A WordPress nem hiába rengeteg magánszemély és vállalkozás egyik kedvenc tartalomkezelő rendszere, hiszen itt akár azok is tudnak blogot, weboldalt vagy webáruházat létrehozni, akik nem nagyon értenek az informatikához, a webes programozáshoz vagy a hálózatok működéséhez. A kényelmes WordPress-ben néhány óra alatt csinos webes felületeket lehet készíteni, hiszen a nyílt forráskódú, PHP alapú CMS egyszerre biztosítja biztonsági lehetőségekkel, megfelelő funkcionalitással és tetszetős dizájn elemekkel azt, amire a felhasználóknak szüksége.
Noha több mint 60 millióan használják aktívan ezt a fantasztikus webes motort, azért ez sem tökéletes, hiszen akadnak időnként olyan biztonsági rések, amelyeket előszeretettel használnak ki a hackerek, rosszindulatú támadók. Ez minden online honlapra, rendszerre igaz, nem a WordPress egyedi jelensége.
A támadásokat viszont egyszerűbb megelőzni, mint kijavítani, mert ha már megtörtént a támadás, azt a Google is észreveszi, és feketelistára teheti az oldalt, amit ezután nagyon nehéz helyrehozni. Nagyon nehéz és nagyon költséges. Így aki teheti, a megelőzésre koncentráljon.
Szerencsére rengeteg olyan lehetőség van a WordPress-ben, amely révén nemcsak a biztonságot tudjuk növelni, hanem az oldal megbízhatóságát, presztízsét is. Fontos, hogy az oldal elkészülte után ne higgyük azt, hogy most már minden készen van, hiszen egy webes felületet mindig lehet optimalizálni, s ami a legfontosabb: frissíteni az egyes elemeket, hogy minimálisra tudjuk csökkenteni a kellemetlen kibertámadások számát.
Miért fontos a WordPress biztonság?
A WordPress egy nyílt forráskódú rendszer, vagy is a teljes forráskód megtekinthető, átlátható. Hatalmas csapat és közösség foglalkozik folyamatosan a WordPress biztonság ellenőrzésén, javításán. A WordPress-en működtetett vállalati oldalak esetében nagyon fontos, hogy rendszeresen foglalkozzanak vele a megfelelő szakember, hiszen csak így lehet biztosítani a zavartalan és gördülékeny működést.
Hasonló elven érdemes gondolkodni a WordPress biztonságról is. Amennyiben elkészítettük a weboldalunkat, nem szabad abban a tévhitben élnünk, hogy ez mostantól fogva a világ végezetéig működni fog. Amennyiben így gondolkodunk, akkor szinte elsődleges célpontjaivá válhatunk a kibertámadásoknak, hiszen ha nincs karbantartva rendszeresen, nem frissítjük vagy újítjuk az oldalon használt elemeket, akkor elavult és sérülékeny lesz az oldalunk. A WordPress biztonság első lépése tehát az, hogy nem hagyjuk magára a weboldalunkat, helyette mindig keressük hozzá a legjobb és legújabb megoldásokat, hogy még véletlenül se legyen elhanyagolva az oldalunk.
Mi teszi sérülékennyé a WordPress oldalakat?
Ahogy fentebb említettük, főként az, hogy nincs karbantartva, frissítve a weboldal. Nézzük meg, mit jelent ez a gyakorlatban:
- Láthatóak a kódban a plugin-ok, témák és magának a WordPress-nek is a verziószáma.
- Látható a bejelentkezési oldal, illetve nincs hozzáadva semmilyen védelem.
- Olyan banális dolgok hiányoznak, mint például az SFTP, az SSL vagy a WAF alkalmazás.
- Bejelentkezéskor nincs kétlépcsős autentikáció, így könnyen megtalálhatják a támadó BOT-ok a jelszót és felhasználónevet.
- Nem használnak a weboldal kezelői automatikus kijelentkeztetést vagy időkorlátozást, hogy az inaktív felhasználók gépén ne legyen akár napokig is nyitva az admin felület.
