hogy a WordPress weboldalakat feltörik
A WordPress mint CMS széles körű népszerűsége miatt a hackerek kedvelt célpontja is.
A hackertámadások többnyire opportunista jellegűek, nem pedig célzottan történnek (bár a nagy márkás weboldalakat kifejezetten célba vehetik). A legtöbb támadás automatizált, botok keresik az interneten a kihasználható biztonsági hiányosságokat.
A támadások gyakran a következőkön keresztül történnek:
- Biztonságtalan weboldal hosting
- Login adatok – például több véletlenszerű felhasználónév és jelszó kombináció megkísérlésével
- Szintén a CMS, plugin vagy téma szoftverek biztonsági hiányosságai – általában akkor, ha azokat nem frissítették
A hackereknek sokféle indítéka lehet, de gyakran a profitról van szó. A webhelyek feltörése rosszindulatú programok terjesztése, felhasználói adatok megszerzése, spam e-mailek küldése vagy a webhely látogatóinak átirányítása rendkívül jövedelmező lehet.
Az ilyen biztonsági rések rendkívül negatív hatással lehetnek webhelyére és vállalkozására – aláássák a felhasználók bizalmát, jogi jogsértéseket okoznak, és akár több ezer fontba is kerülhetnek. Ezért létfontosságú, hogy megvédje WordPress webhelyét a hackertámadásoktól.
Veszélyeztetett-e a WordPress webhelyem a hackertámadásokkal szemben?
A WordPress kezdők és a kis webhelyek tulajdonosai gyakran úgy gondolják, hogy nem kell aggódniuk a biztonság miatt. Feltételezik, hogy webhelyük túl kicsi és jelentéktelen ahhoz, hogy érdekelje a hackereket.
Ez a feltételezés téves.
A WordPress oldalakat minden méretben feltörik. A hackerek automatizált botokkal pásztázzák az internetet a biztonsági hiányosságokkal rendelkező webhelyek után, és mindenhol feltörik, ahol lehetőség nyílik rá.
A másik fontos dolog, amit fel kell ismerned, hogy lehet, hogy észre sem veszed, amikor a hackerek megpróbálnak betörni a webhelyedre. Hacsak nem kap rendszeres biztonsági értesítést a hackerkísérletekről, valószínűleg csak akkor fog rájönni, amikor a hacker sikerrel jár, és a webhelyén valami baj történik.
A tanulság az, hogy minden webhely sebezhető a hackerekkel szemben – és a megelőzés jobb, mint a gyógyítás. Ügyeljen arra, hogy telepítsen egy biztonsági bővítményt, és tegyen más megelőző biztonsági intézkedéseket, hogy webhelye biztonságban legyen.
Hogyan győzze le a WordPress hackereket
Most megosztjuk a 10 legjobb módszert, amellyel biztonságban tarthatja WordPress webhelyét, és megakadályozhatja, hogy feltörjék.
1) Válasszon biztonságos tárhelyszolgáltatót
Minden jó tárhelyszolgáltató tartalmaz biztonsági védelmet, hogy webhelyének információi biztonságban legyenek a szervereiken.
A tárhelyszolgáltató kiválasztásakor mindenképpen ellenőrizze, hogy milyen biztonsági intézkedésekkel rendelkeznek (például tűzfalakkal és biztonságos FTP-vel), hogyan figyelik a szerverhálózatukat, és hogyan reagálnak a biztonság megsértésére.
A WordPress webhelye különösen sebezhető a hackerekkel szemben, ha megosztott tárhelyet használ, mivel a hackerek potenciálisan más, ugyanazon a szerveren lévő webhelyeket használhatnak arra, hogy hozzáférjenek az Ön webhelyéhez.
A legbiztonságosabb – de egyben a legköltségesebb – tárhelyszolgáltatási lehetőség a dedikált szerver. Ezt akkor érdemes megfontolni, ha különösen nagy a forgalma, vagy ha érzékeny adatokat tárol a webhelyén.
2) Szerezzen be egy biztonsági bővítményt
A WordPress webhelye feltörésének megakadályozásához elengedhetetlen egy kiváló minőségű biztonsági bővítmény.
A biztonsági bővítmények általában a következőket tartalmazzák:
- egy tűzfal a gyanús forgalom blokkolására
- brutális védelem a többszörös véletlenszerű bejelentkezési kísérletek ellen
- egy szkenner, amely ellenőrzi a fájlokat, témákat és bővítményeket biztonsági problémák szempontjából
- rendszeres biztonsági értesítések
A Wordfence-t ajánljuk – egy kiváló, ingyenes biztonsági bővítmény. Telepítés után a WordPress műszerfalának bal oldali menüjében megjelenik a ‘Wordfence’. Ide kattintva bármikor átvizsgálhatja webhelyét, megtekintheti a legfrissebb értesítéseket, és ajánlásokat kaphat a webhely biztonságának javítására.
