Merüljünk el a Wordpress biztonságának világában - Blog | Versanus

Merüljünk el a Wordpress biztonságának világában

|

Versanus Kft.
Versanus Kft.

Idestova bő 15 éve foglalkozom különböző rendszerek tervezésével, fejlesztésével és üzemeltetésével, köztük a WordPress rendszerrel is, ami 2003-ban indult egyszerű tartalomkezelő (CMS) blog motorként és mostanra meghódította a világot ennek minden pozitív és negatív hozományával együtt. Végignéztem, hogyan alakult, fejlődött és lett igazi óriás.

A Netcraft idei felmérése szerint az Internetes honlapok 34%-át WordPress hajtja, ami több, mint 75.000.000 webhely, ennek felét a wordpress.com üzemelteti, a többi saját üzemeltetésben van, vagy osztott tárhelyeken, hol VPS-en, így ennek működtetéséről, biztonságos használatáról a weboldal tulajdonosának, fejlesztőjének kell gondoskodni. A WordPress még mindig növekszik, egyre többen használják ezért ebben a cikkben a biztonságos beállításokkal kapcsolatban szeretnénk segíteni.



Tehát a WordPress nagy lett. Az alap, azaz a core rendszerben is több millió sornyi kód van, sok-sok hibával, sebezhetőséggel, melynek egy része nyilvános, amit rossz szándékkal érkezők ki is használnak. És ez csak az alap rendszer, amire jönnek a funkcionalitást bővítő beépülő pluginok, és a megjelenést adó sablonok. Mire kész a weboldal és tud minden funkciót egy sor harmadik féltől származó kódsor került a rendszerbe, ami csak tovább hizlalja a hibák, támadható rések sorát.

Hogy miért támadják a weboldalt? Röviden: adatokért, azaz pénzért. SPAM küldéséért, illegális tartalom tárolásáért és terjesztéséért, rejtett, adathalász űrlapok beágyazásáért, botnet hálózat kialakításáért, amivel csoportos támadás indítható, kriptovaluták bányászásért, és még sorolhatnám.


Otthoni eszközeinek fontossága

A biztonság már a saját számítógépén kezdődik. A legelterjedtebb operációs rendszer a világon a Windows, ami szintén melegágya lehet a vírusoknak, malwereknek és számos kártékony programnak, szintén csak azért, mert ez a legnagyobb rendszer. Ezért tartsa frissen a számítógépét. Rendszeresen frissítse a Windows, a levelező és egyéb programjait. Amint értesíti az egyik program, hogy jött ki frissítés, igyekezzen telepíteni. Használjon eredeti, legális programokat, a tört verziók csak növelik az esélyt a problémákra. Telepítsen a gépére vírusírtó és/vagy tűzfal programokat, amihez mi az ESET megoldásait, például a NOD32-t javasoljuk. Illetve az tovább növelheti a biztonságot, hogy ha jelszavait nem össze vissza tárolja szöveges dokumentumokban, hanem rendezetten egy erre írt programmal, például KeePass-al. Ha rendben tartja az eszközeit, amin keresztül dolgozik a honlapján már fél siker.


WP belépés

Jól válassza meg, hogy mi legyen a WordPress adminisztrációs fiókjának felhasználóneve. Találjon ki vagy generáljon egy véletlenszerű szót és azt állítsa be. Kerülje az admin vagy administrator neveket, de a domain nevét is. A jelszó minden esetben legyen egyedi és bonyolult. Használja a WP beépített jelszógenerátorát vagy használjon egyedi jelszókészítő oldalt, alkalmazást és azt állítsa be. Legyen minél hosszabb, megjegyezhetetlen, tele speciális karakterekkel, s lehetőleg ezt is cserélje időközönként. Ezt a jelszót se tárolja el a böngészőjében, txt fájlokban, tegye el ezt is a jelszókezelő programjába, ahol megellően védve van és minden egyes alkalommal amikor belép az oldalt kezelni innen töltse be az adatokat. Kényelmetlen, ezzel együtt azt javaslom, szokjon rá, hosszú távon megéri.

Telepítsen egy olyan plugint, amivel kétlépcsős azonosítást lehet végrehajtani, azaz a felhasználónév és jelszó megadása után még kérni fog egy egyszer használatos, token alapú, rövid ideig élő kódot, amit például a telefonján tud generálni. Ilyen például a Two Factor Authentication nevű a bővítmény, amit a Google Hitelesítő alkalmazással együtt tud használni. Mind a kettőhöz talál beállítási leírásokat.

Korlátozza a sikertelen belépések számát. A brute force támadás a hackerek kedvelt módszere, amivel addig próbálgatnak belépési adatokat míg nem sikerül. Egy bizonyos IP címről sikertelen próbálkozások után kitiltható az IP cím. Amikor WoedPress oldalát a cPanel tárhelyünkön telepíti Softaculous ki is jelölhető a Loganizer pugin telepítse, ami pont ezt végzi.

Cserélje le az alapértelmezett WordPress belépési felületet másik URL címre. A támadók munkáját nehezíti, ha a /wp-admin vagy wp-login.php URL-t másra cseréli. Ebben segít WPS Hide login vagy a All In One WP Security & Firewall bővítmények egyike.