- Nincsenek ellenőrizve a feltöltött képek, videók, szövegek biztonsága, így könnyen fel tudunk tölteni a saját oldalukra vírusos tartalmat.
- Szerencsétlenül lett kiválasztva a tárhelyszolgáltató, aki megbízhatatlan, amatőr és gyakorlatilag dilettáns módon kezeli a cég tárhelyét.
- Nem fordítanak elegendő hangsúlyt arra a fejlesztők, hogy a WordPress-ben használt beépülőket vagy magát a rendszert rendszeresen frissítsék a legújabb verziókra.
- Megkérdőjelezhető oldalakról töltenek le és használják fel a WordPress oldalaikon a szerkesztők ingyenes sablonokat, pluginokat, témákat, skineket, amelyekhez már akár évek óta nem készítettek a fejlesztők frissítéseket. Olcsó húsnak híg a leve, az ilyeneknek sose dőljünk be!
- Végül azt is meg kell említenünk, hogy sajnos még mindig vannak olyan WordPress felhasználók, akik a felhasználónévnek az admin, a jelszónak pedig az 12345-öt adják meg. Ne csináljunk ilyet!
Honnan tudom, hogy hackertámadás érte a WordPress oldalamat?
Mivel sokféle támadás létezik, így rengeteg jele lehet annak, ha támadás érte a weboldalunkat. Íme néhány példa:
- A honlapunk által küldött üzenetek mindig / gyakran a SPAM mappában landolnak, partnereink nem látják ezen e-mailjeinket.
- Jelentős mértékű oldal lassulást tapasztalunk gyakran nemcsak a weboldal, de az admin felületén is.
- Komoly forgalomcsökkenést vagy profit-kiesést tapasztalunk egyik pillanatról a másikra.
- Az is előfordulhat, hogy az eddig használt felhasználónevünkkel és jelszavunkkal egyszerűen nem tudunk belépni a WordPress admin felületébe.
- Idegen feliratok, etikátlan képek vagy megkérdőjelezhető oldalakra mutató linkek sokasága jelenik meg az oldalunkon.
- Jelez a Google is: (Ha Search Console-t bekötöttük)
- Kiírja, hogy az oldalunk nem biztonságos.
- Blokkolja az oldalunkat, mert veszélyes vagy épp etikátlan tartalmat észlelt rajta.
- Az indexben az oldalunktól eltérő nyelvű indexelt oldalak jelennek meg.
- Nem veszünk észre az adminból semmit:
- Ilyenkor lépjünk ki, és nézzük meg a böngésző inkognitó ablakában azt a verziót, amit a felhasználóink vagy vásárlóink, illetve ahogyan a Google látja az oldalt. Lehet, hogy így már látszódni fog valami idegen tartalom vagy furcsa viselkedés, amit eddig azért nem tapasztaltunk, mert be voltunk lépve.
Milyen a gyakorlatban egy hacker vagy bot támadás?
Nagyon ritka az, ha egy hacker manuálisan próbálkozik, hiszen az rengeteg időt venne igénybe. Az esetek többségében így BOTokra támaszkodnak, hiszen ezek olyan kis programok, amelyek egy bizonyos logika alapján próbálják felfedni azokat a biztonsági réseket, amelyek egy-egy WordPress oldal esetében előfordulhatnak. Nézzünk néhány példát:
- A BOT igyekszik minden olyan kódfelületet átvizsgálni a weboldalunkon, ahol biztonsági rést találhat:
- Generator meta címke
- Wp-admin
- Wp-login.php
- Wp-content
- Felhasználónév és jelszó
- Amennyiben ezek a kódrészletek vagy belépési adatok nincsenek megfelelően védve, akkor elkezdi kitalálni a bot a felhasználónevet és a jelszót. Mivel itt igen nagy a lehetőségek száma, így ezt szinte sosem csinálja manuálisan egy hacker.
