WordPress biztonság. Hogyan védheted weboldalad?
A WordPress biztonsági beállítások elhanyagolása, a rosszul választott tárhely, a helytelen üzemeltetés, mind hozzájárulhatnak weboldalad feltöréséhez, fertőzéséhez.
Képzeld el, hogy egyik reggel arra ébredsz, hogy a hirdetéseidet tiltották. A hosszú évek keserves munkájával elért jó Google helyezéseknek annyi. Ez a legrosszabb rémálom. Ezt te sem szeretnéd, nem igaz?
Ezzel a cikkel szeretnék segíteni neked, hogy WordPress weboldalad biztonságos legyen, ne érhessenek kellemetlen meglepetések.
WordPress biztonság jó tárhellyel és tiszta összetevőkkel
Soha ne használj olyan sablonokat, bővítményeket, melyek nem biztonságos forrásból származnak. Sokan csábulnak el az olcsó (pár dolláros) csomagok láttán, azonban tudni kell, hogy ezek nagy része fertőzött sablonokat, bővítményeket is tartalmazhat.
A WordPress hivatalos magyar oldalán számtalan jobbnál jobb összetevő megtalálható, ha pedig valamelyiknek a pro változatára van szükséged, azt a fejlesztők hivatalos honlapján vásárold meg.
Válassz megfelelő, lehetőleg nem a legolcsóbb tárhelyszolgáltatót, ezzel is elkerülve a szerver szintű biztonsági gondokat. Nagyjából 10.000 forint/év körüli összegért, már lehet találni egészen jó SSD-s osztott tárhelyet. A szerver legyen megfelelően konfigurálva, amit érdemes szakértővel végeztetni.
Amennyiben te is töltesz fel fájlokat, akár ftp-n, akár a weboldal admin felületén keresztül, kizárólag a saját, vírusmentes gépedről tedd.
Adatbázis beállítások a WordPress biztonság érdekében
Az adatbázis felhasználónév és jelszó legyen erős.
Kerüld az admin, user, root, adminisztrátor és hasonló felhasználóneveket. Nagyon sok feltörés történik amiatt, hogy az adatbázis szintű biztonság nem megfelelő.
A WordPress alapból a wp_ táblaelőtagot ajánlja fel telepítéskor. Ezt minden esetben érdemes megváltoztatni.
Az adatbázis szintű utólagos beállításokat kizárólag akkor végezd Te magad, ha érted pontosan mit csinálsz, különben könnyen megeshet, hogy elérhetetlenné teszed az egész weboldalad.
WordPress biztonság emelése rendszeres frissítésekkel
A WordPress egy ingyenes tartalomkezelő, amihez gyakran érkeznek újabb és újabb frissítések. Törekedj arra, hogy mindig a legfrissebb verzió legyen telepítve.
Ugyanez érvényes a sablonokra és bővítményekre is, azonban itt fontos megjegyezni, hogy lehetőleg ne azonnal frissíts és ne az éles rendszeren. Célszerű először kipróbálni egy teszt weboldalon, hogy mit produkál a frissítés és, ha minden jól működik, nem omlik össze a weboldal, nincsenek hibák, akkor lehet frissíteni élesen is.
Érdemes a frissítések előtt adatbázis és fájl mentést is készíteni, mert az ördög nem alszik.
Erős jelszó és felhasználónév
Nem csak a WordPress admin felületéhez, de mindenhol máshol (ftp, e-mail, adatbázis) használj erős jelszavakat. Lehetőleg ne alkalmazd ugyanazt a jelszót mindenhol.
Nagyon elkeserítő, hogy még mindig elterjedtek az olyan jelszavak, mint az 123456, jelszo, password és társaik. Kerüld ezek használatát.
A felhasználónév sem mellékes. Semmilyen körülmények közt nem ajánlott az admin, adminisztrator, user jellegű felhasználói nevek használata.
