HOGYAN TEGYÜK BIZTONSÁGOSABBÁ A WORDPRESS HONLAPUNKAT?

WordPress biztonsági tippek
Már rengeteg cikk jelent meg a WordPress oldalak biztonságos üzemeltetésével kapcsolatban. Érdemes megemlíteni, hogy örök időkre szóló – végérvényes védelem nem létezik, de nagyon sok mindent meg lehet tenni az érdekében, hogy csökkentsük a honlapunk biztonsági kockázatát.
Folyamatosan tennünk kell azért, hogy a honlapunk stabil és biztonságos legyen! 

WordPress biztonsági tippek

Mit tehetünk a honlapunk biztonsága érdekében?

Örökös téma felhasználói név – jelszó
  • Ne legyen admin nevű felhasználónk!
    Ha telepítéskor nem adtunk meg egyedi felhasználói nevet, akkor a WordPress automatikusan létrehoz egy admin nevű felhasználót, ezt nem szabad megtartani. Hozzunk létre egy saját felhasználót. Meg lehet nehezíteni a hackerek dolgát azzal, ha egy kicsit bonyolultabb felhasználói nevet adunk meg pl. herceg_75. Adjunk adminisztrátori jogosultságot herceg_75-nek, majd töröljük az admin nevű felhasználót.
  • Nyilvánosan megjelenő nevünk ne legyen azonos a felhasználói nevünkkel! Ez az első felhasználói név amivel próbálkozni fognak, hogy megkíséreljék feltörni a honlapot, hiszen már csak a jelszót kell megfejteni.
    Jó ötlet, ha beállítunk egy becenevet. Felhasználók->Összes felhasználó menüpont alatt az adott user-t kell szerkeszteni. Keressük meg a becenév részt, adjunk egy tetszőleges nevet, majd a Nyilvánosan megjelenő név résznél már be tudjuk állítani. (pl. Felhasználói név herceg_75; Becenév: Herceg)
  • Egy egyszerű trükkel (honlap.hu/?author=1, honlap.hu/?author=2 …) meg lehet tudni az összes felhasználó nevét, ezért érdemes tiltani az author oldalakat. Jó megoldás, ha a Yoast SEO alatt a Titles & Metas -> Archive fülön az Author archives beállítást disabled-re állítjuk.
  • Fontos, hogy erős jelszavakat használjunk, és mindenképpen tartsuk biztonságos helyen (ha túl sok jelszót kell megjegyezni, akkor használjunk jelszókezelőt KeeFox, KeePass – de egy sima füzet és toll is megteszi)!
    Számok, szimbólumok és vegyesen kis- és nagybetűk használatával megnehezíti a jelszava kitalálását vagy feltörését. Számokat, szimbólumokat és vegyesen kis- és nagybetűket használó, nyolc karakterből álló jelszavak esetében például 6 kvadrilliónál is több lehetséges variáció van, ami 30 000-szer több, mint egy csak kisbetűket használó jelszó esetében. Forrás: Google.hu
    Bejelentkezési ablakban ne jelenítsük meg, hogy a felhasználói név, vagy a jelszó hibás.
    Helyezzük el a sablonunk function.php fájljában a következő néhány sort:
    /* Ne mutassa a bejelentkezési ablak, hogy a felhasználói név, vagy a jelszó hibás */
    function no_errors_please()
    {     return 'A megadott felhasználónév, vagy jelszó hibás !!!';}
    add_filter( 'login_errors', 'no_errors_please' );
  • Hozzunk létre saját bejelentkező linket például a Protect WP-Admin bővítmény segítségével.
  • Korlátozzuk a sikertelen belépések számát, erre a célra többféle bővítmény is használható. Nagyon hasznos lehet a Wordfence plugin, ami véd a brutal force jellegű támadások ellen, valamint figyeli a weboldalhoz tartozó fájlok integritását és módosítási dátumait is. Bizonyos számú sikertelen bejelentkezés után (én 3-ra szoktam lekorlátozni), egyszerűen tiltsuk le az adott IP-t (legalább 1 órára, de akár 1 napra is kitilthatjuk).
WordPress – mentés, frissítés, inkognitó
  • Az egyik legfontosabb dolog amit megtehetünk, hogy a WordPress-t, és a hozzá tartozó modulokat (bővítményeket, sablonokat) mindig naprakészen tartjuk. Ha elérhető új verzió, akkor mindenképpen a lehető legrövidebb időn belül frissítsünk.
    Ahogy megjelenik egy javítócsomag – biztonsági frissítés a WordPress-hez, vagy a hozzá tartozó bővítményekhez, a hibát publikálják. Azaz dokumentálják az adott modul sérülékenységét. Ha nem frissítjük a időben (rövid időn belül) a honlapunkat, akkor a leírt biztonsági rést (sérülékenységet) kihasználva könnyűszerrel feltörhetik a honlapunkat.
  • Ne áruljuk el, hogy milyen rendszer alatt működik a honlapunk – WordPress verzióbejegyzés eltávolítása
    Legegyszerűbb megoldás, ha a function.php file elejére beírjuk a következő sort:
    remove_action('wp_head', 'wp_generator');
  • Tiltsuk a php fájlok szerkesztését a vezérlőpultban.
    Ha egy támadás során mégis elérik az admin felületet, akkor ne tudják azon keresztül módosítani a téma, és a bővítmények forráskódjait. Ha letiltjuk, akkor csak FTP-n, vagy a szolgáltató által biztosított fájlkezelőn keresztül lehet szerkeszteni a fájlokat.
    A követező sort írjuk bele a wp-config  php file elejére:
    define('DISALLOW_FILE_EDIT', true);
  • Érdemes törölni a nem használt sablonokat, bővítményeket.
  • Beállítások -> Interakció menüpontban a “ Megpróbálja értesíteni a bejegyzésről az összes hivatkozott blogot.” valamint a “Engedélyezzük a link értesítéseket más blogoktól (visszajelzések és visszakövetések) az új bejegyzéseknél” elől feltétlen vegyük ki a pipát. Sajnos az ezekhez tartozó funkciókon keresztül DDoS támadást lehet indítani, és a weboldalt botnetbe kötve más szerverek megbénítására használhatják.
  • Ha még előtte állunk a telepítésnek, akkor a kezdeti beállítások alkalmával feltétlen írjuk át a wp_ előtagot valami másra pl. suszter28_. Utólag már nincs jelentősége, mivel szinte teljesen hatástalan a rendszer védelme szempontjából.