- Persze az is lehet, hogy ügyesen védve vannak a szenzitív adatok, így a BOTok csak például a WordPress verziójában, a használt témák, skinek vagy pluginok kódjában próbálnak rést találni.
- Az sem ritka sajnos, hogy a szervert támadják meg, melyet ha más weboldalak is használnak rajtunk kívül, akkor ők is ugyanúgy elszenvedik a támadást, mint mi. Persze ez nem vigasztal minket, de jó tudni, hogy ilyenkor dominó-elv szerint minden ott tárolt weboldalt feltörhetnek a hackerek.
- Az egyik leggyakoribb probléma továbbra is az, hogy a WordPress oldalon használt pluginokat vagy magát a WordPress verziót nem frissítik a fejlesztők, így az itt talált réseken könnyűszerrel bejutnak a hackerek. Itt is igaz, ami a szervereknél: ha más is ezt a régi verziót használja, akkor azt is könnyedén fel tudja törni a hacker, ugyanezt a technikát alkalmazva.
Bárhonnan is érkezik a támadás, az mindig kellemetlen, így érdemes előre gondolkodni, és amit csak lehet megtenni azért, hogy ez lehetőleg ne forduljon elő.
Feltörték a WordPress oldalamat, meg lehet még menteni?
Az informatikában az a jó, hogy szinte mindig vissza lehet hozni az eredeti állapotot, csak érteni kell hozzá. Ebben az esetben viszont felesleges a szakértelem, mert a Google az esetek többségében már feketelistára tette az oldalunkat, ami gyakorlatilag 100%-os presztízsvesztést jelent, nem megbízható többé az oldal, így még azok a site-ok is veszélyben lehetnek megbízhatóság szempontjából, akik a feltört oldalunkra hivatkoznak.
A válasz az, hogy nagyon nehezen és sok munkával vissza lehet állítani az oldalt, de ezt nem neveznénk megmentésnek, mert a Google előtt már feketelistán van az oldal. Jobb emiatt egy ilyen támadás után újrakezdeni, új domaint választani és teljesen tiszta lapról indulni, hiszen ebben az esetben nincs feketelistán az új domain, így gyorsabban és könnyebben lehet visszaállítani a Google által oly fontosnak tartott megbízhatóságot.
Így tudod megvédeni a WordPress oldaladat
1) Csak hivatalos és leinformálható forrásból használj sablont, bővítményt
Csak azért, mert egy-egy oldal néhány dollárért kínál csinos kis csomagokat, még nem jelenti azt, hogy ezek kihagyhatatlan ajánlatok. Sajnos az esetek többségében ezek azért olyan olcsók, mert van bennük egy kis okosítás. Ez azt jelenti, hogy a fejlesztők beletesznek olyan kódokat, amelyek miatt könnyen feltörhetővé válik az az oldal, amelyik ezt a sablont vagy bővítményt használja. Továbbra is fontos megjegyezni, hogy olcsó húsnak híg a leve. A megbízhatóságot könnyebb kifizetni, mint helyrehozni egy támadásnak kitett oldalt.
2) Rendszeresen mentsük az adatokat
Nemcsak az adatbázis esetében fontos a biztonsági mentés, hanem az oldalon használt rendszer, sablonok és bővítmények esetében is ugyanolyan fontos ez. Annak ellenére, hogy az adatbázist külön szerveren kellene tárolni, sok tárhelyszolgáltató mégis egy szervert ad az ügyfelének, így sokkal könnyebben lehet tönkretenni a weboldalt. Ügyeljünk erre, s amennyiben a tárhelyszolgáltatónk ezt nem akarja biztosítani, azonnal váltsuk le.
