WordPress biztonság: így óvd meg a honlapodat

Szerző: Utoljára frissítve: 2020.Aug.14.WordPress

A WordPress az internet 10 millió leglátogatottabb weboldalának mintegy harmadát szolgálja ki. Reálisan nézve alapvetően egy biztonságos, gyakran frissített weboldal-motor, azonban természetesen megvannak a saját gyengeségei – a biztonság területén is.

Szerencsére egy kis odafigyeléssel minimalizálni lehet a WordPress honlapokra leselkedő veszélyeket. Tarts velem, hogy meg tudd, hogyan!

Ki, és miért támadhat a WordPress weboldalamra?

A WordPress nyílt forráskódú rendszer. Ez azt jelenti, hogy a kódját bárki szabadon elérheti és szerkesztheti.

Népszerűsége a hackerek kedvelt célpontjává teszi a WordPresst, hiszen elég a nyilvánosan elérhető kódban egyetlen biztonsági rést találni, máris honlapok tömege válik támadhatóvá.

A támadás mögött állhat húsvér ember, de egy ilyen célra írt, automatizált program (bot) is, ami jellemzően több célpontot is támadhat egyszerre. A legrosszabb és legkomplexebb ellenfél az úgynevezett “botnet”.

A fogalom egy hálózatra kapcsolt eszközök (számítógépek, vagy akár okostelefonok) csoportját jelöli, amelyek felett már átvették az irányítást, sokszor a tulajdonosuk tudta nélkül, a háttérben futtatott rosszindulatú programokkal. A megfertőzött eszközöket egy távoli C&C szerverről irányítják, és többek között felhasználhatják egyszerre több webhely automatizált támadására is. Gyakori az is, hogy Bitcoin-bányászatra használják a hálózatot.

Ha egy WordPress oldal ér támadás, akkor a cél az, hogy adminisztrátori szintű irányítást szerezzenek a WordPress felett, azaz hozzáférjenek minden fájlhoz és adathoz. Amikor sikerül feltörni egy oldalt, a támadó (legyen húsvér ember vagy bot) általában módosításokat végez a weboldal kódjában, hogy a továbbiakban a saját céljaira tudja felhasználni a webhelyet.

Ilyen cél lehet például

  • tömeges levélszemét (spam) küldése
  • rosszindulatú, illegális tartalmak (pornográfia, kábítószer-kereskedelem, stb.) megjelenítése és tárolása
  • adatlopás: a honlapot tulajdonló személy vagy vállalkozás, valamint az ügyfelek adatainak megszerzése, felhasználása
  • botnet kiterjesztése. Ilyenkor a webhelyet további támadásokra fogják használni.
  • üzleti előny szerzése. Ez sokkal ritkább, de azért még kkv-k esetében is előfordul. Egy építőiparban mozgó ügyfél mesélte, hogy a weboldalát feltörve úgy módosították az ajánlatkérő kapcsolati űrlapját, hogy az üzenetek nem hozzá, hanem a konkurenciához futottak be. Szép.

Egyik eset sem leányálom.

Túl azon, hogy rengeteg bosszúságot okoz, és nem kevés pénzt is felemészthet egy feltört weboldal helyreállítása és megtisztítása, hatalmas károkat okozhat hosszú távon is. Például alapvetően veszélyezteti a weboldal Google rangsorban elfoglalt helyét.

A keresőmotor ugyanis hamar észre fogja venni, ha például egy vírusos oldalra mutató linket rejtenek el a webhely kódjában. Ilyenkor a honlapot a Google feketelistázza, az organikus forgalom pillanatokon belül eltűnik, és odavész a keresőoptimalizálásba fektetett minden munkánk.

Ha a Google érzékel valamit a weboldalunkkal kapcsolatban, akkor a Search Console felületén a Biztonsági problémák menüpontban jelzi nekünk. Szerencsére a feketelistáról le is lehet kerülni, ehhez itt olvasható egy angol nyelvű összefoglaló.

Hogyan növeld a WordPress weboldalad biztonságát?

1. Használj biztonságos tárhelyet

Az első, és legfontosabb lépés, hogy

válassz körültekintően tárhelyet a weboldalad számára.

Sajnos biztonsági szempontból (is) nagyon silány a magyarországi tárhelykínálat. Persze bizonyos fokig érthető ez, hiszen a magyar elég áréérzékeny piac, és évi 4-5 ezer forintért tényleg képtelenség magas minőségű szolgáltatást nyújtani. Ennyi pénzért a weboldalunkat egy pattanásig zsúfolt virtuális szerverre fogják rápakolni. Lassú lesz, és nem biztonságos.

