A WordPress egyik legnagyobb hátránya, hogy alapértelmezésként minden ilyen weboldalon ugyanott érhető el a bejelentkezés, ráadásul a belépési próbálkozások száma sincs limitálva. Hogy elkerüld a weboldalad feltörését, gondoskodnod kell ezen hiányosságok megoldásáról.
Ebben a cikkben bemutatjuk, hogy tudják a hackerek egyszerűen feltörni az oldalad, és hogyan tudsz ezellen nagyon könnyen védekezni. Ezek mellett pedig további tippeket is elmondunk, melyekkel még biztonságosabbá teheted az oldalt.
Hogyan törhetik fel a hackerek a weboldalad?
Az internet tele van automata programokkal, melyek különféle weboldalak után kutatnak. Ezeket botnak is nevezik (a robot szóból), s közülük jó néhány a WordPress oldalakra vadászik. Ez történhet az internetcímek véletlen megnyitásával, az interneten talált linkek felkeresésével és számos más módon.
A lényeg, hogy előbb-utóbb el fognak érni a te oldaladhoz is, ahol a bejelentkezést a szokásos helyen találják, a domain neved /wp-login.php címén. Ilyenkor nincs más dolguk, mint próbálkozni. Erre a leggyakoribb módszer a brute force, ahol egyesével elkezdik felhasználni a lehetséges név és jelszó kombinációkat, míg be nem jutnak. Onnantól fogva pedig vírust telepíthetnek a gépedre, naplózhatják vagy tovább küldhetik az adatokat, ellophatják a felhasználók bejelentkezéseit stb.
Már az is sokat segít a védelem számára, ha nem a szokásos admin a felhasználóneved. De még tovább mehetsz, a /wp-login.php bejelentkezési címet megváltoztathatod, így a rosszindulatú botok nehezebben találhatnak meg, a bejelentkezési próbálkozások számát pedig limitálhatod, így a brute force rögtön megbukik.
Mindkét megoldásra léteznek WordPress bővítmények.
A wp-login.php elérésének megváltoztatása
Ne felejtsd el, hogy mielőtt bármit is változtatnál a WordPress-eden, mindig készíts biztonsági másolatot! Így akármi történik, vissza tudod állítani a weboldalad eredeti változatát.
Az alapértelmezett wp-login.php elérési helyét a legkönnyebben a WPS Hide Login bővítménnyel tudod elrejteni. Itt elérhető: https://hu.wordpress.org/plugins/wps-hide-login/
Miután telepítetted és aktiváltad a WordPress adminodban, keresd meg a Beállítások – WPS Hide Login menüpontot. Ennek nem lesz külön kezelőfelülete, hanem az általános beállítások panel aljára visz téged. Itt kétféle beállításra van lehetőséged.
A Login url mezőben megadhatod azt az aloldalt, ahova a bejelentkezést át akarod helyezni. Például, ha a mezőbe a „bejelentkezes” szót írod, akkor nem a /wp-login mutatja majd az belépést, hanem a /bejelentkezes.
A második mező a Redirection URL. Itt alapértelmezésként a /404 van megadva, ami az „Oldal nem található” részét hozza elő a weboldaladnak. Mindenki ide lesz átirányítva, aki a régi /wp-login.php-t vagy a /wp-admin felületet keresi. Ha létrehozol egy aloldalt, ahol elmagyarázod a változásokat, akkor a látogatókat átirányíthatod oda, és megértik, miért nem érhető el a korábbi wp-login.php.
Bejelentkezési lehetőségek korlátozása
A fenti megoldás nem teljes, mert ha az új bejelentkezés linkjét valahol megosztod a weboldaladon, vagy a botok kiderítik, akkor brute force megoldással előbb-utóbb bejuthatnak. Érdemes tehát korlátoznod, hogy egy felhasználó hányszor próbálkozhat belépni a rossz név-jelszó párossal.
Ha úgy látod jónak, engedj 3, 5 vagy még több kísérletet, mindenképpen elég lesz a nagy tömegű bejelentkezési kísérletezés megakadályozásához. Amint az adott limit elérésre kerül, a látogató számára egy időre letiltásra kerül az opció.
