Napjainkban elengedhetetlen, hogy minden vállalkozás rendelkezzen weboldallal. Ettől a projekttől azonban nem kell megijedni, hiszen egy honlap létrehozása még soha nem volt olyan egyszerű, mint manapság. Már nem kell több ezer sornyi HTML kódot megírni ahhoz, hogy weboldallal rendelkezhess. Rendelkezésre áll jó néhány olyan eszköz, melyek lényegében megcsinálják helyettünk a kódolást azzal, hogy egy könnyen testreszabható keretrendszert adnak a felhasználók kezébe, amelyet utána már csak tartalommal kell feltölteni és indulhat is élesben az oldal.

Ezeket az eszközöket tartalomkezelő rendszereknek (CMS) nevezzük, melyek segítik a digitális tartalom létrehozását és módosítását. A világon a legtöbbek által használt tartalomkezelő rendszer a WordPress, és a közeljövőben nem várható hogy vezető pozícióját elvesztené.

Nagyjából a weboldalak egyharmada WordPress alapú, és naponta sok száz WordPress-el működő, új weboldalt hoznak létre. Ráadásul nem csak a mikro és kisvállalkozások, hanem a legnagyobb cégek közül is sokan használják a WordPress-t.

Mivel a weboldalak több mint negyede WordPress alapú, ezért a legtöbb külső támadás is ezeket a weboldalakat éri. Éppen ezért kiemelt figyelmet kell fordítani a biztonságra is, akár csak egy blogot vezetünk, vagy egy nagy webáruházzal rendelkezünk. Cikkünkben bemutatunk 28 tanácsot, melyekkel biztonságban tudhatod WordPress weboldaladat.

WordPress sebezhetőségei

A WordPress-el kapcsolatban sokan úgy vélik, hogy egy nem túl biztonságos tartalomkezelő rendszer (CMS), főleg az üzleti felhasználók számára. Ez azonban az esetek többségében azért van így, mert a felhasználók nem követik a legfrissebb iparági biztonsági ajánlásokat. Nagyon sok esetben a biztonsági frissítések elmaradása, például a nem naprakész WordPress használata okozza a weboldalak sebezhetőségét. Ez természetesen nem azt jelenti, hogy egyáltalán nincsenek sebezhetőségei a WordPress-nek.

A WordPress-hez több tízezer bővítmény áll rendelkezésre, amelyekben folyamatosan fedeznek fel újabb és újabb hibákat és gyenge pontokat, azonban ezek többsége szinte azonnal kijavításra is kerül. Ezért is fontos mindig frissen tartanunk a rendszerünket.

Hátsó ajtók (Backdoors)

Az úgynevezett hátsó ajtók (backdoors) lehetővé teszik, hogy weboldalunkat egy biztonsági rést kihasználva bármikor elérjék. Ez ráadásul független attól is, hogy ha titkosított kapcsolatot használunk (például wp-Admin, SFTP, FTP). A hátsó ajtók a legtöbb esetben egy WordPress rendszer fájlnak tűnnek, így a támadók könnyen elérik az adatbázisunkat, legtöbbször a WordPress egy elavult verziójának gyengeségeit kihasználva.

Szerencsére a hátsó ajtók bezárása, vagyis a sebezhetőség kijavítása elég egyszerű. Mindig a legfrissebb WordPress verziót használjuk, illetve használjunk kétfaktoros hitelesítést a belépéshez, valamint korlátozzuk a WordPress-be való belépésnél rendelkezésre álló próbálkozások számát.

Brute-force támadások

Ezek a támadások a weboldal adminisztrációs felületén keresztül kísérelnek belépni az adatbázisunkba. Ez ellen a támadási mód ellen is kétlépcsős azonosítással, a hibás belépési kísérletek korlátozásával, illetve az bejelentkezési IP címek meghatározásával védekezhetünk a legegyszerűbben. Számos WordPress oldal tulajdonos nem végzi el ezeket az óvintézkedéseket, miközben kutatások szerint naponta legalább 30.000 oldal ellen hajtanak végre ilyen típusú támadásokat.

Rosszindulatú átirányítások

Ennél a típusnál a támadók átirányításokat hoznak létre magában a WordPress telepített fájljaiban, az FTP, SFTP, wp-admin és egyéb protokollok használatával. Az átirányítási kódot gyakran a .htaccess és más gyökérfájlokban helyezik el, kódolt formában, melyek segítségével a weboldal forgalmát rosszindulatú weboldalakra irányítják át.