3) Válasszon biztonságos témát
A megfelelő téma kiválasztása webhelyéhez kulcsfontosságú. Természetesen a szervezetének megfelelő megjelenéssel és funkciókkal kell rendelkeznie. De emellett robusztusnak és biztonságosnak is kell lennie.
A biztonságos téma:
- Rendszeresen frissül és javul
- Követi a jó kódolási szabványokat
- Nem társulnak hozzá hibák vagy kompatibilitási hibák
A több mint 7000 elérhető WordPress téma mellett nehéz lehet tudni, hol kezdjük!
A biztonságos téma kiválasztásának legjobb módja, ha a WordPress.org oldalon keresgélsz. Ott böngészhet a témaértékelések között, ellenőrizheti, hogy hány telepítése volt egy témának, és megnézheti, hogy mikor frissítették utoljára a témát – ezek mind jó jelek a biztonságra nézve.
A WordPress ügynökségtől is kérhet témaajánlásokat, amelyek megfelelnek az adott webhely és szervezet igényeinek.
4) A WordPress frissítése
A WordPress naprakészen tartása egy másik fontos biztonsági intézkedés. A WordPress szoftverfrissítések rendszeresen készülnek a teljesítmény optimalizálása és a felfedezett biztonsági problémák foltozása érdekében.
A legtöbb WordPress alapkiadáshoz automatikus frissítéseket lehet alkalmazni, így webhelye a háttérben frissül anélkül, hogy Önnek bármit is tennie kellene. A nagyobb kiadásokat azonban továbbra is manuálisan kell végrehajtania – győződjön meg róla, hogy előbb biztonsági mentést készített a webhelyéről!
A WordPress műszerfalán megjelennek a frissítési üzenetek, amint azok elérhetővé válnak. Csak kattints rájuk a cselekvéshez. A bővítményeket és témákat is érdemes rendszeresen frissíteni.
5) Használj biztonságos bejelentkezési adatokat
Mint már említettük, az egyik legfontosabb módja annak, hogy a hackerek hozzáférjenek a WordPress webhelyedhez, az automatikus “kitalált” bejelentkezési kísérletek. Minél nyilvánvalóbb a felhasználóneved és a jelszavad, annál valószínűbb, hogy ezek a próbálkozások sikerrel járnak.
A hackelés megelőzése érdekében mindenképpen válassz atipikus felhasználónevet. Ez alapvetően azt jelenti, hogy ne használja az “admin” jelszót, amely annyira gyakori, hogy általában ez az első felhasználónév, amellyel a hackerek próbálkoznak.
Másrészt válasszon biztonságos jelszót, amely betűk, szimbólumok és számok keverékét tartalmazza. A maximális biztonság érdekében ennek legalább 12 karakteresnek kell lennie, és nem tartalmazhat szótári szavakat.
A WordPress műszerfal bejelentkezésének biztosítása mellett győződjön meg róla, hogy biztonságos felhasználóneveket és jelszavakat választ a weboldalhoz kapcsolódó egyéb fiókjaihoz, például az egyéni e-mail címéhez. Ellenkező esetben ezeket is felhasználhatják webhelye feltörésére.
6) Kéttényezős hitelesítés hozzáadása
Még tovább erősítheti WordPress bejelentkezését a kéttényezős hitelesítés engedélyezésével. Ez különösen akkor hasznos, ha több felhasználó jelentkezik be webhelyed back-endjébe.
A kétfaktoros hitelesítéssel a felhasználók két lépésben jelentkeznek be. Először megadják a felhasználónevüket és a jelszavukat. Ezután egy egyszeri jelszót kell megadniuk személyazonosságuk ellenőrzéséhez.
A fentebb ajánlott Wordfence biztonsági bővítmény segítségével a kétfaktoros hitelesítés könnyen engedélyezhető. Egy hitelesítő alkalmazást használ a felhasználók jelszavainak generálásához.
A beállításhoz lépjen a Wordfence > Bejelentkezés biztonsága menüpontra a WordPress műszerfalán, és másolja ki a megadott kulcsot. Ezután töltse le a Google Authenticator (vagy egy másik hitelesítő alkalmazást), és adja meg ezt a kulcsot.
Az alkalmazás ekkor egy hatjegyű kódot fog megadni. Ezt egyszerűen írja vissza a WordPress műszerfalán, és kattintson az “Aktiválás” gombra.
