WordPress weboldal biztonság

WordPress biztonság. Jobb, ha ezeket tudod, mielőtt feltörik.

Ha WordPress oldalad van, vagy lesz, a biztonság egy kiemelten fontos tényező, még akkor is, ha a világ legegyszerűbb honlapjáról van szó.

Senki sem szeretne azzal szembesülni, hogy a weboldala fertőzött, adatai eltűnnek, vagy ami még súlyosabb, rossz kezekbe kerülnek.

Nem szabadna megtörténnie, de az avatatlan kezek miatt, sajnos egyre többen kerülnek nagyon kellemetlen szituációkba.

Érdemes inkább megelőzni a bajt, mert egy fertőzött WordPress oldal rendberakása sok pénzedbe kerül. Az arculatvesztésről és egyéb ezzel járó kellemetlenségekről nem is beszélve.

Indítsunk egy kis statisztikával.

WordPress biztonság más tartalomkezelőkhöz viszonyítva

A Sucuri által publikált statisztikák jól mutatják, hogy már 2018-ban a megfertőzött weboldalak 90%-a WordPress-ben készült. Mivel ez a CMS egyre népszerűbb az átlag felhasználók és az amatőr weboldal készítők körében is, az arány 2017-hez képest nemhogy csökkent volna, de 7%-kal még nőtt is.

WordPress biztonság
FORRÁS: sucuri.net

Érdekes, hogy nem magával a WordPress-szel van a baj, hanem a felhasználás módjával, a nem megfelelő beállításokkal és az adminisztrátorok hanyagságával.

Meglepő, hogy a kezdő webfejlesztők milyen nagy arányban használnak még akkor is WordPress-t egy weboldal felépítéséhez, amikor ezt semmi nem indokolja.

Nagyon sok weboldalnál/webáruháznál, amiket az elmúlt pár év során teszteltünk azt tapasztaltuk, hogy a legalapvetőbb biztonsági beállítások is hiányoztak. Sokan nem is sejtik, hogy a weboldaluk fertőzött, ezért nem is teszik meg a megfelelő lépéseket.

Egy WordPress oldal biztonságossá tétele nem egyszerű feladat, ezért is van az, hogy a kezdők alig foglalkoznak vele.

Nézzük tehát, mit kellene megtenni, hogy a weboldalad biztonságos legyen.

Jó tárhely, tiszta forrásból származó sablon, bővítmények

Soha ne használjunk olyan sablonokat, bővítményeket, melyek nem biztonságos forrásból származnak. Sokan csábulnak el az olcsó (pár dolláros) csomagok láttán, azonban tudni kell, hogy ezek nagy része fertőzött sablonokat, bővítményeket is tartalmazhat.

A WordPress hivatalos magyar oldalán számtalan jobbnál jobb összetevő megtalálható, ha pedig valamelyiknek a pro változatára van szükség, azt a fejlesztők hivatalos honlapján vásároljuk meg.

Válasszunk megfelelő, lehetőleg nem a legolcsóbb tárhelyszolgáltatót, ezzel is elkerülve a szerver szintű biztonsági gondokat. Nagyjából 10.000 forint/év körüli összegért, már lehet találni egészen jó SSD-s osztott tárhelyet. A szerver legyen megfelelően konfigurálva, amit érdemes szakértővel végeztetni.

Amennyiben te is töltesz fel fájlokat, akár ftp-n, akár a weboldal admin felületén keresztül, kizárólag a saját, vírusmentes gépedről tedd.

WordPress biztonsági beállítása adatbázis szinten

Az adatbázis felhasználónév és jelszó legyen erős.

Kerülni kell az admin, user, root, adminisztrátor és hasonló felhasználóneveket. Jelszavad legyen mindig erős. Nagyon sok feltörés történik amiatt, hogy az adatbázis szintű biztonság nem megfelelő.

A WordPress alapból a wp_ táblaelőtagot ajánlja fel telepítéskor. Ezt minden esetben meg kell változtatnia a fejlesztőnek.

Az adatbázis szintű utólagos beállításokat kizárólag akkor végezd Te magad, ha érted pontosan mit csinálsz, különben könnyen megeshet, hogy elérhetetlenné teszed az egész weboldalad.

WordPress rendszeres frissítése

A WordPress egy ingyenes tartalomkezelő, amihez gyakran érkeznek újabb és újabb frissítések. Törekedni kell arra, hogy mindig a legfrissebb verzió legyen telepítve.

Ugyanez érvényes a sablonokra és bővítményekre is, azonban itt fontos megjegyezni, hogy lehetőleg ne azonnal frissítsünk és ne az éles rendszeren. Célszerű először kipróbálni egy teszt weboldalon, hogy mit produkál a frissítés és, ha minden jól működik, nem omlik össze a weboldal, nincsenek hibák, akkor lehet frissíteni élesen is.