Túlterheléses támadások (Denial of Service)

Talán ez a támadási mód a legveszélyesebb. A túlterheléses támadás egy meghatározott alkalmazás, operációs rendszer ismert gyengeségeit, vagy valamilyen speciális protokoll tulajdonságait (gyengéit) támadja meg. Célja, hogy az alkalmazás, vagy rendszer elérésére feljogosított felhasználókat megakadályozza a számukra fontos információk, a számítógép-rendszer vagy akár a számítógép-hálózat elérésében. A támadás eredményeképpen a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat. A lényege, hogy lehetőség szerint megakadályozza a célgép elérését.

Hogyan tegyük biztonságosabbá weboldalunkat

1. Tedd biztonságossá számítógépedet

A weboldal biztonságának megőrzése a saját számítógéppel kezdődik, mivel ha egy számítógép sérült, vagy vírussal fertőzött, az könnyen átterjedhet a WordPress weboldaladra is. Ezért fontos, hogy mindig kövesd a legalapvetőbb biztonsági elveket:

• Rendelkezz naprakész vírus és rosszindulatú szoftvereket ellenőrző programokkal, és azokkal rendszeresen ellenőrizd számítógépedet

• Használj tűzfalat a számítógépeden

• Soha ne jelentkezz be WordPress weboldaladba nyilvános, vagy nem biztonságos hálózatról, mert a bejelentkezési és hitelesítési adataid nyomon követhetővé válnak

• Használj FTPS (File Transfer Protocol Secure) protokollt a webhelyed eléréséhez

2. Használj megbízható tárhelyszolgáltatót

A WordPress weboldalad minden esetben egy megbízható és biztonságos tárhelyszolgáltató szerverein fusson. Erre legjobb megoldásként WordPress tárhelyeinket tudjuk javasolni, ahol az előre telepített wordpress mellé folyamatos tájékoztatást adunk arról, ha újabb WordPress verzió érhető el, vagy amennyiben új biztonságos bővítményekkel még jobban megvédheted az oldalad.

3. A legújabb PHP verziót használd

A PHP a WordPress weboldalak gerince, ezért nagyon fontos, hogy mindig a legújabb verzióját használd. A PHP minden verzióját a megjelenéstől számított 2 évig támogatja a fejlesztője, vagyis ebben az időben rendszeresen frissül és kijavításra kerülnek a biztonsági rések.

A WordPress Stats oldal alapján elmondható, hogy a felhasználók több mint 35 %-a két évesnél idősebb PHP verziót használ. Ezek a weboldalak már nem rendelkeznek a legújabb PHP biztonsági frissítésekkel, ezért fokozottan ki vannak téve egy támadás veszélyének.

4. Biztonságos kapcsolaton keresztül csatlakozz a szerveredhez

Amikor csatlakozol a WordPress weboldalad kiszolgálójához, mindig SFTP-t vagy SSH protokollon keresztül történjen. Ezzel biztosítod az összes átvitt fájl titkosítását és biztonságos adatátvitelét.

5. SSL kapcsolat engedélyezése

Ez az egyik legfontosabb lépés egy weboldal biztonságosabbá tételében.

Az SSL kapcsolat biztosítja azt, hogy minden weboldaladnak küldött adat védve legyen. Illetve megakadályozza, hogy a felhasználóid adatait esetlegesen ellopják. Kiemelten fontos a beléd vetett bizalmuk megőrzése szempontjából! Sok felhasználó nem adja meg adatait olyan weboldalon, amely nem rendelkezik SSL protokollal, arról nem beszélve, hogy a Google is leminősíti a régi HTTP kapcsolatot használó oldalakat.

6. Ne használd az „admin” szót adminisztrátori felhasználónévként

Napjainkban még mindig az „admin” a leggyakoribb WordPress adminisztrációs felhasználónév, és ezt a hackerek is tudják. Az első lépésed az legyen, hogy megváltoztatod az alapértelmezett WordPress felhasználónevet!

7. Használj erős jelszavakat

Egyesek számára ez a pont túl egyszerűnek tűnhet, de a felhasználók még mindig hajlamosak olyan jelszavak használatára mint: „123456” és „qwerty”. Használj olyan jelszavakat, amik tartalmaznak kis és nagybetűket, számokat és speciális karaktereket is (#,&@,%), és legalább 12 karakter hosszúságúak.

8. Korlátozd a bejelentkezési kísérletek számát

Alapértelmezett állapotban a WordPress lehetővé teszi minden látogatónak, hogy többször, akár mennyiségi korlátozás nélkül is megpróbálja megadni felhasználónevét és jelszavát. Ez pedig sérülékennyé teszi a weboldaladat a Brute Force támadásokkal szemben. Limitáld a bejelentkezési kísérletek számát, például 5-re, ezzel könnyen elejét veheted ennek a támadási módnak.

