A WordPress egyik legnagyobb gyenge pontja, hogy alapértelmezésként minden telepítésnél ugyanott érhető el a bejelentkezés, ráadásul a belépési próbálkozások száma sincs limitálva. Hogy elkerüld a weboldalad feltörését, gondoskodnod kell ezen hiányosságok megoldásáról.
Ebben a cikkben bemutatjuk, hogyan tudják a hackerek egyszerűen feltörni az oldalad, és hogyan tudsz könnyen védekezni ez ellen. Ezek mellett pedig további tippeket is adunk, amelyekkel még biztonságosabbá teheted az oldalt.
Hogyan törhetik fel a hackerek a weboldalad?
Az internet tele van automata programokkal, amik különféle weboldalak után kutatnak. Ezeket más néven botnak is nevezik (a robot szóból), és közülük jó néhány kifejezetten a WordPress oldalakra vadásznak. Ez történhet az internetcímek véletlen megnyitásával, az interneten talált linkek felkeresésével és számos más módon.
A lényeg, hogy előbb-utóbb el fognak érni a te oldaladhoz is, ahol – ha nem módosítod – a bejelentkezést a szokásos helyen megtalálják, azaz a domainneved.hu/wp-login.php címen. Ilyenkor nincs más dolguk, mint próbálkozni. Erre a leggyakoribb módszer a brute force, ahol egyesével elkezdik felhasználni a lehetséges név és jelszó kombinációkat, míg be nem jutnak. Onnantól fogva pedig vírust telepíthetnek a gépedre, naplózhatják vagy tovább küldhetik az adatokat, ellophatják a felhasználók bejelentkezéseit stb.
Már az is sokat segít a védelem számára, ha nem a szokásosadmin a felhasználóneved. Ennél ha még tovább mész, és a /wp-login.php bejelentkezési címet is megváltoztatod, akkor a rosszindulatú botok nehezebben találják meg a bejelentkezési oldalt, plusz ha a próbálkozások számát is limitálod, akkor a brute force rögtön meg is bukik.
A jó hír, hogy mindkét megoldásra léteznek WordPress bővítmények.
A wp-login.php elérésének megváltoztatása
Ne feledd, hogy mielőtt bármit is változtatnál a WordPresseden, mindig készíts biztonsági mentést! Így akármi történik, vissza tudod állítani a weboldalad eredeti változatát.
Az alapértelmezett wp-login.php elérési helyét a legkönnyebben aWPS Hide Login bővítménnyel tudod elrejteni. Miután telepítetted és aktiváltad, keresd meg a Beállítások – WPS Hide Login menüpontot. Ennek nem lesz külön kezelőfelülete, hanem az általános beállítások panel aljára visz téged. Itt kétféle beállításra van lehetőséged.
A Login url mezőben megadhatod azt az aloldalt, ahova a bejelentkezést át akarod helyezni. Például, ha a mezőbe a „bejelentkezes” szót írod, akkor nem a /wp-login mutatja majd az belépést, hanem a /bejelentkezes.
A második mező a Redirection URL. Itt alapértelmezésként a /404 van megadva, ami az „Oldal nem található” oldalt hozza elő. Mindenki ide lesz átirányítva, aki a régi /wp-login.php-t vagy a /wp-admin felületet keresi. Ha létrehozol egy aloldalt, ahol elmagyarázod a változásokat, akkor a látogatókat átirányíthatod oda, így megértik, miért nem érhető el a korábbi wp-login.php.
Bejelentkezési lehetőségek korlátozása
A fenti megoldás nem teljes, mert ha az új bejelentkezési linket valahol megosztod a weboldaladon, vagy a botok kiderítik, akkor brute force megoldással előbb-utóbb bejuthatnak. Érdemes tehát korlátoznod, hogy egy felhasználó hányszor próbálkozhat belépni a rossz név-jelszó párossal.
Ha úgy látod jónak, engedj 3-5 vagy még több kísérletet, ami mindenképpen elég lesz a nagy tömegű bejelentkezési kísérletezés megakadályozásához. Amint az adott limit elérésre kerül, a látogató számára egy időre letiltásra kerül az opció.
