Blog bejegyzés

50+ WordPress biztonsági tipp

WordPress biztonsági tippek, a teljesség igénye nélkül

Az alábbi cikkünkben a nyílt forráskódú (open source) WordPress tartalomkezelő rendszerhez (CMS) és a hozzá tartozó fájlokhoz, sablonokhoz és bővítményekhez adunk biztonsági tippeket, illetve a külső támadások kivédéséhez szükséges hasznos tanácsokat.

Sajnos tökéletes védelem nem létezik, mindent ki lehet kerülni, mindent fel lehet törni. De ha már megakadályozni nem is tudjuk, legalább nehezítsük meg a “betolakodó” dolgát.

Alapok:

A legalapvetőbb biztonsági tipp az nem más, mint a biztonságos (frissített operációs rendszer és webböngésző, állandó vírusvédelem a legfrissebb adatbázissal) személyi számítógép vagy mobileszköz használata.

A másik fontos biztonsági tipp pedig az, hogy ne nyissunk meg gyanús emaileket és ne kattintsunk gyanús csatolmányokra! Ha egy webböngésző (nem a vírusirtó!) gyanúsnak ítél meg egy weboldalt, akkor inkább ne nyissuk meg azt!

Belépési adatok:

A weboldal belépéséhez szükséges felhasználói fiók létrehozása során az adatokat jól válasszuk meg! A felhasználónév (username) megadásánál semmiképpen se szerepeljen benne az „admin” szó (ha már korábban így hoztuk létre, akkor lásd lejjebb a megváltoztatásához szükséges instrukciókat), és a jelszó (password) kiválasztása során használjunk kis- és nagybetűket, számokat és speciális karaktereket (pl.: szimbólumokat), és a jelszót időnként változtassuk majd meg.

A felhasználói fiók adatait lehetőleg ne tároljuk a gépünkön. A legjobb megoldás, ha elmentjük egy szöveges dokumentumba (majd a megnyitott txt fájlból csak bemásoljuk a mezőkbe a megfelelő adatokat, így a billentyűleütések ellen is védve vagyunk némiképpen) és a többi fontos adattal (mondjuk a teljes biztonsági mentéssel) valamint fájllal együtt kiírjuk egy adathordozóra (CD vagy DVD) és pluszban még rámásoljuk egy pendrive-ra vagy külső merevlemezre.

Hogy miért javasolt az ennyire körültekintő tárolás?

Az ok nagyon egyszerű. Ha vírusos lesz a gépünk és rácsatlakoztatunk egy külső meghajtót, akkor előfordulhat, hogy nem férünk majd hozzá az azokon lévő adatokhoz, vagy rosszabb esetben el is veszíthetjük a rajtuk tárolt adatokat.

Megjegyzés:
A felhasználói név az alapértelmezett beállítás szerint nem módosítható. Ezt a felhasználónevet csak pluginnal (pl.: Username Changer) tudjuk kicserélni, vagy úgy, hogy létrehozzunk egy új felhasználói fiókot, és azzal belépve, töröljük a régi felhasználói fiókot a már meglévő tartalmak átadásával az új felhasználó részére, vagy úgy, hogy az adatbázisban a wp_users táblában megváltoztatjuk.
Tipp:
A hétköznapi blogoláshoz egy pluszban létrehozott szerkesztői (editor) jogkör is éppen elegendő, így nem kell megtudnia senkinek, hogy mi az adminisztrátor felhasználóneve.
Fontos!
A belépési adatainkat (főleg a jelszót) ne adjuk ki senkinek! Viszont előfordulhat, hogy bizonyos esetekben erre mégis szükség lehet, ezért csak olyanoknak adjuk meg (pl.: rendszergazdának) akiben feltétlenül megbízunk. Bár a rendszergazdának létrehozhatunk egy ideiglenes belépést limitált belépéssel és/vagy egyszer használatos jelszóval.

Hozzáférési jogkörök:

Mielőtt bárkinek is létrehoznánk hozzáférési jogot (role) az admin felületen a weboldalunkhoz vagy webáruházunkhoz, hogy kezelhesse azt, legyünk tisztába a WordPress által alapból kezelt jogkörökkel is.

A legkisebb jogkör a „Feliratkozó – Subscriber” (a beállításokban is alapból ez szerepel, ha valaki regisztrál a weboldalon), ezzel csupán a felhasználó regisztrálni tud, illetve kommentelni és értékelni a weboldalon, valamint vásárolni a webáruházban, illetve hozzáférhet olvasás szempontjából a publikus tartalmakhoz. A legnagyobb jogkörrel rendelkező az „Adminisztrátor – Administrator”, aki mindenhez hozzáfér, installálhat és letörölhet bármit, legyen szó bővítményről vagy sablonról, illetve hozzáférhet az összes felhasználó adataihoz, valamint tevékenységéhez (pl.: publikált cikket törölhet vagy módosíthat).