3) Válassz biztonságos tárhelyszolgáltatót
Ne a legolcsóbb lehetőséget válaszd, hiszen az általában azt jelenti, hogy a tárhelyszolgáltató nem fogja azokat az alapvető feladatokat ellátni, amit egy másik cégnél evidensnek kezelnek. Ahol nincs 99%-os elérhetőség, SSL tanúsítvány vagy a tárhely adminisztrációja nem használja a HTTPS protokollt, az nem megbízható tárhelyszolgáltató. További információ: WordPress tárhely
4) Telepíts biztonsági bővítményt, hogy növeld a weboldalad biztonságát
Az iThemes Security, a Wordfence Security vagy a Sucuri plugin mind jó megoldás lehet, de ha nem tudod, hogy a Te esetedben melyik lenne a legjobb megoldás, feltétlenül kérdezd meg egy hozzáértőtől, hiszen ezekből nem szabad többet feltelepíteni, illetve figyelni kell a konfigurálásra is.
5) Rendszeresen takarítsd ki a szervert
Például egy webáruház életében néhány hónap alatt több száz kép, szöveg vagy videó válhat feleslegessé illetve lehetnek inaktív témák és pluginok is, így ezeket érdemes bizonyos időközönként átfésülni, s kitörölni minden olyan fájlt, amelyet nem használsz már a weboldaladon.
6) Használj sFTP titkosított csatlakozást, amikor fájlokat szerkesztesz
Bármilyen fájlszerkesztést hajtasz végre az oldalon, azt mindig sFTP kapcsolaton keresztül tedd, úgy kapcsolódj a szerverre. Ahhoz, hogy ez a folyosó is teljesen biztonságos legyen, válts SFTP kapcsolatra, hogy még jobban tudd védeni az oldaladat a támadások ellen.
7) Vezesd be a kétlépcsős ellenőrzést
Amennyiben használod a kétlépcsős ellenőrzési lehetőséget, akkor a jelszó beírása után kapsz egy SMS-t, amiben egy kódot kell majd beírnod, mielőtt beenged a rendszer az adminba. Ezt feltétlenül használd ki, hiszen ez nagymértékben megnehezíti a hackerek dolgát.
8) Ne feledkezz meg az automatikus kiléptetésről sem
A weboldal kezelők gyakran hagyják nyitva a böngészőben az admin oldalt, ami akár órákig, vagy napokig is így maradhat, mely óriási biztonsági kockázatot jelent. Emiatt használd ki az automatikus kiléptetést, hiszen ha egy bizonyos idő után inaktív lesz az adminban egy szerkesztő, akkor azt automatikusan ki fogja dobni a rendszer, csökkentve ezzel egy lehetséges támadás esélyét.
9) Ne használj könnyen kitalálható jelszót vagy felhasználónevet
Léteznek már jelszó-generáló programok, mely során egy teljesen értelmezhetetlen karakter-egyveleget tudsz így használni mind felhasználónévnek, mind jelszónak. Semmiképp se legyen admin a felhasználónév, a jelszót pedig ne 12345-re állítsd be.
10) Frissíts mindent, amint csak tudsz
Frissítés előtt két teendőd van: készíts egy biztonsági mentést, és mielőtt frissítesz a WordPress alap, a sablonok, a pluginok és minden kis program új verziójára, feltétlenül tájékozódj, hogy mit fognak hozni az újítások. Ezeket általában a Changelog vagy a Változások pontban találod, így mindenképp olvasd el őket, nehogy valami kellemetlen meglepetés érjen a frissítés után. Ha nem vagy biztos benne, merj kérdezni egy szakembertől.
Haladóbb védelmi megoldások
Az itt felsorolt kódok nagyon hasznosak ahhoz, hogy a lehető legminimálisabbra tudd csökkenteni az esetleges hackertámadások számát. Fontos: ha nem értesz a kódolás ezen területéhez, akkor ne írj bele semmibe se, hagyd inkább ezt a feladatot olyan fejlesztőnek, aki ért az ilyen típusú weboldal-konfigurációs feladatokhoz.
