Blog bejegyzés
50+ WordPress biztonsági tipp
WordPress biztonsági tippek, a teljesség igénye nélkül
Az alábbi cikkünkben a nyílt forráskódú (open source) WordPress tartalomkezelő rendszerhez (CMS) és a hozzá tartozó fájlokhoz, sablonokhoz és bővítményekhez adunk biztonsági tippeket, illetve a külső támadások kivédéséhez szükséges hasznos tanácsokat.
Alapok:
A legalapvetőbb biztonsági tipp az nem más, mint a biztonságos (frissített operációs rendszer és webböngésző, állandó vírusvédelem a legfrissebb adatbázissal) személyi számítógép vagy mobileszköz használata.
A másik fontos biztonsági tipp pedig az, hogy ne nyissunk meg gyanús emaileket és ne kattintsunk gyanús csatolmányokra! Ha egy webböngésző (nem a vírusirtó!) gyanúsnak ítél meg egy weboldalt, akkor inkább ne nyissuk meg azt!
Belépési adatok:
A weboldal belépéséhez szükséges felhasználói fiók létrehozása során az adatokat jól válasszuk meg! A felhasználónév (username) megadásánál semmiképpen se szerepeljen benne az „admin” szó (ha már korábban így hoztuk létre, akkor lásd lejjebb a megváltoztatásához szükséges instrukciókat), és a jelszó (password) kiválasztása során használjunk kis- és nagybetűket, számokat és speciális karaktereket (pl.: szimbólumokat), és a jelszót időnként változtassuk majd meg.
A felhasználói fiók adatait lehetőleg ne tároljuk a gépünkön. A legjobb megoldás, ha elmentjük egy szöveges dokumentumba (majd a megnyitott txt fájlból csak bemásoljuk a mezőkbe a megfelelő adatokat, így a billentyűleütések ellen is védve vagyunk némiképpen) és a többi fontos adattal (mondjuk a teljes biztonsági mentéssel) valamint fájllal együtt kiírjuk egy adathordozóra (CD vagy DVD) és pluszban még rámásoljuk egy pendrive-ra vagy külső merevlemezre.
Hogy miért javasolt az ennyire körültekintő tárolás?
Az ok nagyon egyszerű. Ha vírusos lesz a gépünk és rácsatlakoztatunk egy külső meghajtót, akkor előfordulhat, hogy nem férünk majd hozzá az azokon lévő adatokhoz, vagy rosszabb esetben el is veszíthetjük a rajtuk tárolt adatokat.
Hozzáférési jogkörök:
Mielőtt bárkinek is létrehoznánk hozzáférési jogot (role) az admin felületen a weboldalunkhoz vagy webáruházunkhoz, hogy kezelhesse azt, legyünk tisztába a WordPress által alapból kezelt jogkörökkel is.
A legkisebb jogkör a „Feliratkozó – Subscriber” (a beállításokban is alapból ez szerepel, ha valaki regisztrál a weboldalon), ezzel csupán a felhasználó regisztrálni tud, illetve kommentelni és értékelni a weboldalon, valamint vásárolni a webáruházban, illetve hozzáférhet olvasás szempontjából a publikus tartalmakhoz. A legnagyobb jogkörrel rendelkező az „Adminisztrátor – Administrator”, aki mindenhez hozzáfér, installálhat és letörölhet bármit, legyen szó bővítményről vagy sablonról, illetve hozzáférhet az összes felhasználó adataihoz, valamint tevékenységéhez (pl.: publikált cikket törölhet vagy módosíthat).
Ha valaki csupán munkatársa részére szeretne létrehozni egy felhasználói fiókot, akkor érdemesebb inkább a „Szerkesztő – Editor”, vagy a sokkal kisebb jogkörrel rendelkező „Author – Szerző” jogkörök között választania, de WooCommerce webáruház esetében a legjobb talán ha a „Shop Manager – Üzletvezető” jogkör létrehozását választja, mert ez a hozzáférés a felhasználónak csak a rendelések kezelését és a webáruház beállításainak módosítását teszi lehetővé.
A WordPress jogkörökről részletesebben (angol nyelven):
https://codex.wordpress.org/Roles_and_Capabilities#Capability_vs._Role_Table
Tárhely:
Nagyon fontos, hogy a tárhelyen elhelyezett fájljainkat is kellően bebiztosítsuk, ezért elsőként ellenőrizzük, hogy a mappáink tartalma listázható-e. Ezt egyszerűen megtehetjük, ha a böngésző címsorába beillesztjük az adott mappa elérésének útvonalát:
Általában a tárhelyszolgáltatók ezt a támadási felületet már kivédik azzal, hogy üres index.php fájlokat raknak automatikusan a legfontosabb mappákba. Ha mégis kilistázásra kerülne a mappánk, akkor a gyökérkönyvtárban elhelyezett .htaccess fájl tartalmát csak egészítsük ki az alábbi parancssorral:
Ne tároljuk a fájlkezelőben a FTP hozzáférés adatait. A legjobb, ha egy szöveges dokumentumban (txt) tároljuk és mindig onnan kimásolva adjuk meg minden egyes csatlakozás során az adatokat. Ha a fájlkezelő mégis elmenti, akkor bizonyosodjunk meg arról, hogy azt titkosítva teszi-e meg (pl.: Total Commander-ban a mesterjelszó használatával). Ha van rá lehetőségünk, akkor használjunk titkosított csatornát a csatlakozás során.