Hozzáférési jogkörök

Azt javaslom, hogy készítsen magának is egy külön felhasználót másik jogkörrel. Amikor egy új bejegyzést szeretne írni bőven elegendő az Editor/Szerző jogkörrel rendelkező felhasználói fiók, természetesen itt is bonyolult belépési adatokkal a fentiek szerint. Az admin fiókot elegendő csak akkor használni, amikor ténylegesen szükség van a magasabb jogosultságokra, mint például a bővítmények kezelése vagy a rendszer frissítése.


Sablonok és bővítmények

A WordPress alapból nyílt forráskódú, szabadon használható, ingyenes. De igazából nem az. A jó bővítmények, sablonok pénzbe kerülnek, amiket jobb, ha megvásárol. Számos esetben láttam már innen-onnan letöltött, torrentezett, nulled verziókat olyan rejtett kódokkal felvértezve, hogy képtelenség észrevenni. Teszi a dolgát, működik jól, aztán váratlanul letiltja a Google mert mondjuk adathalász tevékenységet végez az oldal.

Mindig tiszta forrásból, eredetit használjon, megéri. Mindegy egyes megvásárolt kiegészítővel a saját oldalába, önmagába fektet be, aminek meglesz a gyümölcse. Ha Ön inkább ezen spórolna, akkor az is beérik, csak teljesen máshogy. Használja kiindulópontnak a WordPress által üzemeltetett piacteret vagy az Envato piacterét.


Feleslegesek törlése

A WP több sablont és plugint is feltelepít alapértelmezetten. Ha ezeket nem használja, törölje. Ne hagyjon a rendszerben, a tárhelyén olyan sablonokat és bővítményeket parlagon, amiket nem használ. Ha kikapcsolta és nem kell többé, vagy csak kísérletezett egy-egy dologgal, de nincs rá szüksége, törölje.

Rendszeres frissítések

Mindig tartsa frissen a rendszerét. A WordPress nagy előnye, hogy nagyon jól ki van dolgozva az automata frissítési folyamata, így pár kattintással tud frissülni az alap rendszer és a bővítmények is. A legtöbb sablon is frissíthető pár kattintással, tehát érdemes azt is frissíteni, amikor kiadtak belőle új verziót.
Itt fontos megjegyezni, hogy ez csak addig tud működni, amíg az egyes forráskódokba bele nem lett nyúlva és kézzel nem lettek benne programkódok átírva, egyedileg módosítva. Ezt érdemes elkerülni és úgy testre szabni, hogy azok az admin felületen keresztül történjenek és a módosítások adatbázisba kerüljenek, ne fájlokba. Érdemes ilyen esetben a fejlesztőre bízni a rendszeres frissítéseket, de a lényeg, hogy megtörténjen.


Fájl szerkesztés letiltása

A WordPress legnagyobb kényelme, hogy a böngészőből szinte minden elvégezhető. A témákat és bővítményeket is szerkeszthetjük az adminisztrációs felületből. A kényelem viszont kockázattal jár. Miután egy támadó bejutott az oldalunkra, általában az az első lépés, amit megtesz , hogy kártékony kódokat juttat a meglévő fájlok forráskódjába. Ha a weboldalunk már kész és jó ideig nem kell se a sablonokhoz se a pluginekhez nyúlni, akkor állítsa be az alábbi kódot a wp-config fájlban az alábbi kóddal és töltse fel a módosításokat FTP-n keresztül:
define('DISALLOW_FILE_EDIT', true);


Napló fájlok olvasása

A szerver és a WordPress is naplózza a műveleteket. Időközönként olvasson bele, nézze meg a bejegyzéseket, értelmezze és javítsa vagy bízza meg a webfejlesztőjét úgy, hogy átadás után éles üzemben is egy ideig ezt ellenőrizze és amit talál, azt javítsa.


Amivel mi járulunk hozzá:

Mi adjuk a hátországot! Rendszeres mentéssel. Napi szinten harminc napig adunk biztonsági mentést a JetBackup szoftverrel minden cPanel csomaghoz. A fájlokról, adatbázisron, cron beállításokról, levelezésről, mindenről.

A cPanel felületen beépített víruskereső van, amit Ön is tud kézzel futtatni. A CXS nevű szoftver pedig egy exploit scanner, ami képes megtalálni a forráskódba ágyazott oda nem illő kódokat, ha talál valamit azt átadja a víruskeresőnek ellenőrzésre majd e-mail értesítést küld Önnek. Ebben megjelöli az adott fájl pontos útvonalát és a találat típusát, miszerint az fertőzött vagy [OLD] elavult verziójú fájl. A lista alapján Ön vagy a fejlesztője el tud járni. Ilyenkor értelemszerűen végig kell menni a listán, s el kell dönteni a javítás típusát. Ha visszaállításra lesz szüksége, a cPanelen azt is elérheti.

MOD security tűzfalat adunk minden weblapja elé, így a támadások jórésze már a művelet előtt kiszűrésre és blokkolásra kerül.

Minden cPaneles tárhelyen felvett domainhez Let's Encrypt tanúsítványt adunk és a Premium csomagokban a biztonságot is tovább tudjuk fokozni SSH belépéssel és SFTP használatával.



Amivel tudtuk, mi felvérteztük szervereinket. Honlapjának további biztonsága az Ön kezében van.
Jó munkát és biztonságos webenlétet kívánunk!



Iratkozzon fel hírlevelünkre Adja meg nevét és e-mail címét.