Ha valaki csupán munkatársa részére szeretne létrehozni egy felhasználói fiókot, akkor érdemesebb inkább a „Szerkesztő – Editor”, vagy a sokkal kisebb jogkörrel rendelkező „Author – Szerző” jogkörök között választania, de WooCommerce webáruház esetében a legjobb talán ha a „Shop Manager – Üzletvezető” jogkör létrehozását választja, mert ez a hozzáférés a felhasználónak csak a rendelések kezelését és a webáruház beállításainak módosítását teszi lehetővé.

Megjegyzés:
A WooCommerce webshop plugin feltelepítése és bekapcsolása után létrejön két külön jogkör is. Az egyik a „Shop Manager – Üzletvezető” jogkör, a másik pedig a „Customer – Vásárló” jogkör. A jogkörök részleteiről, illetve a WooCommerce bemutatásáról részletesebben a WooCommerce cikkünkben olvashat.

A WordPress jogkörökről részletesebben (angol nyelven):

https://codex.wordpress.org/Roles_and_Capabilities#Capability_vs._Role_Table

Tárhely:

Nagyon fontos, hogy a tárhelyen elhelyezett fájljainkat is kellően bebiztosítsuk, ezért elsőként ellenőrizzük, hogy a mappáink tartalma listázható-e. Ezt egyszerűen megtehetjük, ha a böngésző címsorába beillesztjük az adott mappa elérésének útvonalát:

http://www.satathonlap.hu/wp-includes/

Általában a tárhelyszolgáltatók ezt a támadási felületet már kivédik azzal, hogy üres index.php fájlokat raknak automatikusan a legfontosabb mappákba. Ha mégis kilistázásra kerülne a mappánk, akkor a gyökérkönyvtárban elhelyezett .htaccess fájl tartalmát csak egészítsük ki az alábbi parancssorral:

Options All -Indexes
Megjegyzés:
Vannak olyan tárhelyszolgáltatók, amelyek nem engedik meg ennek a parancsnak a bevitelét.

Ne tároljuk a fájlkezelőben a FTP hozzáférés adatait. A legjobb, ha egy szöveges dokumentumban (txt) tároljuk és mindig onnan kimásolva adjuk meg minden egyes csatlakozás során az adatokat. Ha a fájlkezelő mégis elmenti, akkor bizonyosodjunk meg arról, hogy azt titkosítva teszi-e meg (pl.: Total Commander-ban a mesterjelszó használatával). Ha van rá lehetőségünk, akkor használjunk titkosított csatornát a csatlakozás során.

Amiket még mindenképpen érdemes megtennünk:

  • a WordPress installálása előtt a wp-config.php fájlban a wp_ prefix adatbázis tábla előtagjának megváltoztatása (pl.: su_ vagy totya_) valamint a sablon és plugin admin felületen történő szerkesztési lehetőségének kikapcsolása – Tipp: a tábla előtagot utólag a Change DB Prefix pluginnal is meg tudjuk könnyedén változtatni.
  • a MySQL adatbázis létrehozásánál egy biztonságos, erős jelszó választása (és egyben megadása a wp-config-php fájlban)
  • az FTP program körültekintő használata a tárhelyhez történő kapcsolódás során (pl.: titkosított jelszó vagy titkosított kapcsolat használata)
  • a fájlok módosításához egy erre hivatott szerkesztő program (pl.: az ingyenes Notepad++) használata
  • a tárhelyről a fölösleges fájlok törlése (readme.html, olvasdel.html, licenc.txt, license.txt, wp-config-sample.php)
  • a <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” /> kódsor eltávolítása a forráskódból (header.php), amely az aktuális WordPress verzióról ad tájékoztatást
  • valamint a WordPress Core (alap keretrendszer) és a bővítmények valamint a sablon állandó frissítése, illetve a nem használt pluginok kikapcsolása és törlése egy teljes biztonsági mentést követően
Fontos!
Ne változtassunk a mappák és fájlok jogosultságának írási értékén (alapértelmezetten a mappák 755 és a fájlok 644, azaz csak a tulajdonos tudja írni a mappákat/fájlokat, mások pedig csak olvasni tudják azokat).

Lehetőleg ne csatlakozzunk nyílt hálózatokról (pl.: ingyen WI-FI szolgáltatást kínáló internetkávézóból) sem a tárhelyhez, sem az admin felülethez!

Használjunk olyan pluginokat, amelyek a nagyobb biztonságot (pl.: tűzfalas védelem, hibás belépések korlátozása) szolgálják. Ilyen pluginokról (pl.: All In One WP Security & Firewall, Wordfence Security, Better WP Security, Login LockDown) bővebben az Ingyenes WordPress bővítmények cikkünkben olvashat.

Használjunk captcha-kat a beviteli mezőknél (pl.: bejelentkezési és regisztrációs rész, kommentelés vagy kapcsolatfelvételi űrlap).

Ha módunk van rá (kivéve abban az esetben, ha a sablon már eleve úgy van kialakítva), akkor cseréljük le az alapértelmezett bejelentkezési rész hivatkozását (http://www.sajathonlap.hu/wp-admin/ és http://www.sajathonlap.hu/wp-login.php) egy általunk választottra. Ezt ma már mindenféle kódmódosítás nélkül egy pluginnal is könnyedén megtehetjük. A további részleteket lásd az Ingyenes WordPress bővítmények cikkünkben a „Biztonságos bejelentkezési url (WPS Hide Login)” alatt.