Az egyik legjobb bővítmény erre a célja aLimit Login Attempts Reloaded. A letöltése és telepítése után az adminban navigálj el a Beállítások – Limit Login Attempts menüpontra a részletek megadásához. Itt több dolgot is beállíthatsz. Az engedélyezett bejelentkezési lehetőségek száma azt jelenti, hogy egy látogató hány alkalommal próbálkozhat a bejelentkezéssel a letiltása előtt. A második mezőben azt adhatod meg, hogy a hibás próbálkozások után hány percig legyen letiltva – itt az alapértelmezett érték a 20 perc.
A harmadik sorban pedig hosszabb időre is eltilthatod a látogatót a belépéstől. Megadhatod például, hogy hány kizárás után legyen nagyobb büntetés, és az hány óráig tartson. Alapértelmezésként úgy van beállítva, hogy egy látogató a 4. kizárása után 24 óráig egyáltalán ne tudjon próbálkozni a belépéssel.
Ugyanezen a felületen állíthatod be a naplózást is, illetve emailes értesítőt is kérhetsz, ha a rendszer valakit kizár. AWhitelist azoknak a látogatóknak a köre, akiknél a bővítmény nem fog működni, így ők akárhányszor próbálkozhatnak. Az első dobozban minden sorban egy-egy IP címet vagy IP cím tartományt adhatsz meg, míg a második dobozban a felhasználóneveket írhatod be.
ABlacklist a feketelistát jelöli, ezek a látogatók nem léphetnek be az oldalra még akkor sem, ha tudják a felhasználónév-jelszó párost. Itt is két doboz van, az elsőben egy IP címet vagy tartományt tilthatsz, a másodikban felhasználóneveket.
A módosításokat a Save Options gomb megnyomásával véglegesítheted.
Egyéb védelem
A WordPress weboldalad a fentieken kívül számos apró lépéssel is biztonságosabbá teheted. Mindig válassz megfelelő erősségű jelszót, és a felhasználóidnak is tedd kötelezővé ezek használatát.
Ha a szervereden dolgozol, és elállítottad a jogosultságokat, akkor állítsd vissza ezeket a megfelelő értékre. A WordPress könyvtárainak a 755, a fájloknak a 644-es jogosultságokra van szüksége, ha ennél megengedőbb vagy, akkor az oldaladhoz illetéktelenek is hozzáférhetnek.
Nagyon fontos a WordPress szoftver, illetve a bővítmények és a sablon folyamatos frissítése is. Ezeket ugyanis rendszeresen fejlesztik, és gyakran egy-egy hibalehetőséget tüntetnek el az új kiadással. Ha te még egy régebbi változatot használsz, akkor a már ismert hibán keresztül nyitva hagyod a hátsó ajtót a weboldaladhoz. Beállíthatsz automatikus frissítéseket is, így az oldalad mindig naprakész marad.
Ha prémium témát töltesz fel az oldaladra, akkor azt mindig vásárold meg, vagy szerezd be másféle jogtiszta forrásokból. Számos hely kínálja ezek ingyenes változatát, azaz feltört formában, de ez nem csak illegális, hanem veszélyes is. A hackerek általában nem jószívűségből adnak valamit ingyen, hanem a saját kódjukat is hozzáadják a letöltött anyaghoz. Ezek felhasználásával pedig ismét csak hozzáférést engedsz nekik a rendszeredhez és az azokban tárol felhasználói adatokhoz.
A már működő weboldaladnál már ne alkalmazd, de egy újabb WordPress telepítésnél figyelj oda az adatbázisodban használt adattáblák elnevezésére is. A WordPress alapértelmezésként a wp_ előtagot használja, így az adatbázisában minden tábla, amely ezzel kezdődik, hozzá tartozik. Ezt a hackerek is tudják, akik így könnyebben elérik az oldalad adatbázisát a wp_ előtagú táblák végigpróbálásával.
Nehezítsd meg a dolgukat, és a következő telepítésnél, amikor a WordPress rákérdez, írd át az ott szereplő wp_ előtagot. Véletlen karakterek is megfelelnek a célra, tehát például egy wp3f33g_ előtaggal máris megnehezítetted a rossz szándékú behatolók dolgát.