Miután végre feltelepítettünk, beállítottuk a – remélhetőleg tiszta forrásból származó – sablonunkat és feltöltöttük a tartalmainkat, ne feledkezzünk meg, hogy egy WordPress oldal biztonságossá tétele soha, de soha nem maradhat el.

Minek után a WordPress napjaink talán legelterjedtebb rendszere weboldal készítéshez, így nem csoda, hogy ez a tartalomkezelő van kitéve a legnagyobb számú támadásnak is.

A gyenge, vagy hiányzó biztonsági beállítások miatt adatok szivároghatnak ki, teljesen leállhat az egész honlap, de akár céges titkok is illetéktelenek kezébe kerülhetnek. Ez az, amit egyetlen cégvezető sem szeretne.

Ebből a cikkből megtudhatod, milyen biztonsági intézkedések szükségesek ahhoz, hogy WordPress alapú weboldalad védve legyen a támadásoktól.

WordPress biztonság más CMS-ekhez viszonyítva

WordPress oldal biztonság
FORRÁS: sucuri.net

A Sucuri által publikált statisztikák jól mutatják, hogy 2018-ban a megfertőzött weboldalak 90%-a WordPress-es volt. Mivel a rendszer egyre népszerűbb az átlag felhasználók és a kezdő weboldal készítők körében is, az arány 2017-hez képest nemhogy csökkent volna, de 7%-kal még nőtt is.

Ami érdekesség, hogy nem magával a WordPress-el van baj, hanem a felhasználás módjával, a nem megfelelő beállításokkal és az adminisztrátorok felelőtlenségével.

Meglepő, hogy a kezdő webfejlesztők milyen nagy arányban használnak még akkor is WordPress-t egy weboldal felépítéséhez, amikor ezt semmi nem indokolja.

Nagyon sok weboldalnál/webáruháznál, amiket az elmúlt pár év során teszteltünk, azt tapasztaltuk, hogy a legalapvetőbb biztonsági beállítások is hiányoztak. Sokan nem is sejtik, hogy a weboldaluk fertőzött, ezért nem is teszik meg a megfelelő lépéseket.

Egy WordPress oldal biztonságossá tétele több feladatból áll, mint azt elsőre gondolnád. Nézzük meg ezek közül a legfontosabbakat.

WordPress oldal biztonságossá tétele – telepítés előtti intézkedések

Soha, de soha ne használjunk olyan sablonokat, bővítményeket, melyek nem biztonságos forrásból származnak. A bizonytalan forrásból származó plugin-ok, témák veszélyforrást jelenthetnek és könnyen megeshet, hogy a weboldal pont ezek miatt lesz fertőzött.

A WordPress hivatalos magyar oldalán számtalan jobbnál jobb sablont és bővítményt megtalálsz, ha pedig valamelyiknek a pro változatára van szükséged, azt a fejlesztők hivatalos honlapján vásárold meg.

WordPress tárhely biztonság

Válassz megfelelő, lehetőleg nem a legolcsóbb tárhelyszolgáltatót, ezzel is elkerülve a szerver szintű biztonsági gondokat. Nagyjából 10.000 forint/év körüli összegért, már lehet találni egész jó SSD-s osztott tárhelyet. A tárhely legyen megfelelően beállítva, ha nem értesz hozzá kérj meg egy szakértőt, hogy végezze el a biztonsági beállításokat.

Bármennyire is fura, de az is nagyon fontos, hogy a saját géped legyen vírusmentes, ugyanis az is előfordulhat, hogy a fájlok már a saját eszközödön megfertőzőnek. A fájlok ftp-n történő feltöltésénél, ha van rá mód, válasszuk az SFTP protokollt. Ne töltsünk fel felesleges mappákat, fájlokat, főleg nem 777-es jogosultsággal.

WordPress oldal biztonságossá tétele adatbázis szinten

Az adatbázis felhasználónév és jelszó legyen erős.

Kerüljük az admin, user, root, adminisztrátor és hasonló felhasználóneveket, jelszavunk pedig legyen erős. Nagyon sok feltörést történik amiatt, hogy az adatbázis szintű biztonság nem megfelelő.

A WordPress alapból a wp_ táblaelőtagot ajánlja fel telepítéskor. Ezt minden esetben változtassuk meg.

Az adatbázis szintű utólagos beállításokat kizárólag akkor végezd Te magad, ha érted mit csinálsz, különben könnyen megeshet, hogy elérhetetlenné teszed a weboldalad.

WordPress rendszeres frissítések

A WordPress egy ingyenes tartalomkezelő, amihez rendszeresen érkeznek újabb és újabb frissítések. Törekedj arra, hogy mindig a legfrissebb verzió legyen telepítve.

Ugyanez érvényes a sablonokra és bővítményekre is, azonban itt fontos megjegyezni, hogy lehetőleg ne azonnal frissíts és ne az éles rendszeren. Célszerű először kipróbálni egy teszt weboldalon, hogy mit produkál a frissítés és ha minden jól működik, nem omlik össze a weboldal, nincsenek hibák, akkor lehet frissíteni élesen is.

Célszerű a frissítések előtt adatbázis és fájl backup-ot is készíteni, mert az ördög nem alszik.

