A „Biztonságos-e a WordPress?” című bejegyzésben körüljártam miért kedvelt célpontok a WordPress-es oldalak, és összefoglaltam mi a támadások mögötti motiváció, hogyan és milyen károkat képes okozni a weboldalad feltörése.

A konklúzióm azonban az volt, hogy a megfelelő biztonsági intézkedésekkel, kis odafigyeléssel, ez egy biztonságos rendszer. Ebben a bejegyzésben ezeket a biztonsági lépéseket mutatom be.

Alapozd meg a weboldal biztonságát már a telepítés közben!

A weboldalad biztonságának megalapozása már a rendszer telepítésekor elkezdődik. A telepítéshez létre kell hoznod egy adatbázist, amelyhez szükséges egy felhasználó és egy jelszó is.

1. Erős adatbázis jelszó, adatbázis felhasználó jelszó

Nem tudom eléggé hangsúlyozni, mennyire fontos, az egyedi, és minél nehezebb jelszó választása. Az admin, admin1, 1234 és hasonló jelszavaktól óvakodj!

Használj kis és nagy betűket, számokat, és speciális karaktereket (írásjelek, @, #, stb.), és legyen hosszú a jelszó.

2. Adatbázis tábla előtag módosítása

A telepítésnél meg kell adnod egy adatbázis tábla előtagot is. Ez alapértelmezetten a: wp_ tábla előtag. Módosítsd pl. ilyen formában wpcb56_ (ezt egy domain név rövidítéséből és egy számból kreáltam a példa kedvéért).

Ha Softaculous segítségével telepíted a WordPress-t, még egyszerűbb dolgod van, ugyanis ez automatikusan generál egy egyedi tábla előtagot.

Ennek a biztonságon túl, egy olyan előnye is van, hogyha több adatbázist kezelsz, akkor kapásból tudni fogod melyik adatbázis, melyik weboldaladhoz tartozik.

Itt jegyezném meg, hogy bár lehet egy adatbázisba, több WordPress telepítést végezni, ha megváltoztatod a tábla előtagokat, én jobban preferálom az 1 weboldal 1 adatbázis felállást.

3. Erős WordPress felhasználónév és jelszó

A biztonságos jelszóról írtak a WordPress belépési adataidra ugyanúgy vonatkoznak. Válassz egyedi felhasználónevet és bonyolult jelszót! A Brute Force támadás során a hackerek a lehetséges felhasználónév és jelszó párosokat próbálgatják.

Nehezítsd meg a dolgukat! A folytatásban írok még róla, mit tehetsz az ilyen támadások kivédése ellen, de a nehéz felhasználónév és jelszó legyen az alap, amit megteszel ezért!

Teendők WordPress telepítés után

A WordPress telepítése után, még mielőtt elkezdeném kialakítani a weboldalt, elsőként a Shield tűzfal bővítményt, valamint a Sucuri Malware Scanner-t telepítem a weboldalra és persze be is állítom őket azonnal. Javaslom neked is, ezt a sorrendet!

4. Shield tűzfal bővítmény telepítése és beállítása

shield

A Shield nagyon sokoldalú bővítmény, rengeteg beállítási lehetőséggel, erről külön is írok majd, hogy te is egyszerűen be tudd állítani. Most inkább arra térnék ki, milyen feladatokat lát el ez a bővítmény:

  • segít elrejteni a wp-admin és a wp-login oldalakat, egyedi belépési linket is megadhatsz
  • beállítható, hogy a belépés során, egy kipipálható kis checkbox-al is igazolni kelljen, hogy tényleg valós felhasználó szeretne belépni az admin felületre
  • a különféle támadási kísérletekkel próbálkozókat automatikusan le tudja tiltani IP cím alapján
  • kikapcsolhatod vele az XML-RPC rendszert (ennek másik módja, ha a Beállításoknál, az Interakciók menüben kiveszed a pipát a ” Megpróbálja értesíteni a bejegyzésről az összes hivatkozott blogot” és az „Engedélyezzük a link értesítéseket más blogoktól” lehetőségek elől, valamint törlöd az xmlrpc.php fájlt a tárhelyeden.
  • ellenőrzi, hogy módosították-e valamelyik WordPress fájlt, ha igen, képes helyreállítani
  • ellenőrzi, hogy töltöttek-e fel valamilyen ismeretlen, veszélyes fájlt a WordPress könyvtárakba, ha igen, automatikusan törli
  • helyettesíti az Akismet spamszűrő bővítményt, alkalmas a komment szekció spam védelmére
  • az automatikusan lefuttatott ellenőrzésekről, valamint az elvégzett műveletekről, kitiltásokról email értesítőt küld

Tekintélyes lista, pedig az összes funkciót még mindig nem írtam le, azt hiszem ennyiből is elég jól látszik, mennyi mindenben segít ez a tűzfal bővítmény, kiváltható vele a Loginizer és az Akismet is, amit gyakran szoktak ajánlani.

5. Sucuri Scanner telepítése és beállítása

sucuri

A másik biztonsági bővítmény, amit használok az a Sucuri Security, ezt a bővítményt a Malware Scanner funkció és a Blacklist funkció (ellenőrzi és jelzi feketelistára került-e az oldal) miatt használom elsősorban.

A Shield-hez hasonlóan ellenőrzi a WordPress fájlokat is, valamint, ami nagyon hasznos funkció, hogy letiltja a WordPress verziót is. Minden az oldaladon történő műveletről küld figyelmeztető üzenetet, a belépéstől kezdve, a bejegyzések, vagy épp a sablon módosításáig. Jól személyre szabható, hogy miről szeretnél értesülni.

Az alábbi oldalon a Sucuri ingyenes ellenőrző eszköze található: https://sitecheck.sucuri.net/. Az ellenőrzés ingyenes, viszont ha fertőzést talál az eszköz és szeretnéd kiírtatni, az már fizetős szolgáltatás. Ennek ellenére ez egy hasznos és egyszerű eszköz, mentsd el magadnak!

6. .htacces és wp-config.php jogosultságainak beállítása

A biztonsági bővítmények beállítása után a Cache-el szoktam folytatni a sort. Talán furcsának találod, miért ez a következő lépés. A cache bővítmények módosítják a .htaccess fájl tartalmát, ezért még mielőtt levenném az írási jogosultságot a .htaccess és a wp-config.php fájlokról, be szoktam állítani a gyorsítótárazást, és csak utána folytatom tovább a munkát.

A .htaccess és a wp-config.php jogosultságait, az alapértelmezett 644-ről, 444-re szoktam átállítani, ez az jelenti, hogy csak olvashatók ezek a fájlok, de nem szerkeszthetők. A beállítást cPanelen, a fájlkezelőben tudod a legegyszerűbben elvégezni. A Permission oszlopban, ha rákattintasz a számra, egyszerűen átírható. Ha nincs cPaneled, hanem FTP-t használsz, az FTP kliens is ad erre lehetőséget.

7. Biztonsági mentés készítése az első biztonsági lépések után

A tárhely szolgáltató is készít biztonsági mentést meghatározott időközönként, azonban te is nagyon egyszerűen mentheted a tárhely és az adatbázis tartalmát is. Akár már az előbbi biztonsági lépések után elkészítheted az első mentést a weboldaladról, de ha elkészül a honlap külseje, funkciói, akkor mindenképp tedd meg. Legyen meg a kiindulási alap, hogy legyen mihez nyúlni, ha valami félrecsúszik.

Biztonsági mentést többféleképpen is készíthetsz, ez egy külön bejegyzés témája lesz, így most csak felsorolom a lehetőségeket:

  • cPanelen a biztonsági mentés varázsló, teljes biztonsági mentés készítése funkciójával
  • ftp-n keresztül a tárhely tartalmának mentésével, phpMyAdmin segítségével az adatbázis exportálásával és letöltésével
  • Softaculous biztonsági mentés funkciójával, ha a WordPress telepítése is Softaculous segítségével történt
  • WordPress bővítmények segítségével (pl. UpdraftPlus)

Fontos, hogy a későbbiekben is rendszeresen készíts mentést, főleg ha sűrűn frissíted a weboldal tartalmát, vagy nagyobb változásokat végzel rajta!