Érdemes a frissítések előtt adatbázis és fájl mentést is készíteni, mert az ördög nem alszik.

Erős jelszó és felhasználónév

Nem csak a WordPress admin felületéhez, de mindenhol máshol (ftp, e-mail, adatbázis) használjunk nehezen kitalálható, erős jelszavakat. Lehetőleg ne alkalmazzuk ugyanazt a jelszót mindenhol.

WordPress weboldal biztonság

Nagyon elkeserítő, hogy még mindig elterjedtek az olyan jelszavak, mint az 123456, jelszo, password és társaik. Kerüljük ezek használatát.

A felhasználónév sem mellékes. Semmilyen körülmények közt nem ajánlott az admin, adminisztrator, user jellegű felhasználói nevek használata.

Ami még nagyon fontos, hogy csak akkor adjunk bárkinek is admin hozzáférést, ha ez kifejezetten indokolt. A szerkesztőknek elég, ha csinálunk egy külön user-t a megfelelő csökkentett role-al. Amennyiben szükséges külső fejlesztőnek kiadni hozzáférést, előtte jó, ha aláíratunk valamilyen szerződést, illetve titoktartási nyilatkozatot.

A WordPress admin felület elérése más címen

Az admin belépési felületet könnyű megtalálni WordPress esetén, hiszen telepítést követően minden esetben a /wp-admin címen érjük el. Ez is egy olyan biztonsági rés amit érdemes kiiktatni.

WordPress oldal biztonság

Egyrészt a WPS Hide Login bővítménnyel lehetőségünk van az admin elérési útvonalát megváltoztatni, másrészt célszerű szerver szinten htaccess-ben is levédeni az elérést. Javasolt a htaccess-es levédést szakemberre bízni, mivel ez kihatással van az ajax-os kérésekre is.

Az XML-RPC tiltása

Amennyiben nem használjuk az xml-rpc nyújtotta funkciókat, tiltsuk annak működését, tudniillik biztonsági kockázatot jelent. Az alábbi egyszerű kóddal tudjuk ezt megtenni:

add_filter( 'xmlrpc_enabled', '__return_false' );

Bár a fenti kód a legtöbb esetben megoldást jelent, támadás esetén elég erőforrás igényes, ezért célszerű htaccess-ben kiiktatni az xml-rpc elérését. Ezt a feladatot bízzuk hozzáértő fejlesztőre.

WordPress oldal biztonságossá tétele – Wordfence Security

Amennyiben nem tudjuk biztosan, hogy a tárhelyünk erős védelemmel rendelkezik, érdemes telepíteni a Wordfence Security nevű bővítményt. Ez egy biztonsági plugin, melynek az ingyenes változata is egész jól végzi a feladatát és védi weboldalad a támadásoktól.

WordPress weboldal biztonság

Telepítése és beállítása sem kíván különösebben nagy szakértelmet. Folyamatos értesítéseket kapunk, ha bármilyen gyanús művelet történik a weboldalon így időben lehet reagálni.

Töröljünk mindent, amit nem használunk

Az amatőr weboldal készítőkre kifejezetten jellemző, hogy kipróbálás céljából telepítenek mindenféle bővítményt, sablont, majd ezeket nemes egyszerűséggel csak kikapcsolják, de nem törlik.

A WordPress alapból is feltelepít néhány plugint és sablont. Érdemes azokat törölni, amiket nem használunk. A feleslegesen telepített bővítmények és sablonok nem csak biztonsági kockázatot jelentenek, de még a weboldalt is lassíthatják.

Tiltsuk a php futtatási lehetőséget bizonyos mappákban

Például a /wp-content/uploads/ mappa is egy olyan hely, ahol nincs helye php fájloknak, így ezek futtatására sincs szükség.

Készítsünk egy htaccess fájlt, melybe másoljuk be az alábbit:

<Files *.php>
deny from all
</Files>

A létrehozott htaccess fájlt pedig másoljuk azokba a mappákba, ahol tiltani szeretnénk a php futtatását.

SSL tanusítvány és https

Talán ezt már mondanom sem kell, hiszen szinte minden tárhelyszolgáltató biztosít SSL-t.

A weboldaladnak kötelezően https-en kell működnie, ha ez nem így van, akkor állíttasd be. Ezt a tárhelyszolgáltató, vagy a weboldalad készítője tudja megtenni.


Végezd, vagy végeztesd el a fenti beállításokat, hogy a WordPress weboldalad biztonságosabb lehessen. Reagálj időben, hiszen ezzel elkerülheted a kellemetlenségeket.

Bejegyzések A Témában