Az egyik legjobb bővítmény erre a célja a Limit Login Attempts Reloaded, melyet itt érhetsz el: https://hu.wordpress.org/plugins/limit-login-attempts-reloaded/
A letöltése és telepítése után az adminban válaszd a Beállítások – Limit Login Attempts menüpontot a részletek megadásához. Itt több dolgot is beállíthatsz. Az engedélyezett bejelentkezési lehetőségek száma azt jelenti, hogy egy látogató hány alkalommal próbálkozhat a bejelentkezéssel a tiltása előtt. A második mezőben adhatod meg, hogy a hibás próbálkozások után hány percig legyen tiltva, itt az alapértelmezett érték a 20 perc.
A harmadik sorban hosszabb időre is eltilthatod a látogatót a belépéstől, megadhatod, hogy hány kizárás után legyen nagyobb büntetés, és az hány óráig tartson. Alapértelmezésként úgy van beállítva, hogy egy látogató a 4. kizárása után 24 óráig egyáltalán ne tudjon próbálkozni a belépéssel.
Ugyanezen a felületen állíthatod be a naplózást, illetve emailes értesítőt is kérhetsz, ha a rendszer valakit kizár. A Whitelist azoknak a látogatóknak a köre, akiknél a bővítmény nem fog működni, így ők akárhányszor próbálkozhatnak. Az első dobozban minden sorban egy-egy IP címet vagy IP cím tartományt adhatsz meg, míg a második dobozban a felhasználóneveket írhatod be.
A Blacklist a feketelistát jelöli, ezek a látogatók nem léphetnek be az oldalra még akkor sem, ha tudják a felhasználónév-jelszó párost. Itt is két doboz an, az elsőben egy IP címet vagy tartományt tilthatsz, a másodikban felhasználóneveket.
A módosításokat a Save Options gomb megnyomásával véglegesítheted.
Egyéb védelem
A WordPress weboldalad a fentieken kívül számos apró lépéssel is biztonságosabbá teheted. Mindig válassz megfelelő erősségű jelszót, és a felhasználóidnak is tedd kötelezővé ezek használatát.
Ha a szervereden dolgozol, és elállítottad a jogosultságokat, akkor állítsd vissza ezeket a megfelelő értékre. A WordPress könyvtárainak a 755, a fájloknak a 644-es jogosultságokra van szüksége, ha ennél megengedőbb vagy, akkor az oldaladhoz illetéktelenek is hozzáférhetnek.
Nagyon fontos a WordPress szoftver, a bővítmények és a sablon folyamatos frissítése is. Ezeket ugyanis rendszeresen fejlesztik, és gyakran egy-egy hibalehetőséget tüntetnek el az új kiadással. Ha te még egy régebbi változatot használsz, akkor a már ismert hibán keresztül nyitva hagyod a hátsó ajtót a weboldaladhoz. Beállíthatsz automatikus frissítéseket is, így oldalad mindig naprakész marad.
Ha prémium témát töltesz fel az oldaladra, akkor azt mindig vásárold meg, vagy szerezd be másféle jogtiszta forrásokból. Számos hely kínálja ezek ingyenes változatát nulled, azaz feltört formában az interneten, de ez nem csak illegális, hanem veszélyes is. A hackerek általában nem jószívűségből adnak valamit ingyen, hanem a saját kódjukat is hozzáadják a letöltött anyaghoz. Ezek felhasználásával pedig ismét csak hozzáférést engedsz nekik a rendszeredhez és az azokban tárol felhasználói adatokhoz.
A már működő weboldaladnál már ne alkalmazd, de egy újabb WordPress telepítésnél figyelj oda az adatbázisodban használt adattáblák elnevezésére is. A WordPress alapértelmezésként a wp_ előtagot használja, így az adatbázisában minden tábla, amely ezzel kezdődik, hozzá tartozik. Tudják ezt a hackerek is, akik könnyebben elérik az oldalad adatbázisát a wp_ előtagú táblák végig próbálásával.
Nehezítsd meg a dolgukat, és a következő telepítésnél, amikor a WordPress rákérdez, írd át az ott szereplő wp_ előtagot. Véletlen karakterek is megfelelnek a célra, tehát például egy wp3f33g_ előtaggal már meg is nehezítetted a rossz szándékú behatolók dolgát.