Gyakorlati tippeket adunk, hogy növelhesd WordPress weboldalad biztonságát
Hogyan növelheted WordPress weboldalad biztonságát? Pár perces munkával és rendszeres odafigyeléssel biztonságosabbá, ellenállóbbá teheted weboldalad a külső támadásokkal szemben. Néhány beállítással csökkentheted az illetéktelen hozzáférésből származó kellemetlenségeket.
Miért olyan fontos weboldalunk biztonsága?
Belegondoltál már, hogy mennyi értékes és érzékeny információt tárolsz weboldalad adatbázisában? Legyen szó akár tanfolyamra jelentkezők vagy szolgáltatásaink iránt érdeklődők személyes adatairól. Ezen adatok védelme kiemelten fontos kellene legyen, hogy ne keveredhess egy esetleges adatvédelmi incidensbe azáltal, hogy feltört weboldalad adatbázisához illetéktelenek szereznek hozzáférést.
Az is lehet, hogy nem tárolsz személyes adatokat az adatbázisban, mégis fontos szerepet tölt be honlapod az ügyfélszerzésben, illetve értékesítésben, ami miatt a stabil működése jól meghatározható üzleti érdeked. Természetesen ebben az esetben sem kellemes, ha feltört weboldalad elérhetetlenné válik és emiatt napokig, hetekig nem tud új érdeklődőkre szert tenni vállalkozásod.
Azt gondolom, a fent említett példák jól mutatják, hogy a weboldal biztonság mennyire kiemelt helyen kellene, hogy szerepeljen minden vállalkozás esetében.
Maga a WordPress tartalomkezelő rendszer biztonságos?
Az alap WordPress tartalomkezelő, kiegészítő bővítmények nélkül egy kimondottan biztonságos rendszer. Egy produktív közösség áll a WordPress fejlesztése mögött, akik heti, havi rendszerességgel adnak ki új funkcionális, illetve biztonsági frissítéseket WordPress alapú weboldalakhoz.
Akkor mégis miért hallani annyit arról, hogy WordPress weboldalak gyakran esnek feltörés, illetve illetéktelen hozzáférés áldozatául? Többféle válasz is adható a kérdésre, amik közül most kettőt emelnénk ki:
- Mivel a WordPress egy nyílt forráskódú weboldal keretrendszer, ezért bárki számára hozzáférhető, letölthető, illetve forráskódja megtekinthető, elemezhető. A zárt forráskódú szoftverekkel ellentétben így könnyebb dolga van annak, aki WordPress weboldalak feltörésével szeretne foglalkozni.
- Másodsorban a WordPress weboldal biztonsága nagyban függ az alapvető biztonsági beállításoktól, a weboldalhoz használt kiegészítő bővítményektől és a frissítések telepítésének gyakoriságától. Aki ezekre nem fektet kellő hangsúlyt, az szinte biztos lehet abban, hogy az idő előrehaladtával megnő annak kockázata, hogy weboldaladat sikeresen feltörik.
Elmondható tehát, hogy a WordPress biztonság főként azon múlik, hogy webfejlesztő vagy a webhely tulajdonosa mekkora figyelmet fordít weboldala rendszeres karbantartására.
Azok a weboldal tulajdonosok, akik szánnak időt vagy pénzt weboldaluk karbantartására, jelentősen nagyobb biztonságban tudhatják weboldalukat. Kevésbé kell attól tartaniuk, hogy weboldaluk külső támadás áldozatává válik vagy ha mégis, tudják, hogy rövid idő alatt visszaállítható a megfelelően működő korábbi állapot.
Ki és miért akarna feltörni egy WordPress alapú weboldalt?
Két részre bontanám a kérdésre adható válaszokat:
Konkrét weboldal, meghatározott (üzleti) céllal történő támadása.
Olyan esetekre gondolunk, amikor akár azonos piaci szereplők támadják egymás online felületeit (weboldalait) annak érdekében, hogy ellehetetlenítsék az adott weboldal működését és ezáltal jellemzően anyagi vagy üzleti kárt okozzanak a weboldal tulajdonosának. Például egy webáruház működésének megbénítása konkrét, mérhető bevétel kiesést jelenthet az üzemeltető vállalkozás számára, nem beszélve a cégarculaton esett csorbáról.