9. Használj kétlépcsős hitelesítést

Akármilyen összetett egy jelszó, minden feltörhető. Ezért a maximális biztonság érdekében, használj 2 lépcsőt a bejelentkezésekhez. Az első lépcső a jelszó, a második pedig egy ellenőrzőkód; ami érkezhet emailben vagy a legjobb, ha SMS üzenetben. Annak, hogy a telefonod egy hackernél legyen pedig elég kicsi a valószínűsége, ezért ez egy magasfokú védelmet biztosít.

10. Blokkold az ismert ártalmas felhasználókat

A rosszindulatú felhasználók komoly problémát jelentenek minden weboldaltulajdonos számára. Az email és domain név feketelista használatával megakadályozhatjuk, hogy az ismer ártalmas felhasználók egyáltalán regisztrációt hajtsanak végre a weboldalunkon.

11. Felhasználói fiókok biztonságossá tétele

Abban az esetben, ha a WordPress adminisztrációs felületet többen is eléritek, bizonyosodj meg róla, hogy minden kollégád megfelelő biztonsági óvintézkedéseket alkalmaz-e. Hiszen minden lánc olyan erős, amilyen a leggyengébb láncszem. Elég, ha csak egy felhasználó nem használ megfelelő erősségű jelszót, és akkor elvész minden mások által tett erőfeszítés.

12. Automatikus jelentkeztesd ki a felhasználókat

A felhasználók sokszor nem jelentkeznek ki egy weboldalról, miután beléptek, egyszerűen csak bezárják a böngészőablakot. Ez számos biztonsági kockázatot felvet, ezért a legegyszerűbb és legjobb módja ennek kivédésére, amennyiben az inaktív felhasználókat egy idő után automatikusan kilépteted a weboldaladból.

13. Könyvtárak böngészésének letiltása

Alapértelmezés szerint bárki megnézheti, bármely WordPress weboldal könyvtárszerkezetét. Bár ez nem tesz lehetővé semmilyen változtatást a weboldalon belül, azonban a webhelyed struktúrájának ismerete segítséget nyújthat a támadók számára. Ezért egyszerűen kapcsold ki a belső könyvtárak böngészési lehetőségét a .htaccess fájlban.

14. wp-admin könyvtár védelme

A wp-admin könyvtár védelme az egyik legalapvetőbb és legfontosabb elvégzendő feladat az oldalad biztonsága szempontjából. Magát a könyvtárat védd jelszóval, ez a gyakorlatban annyit fog jelenteni, hogy miután beléptél az adminisztrációs felületbe, még egy extra jelszót fog kérni a rendszer. Ez pedig egy második védelmi vonalként fog funkcionálni.

15. Változtasd meg az adatbázisaid előtagját

A WordPress alapértelmezett állapotában „wp_” előtagot használ minden adatbázis táblázata esetében, ami megkönnyíti a támadók számára az adatbázisok eltulajdonítását. Ennek megelőzése érdekében, egyszerűen változtasd meg az adatbázisoknak adandó előtagot. Mivel ezt a támadók nem ismerik, így nem is tudják mit kell keresniük.

16. Fájlok szerkesztésének tiltása

Amennyiben egy felhasználó adminisztrátori hozzáférést kap a WordPress irányítópultjához, akkor minden fájlt és bővítményt szerkeszthet, ami magához a WrodPresshez tartozik. Ha letiltod a fájlok szerkeszthetőségét, senki sem fogja tudni módosítani ezeket az alapvető fájlokat, még akkor sem, ha egy támadó esetlegesen adminisztrátori hozzáférés segítségével lépett be az oldalad irányítópultjába.

17. Bővítmények csak megbízható forrásból

A bővítmények (plugin-ek) minden WordPress weboldal fontos elemei, kiegészítői. Ezért elengedhetetlen, hogy minden általad használt plugin csak és kizárólag ismert és megbízható forrásból származzon, olyantól, aki rendszeresen biztosít biztonsági frissítést is!

18. Tartsd frissen magát a WordPress rendszert

Amikor a WordPress csapata előáll egy frissítéssel, mindig az első adandó alkalommal telepítsd azt. Ezek a frissítések mindig tartalmazzák a legfrissebb biztonsági elemeket, amikkel megelőzheted, hogy a támadók a rendszered elavultsága miatt törjék fel weboldaladat.

