Hogyan tehetjük biztonságosabbá WordPress oldalunkat?
Miért fontos a weboldal biztonsága?
Egy feltört WordPress weboldal súlyos károkat tud okozni. A hackerek megszerezhetnek felhasználói adatokat, jelszavakat, vagy rosszindulatú programokat telepíthetnek és terjeszthetik is azokat a felhasználók számára. A legrosszabb esetben pedig olyan helyzetben is találhatjuk magunkat, hogy csak egy, a hackereknek történő pénzösszeg kifizetése után kaphatjuk vissza a hozzáférést weboldalunk tartalmához.
Ha üzleti weboldalról van szó, akkor hatványozottan fontos, hogy biztonságos legyen az oldalunk, hiszen vállalkozásunk bevételéről és hírnevéről van szó. Mint ahogy egy bolt esetében is a bolt tulajdonosának a felelőssége gondoskodni az üzlethelyiség megfelelő biztonságáról, úgy online üzlet tulajdonosként is a mi felelősségünk az, hogy megvédjük a weboldalunkat.
Az alábbi tippek, ötletek segítséget tudnak nyújtani abban, hogy minél biztonságosabb legyen az oldalunk.
1. Tartsuk mindig naprakészen a WordPress motort, a sablonokat és a bővítményeket
A WordPress egy nyílt forráskódú szoftver, melyet rendszeresen karbantartanak és frissítenek. Alapjáraton a WordPress automatikusan telepíti a kisebb frissítéseket, míg a nagyobb frissítések esetén manuálisan kell kezdeményeznünk azok telepítését.
A WordPress-hez több ezer sablont és bővítményt lehet letölteni és telepíteni. Ezeket a sablonokat és bővítményeket független fejlesztők készítik és tartják karban, akik rendszeresen kiadnak frissítéseket is.
Ezek a WordPress frissítések létfontosságúak a weboldalunk biztonsága és stabilitása szempontjából. Fokozottan figyeljünk tehát arra, hogy a WordPress motorja, sablonjai és bővítményei mindig naprakészek legyenek.
2. Nehezen kitalálható, egyedi jelszavak használata és a felhasználói jogosultságok beállítása
A WordPress-t leggyakrabban lopott jelszavak használatával kísérlik meg feltörni. Ezt megnehezíthetjük nehezen kitalálható, egyedi jelszavak használatával, melyeket időről-időre megváltoztatunk. Ne csak a WordPress adminisztrációs felületéhez használjunk ilyen jelszavakat, hanem minden olyan e-mail fiókhoz, FTP fiókhoz, adatbázishoz és a tárhelyfiókhoz is melyek a weboldalunk domain nevét használják.
A kockázatcsökkentés másik lehetséges módja, ha senkinek sem biztosítunk hozzáférést a WordPress adminisztrációs felületéhez, csak ha az feltétlenül szükséges. Ha több fős csapattal vagy külsős szerkesztőkkel dolgozunk, akkor győződjünk meg a különféle felhasználói szerepkörök rendeltetéséről és jogosultságairól, mielőtt bárkinek is hozzáférést biztosítanánk a WordPress adminisztrációs felületéhez.
3. Az alapértelmezett „admin” felhasználónév megváltoztatása
Régen az alapértelmezett WordPress adminisztrátori felhasználónév az „admin” volt. Mivel az adminisztrációs felületre történő belépéshez szükséges bejelentkezési adatok felét a felhasználónév teszi ki, ez megkönnyítette a hackerek számára a brute-force támadásokat.
Szerencsére a WordPress azóta megváltoztatta ezt, és most a rendszer a telepítéskor megköveteli, hogy egyedi felhasználónevet adjunk meg. Néhány, egy kattintással elérhető WordPress-telepítő – mint például a cPanel felületen elérhető alkalmazás telepítő – azonban továbbra is „admin”-ra állítja az alapértelmezett rendszergazdai felhasználónevet. Ha ezt észleljük, akkor változtassuk meg a felhasználónevet.
Mivel a WordPress alapértelmezés szerint nem teszi lehetővé a felhasználónevek megváltoztatását, a felhasználónevet az alábbi módokon változtathatjuk meg:
- készítünk egy új adminisztrátori jogkörrel rendelkező felhasználói fiókot, a régit pedig töröljük
- a Username Changer bővítmény használatával
- a phpMyAdmin felület segítségével felülírjuk a felhasználónevet az adatbázisban
4. Kétfaktoros hitelesítés használata
A kétfaktoros hitelesítési technika megköveteli, hogy a felhasználók két lépcsőben jelentkezzenek be a WordPress adminisztrációs felületére. Az első lépcső a felhasználónév és jelszó párosítás használatával történik, a második lépcső pedig egy külön eszköz vagy alkalmazás segítségével.
Ehhez szükségünk lesz a Two Factor Authentication nevű bővítményre. Első lépésként telepítsük, majd kapcsoljuk be a szóban forgó bővítményt.
Ezután telepítenünk kell egy hitelesítő alkalmazást a telefonunkra. Több ilyen alkalmazás is elérhető, mint például a Google Authenticator, az Authy, vagy a LastPass Authenticator.
5. A WordPress adminisztrációs felületére történő bejelentkezési kísérletek számának korlátozása
Alapesetben a WordPress lehetővé teszi a felhasználók számára, hogy annyiszor próbálkozzanak meg az adminisztrációs felületre történő bejelentkezéssel, ahányszor csak akarnak. Ez sebezhetővé teszi WordPress-t a brute-force támadásokkal szemben, hiszen így a hackerek mindenféle korlátozás nélkül próbálkozhatnak különböző felhasználónév és jelszó kombinációk segítségével bejelentkezni az adminisztrációs felületre.
Ezt könnyedén megelőzhetjük, ha korlátozzuk a felhasználó sikertelen bejelentkezéseinek számát, amit a Login LockDown bővítmény segítségével tudunk megtenni. A bővítmény telepítése és bekapcsolása után a Beállítások -> Login LockDown menüpont alatt tudjuk konfigurálni a bővítményt.
Itt megadhatjuk, hogy hány sikertelen bejelentkezési kísérletnek kell történnie (1) a megadott időn belül (2) ahhoz, hogy a rendszer adott időintervallumra (3) meggátolja a WordPress adminisztrációs felületére történő további bejelentkezési kísérleteket.
6. Az inaktív felhasználók automatikus kijelentkeztetése a WordPress adminisztrációs felületéről
Megeshet, hogy a WordPress adminisztrációs felületére bejelentkezett felhasználók eltávolodnak a képernyőtől, ami biztonsági kockázatot jelent. Ez idő alatt valaki megváltoztathatja a jelszavát, vagy módosíthatja a fiókját. Ez az oka annak, hogy a banki és pénzügyi rendszerek egy idő után automatikusan kijelentkeztetik az inaktív felhasználókat.
Ezt mi is be tudjuk állítani az oldalunkon, melyhez szükségünk lesz az Inactive Logout nevű bővítmény használatára. A bővítmény bekapcsolása után a Beállítások -> Inactive Logout menüpont alatt tudjuk konfigurálni a bővítményt.
Itt megadhatjuk, hogy mennyi idő elteltét követően történjen meg az inaktív felhasználók automatikus kijelentkeztetése (1) a WordPress adminisztrációs felületéről, továbbá, hogy milyen üzenet tájékoztassa erről a felhasználót (2).