Alapvető biztonsági elvek a weboldal készítése, bővítése során

8. Csak megbízható helyről származó sablont és bővítményt használj!

A weboldal készítése közben és később, amikor új funkciókat adsz hozzá a honlaphoz, fontos, hogy milyen sablont és bővítményeket használsz.

Bővítményt és sablont, csak megbízható helyről tölts le, fizetős bővítmények és sablonok esetében fel se merüljön benned, hogy letöltöd valamilyen „gyanús” helyről. Ezek a fájlok már tartalmazhatnak ártalmas kódokat. Nem éri meg ezen spórolni!

9. Megbízható, rendszeresen frissített bővítményekkel dolgozz!

A weboldaladhoz csak olyan bővítményeket használj, amelyeknek lehetőleg sok és jó értékelésük van, a fejlesztők aktívak, reagálnak a support fórumban felmerülő problémákra és kérdésekre, rendszeresen fejlesztik és frissítik a bővítményt.

Érdemes elolvasni a szöveges értékeléseket is okozott-e valakinél problémát a bővítmény. A WordPress bővítmény tárban sok információ a rendelkezésedre áll az adott bővítményről, használd!

10. Spamszűrők alkalmazása

Ha van a weboldaladon hozzászólási lehetőség, vagy bármilyen üzenetküldő űrlap, akkor mindenképp szükséged van valamilyen spam szűrőre is. A Shield segítségével a hozzászólások védelmét meg tudod oldani. Meghatározott idő után lehet csak elküldeni a kommentet és ki kell pipálni, hogy nem vagy spammer.

Az üzenetküldő űrlapok védelmére több lehetőség is van. Ilyen pl. a Google reCAPTCHA, vagy a Contact Form Honeypot, melyeket nagyon könnyű beilleszteni az űrlapba. Utóbbi ráadásul úgy véd a spammeléstől, hogy közben teljesen láthatatlan, nem kell az üzenetküldőnek semmire kattintani, képes feladatot vagy bármi hasonlót megoldani.

Teendők a honlap elkészítése után – Rendszeres frissítés, karbantartás

Nem elég elkészíteni a weboldalt az előbbi szempontok szerint, ezek csak a stabil alapok. Ahogy egy házat, úgy a honlapot is karban kell tartani, hogy ne amortizálódjon, weboldal esetében, hogy továbbra is védve legyen a támadásoktól.

11. WordPress rendszeres frissítése

wordpress

Forrás: Pexels.com

A WordPress-hez nagyobb és kisebb frissítések is készülnek. A nagyobb frissítések során a főverzió frissül (ez jelenleg a 4.9), jelentősebb újításokkal, fejlesztésekkel egészítik ki a fejlesztők. A kisebb frissítések jellemzően hibajavításokat, biztonsági frissítéseket tartalmaznak, jelenleg a 4.9.1-es WordPress verzió a legfrissebb.

Az új verziókat mindenképp telepítsd, amikor megjelennek. A Shield segítségével be tudod állítani, hogy a fő és alverziót, csak az egyiket, vagy mindkettőt automatikusan frissítse a rendszer. A Softaculous már telepítéskor felajánlja az automatikus frissítést, mint lehetőség.

Én jobban szeretem manuálisan frissíteni az általam kezelt weboldalakat. Szerintem frissítések előtt érdemes megnézni, hogy mi változott és felügyelni a frissítés folyamatát. Nagyon ritkán előfordul, hogy hiba csúszik a folyamatba, ilyenkor a weboldal karbantartási módban marad.