Mivel több prémium sablon használ olyan funkciót, ahol script kódot lehet elmenteni, így ezt csak akkor tedd meg, ha már befejezted a sablon szerkesztését. A következő kód részlettel meg tudod akadályozni azt, hogy script kódot tudjon menteni az adatbázisba a rendszer. Ehhez a következőket tedd bele a .htaccess fájlba:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Ha nem okoz majd gondot a regisztrált felhasználók számára, akkor távolítsd el a hibaüzeneteket a beléptető felületekről és add hozzá az alábbi kódot a php fájlhoz:
add_filter('login_errors',create_function('$a', "return null;"));
A wp-config.php fájlban kapcsold ki a sablonok és pluginok szerkesztési lehetőségét:
// Falj szerkesztes kikapcsolasa admin feluleten define( 'DISALLOW_FILE_EDIT', true );
A WordPress verziószáma is sok esetben segítség a hackereknek, így ezt feltétlenül távolítsd el úgy, hogy a következő kódot hozzáadod a php fájlhoz:
// WordPress verzio eltuntese a kodbol
remove_action('wp_head', 'wp_generator');
Ha azt szeretnéd, hogy kevesebb információ álljon a hackerek rendelkezésére a verziókkal kapcsolatos hibákról, akkor kapcsold ki a PHP hibabejelentés-küldés lehetőséget, és tedd hozzá a következő kódot a wp-config.php fájlhoz:
// PHP hibak megjelenitesenek kikapcsolasa
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
Fontos, hogy védd a jelszavakat és a hozzáférést a wp-config.php fájlban. Add hozzá a .htaccess fájlt a következő tartalommal:
<Files wp-config.php> Order allow,deny Deny from all </Files>
Távolítsd el a php és script fájlokat a mappa kilistázásnál úgy, hogy a főkönyvtárban lévő .htaccess fájlhoz hozzáadod a következő kódot:
Options - Indexes IndexIgnore *.php *.js *.css
Amennyiben ezt a saját .htaccess fájllal szeretnéd megoldani, akkor a következő kódot tedd hozzá a főkönyvtárban lévő .htaccess fájlhoz:
IndexIgnore *
Fix IP cím esetén az IP címedre tudod korlátozni a vezérlőpult elérhetőségét, hogy csak Te tudj belépni. A /wp-admin/ mappához tegyél hozzá egy új .htaccess fájlt a következő tartalommal: (1.1.1.11.1 a saját, FIX ip címed legyen)
Order deny,allow Allow from 1.1.1.11.1 Deny from all
Összefoglalás és további tanácsok
Fontos, hogy a WordPress biztonságot komolyan vedd, hiszen ahogy a kódokból is kiderül, ez nem játék. Amennyiben nincs tapasztalatod ilyesmiben, feltétlenül kérdezz meg egy 5-10 éves tapasztalattal rendelkező szakembert, hiszen a weboldalad biztonsága a vállalkozásod sikerét is jelenti.
- Ne használj nyilvános wifi-t ha be szeretnél lépni az adminba.
- Figyelj arra, hogy a biztonsági bővítmények megfelelően legyenek konfigurálva, hiszen akár ki is zárhatod magad a saját adminodból, ha nem jól állítod be a lehetőségeket.
- Zárd ki a gyanús IP címeket, hiszen ez nagyban csökkentheti a rosszindulatú támadások számát.
- Korlátozd a sikertelen belépések számát, hogy ne tudjon egy BOT 50.000-szer próbálkozni.
Amikor a weboldalad biztonságáról van szó, ne spórolj néhány tízezer forinton azért, mert találsz egy olcsóbb megoldást, hiszen lehet, hogy amit választasz, az lesz a vállalkozásod veszte. Ha nem vagy biztos valamiben, inkább keress fel egy szakembert, és fizesd ki azokat a biztonsági fejlesztéseket, (amik igazából csak saját vállalkozásodba befektetés) amelyekre hosszútávon tudsz támaszkodni, hogy a éveken át biztonságos és jövedelmező legyen a WordPress honlapod vagy Woocommerce webáruházad.