Tömeges weboldal támadás:
Ilyen incidensekről jellemzően a bot (automatizált program) vagy botnet (automatizált programok hálózata) támadások esetén beszélhetünk. Ebben az esetben nem feltétlen egy konkrét vállalkozás, sokkal inkább több weboldal vagy az ahhoz tartozó webtárhely megtámadása a cél.
Ezek az automatizált programok (szkriptek) olyan WordPress weboldalakat keresnek az interneten, amelyeket az előre leprogramozott minták alapján képesek feltörni és hozzáférést szerezni hozzájuk.
Az ilyen feltörések jellemzően azt a célt szolgálják, hogy a weboldalakat kiszolgáló webtárhelyek erőforrásait felhasználva további weboldalakat törjenek fel vagy akár tömegesen küldjenek ki levélszemetet (spam).
Tedd biztonságosabbá WordPress weboldalad 10 egyszerű lépésben
1.) Biztonságos webtárhelyen helyezd el weboldalad
Az első és egyik leglényegesebb, hogy weboldaladat egy megbízható tárhely szolgáltatónál helyezd el. Kiemelten fontos, hogy a webtárhely, ahol a weboldalunk futni fog stabilan, gyorsan és biztonságosan üzemeljen. Természetesen egy hosting szolgáltató infrastruktúrájának minőségét rendkívül nehéz (szinte lehetetlen) kívülről megfelelően megítélni, így az alábbi szempontok némi segítséget nyújthatnak a választásban:
- Nézz utána, hogy mennyi ideje van piacon az adott szolgáltató cég. Persze nem garancia, de mindenképpen előnyös, ha egy több éves múlttal rendelkező, nyereségesen működő vállalkozás kezébe helyezzük weboldalunk működtetését.
- Közösségi média felületeken érdemes utána olvasnod, hogy más felhasználók milyen véleménnyel vannak a szolgáltatás minőségével kapcsolatban.
- Hívd fel a kiszemelt szolgáltatókat és próbáld meg feltérképzni, hogy mennyire segítőkészek, illetve mennyire közvetlen módon kommunikálnak. A segítőkész ügyfélszolgálat rendkívül sokat jelenthet probléma esetén.
- Hasonlítsd össze (ha van rá mód) a szolgáltatók által kínált webtárhely csomagok technikai paramétereit. Ha kell, hívd fel bátran őket és kérdezz.
Nem érdemes a tárhely szolgáltatás díján spórolnod. Ne a legolcsóbbat keresd, mert itt is igaz lehet, hogy olcsó húsnak híg a leve. Egyszerűen gondolj bele, hogy egy megfelelő minőségű infrastruktúra vagy akár ügyfélszolgálat fenntartása költségesebb, mint ezek hiánya vagy alacsony színvonala.
2.) Telepítsd az elérhető WordPress és kiegészítő bővítmény frissítéseket
Heti, havi rendszerességgel jelennek meg elérhető funkcionális frissítések mind a WordPress alap keretrendszerhez és a legtöbb kiegészítő bővítményhez egyaránt. Ezen frissítések telepítése csak pár gombnyomás, de mégis rendkívül sokat számít a WordPress biztonság szempontjából. Mindenképpen érdemes a frissítések telepítését megelőzően teljes biztonsági mentést készíteni a weboldalról.
3.) Frissítsd rendszeresen a weboldaladhoz használt webdesign sablont
A weboldalad megjelenését biztosító webdesign sablon frissítése szintén hozzájárulhat a weboldalad biztonságához. A sablon készítői is hasonlóan a bővítmények fejlesztőihez sok esetben a felhasználói visszajelzések alapján fejlesztik vagy javítják az adott sablont. Nem biztos, hogy ugyanúgy a WordPress adminisztrációs felületen pár gombnyomsással frissíthető, elképzelhető, hogy némi technikai hozzáértést igényel a folyamat. Ebben az esetben érdemes webfejlesztő segítségét igénybe venned. Természetesen szívesen segítünk mi is! :)
4.) Törölj minden olyan bővítményt vagy webdesign sablont, amit már nem használsz
Alapvető tény, hogy minden a weboldaladhoz telepített kiegészítő bővítmény vagy webdesign sablon csökkenti a weboldal biztonságosságát. A bővítmények és sablonok számának alacsonyan tartásával ebből fakadóan csökkenthető a biztonsági kockázat. Egyszerűen, amit már nem használsz vagy nincs rá szükséged töröld bátran. Majd ha ismét kelleni fog, újra telepíted. Nem mindig, de sok esetben a bővítmények törlésével a hozzájuk tartozó beállítások megmaradnak az adatbázisban, így nem lesz szükség telepítést követően a beállítások újbóli elvégzésére.