A kétfaktoros hitelesítés mostantól engedélyezve lesz. Ez azt jelenti, hogy minden alkalommal, amikor megpróbál bejelentkezni a WordPressbe, a rendszer felszólítja, hogy lépjen be a hitelesítő alkalmazásba, és gyűjtsön be egy jelszót.
7) Letiltja a fájlszerkesztést
A WordPress rendelkezik egy kódszerkesztővel, amely lehetővé teszi, hogy a webhely fájljait a műszerfalon keresztül szerkessze. Miközben ez nyilvánvalóan hasznos funkció, a hackelés szempontjából hatalmas terhet is jelent. Ezért javasoljuk, hogy kapcsolja ki.
A fájlszerkesztés megakadályozásának másik módja a PHP-fájlok végrehajtásának letiltása a /wp-content/uploads/ mappákban. Ehhez nyisd meg a Notepadot – vagy egy hasonló szövegszerkesztőt – és illeszd be a következőket:
<Fájlok *.php>
deny from all
</Files>
Ha ezt elmented .htaccess fájlt, és feltöltöd a webhelyed /wp-content/uploads/ mappájába, ez is megakadályozza, hogy a hackerek hátsó ajtós támadásokat hajtsanak végre a PHP futtatása ellen.
8) Vizsgáld át a webhelyedet és a számítógépedet
Nagyon fontos, hogy rendszeresen vizsgáld át a webhelyedet, hogy ellenőrizd a rosszindulatú programokat, vírusokat és gyanús kódokat. Ha a Wordfence bővítményt használja, ezt a Wordfence > Scan (Vizsgálat) menüpontra kattintva és az ‘Start new scan’ (Új vizsgálat indítása) gombra kattintva teheti meg.
Ha bármilyen probléma merül fel, a Wordfence javaslatot tesz arra, hogyan javítsa ki azokat, és tegye újra biztonságossá webhelyét. Javasoljuk, hogy legalább havonta egyszer végezze el a vizsgálatot – ha gyakrabban is megteheti, akkor még jobb!
Nem jó azonban arra támaszkodni, hogy biztonságos webhelye van, ha a számítógép, amelyről a webhelyet üzemelteti, be van poloskázva vagy fertőzött. Ezért győződjön meg róla, hogy a számítógépét vagy eszközét is rendszeresen ellenőrzi.
Egy jó vírusirtó szoftvert kell használnia az eszközén, és gondoskodjon arról, hogy rendszeresen frissítse a rendszerét. Javasoljuk továbbá, hogy ellenőrizze a böngésző adatvédelmi beállításait, hogy elkerülje, hogy internetes böngészés közben feltörjék.
9) Használjon HTTPS-t
A HTTPS-oldal használata azt jelenti, hogy a webhelye és a felhasználók böngészője közötti kommunikáció titkosítva van. Ez tehát egy másik kulcsfontosságú módja a hackertámadások megelőzésének.
Ha még nincs HTTPS-oldalad, nagyon egyszerű átállítani. Csak egy SSL (Secure Sockets Layer) tanúsítványt kell beszereznie, amely minden weboldal számára ingyenesen elérhető a Let’s Encrypt-től.
Ha már rendelkezik SSL-tanúsítvánnyal, akkor mindenképpen állítson be egy naptári emlékeztetőt, hogy kétévente megújítsa azt. Ellenkező esetben könnyű elfelejteni, és hagyni, hogy webhelye HTTPS-státusa – és jó biztonsági tanúsítványa – megszűnjön.
10) Biztonsági mentés, biztonsági mentés, biztonsági mentés!
Míg utolsó tippünk valójában nem akadályozza meg a hackertámadást, valószínűleg ez a legfontosabb lépés arra az esetre, ha webhelyét valaha is feltörik.
A webhely rendszeres biztonsági mentések készítésével szükség esetén gyorsan visszaállíthatja webhelyét. Biztonsági mentés nélkül elveszíthet mindent, amit valaha is tervezett, közzétett vagy írt a webhelyén.
A WordPress webhelye biztonsági mentésének módja az Ön tárhelyének típusától függ. Mindenképpen beszélj a tárhelyszolgáltatóddal; előfordulhat, hogy a tárhelycsomagod részét képezi a biztonsági mentés.
Alternatívaként beszélj a WordPress-ügynökségeddel, vagy telepíts egy biztonsági mentési plugint. Bármelyik módon is csinálod, győződj meg róla, hogy rendszeresen készítesz biztonsági mentést a WordPress oldaladról, és biztonságosan tárolod a mentési fájlokat, hogy tudd, ott vannak, ha bármikor szükséged lenne rájuk.