Ami még nagyon fontos, hogy csak akkor adj bárkinek is admin hozzáférést, ha ez kifejezetten indokolt. A szerkesztőknek elég, ha csinálsz egy külön user-t a megfelelő csökkentett jogosultsággal. Amennyiben szükséges külső fejlesztőnek kiadni hozzáférést, előtte jó, ha aláíratsz valamilyen szerződést, illetve titoktartási nyilatkozatot.
A WordPress admin felület elérése más címen
Az admin belépési felületet könnyű megtalálni WordPress esetén, hiszen telepítést követően minden esetben a /wp-admin címen érhető el. Ez is egy olyan biztonsági rés amit érdemes kiiktatni.
Egyrészt a WPS Hide Login bővítménnyel lehetőséged van az admin elérési útvonalát megváltoztatni, másrészt célszerű szerver szinten htaccess-ben is levédeni az elérést. Javasolt a htaccess-ben mókázást szakemberre bízni, mivel ez kihatással van az ajax-os kérésekre is.
Az XML-RPC tiltása
Amennyiben nem használod az xml-rpc nyújtotta funkciókat, tiltsd annak elérését, tudniillik biztonsági kockázatot jelent. Az alábbi egyszerű kóddal tudod ezt megtenni, melyet egy child sablon functions.php fájljába kell beillesztened:
add_filter( 'xmlrpc_enabled', '__return_false' );
Bár a fenti kód a legtöbb esetben megoldást jelent, támadás esetén elég erőforrás igényes, ezért célszerű htaccess-ben kiiktatni az xml-rpc elérését. Ezt a feladatot bízd hozzáértő fejlesztőre.
WordPress oldal biztonságossá tétele – Wordfence Security
Amennyiben nem tudod biztosan, hogy a tárhelyed erős védelemmel rendelkezik, érdemes telepíteni a Wordfence Security nevű bővítményt. Ez egy biztonsági plugin, melynek az ingyenes változata is egész jól végzi a feladatát és védi weboldalad a támadásoktól.
Telepítése és beállítása sem kíván különösebben nagy szakértelmet. Folyamatos értesítéseket kapsz, ha bármilyen gyanús művelet történik a weboldalon így időben lehet reagálni.
WordPress biztonság növelése a felesleges dolgok törlésével
Az amatőr weboldal készítőkre kifejezetten jellemző, hogy kipróbálás céljából telepítenek mindenféle bővítményt, sablont, majd ezeket nemes egyszerűséggel csak kikapcsolják, de nem törlik.
A WordPress alapból is feltelepít néhány plugint és sablont. Érdemes azokat törölni, amiket nem használsz. A feleslegesen telepített bővítmények és sablonok nem csak biztonsági kockázatot jelentenek, de még a weboldalt is lassíthatják.
Tiltsd a php futtatási lehetőséget bizonyos mappákban
Például a /wp-content/uploads/ mappa is egy olyan hely, ahol nincs helye php fájloknak, így ezek futtatására sincs szükség.
Készíts egy htaccess fájlt, melybe másold be az alábbit:
<Files *.php>
deny from all
</Files>
A létrehozott htaccess fájlt pedig tedd be azokba a mappákba, ahol tiltani szeretnéd a php futtatását.
WordPress biztonság SSL tanusítvánnyal
Bár szinte minden tárhelyszolgáltató biztosít ingyenes SSL-t, de még mindig találni olyan WordPress oldalakat, ahol ezt nem használják ki.
A weboldaladnak kötelezően https-en kell működnie, ha ez nem így van, akkor állíttasd be. Ebben a weboldal fejlesztője, vagy a tárhelyszolgáltató tud Neked segíteni.
Most már láthatod, hogy egy WordPress weboldal készítése nem pusztán annyiból áll, hogy feltelepítjük, feldobunk egy sablon és néhány bővítményt, megszórjuk némi tartalommal és vége is.
A szakszerű honlapkészítés jóval összetettebb feladatokból áll, mint azt gondolnád és ha jót akarsz magadnak, körültekintően választasz kivitelezőt is.