19. WordPress téma és bővítményszerkesztő kikapcsolása

Az WordPress beépülő téma és bővítmény szerkesztője egy nagyon hasznos eszköz, azonban ha nem használod, biztonsági óvintézkedés gyanánt egyszerűen tiltsd le. Ne adj lehetőséget a nem használt eszközökön keresztüli támadásokra sem!

20. Rejtsd el a WordPress verziószámát

Sokan úgy vélik, hogy a WordPress verziószámának elrejtése javítani fogja a webhelyük biztonságát, mert megvédi őket a tömeges támadásoktól. Habár erre nincs bizonyíték, ártani nem árthat!

21. PHP hibajelentések letiltása

Amennyiben hibaelhárításról van szó, a hibajelentések elengedhetetlenek. Másrészről a hibajelentésből kiolvasható a szervernek az elérési útvonala is. Ne adj felületet a támadásoknak és tiltsd le az elérésüket, csak akkor engedélyezd, amikor hibajelentést akarsz futtatni.

22. Fájl és mappa engedélyek beállítása

A fájl és mappa engedélyek nagyon fontosak, ha a fájljaidat biztonságban szeretnéd tartani. Elővigyázatosan add meg, hogy melyik felhasználónak milyen engedélyt osztasz ki, a fájlok elérése során. Nem mindegy, hogy egy fájlt csak olvasni, vagy írni és olvasni is lehet.

23. Rendszeres biztonsági mentések készítése

Függetlenül attól mennyire biztonságos a webhelyed, a rendszeres biztonsági mentések készítésére minden estben szükség van. Soha nem tudhatod előre, hogy mi fog történni, ezért fontos, hogy bármilyen előre nem látható esemény, támadás után; minimális adatvesztéssel vissza tudd állítani weboldalad egy előző állapotát.

24. Bejelentkezési cím testre szabása

A legtöbb támadási kísérlet a WordPress adminisztrációs felületének bejelentkezési képernyőjén történik. Ne add meg ennek a lehetőségét sem, ezért hozz létre egyedi bejelentkezési weboldalt, az alapértelmezett wp-login / wp-admin helyett.

25. Ne használd a prémium bővítmények ingyenes verzióit

Természetesen a jól ismert és megbízható bővítményekkel nincs probléma, azonban sok támadó hoz létre olyan bővítményeket, melyek rendelkeznek fizetős és ingyenes verzióval is. Ez sokszor csak „mézesmadzagként” szolgál, mert a felhasználók önként feltelepítik a sokat ígérő ingyenes verziót, ezzel megnyitva a hátsóajtót a támadások számára.

26. Védd a wp-config.php fájlt

A wp-config.php fájl rengeteg értékes információt tartalmaz weboldaladról, ezért annak jelszavas védelme elengedhetetlen a WordPress webhelyed maximális biztonsága érdekében.

27. Használj biztonsági bővítményeket, kiegészítőket

Tedd biztonságosabbá weboldaladat speciális biztonsági bővítményekkel. Olyanokkal melyek egy-egy támadási fajta ellen nyújtanak kiemelt biztonságot, egy-egy érzékeny területre vannak specializálódva.

28. Webfejlesztő választás

Ahogy a végére érünk a listának látható, hogy a WordPress oldalak hosszú távú biztonságban tartása és üzemeltetése nem is olyan egyszerű dolog. Ha közben egy céget vezetsz, a sales vagy marketing folyamatokat irányítod, akkor a weboldallal kapcsolatos feladatok általában a teendő lista végére kerülnek és sokszor el is maradnak. Rövid időn belül egyértelművé válik, hogy szükség van valakire, aki ezeket a dolgokat kézben tartja és gondoskodik nem csak a weboldal fejlesztésről, de a biztonságos üzemeltetésről is. Praktikus esetben a két feladatot jó, ha egy személy vagy cég végzi. Ezért azt javaslom, hogy válassz olyan webfejlesztőt, akinek az ajánlatában nem csak a weboldal fejlesztése szerepel, de gondol arra is, hogy hosszú távon biztonságban legyen a WordPress weboldalad.

Összefoglalás

A WordPress még soha nem használták annyian mint napjainkban. Népszerűségének azonban vannak árnyoldalai is. Mivel ez a legelterjedtebb tartalomkezelő rendszer (CMS), ezért ez van a legtöbb támadási kísérletnek is kitéve. A cikkben említett tippekkel azonban sokkal biztonságosabbá teheted webhelyedet, és minimalizálhatod annak az esélyét, hogy illetéktelenek szerzik meg az adataidat és a felhasználói adatbázisodat.