Hogyan tehetjük biztonságosabbá WordPress oldalunkat?

Hogyan tehetjük biztonságosabbá WordPress oldalunkat?

Itt vagy:
< Vissza

Miért fontos a weboldal biztonsága?

Egy feltört WordPress weboldal súlyos károkat tud okozni. A hackerek megszerezhetnek felhasználói adatokat, jelszavakat, vagy rosszindulatú programokat telepíthetnek és terjeszthetik is azokat a felhasználók számára. A legrosszabb esetben pedig olyan helyzetben is találhatjuk magunkat, hogy csak egy, a hackereknek történő pénzösszeg kifizetése után kaphatjuk vissza a hozzáférést weboldalunk tartalmához.

Ha üzleti weboldalról van szó, akkor hatványozottan fontos, hogy biztonságos legyen az oldalunk, hiszen vállalkozásunk bevételéről és hírnevéről van szó. Mint ahogy egy bolt esetében is a bolt tulajdonosának a felelőssége gondoskodni az üzlethelyiség megfelelő biztonságáról, úgy online üzlet tulajdonosként is a mi felelősségünk az, hogy megvédjük a weboldalunkat.

Az alábbi tippek, ötletek segítséget tudnak nyújtani abban, hogy minél biztonságosabb legyen az oldalunk.

 

1. Tartsuk mindig naprakészen a WordPress motort, a sablonokat és a bővítményeket

A WordPress egy nyílt forráskódú szoftver, melyet rendszeresen karbantartanak és frissítenek. Alapjáraton a WordPress automatikusan telepíti a kisebb frissítéseket, míg a nagyobb frissítések esetén manuálisan kell kezdeményeznünk azok telepítését.

A WordPress-hez több ezer sablont és bővítményt lehet letölteni és telepíteni. Ezeket a sablonokat és bővítményeket független fejlesztők készítik és tartják karban, akik rendszeresen kiadnak frissítéseket is.

Ezek a WordPress frissítések létfontosságúak a weboldalunk biztonsága és stabilitása szempontjából. Fokozottan figyeljünk tehát arra, hogy a WordPress motorja, sablonjai és bővítményei mindig naprakészek legyenek.

 

2. Nehezen kitalálható, egyedi jelszavak használata és a felhasználói jogosultságok beállítása

A WordPress-t leggyakrabban lopott jelszavak használatával kísérlik meg feltörni. Ezt megnehezíthetjük nehezen kitalálható, egyedi jelszavak használatával, melyeket időről-időre megváltoztatunk. Ne csak a WordPress adminisztrációs felületéhez használjunk ilyen jelszavakat, hanem minden olyan e-mail fiókhoz, FTP fiókhoz, adatbázishoz és a tárhelyfiókhoz is melyek a weboldalunk domain nevét használják.

A kockázatcsökkentés másik lehetséges módja, ha senkinek sem biztosítunk hozzáférést a WordPress adminisztrációs felületéhez, csak ha az feltétlenül szükséges. Ha több fős csapattal vagy külsős szerkesztőkkel dolgozunk, akkor győződjünk meg a különféle felhasználói szerepkörök rendeltetéséről és jogosultságairól, mielőtt bárkinek is hozzáférést biztosítanánk a WordPress adminisztrációs felületéhez.

 

3. Az alapértelmezett „admin” felhasználónév megváltoztatása

Régen az alapértelmezett WordPress adminisztrátori felhasználónév az „admin” volt. Mivel az adminisztrációs felületre történő belépéshez szükséges bejelentkezési adatok felét a felhasználónév teszi ki, ez megkönnyítette a hackerek számára a brute-force támadásokat.

Szerencsére a WordPress azóta megváltoztatta ezt, és most a rendszer a telepítéskor megköveteli, hogy egyedi felhasználónevet adjunk meg. Néhány, egy kattintással elérhető WordPress-telepítő – mint például a cPanel felületen elérhető alkalmazás telepítő – azonban továbbra is „admin”-ra állítja az alapértelmezett rendszergazdai felhasználónevet. Ha ezt észleljük, akkor változtassuk meg a felhasználónevet.

Mivel a WordPress alapértelmezés szerint nem teszi lehetővé a felhasználónevek megváltoztatását, a felhasználónevet az alábbi módokon változtathatjuk meg:

  1. készítünk egy új adminisztrátori jogkörrel rendelkező felhasználói fiókot, a régit pedig töröljük
  2. a Username Changer bővítmény használatával
  3. a phpMyAdmin felület segítségével felülírjuk a felhasználónevet az adatbázisban

 

4. Kétfaktoros hitelesítés használata

A kétfaktoros hitelesítési technika megköveteli, hogy a felhasználók két lépcsőben jelentkezzenek be a WordPress adminisztrációs felületére. Az első lépcső a felhasználónév és jelszó párosítás használatával történik, a második lépcső pedig egy külön eszköz vagy alkalmazás segítségével.

Ehhez szükségünk lesz a Two Factor Authentication nevű bővítményre. Első lépésként telepítsük, majd kapcsoljuk be a szóban forgó bővítményt.

Ezután telepítenünk kell egy hitelesítő alkalmazást a telefonunkra. Több ilyen alkalmazás is elérhető, mint például a Google Authenticator, az Authy, vagy a LastPass Authenticator.

 

5. A WordPress adminisztrációs felületére történő bejelentkezési kísérletek számának korlátozása

Alapesetben a WordPress lehetővé teszi a felhasználók számára, hogy annyiszor próbálkozzanak meg az adminisztrációs felületre történő bejelentkezéssel, ahányszor csak akarnak. Ez sebezhetővé teszi WordPress-t a brute-force támadásokkal szemben, hiszen így a hackerek mindenféle korlátozás nélkül próbálkozhatnak különböző felhasználónév és jelszó kombinációk segítségével bejelentkezni az adminisztrációs felületre.

Ezt könnyedén megelőzhetjük, ha korlátozzuk a felhasználó sikertelen bejelentkezéseinek számát, amit a Login LockDown bővítmény segítségével tudunk megtenni. A bővítmény telepítése és  bekapcsolása után a Beállítások -> Login LockDown menüpont alatt tudjuk konfigurálni a bővítményt.

Itt megadhatjuk, hogy hány sikertelen bejelentkezési kísérletnek kell történnie (1) a megadott időn belül (2) ahhoz, hogy a rendszer adott időintervallumra (3) meggátolja a WordPress adminisztrációs felületére történő további bejelentkezési kísérleteket.

 

6. Az inaktív felhasználók automatikus kijelentkeztetése a WordPress adminisztrációs felületéről

Megeshet, hogy a WordPress adminisztrációs felületére bejelentkezett felhasználók eltávolodnak a képernyőtől, ami biztonsági kockázatot jelent. Ez idő alatt valaki megváltoztathatja a jelszavát, vagy módosíthatja a fiókját. Ez az oka annak, hogy a banki és pénzügyi rendszerek egy idő után automatikusan kijelentkeztetik az inaktív felhasználókat.

Ezt mi is be tudjuk állítani az oldalunkon, melyhez szükségünk lesz az Inactive Logout nevű bővítmény használatára. A bővítmény bekapcsolása után a Beállítások -> Inactive Logout menüpont alatt tudjuk konfigurálni a bővítményt.

Itt megadhatjuk, hogy mennyi idő elteltét követően történjen meg az inaktív felhasználók automatikus kijelentkeztetése (1) a WordPress adminisztrációs felületéről, továbbá, hogy milyen üzenet tájékoztassa erről a felhasználót (2).