Amiket még mindenképpen érdemes megtennünk:
- a WordPress installálása előtt a wp-config.php fájlban a wp_ prefix adatbázis tábla előtagjának megváltoztatása (pl.: su_ vagy totya_) valamint a sablon és plugin admin felületen történő szerkesztési lehetőségének kikapcsolása – Tipp: a tábla előtagot utólag a Change DB Prefix pluginnal is meg tudjuk könnyedén változtatni.
- a MySQL adatbázis létrehozásánál egy biztonságos, erős jelszó választása (és egyben megadása a wp-config-php fájlban)
- az FTP program körültekintő használata a tárhelyhez történő kapcsolódás során (pl.: titkosított jelszó vagy titkosított kapcsolat használata)
- a fájlok módosításához egy erre hivatott szerkesztő program (pl.: az ingyenes Notepad++) használata
- a tárhelyről a fölösleges fájlok törlése (readme.html, olvasdel.html, licenc.txt, license.txt, wp-config-sample.php)
- a <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” /> kódsor eltávolítása a forráskódból (header.php), amely az aktuális WordPress verzióról ad tájékoztatást
- valamint a WordPress Core (alap keretrendszer) és a bővítmények valamint a sablon állandó frissítése, illetve a nem használt pluginok kikapcsolása és törlése egy teljes biztonsági mentést követően
Lehetőleg ne csatlakozzunk nyílt hálózatokról (pl.: ingyen WI-FI szolgáltatást kínáló internetkávézóból) sem a tárhelyhez, sem az admin felülethez!
Használjunk olyan pluginokat, amelyek a nagyobb biztonságot (pl.: tűzfalas védelem, hibás belépések korlátozása) szolgálják. Ilyen pluginokról (pl.: All In One WP Security & Firewall, Wordfence Security, Better WP Security, Login LockDown) bővebben az Ingyenes WordPress bővítmények cikkünkben olvashat.
Használjunk captcha-kat a beviteli mezőknél (pl.: bejelentkezési és regisztrációs rész, kommentelés vagy kapcsolatfelvételi űrlap).
Ha módunk van rá (kivéve abban az esetben, ha a sablon már eleve úgy van kialakítva), akkor cseréljük le az alapértelmezett bejelentkezési rész hivatkozását (http://www.sajathonlap.hu/wp-admin/ és http://www.sajathonlap.hu/wp-login.php) egy általunk választottra. Ezt ma már mindenféle kódmódosítás nélkül egy pluginnal is könnyedén megtehetjük. A további részleteket lásd az Ingyenes WordPress bővítmények cikkünkben a „Biztonságos bejelentkezési url (WPS Hide Login)” alatt.
Ha módunk van rá, akkor használjuk az SSL titkosítást (https://).
Biztonsági mentés:
Mielőtt a frissítést (legyen az automatikus vagy manuális) elvégeznénk, feltétlenül csináljunk előtte teljes biztonsági mentést (full backup: ftp adatok, mysql adatbázis, az eszközök/export alól az xml fájlok), majd a fájlokat írjuk ki egy adathordozóra (pl.: CD vagy DVD) és/vagy másoljuk át egy külső meghajtóra (pl.: pendrive).
Természetesen nem csak frissítés előtt ajánlott a biztonsági mentés készítése, hanem akkor is, ha fájl módosítást hajtanánk végre, vagy ha a korábbi biztonsági mentéstől számítva több tartalom és fájl (pl.: képek) is feltöltésre került.
Sablonok:
Csak is megbízható helyekről (pl.: ThemeForest.net) vásároljunk prémium sablonokat. Lehetőleg az ingyenes sablonokat kerüljük el, vagy ha mégis netalántán használnánk valamelyiket, akkor tüzetesen nézzük át a forráskódját és a fájlrendszerét.
Bővítmények:
Csak is biztonságos forrásból telepítsük a bővítményeket. Használjuk a WordPress központi bővítménytárát (WordPress.org) a pluginok keresésére és telepítésére, és vásároljunk megbízható helyekről (pl.: CodeCanyon.net) bővítményeket.
Ne tároljunk egyáltalán nem használt pluginokat a bővítménylistában. Ha csak kipróbálásra telepítettük, és nem akarjuk használni a továbbiakban, akkor töröljük le azokat. Ha van olyan bővítmény, amit csak bizonyos időszakonként használunk (pl.: nyáron a szállásfoglalást), akkor a holtidőszakban csak kapcsoljuk ki (nem szükséges törölni).
Beállítások / Képernyőképek:
Készítsünk képernyőképeket a sablon és a bonyolultabb bővítmények beállításairól, ne utólag kelljen kitalálni, hogy hogyan is működött egy adott funkció, ha véletlenül elállítódna vagy törlésre kerülne.
Cikkek a wpSHOP.hu ajánlásával!