Ha módunk van rá, akkor használjuk az SSL titkosítást (https://).

Jó tanács:
Mielőtt a WordPress weboldalunknak tárhelyet bérelnénk, először nézzük át tüzetesebben a tárhelyszolgáltatók által nyújtott szolgáltatásokat (pl.: van-e mod_rewrite, van-e automatikus biztonsági mentés, stb.) és olvassunk utána cikkekben és fórumokban, hogy ki mennyire van megelégedve a szolgáltatójával, és ezek ismérve alapján válasszuk ki a tárhelyszolgáltatónkat.

Biztonsági mentés:

Mielőtt a frissítést (legyen az automatikus vagy manuális) elvégeznénk, feltétlenül csináljunk előtte teljes biztonsági mentést (full backup: ftp adatok, mysql adatbázis, az eszközök/export alól az xml fájlok), majd a fájlokat írjuk ki egy adathordozóra (pl.: CD vagy DVD) és/vagy másoljuk át egy külső meghajtóra (pl.: pendrive).

Természetesen nem csak frissítés előtt ajánlott a biztonsági mentés készítése, hanem akkor is, ha fájl módosítást hajtanánk végre, vagy ha a korábbi biztonsági mentéstől számítva több tartalom és fájl (pl.: képek) is feltöltésre került.

Tipp:
Léteznek már olyan pluginok (pl.: BackWPup Free, UpdraftPlus Backup and Restoration), amelyek automatikusan időzítve készítik el a biztonsági mentéseket, akár a saját vagy egy felhő alapú (pl.: Dropbox, Google Drive) tárhelyre feltöltve.

Sablonok:

Csak is megbízható helyekről (pl.: ThemeForest.net) vásároljunk prémium sablonokat. Lehetőleg az ingyenes sablonokat kerüljük el, vagy ha mégis netalántán használnánk valamelyiket, akkor tüzetesen nézzük át a forráskódját és a fájlrendszerét.

Tipp:
Töröljük le a nem használt sablonokat, bár az alap sablonok közül egyet megtarthatunk (de mindig frissítsük) arra az esetre, ha ki akarnánk kapcsolni az általunk használt sablont.
Jó tanács:
Ha sablont vásárolnánk, akkor győződjünk meg arról, hogy kompatibilis-e az általunk használt WordPress – és WooCommerce webáruház esetén a bővítmény – verziójával, és nézzünk utána (changelog), hogy milyen gyakran frissül, azaz mennyire tartja karban a készítője.
Fontos!
A sablonokat mindig frissítsük egy teljes biztonsági mentést követően! A sablon frissítésnél körültekintően járjunk el. Ha a sablon kódja korábban módosításra került, akkor ezek a módosítások elveszhetnek, és újra kell őket írni az új fájlokban, vagy a régi már korábban módosított fájlokkal felül kell írni az újakat (abban az esetben, ha az új módosítások nem érintették az adott fájlokat). Manuális sablon frissítésnél inkább kérje szakavatott segítségét!

Bővítmények:

Csak is biztonságos forrásból telepítsük a bővítményeket. Használjuk a WordPress központi bővítménytárát (WordPress.org) a pluginok keresésére és telepítésére, és vásároljunk megbízható helyekről (pl.: CodeCanyon.net) bővítményeket.

Ne tároljunk egyáltalán nem használt pluginokat a bővítménylistában. Ha csak kipróbálásra telepítettük, és nem akarjuk használni a továbbiakban, akkor töröljük le azokat. Ha van olyan bővítmény, amit csak bizonyos időszakonként használunk (pl.: nyáron a szállásfoglalást), akkor a holtidőszakban csak kapcsoljuk ki (nem szükséges törölni).

Fontos!
A bővítményeket mindig frissítsük egy teljes biztonsági mentést követően!

Beállítások / Képernyőképek:

Készítsünk képernyőképeket a sablon és a bonyolultabb bővítmények beállításairól, ne utólag kelljen kitalálni, hogy hogyan is működött egy adott funkció, ha véletlenül elállítódna vagy törlésre kerülne.

Cikkek a wpSHOP.hu ajánlásával!

Print Friendly, PDF & Email

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Hasonló bejegyzések

Kép SEO
Képek optimalizálása WordPress-ben

WordPress képoptimalizálás: fájlméret, fájlnév, alt, title A Google rangsorolási algoritmusában is helyet kapott (megjegyzés: sokak

SEO search
SEO tippek-trükkök

Bevezető Onsite SEO Offsite SEO SEO tévhitek (zárolt tartalom) Jó tanács (zárolt tartalom) Gyanús

Online marketing
Konverziónövelő webáruház tippek

Piackutatás Konkurenciaelemzés Brand Webáruház Termékértékesítés Keresőoptimalizálás Marketing Az általunk készített WordPress alapokra épülő WooCommerce