Az elfogadható szolgáltatások évi pár tízezer forintnál kezdődnek. De egy igazi, biztonsági szempontból is jó megoldás havi szinten több ezer forintba fog kerülni.

Persze érthető, ha egy frissen induló weboldalnál nem akarsz egyből ennyit költeni. De az is fontos, hogy tudj az olcsó szolgáltatások hátulütőiről.

Például az olcsó, osztott tárhelyeknél nagyon komoly kockázata van annak, hogy az oldalad nem kívülről lesz vírusos, hanem az ugyanazon a szerveren tárolt többi honlap fertőzi meg. Ugyanis a legtöbb osztott tárhelyen nincsenek rendesen izolálva egymástól a weboldalak.

Egy kolléga mesélte, hogy egyszer több tucat általa üzemeltetett honlap lett így vírusos egy nagyon népszerű magyar tárhelyen. Hiába irtotta folyamatosan a honlapokról a kártevőket, rövid idő múlva újra vírusos lett az összes. A megoldás végül az lett, hogy elköltöztette az összes weboldalát egy biztonságosabb tárhelyre.

Ezért használok olyan tárhelyet, ahol minden WordPress telepítés 100 százalékig izolálva van egymástól, ráadásul számos beépített, szerveroldali biztonsági megoldás védi az általam üzemeltett weboldalakat.

Az olcsó szegmensben emellett rengeteg az olyan tárhelyszolgáltatás, ahol a szerverek nincsenek rendesen belőve, például minden fontos beállítás alaphelyzetben van hagyva. 2020-ban például már elég béna, ha egy szerveren az 5.6-os PHP az alapbeállítás, és a felhasználónak kell mindenféle rendszerekben kutakodnia, hogy beállíthassa a legújabb (jelenleg 7.4-es) változatot.

WordPress biztonság lépések

2. Legyen naprakész biztonsági mentésed

Nincs mit ragozni ezen, életbevágó, hogy rendszeres időközönként (ha gyakran blogolsz naponta, komolyabb webáruház esetén akár néhány óránként) készüljön az oldaladról egy bármikor elérhető biztonsági mentés.

Biztonsági mentés nélkül weboldalt üzemeltetni nagyjából olyan, mint biztonsági öv nélkül száguldozni szembeforgalomban az autópályán.

Érdemes a mentési folyamatot automatizálni, hogy miként, megtudhatod a biztonsági mentésről szóló cikkemből.

3. Használj jó minőségű sablont és bővítményeket

Akár sablont, akár bővítményeket keresel, mindig csak is kizárólag megbízható forrásból válaszd ki a neked megfelelőt. A fizetős sablonokkal biztosan nem lesz ilyen gondod, de nagyon sok ingyenes témát is beszerezhetsz biztonságos helyről.

Ugyanez igaz a bővítményekre. Csak olyan pluginokat telepíts a honlapodra, amit rendszeresen frissítenek, aminek sok és kedvező értékelése van, és amire tényleg szükséged van. Felesleges bővítményeket kikapcsolva se őrizgess a weboldaladon, mert biztonsági kockázatot jelenthetnek.

Egy dolog nagyon fontos:

Sose töltsd le és használd fizetős sablonok vagy bővítmények kalózverzióit. Ezekben bárki könnyen helyezhetett el kártékony kódot, ezért egyszerűen nem éri meg a kockázat.

Ne ezen spórolj, akkor már inkább használj ingyenes, de megbízható eszközöket.

4. Végezd el rendszeresen a frissítéseket és más karbantartási feladatokat

A WordPress honlapok karbantartásáról már korábban írtam, ezért itt most csak egy dolgot akarok kiemelni.

Mivel minden eszköz (sablon és bővítmény, de maga a WordPress is) elavul idővel, ezért nagyon fontos, hogy mindig időben frissítsd, amit szükséges. Szerencsére a WordPress mindig tájékoztat arról, milyen szoftverednek jelent meg újabb változata.

A régóta nem frissített szoftverek könnyen végzetesek lehetnek, tele az internet olyan hackerekkel, akik elavult bővítményekben, sablonokban és régi WordPress verzókban keresnek biztonsági réseket. Ne adj nekik esélyt.

5. Csak biztonságos helyről lépj be a WordPress oldalad admin felületére

A honlapodra mindig csak biztonságos számítógépről és biztonságos internet kapcsolaton keresztül csatlakozz. Felejsd el – egyébként is – a nyilvános WiFi hálózatokat, amelyen keresztül bárki ellophatja a belépési adataidat, és kárt tehet a weboldaladon.