Erős jelszó és felhasználónév

Nem csak a WordPress admin felületéhez, de mindenhol máshol (ftp, e-mail, adatbázis), használj nehezen kitalálható, erős jelszavakat. Lehetőleg ne alkalmazd ugyanazt a jelszót mindenhol.

WordPress weboldal biztonság

Sok kezdő felhasználó nem szereti az erős jelszavakat, mert azokat nehéz megjegyezni. Ami nagyon elkeserítő, hogy még mindig elterjedtek az olyan jelszavak, mint az 123456, jelszo, password és társaik. Kerüld ezek használatát.

A felhasználónév sem mellékes. Semmilyen körülmények között nem ajánlott az admin, adminisztrator, user jellegű felhasználói nevek használata.

Ami még nagyon fontos, hogy csak akkor adjunk bárkinek is admin hozzáférést, ha ez kifejezetten indokolt. A szerkesztőknek elég, ha csinálunk egy külön user-t a megfelelő csökkentett role-al. Amennyiben szükséges külső fejlesztőnek kiadni hozzáférést, előtte jó, ha aláíratunk valamilyen szerződést, illetve titoktartási nyilatkozatot.

A WordPress admin belépési felület védelme

Az admin belépési felületet könnyű megtalálni WordPress esetén, hiszen telepítést követően minden esetben a /wp-admin címen érjük el ezt. Ez is egy biztonsági rés hiszen, ha valaki kitalálja a belépési adatainkat, már bent is van az admin felületen.

WordPress oldal biztonság

Egyrészt a WPS Hide Login bővítménnyel lehetőségünk van az admin elérési útvonalát megváltoztatni, másrészt célszerű szerver szinten htaccess-ben is levédeni az elérést. Javasolt a htaccess-es levédést szakemberre bízni, mivel ez kihatással van az ajax-os kérésekre is.

Az XML-RPC elérésének tiltása

Amennyiben nem használjuk az xml-rpc nyújtotta funkciókat, tiltsuk annak működését, tudniillik biztonsági kockázatot jelent. Az alábbi egyszerű kóddal tudjuk ezt megtenni:

add_filter( 'xmlrpc_enabled', '__return_false' );

Bár a fenti megoldás a legtöbb esetben megoldást jelent, támadás esetén elég erőforrás igényes lehet, ezért célszerű htaccess-ben tiltani az xml-rpc elérését. Ezt a feladatot bízzuk hozzáértő fejlesztőre.

WordPress oldal biztonságossá tétele – Wordfence Security

Az első plugin amit telepítened kell WordPress weboldaladra az a Wordfence Security. Ez egy biztonsági bővítmény, melynek az ingyenes változata is egész jól végzi a feladatát és védi weboldalad a támadásoktól.

WordPress weboldal biztonság

Telepítése és beállítása sem kíván különösebben nagy szakértelmet. Folyamatos értesítéseket kapsz, ha bármilyen gyanús művelet történik a weboldalon, így időben reagálhatsz, ha bármi problémás.

Mi is ezt a bővítményt használjuk minden WordPress alapú weboldalunknál.

Törölj mindent amit nem használsz

A kezdőkre nagyon jellemző, hogy kipróbálás céljából telepítenek egy csomó bővítményt, sablont, majd ezeket nemes egyszerűséggel csak kikapcsolják, de nem törlik.

A WordPress alapból is feltelepít néhány plugint és sablont. Célszerű mindig tisztán tartani rendszerünket, ezért arra biztatnálak, hogy mindent törölj (csak ésszel), amit nem használsz. A feleslegesen bent maradt bővítmények és sablonok nem csak biztonsági kockázatot rejtenek, de még a weboldalt is lassíthatják.

Ne legyünk lusták. Tegyünk meg mindent, hogy a WordPress oldalunk biztonsági beállítása rendben legyen ezen a téren is.

Tiltsuk a php futtatási lehetőséget bizonyos mappákban

Például a /wp-content/uploads/ mappa is egy olyan hely, ahol nincs helye php fájloknak, így ezek futtatására sincs szükség.

Készítsünk egy htaccess fájlt, melybe másoljuk be az alábbit:

<Files *.php>
deny from all
</Files>

A létrehozott htaccess fájlt pedig másoljuk azokba a mappákba, ahol tiltani szeretnénk a php futtatását.

SSL tanusítvány és https

Talán ezt már mondanom sem kell, hiszen szinte minden tárhelyszolgáltató biztosít SSL-t, ezért a WordPress alapú weboldaladat mindenképp állítsd be, hogy https-en fusson.

Ha netán nincs SSL a tárhelyen, akkor mindenképp szólj a szolgáltatónak, hogy biztosítsa ezt. Napjainkban, amikor a modern böngészők külön jelzik is, ha egy weboldal nem https-en fut, kötelező ezt a lépést megtenni.


Remélem tudtam segíteni, hogy a te weboldalad is biztonságosabb lehessen és ne kelljen azon aggódnod, hogy mikor törik fel, vagy mikor fertőzik meg a honlapod.

Tetszett a cikk? Kösz, ha megosztod:

Megosztás

További weboldal készítés cikkek

«