A népszerű WordPress tartalomkezelő rendszer nagyon elterjedt. Ebben a cikkben szeretnénk néhány tippet adni a WordPress telepítés biztosításához.
A wordpress nagymértékű elterjedtsége miatt sajnos a hackerek kedvelt célpontja is, és sajnos újra és újra előfordulnak automatizált támadások a WordPress telepítések ellen is, ellenőrizve, hogy tartalmaznak-e ismert biztonsági réseket.
Ezért nagyon fontos, hogy mindig naprakészen tartsa a WordPress-t. Professzionális felhasználás esetén ezért is érdemes megbízni egy ügynökséget a WordPress naprakészen tartásával, és olyan webhosztert választani, amely tűzfalat is használ, hogy a lehető legjobban védje a rendszert az ismert támadások ellen.
Itt felsoroltuk a legfontosabb pontokat, hogyan védheted meg a WordPress telepítésedet.
[tie_list type="checklist"]- Mindig tartsa naprakészen a WordPress-t
A WordPress nem csak egy blogok számára készült szoftver, hanem az úgynevezett plug-inek, azaz bővítmények révén számos funkcióval is fel lehet szerelni. Sok felhasználó használ speciális beépülő modulokat és dizájnokat (témákat) az egyes weboldalakhoz. A támadások fő problémája a telepítések frissítésének hiánya.
Tipp: Ha lehetséges, válasszon olyan tárhelyet a WordPress telepítéséhez, amelynek adminisztrációs felülete segít a WordPress és a bővítmények frissítésében. Ajánlásunk a következők használata Plesk mint menedzsment szoftver.
Aktiválja a WordPress automatikus frissítését.
A szoftver így mindig naprakész marad. Ez sok Plusins esetében is lehetséges.
Célszerű rendszeresen bejelentkezni a WordPress adminisztrációs felületére, és ellenőrizni a szoftver aktuális állapotát. A WordPress közvetlenül mutatja, hogy elérhetőek-e a frissítések.
Sokkal problematikusabbak a témák, azaz a kész dizájnok, amelyek általában fizetős pluszokat tartalmaznak. Ezek a témák általában nem települnek automatikusan, hanem manuálisan kell frissíteni őket. Ehhez le kell töltenie a téma aktuális verzióját a gyártótól, és be kell másolnia a themes könyvtárba. A frissítés után általában csak néhány beállítást kell elvégezni a témaadminisztrációban.
[tie_list type="checklist"]- Használjon titkosított kapcsolatokat.
A WordPress bejelentkezési adatai nagyon áhítottak, és egy nem biztonságos hálózatban könnyen kikémlelhetők, például amikor egy étterem vagy szálloda nyílt wifijére jelentkezel be.
Ezért mindig használjon tanúsítványt a honlaphoz. A legjobb, ha olyan tárhelyszolgáltatót választ, aki képes tanúsítványt beállítani az Ön számára. Ez mindössze néhány euróba kerül évente, és így professzionális védelmet nyújt a telepítésnek.
Kérjük, mindig győződjön meg arról, hogy titkosított hozzáféréssel rendelkezik a WordPress telepítéséhez a https:// címen keresztül, valamint biztonságos e-mail hozzáféréssel, és szükség esetén biztonságos bejelentkezéssel az FTP dión keresztül. Ha egyszer már használt titkosítatlan kapcsolatot, javasoljuk, hogy azonnal változtasson meg minden jelszót.
[tie_list type="checklist"]- Mentse a wp-login.php fájlt
A wp-admin könyvtár átnevezésére is van mód, de ez problémákhoz vezethet a WordPress funkcionalitásával. A legtöbb bruteforce-támadás ellen, ahol a jelszavakat egyszerűen kitalálják, úgy lehet könnyen védekezni, ha a .htaccess fájlba egy kódot teszünk. Ez jól kombinálható jelszavas védelemmel.
[tie_list type="checklist"]- Biztosítsa jelszóval az adminisztrációs könyvtárat.
Ezenkívül ezt a könyvtárat jelszóval kell védeni. Az Ön szolgáltatója lehetőséget kínál bizonyos könyvtárak könyvtárvédelmének beállítására. Védje a felügyeleti könyvtárat bonyolult, legalább 12 karakter hosszúságú, speciális karaktereket tartalmazó felhasználónévvel és jelszóval. Soha ne válasszon olyan jelszavakat, amelyek csak 8 karakter hosszúak. Ezeket ma már általában nem tartják biztonságosnak, és általában gyorsan feltörhetők, mivel a titkosítás típusától függően már előre kiszámították őket.