Filerendszer

  • Nagyon fontos a könyvtárak és a fájlok jogosultságának helyes beállítása. Csak a minimálisan szükséges jogokat engedélyezzük a működéshez. Könyvtáraknak 755 >=, fájloknak 644 >= az ajánlott beállítás.
  • Érdemes elrejteni a következő könyvtárak tartalmát egy egyszerű index.php fájlal:
    wp-content
    wp-content/plugins
    wp-content/themes
    wp-content/uploads
    index.php tartalma: <?php// Silence is golden.?>
  • Alap WordPress fájlok elrejtése .htaccess-el
    <FilesMatch "^(licenc\.txt|license\.txt|olvasdel\.html|readme\.html|wp-activate\.php|wp-config\.php|wp-config-sample\.php|wp-mail\.php|xmlrpc\.php|\.htaccess)$">
    Order allow,deny
    Deny from all
    </FilesMatch>
  • Érdemes a könyvtár tallózást tiltani, hogyha esetleg állna a lehetőség, akkor se mutassa a könyvtárlistát.
    írjuk a következő sort a .htaccess fájlba: Options -Indexes

Hasznos tanácsok

  • Csak saját gépen szerkesszünk honlapot.
    Ingyenes Wifi hálózaton, internet kávézóban semmi esetre se jelentkezzünk be, hogy szerkeszteni tudjuk az adott honlapot.
  • Használjunk víruskeresőt a számítógépünkön, és rendszeresen ellenőrizzük.
  • Rendszeresen készítsünk biztonsági mentést a weboldaladról – ha beüt a krach, akkor legyen mihez nyúlni.
  • Jelszavunkat időnként érdemes módosítani.
  • A WordPress-t csak a hivatalos oldalról telepítsük (magyar elérhetőségek): https://hu.wordpress.org/
    Bővítmények: https://hu.wordpress.org/plugins/
    Sablonok: https://hu.wordpress.org/themes/
  • Használjunk biztonságos FTP klienst – Figyelem a Total Commender alapból nem menti titkosítva a jelszavad.
  • Vannak nagyon hasznos biztonsági bővítmények, melyek használatával csökkenthetjük a honlap biztonsági kockázatát.
    Talán a három legjobb biztonsági bővítmény: Wordfence Security, iThemes Security (formerly Better WP Security), All In One WP Security & Firewall. Bármelyiket választod, hasznos segítőtársad lesz.

Ezek a legalapvetőbb beállítások, de még nagyon hosszan lehetne sorolni, hogy miket érdemes megtenni ahhoz, hogy csökkentsük a honlapunk biztonsági kockázatát.