5.) Csak megbízható forrásból származó bővítményeket vagy webdesign sablont telepíts
Mindenképpen megbízható forrásból származó bővítményeket érdemes használnod a weboldalad esetében. Ilyen megbízható forrás többek között a WordPress hivatalos bővítmény tára a https://hu.wordpress.org/plugins/ vagy a fizetős bővítményeket kínáló gyűjtőoldal a https://codecanyon.net/category/wordpress.
6.) Használj összetett felhasználónevet és jelszót
Ahogy más szolgáltatások esetén, ebben az esetben is érdemes bonyolultabb felhasználó nevet, illetve jelszót választani. A jelszavad lehetőség szerint tartalmazzon kis és nagy betűket, számokat, illetve különleges karaktereket egyaránt. Fokozhatod weboldalad biztonságosságát, ha bizonyos időközönként megváltoztatod a jelszavad.
7.) Állíts be kétlépcsős azonosítást a bejelentkezéshez
Egyre több helyen találkozhatsz a kétlépcsős azonosítással (pl: gmail.com). Ennek segítségével a normál felhasználónév és jelszó megadásán túl további hitelesítés is szükséges az adott szolgáltatásba történő bejelentkezéshez. Ilyen kiegészítő hitelesítés lehet egy e-mailben vagy sms-ben küldött egyedi kód vagy akár egy mobileszközre telepített hitelesítő alkalmazás.
Ez a technikai megoldás jelentős mértékben tudja növelni a WordPress bejelentkező felületének biztonságát is. Íme két ilyen WordPress bővítmény:
- https://hu.wordpress.org/plugins/two-factor/
- https://hu.wordpress.org/plugins/two-factor-authentication/
8.) Telepíts biztonsági beállításokat lehetővé tevő kiegészítő bővítményt
Léteznek WordPress weboldalakhoz szánt olyan kiegészítő bővítmények, melyek segítségével jelentősebb hozzáértés nélkül is eszközölni tudsz többféle biztonsági beállítást weboldalad esetében.
Ilyen ingyenesen is használható biztonsági bővítmény többek között például az All in One Security.
9.) Változtasd meg az alapértelmezett bejelentkezési url-t
Megnehezítheted a weboldaladhoz történő illetéktelen hozzáférési kísérleteket, ha megváltoztatod a WordPress alapértelmezett /wp-admin vagy /wp-login.php bejelentkezési url-ek címét. Ehhez is kiváló eszköz akár az előző pontban említett All in One Security bővítmény.
10.) Készíts rendszeresen biztonsági mentést
Az akár napi rendszerességgel készített teljes biztonsági mentés weboldalunkról olyan mint egy lakásbiztosítás. Ha beüt a baj, tudjuk, hogy van mihez nyúlnunk, van miből helyreállítanunk a korábbi állapotot. Készíthetjük manuálisan is a biztonsági mentéseket, de sok tárhelyszolgáltatónál létezik erre automatizmus, amely leveszi vállunkról ezt a feladatot.
+1 WordPress biztonság pro tipp: .htaccess biztonsági beállítások alkalmazása.
Az alábbi lépéshez mindenképpen érdemes hozzáértő segítségét igénybe venned.
Jelentősen fokozhatod weboldalad biztonságát az alábbi htaccess paraméterek alkalmazásával:
# Really Simple SSL
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
# End Really Simple SSL
A kódrészletet másold a WordPress gyökérkönyvtárban található .htaccess fájlba.
Bízunk benne, hogy segíteni tudtunk neked biztonságosabbá tenni WordPress weboldalad. Ha elakadtál vagy kérdésed merült fel, esetleg szeretnéd szakértő kezekre bízni weboldalad karbantartását, fordulj hozzánk bizalommal!