A jelszavas védelmet követően nyissa meg a .htaccess fájlt, és illessze be a következő kódot:
ErrorDocument 401 "Zárolt
ErrorDocument 403 "Zárolt
# Pluginok hozzáférésének engedélyezése az admin-ajax.php-hoz a jelszavas védelem ellenére is
<Files admin-ajax.php>
Rendelés engedélyezni,megtagadni
Engedélyezze az összes
Elégítsen ki minden
</Files>
Ez biztosítja, hogy a WordPress bővítmények továbbra is meg tudják hívni a fájlokat.
[tie_list type="checklist"]- Használjon széles körben elérhető bővítményeket és témákat, amennyire csak lehetséges.
A bővítmények általában felelősek a WordPress biztonsági réséért. A bővítmények és témák kis szoftvercsomagok, amelyeket harmadik fél szolgáltatók biztosítanak. Az ötlet elvileg jó, de ma már sok kétes szolgáltató van, és olyanok is, akiknek egyszerűen nincs hozzá tudásuk, és ezért olyan szoftvereket készítenek, amelyek biztonsági réseket tartalmaznak. Ez ellen gyakorlatilag nincs védelem a laikusok számára. Ezért javasoljuk, hogy csak olyan bővítményeket használjon, amelyeket már nagyon gyakran telepítettek, és amelyek jó minősítéssel rendelkeznek.
Ne használjon ingyenes témákat, amelyeket bármilyen weboldalról letölthet. Vásároljon témát, pl. a Themeforest vagy Templatemonster oldalról, egy úgynevezett elit szolgáltatótól, azaz professzionális programozói csapatoktól, amelyek nagy forgalmat generáltak.
Figyeljen az utolsó telepítés dátumára is. Nem ajánljuk azokat a szolgáltatókat, akik nem frissítik bővítményeiket és témáikat, vagy már leállították a fejlesztést.
[tie_list type="checklist"]- A nem használt témák és bővítmények törlése
Amikor a webhelye készen áll, és el szeretné kezdeni, mindig javasoljuk, hogy a nem használt bővítményeket és témákat teljesen törölje. Ez vonatkozik a WordPress saját témáira is, amelyeket nem lehet ilyen könnyen eltávolítani. A potenciális támadók szeretik elrejteni a fájljaikat ezekben a szabványos könyvtárakban, ezért tanácsos a nem használt fájlokat teljesen törölni. Ezt az adminisztrációs felületen vagy FTP-n keresztül teheti meg. Egyszerűen törölje a témák könyvtárából azokat a könyvtárakat, amelyeket nem használ.
[tie_list type="checklist"]Alkalmazási tűzfal használata
[/tie_list]Ha lehetséges, használjon alkalmazástűzfalat. Ez egy olyan szoftver, amely minden kapcsolatot ellenőriz, és számos lehetőséget kínál a lehetséges támadások megelőzésére.
Sok szolgáltató esetében vannak ingyenes lehetőségek, mint például a fail2ban (ajánlott), mod_security Használja a WAF-ot az ismert támadások vagy kétes ismert IP-címek blokkolására. A megosztott tárhelyek, azaz a kis tárhelyfiókok esetében ez általában nem lehetséges, mivel túl sok olyan speciális funkció van, amelyet nem lehet globálisan beállítani. Professzionális használatra mindenképpen ajánlott egy menedzselt V-szerver használata, azaz egy külön környezet csak a weboldalának.
Egyes prémium szolgáltatóknál külső tűzfalmegoldást is használhat a weboldalához. A Barracuda, a Sonicwall vagy az Imperva rendszerei itt érhetőek el. Ezek kiszűrik a forgalmat, mielőtt az elérné a webkiszolgálót, és így blokkolják a legtöbb támadást. Egy ilyen megoldás azonban viszonylag drága, havi 50-250 euró, és csak professzionális használatra alkalmas.
Következtetés: A WordPress segítségével nagyon könnyű saját weboldalt létrehozni. Az automatikus frissítések, amelyeket sok webtárhely kínál, szintén hasznosak más tartalomkezelő rendszerekhez képest. Ha mindig gondoskodik arról, hogy a kiterjesztések naprakészek legyenek (legalább hetente egyszer), akkor nem sok minden történhet.
Ami nem kerül semmibe, az is haszontalan. Sajnos ez számos bővítményre és témára vonatkozik. Kérjük, vegye figyelembe, hogy sok csaló rosszindulatú kóddal fertőzi meg a témákat, majd ingyenesen terjeszti azokat saját témaként. Amint telepítettél valami ilyesmit, a weboldaladat hamarosan arra fogják használni, hogy elküldje a Spam vagy mások elleni támadások.