Sok WordPress honlap azért lesz vírusos, mert a tulajdonos számítógépe fertőzött. Telepíts a gépedre rendes tűzfalat és vírusirtót!

6. Erős jelszavakat használj!

Felejsd el az admin123 vagy a kissgabor1976 típusú jelszavakat, és használj inkább erős – számokat, kis- és nagybetűket, speciális karaktereket is tartalmazó – jelszavakat a WordPress belépési felületen.

Erős jelszavakat generálhatsz például a Norton weboldalán, de ha használsz a számítógépeden jelszómenedzsert (Kaspersky, LastPass, stb.), akkor azon belül is találasz ilyen funkciót.

Fontos az is, hogy a WordPress belépési felület jelszavát néhány havonta cseréld le. És természetesen eszedbe se jusson az alapértelmezett “admin” felhasználónevet használni!

7. Biztonsági bővítmények és tűzfalak

Az ideális megoldás, ha a tárhelyszolgáltatód szilárd szerveroldali védelmet nyújt, mert ilyenkor nem kell a weboldaladat további eszközökkel terhelni. Azonban ha nem találsz az igényeidnek vagy a pénztárcádnak megfelelő ilyen tárhelyszolgáltatást, érdemes körülnézni a biztonsági pluginok között.

A legnépszerűbbek között van például a Shield Security, a Wordfence, a Jetpack, az iThemes Security vagy a Sucuri Security. Az ilyen bővítmények általában kínálnak valamilyen formában tűzfalat, malware keresést, biztonsági értesítés funkciót, korlátozhatod a belépési kísérletek számát, stb. Biztonsági szempontból is előnyös lehet valamilyen CDN szolgáltatás (Cloudflare vagy Google CDN) használata, amely különböző szerverekre osztja szét a honlapunkra nehezedő külső terhelést. Egy terheléses támadásnál (brute force) ez igen hasznos lehet.

Ezen felül használhatsz még kétlépcsős bejelentkezést (erre jó például a  Google Authenticator vagy a Duo bővítmény), ilyenkor a felhasználónév és a jelszó beírása után SMS-ban is kapsz egy kódot, amivel bejuthatsz a WordPress admin felületre.

Ne várj túl sokat az ingyenes biztonsági bővítményektől. A fizetőseknek viszont komolyan megkérik az árát.

Például a Sucuri Security fizetős, tűzfalat is tartalmazó változata évi 200 dollárról indul (kb. 60 ezer forint). A legnépszerűbb CDN szolgáltatás, a Cloudflare komolyabb, fizetős változata havi 20 dollárt (kb. 6000 forintot) kóstál. A kettő együtt már havi szinten több mint 10 ezer forint. Ilyesmi összegért már igazán találhatsz jó, robosztus szerveroldali védelemmel ellátott tárhelyet.

Ha nincs a tárhelyednek komolyabb védelme, és fizetni sem tudsz egy biztonsági bővítményért, tapasztalatom szerint az All in One WP Security & Firewall nyújtja a legtöbbet ingyenesen.

WordPress biztonság egy mondatban: jobb egy kicsit félni, mint aztán nagyon megijedni

Ha WordPress-t használsz, nem kell állandóan a feltöréstől, vírusoktól és hackerektől rettegned. De azért érdemes tisztában lenni a kockázatokkal, és amennyire csak lehet, felkészülni rájuk.

Amenyiben már van weboldalad, kezdésnek azt ajánlom, hogy futtasd le most a Sucuri biztonsági tesztjét. Ha valami kockázatot jelezz, nézz utána, miként tudnád megszüntetni. Ehhez tippeket is ad, igaz angolul.

Ezután ellenőrizd, hogy

  • készül-e rendszeres biztonsági mentés a weboldaladról
  • a jelszavakat és felhasználónevek erősségét
  • a karbantartási feladatok, frissítések elvégzését
  • van-e a weboldaladnak számottevő szerveroldali vagy bővítményes védelme

Ha pedig kérdésed van, bátran tett fel hozzászólásban, vagy írj üzenetet.

0 hozzászólás

Egy hozzászólás elküldése

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Weboldal készítés egy nap alatt, garanciával

WordPress weboldal üzemeltetés profin

Ajándék emailkurzus

 

Saját weboldal vállalkozásoknak: útmutató az induláshoz

Részletek

Köszönöm! Kérlek ellenőrizd az email fiókodat!

Pin It on Pinterest