonságát, annál kisebb az esélye egy esetleges információvesztésnek az oldaladon!