Ezt, ha észreveszed, nagyon gyorsan és egyszerűen javítani tudod (törlöd a tárhelyen a .maintenance fájlt). Ha ez egy automatikus frissítés közben történik, és napokig nem nézel az oldalad felé, az elérhetetlen lesz a weboldalra látogatók számára, mindaddig, míg nem javítod a hibát.

12. Bővítmények frissítése

A bővítmények frissítését szintén az előbbi elvek mentén érdemes elvégezni. Nézd meg mi változott, milyen visszajelzések vannak, és csak utána telepítsd őket, ha biztonságos, stabil az új verzió. Az AMP bővítmény 5.0-ás verziójának frissítése például „Fatal error”-hoz vezetett sok embernél, ami ki is derült a hozzászólásokból, így ezt nem frissítettem azokon az oldalakon, amelyeket karbantartok.

Ha azt látod, hogy egy bővítményt, amit korábban rendszeresen frissítettek, utána viszont hosszú hónapokig nem frissítik, akkor érdemes helyette alternatívát keresned.

13. Sablon frissítése

A népszerű sablonokat is frissítik bizonyos időközönként, jó, ha tudod, hogy a frissítés során felülíródnak a változások, amiket a sablon kódjában végeztél. Hogy ezt megelőzd több lehetőséged is van.

Ha nagyon sok mindent módosítottál, vagy módosítanál a sablon kódján, akkor Child theme-t érdemes készítened és azt szerkeszteni.

Ha csak a style.css tartalmát szeretnéd módosítani a Siteorigin CSS bővítmény remek megoldás. Ez tárolja a CSS módosításaidat és nagyon egyszerű vele módosítani az oldal egyes elemeit, szerkesztés közben, azonnal látod, hogyan fest a módosításod élesben.

Az alap WordPress is kapott már egyedi CSS mezőt, amelyet a Megjelenés–>Testreszabás menüben találsz, ide is beilleszthető egyedi CSS kód.

Ha frissíted a sablont és magyar nyelvű fordítást készítettél hozzá korábban, akkor előfordul, hogy azt újra fel kell töltened a sablon languages könyvtárába, hogy újra magyar legyen az oldal nyelve. A feltöltés után érdemes üríteni a cache-t.

14. Friss biztonsági mentés készítése

WordPress frissítés és több bővítmény frissítése után érdemes biztonsági mentést készíteni, így lesz egy újabb, naprakészebb verziód is talonban, ha esetleg történne valami a weboldaladdal.

15. Shield és Sucuri Scanner értesítőinek figyelése

Ahogy említettem korábban minkét bővítmény küld értesítő üzeneteket a kitiltásokról, támadási kísérletekről illetve a weboldalon végzett tevékenységekről. Erre a célra érdemes egy külön email címet létrehoznod és szemmel tartani a fiók spam mappáját is, mert előfordul, hogy ott landolnak ezek az üzenetek.

Szép számmal fognak érkezni, de nem kell tőlük megijedni. Ezek többnyire csak tájékoztató jellegűek, nincs külön tennivalód velük, azon kívül, hogy elolvasod őket. Ha tenned kell valamit, arról egyértelműen tájékoztat majd az üzenet.

A Shield és a Sucuri Scanner beállításáról külön-külön bejegyzéseket készítek majd, ebben részletesen kitérek majd az email értesítőkre is.

A honlap karbantartásról

A honlapod karbantartása a rendszeres frissítéseket, az elavult bővítmények cseréjét, a beérkező értesítő e-mailek folyamatos kezelését, szükség esetén a hibák elhárítását, valamint a friss biztonsági mentés készítését foglalja magába.

Ehhez hozzáveheted még az adatbázis karbantartását is, ami a weboldal sebességét javíthatja, valamint a bővítmények új funkcióinak követését, tesztelését, ami további funkciókkal gazdagíthatja a weboldalad, vagy javíthatja a teljesítményét.

Érdemes 1-2 hetente, de legalább havonta végigcsinálnod ezeket a karbantartási lépéseket. Az értesítő e-maileket pedig folyamatosan figyelni.

Ha korábban részletesen leírt biztonsági lépéseket betartod, és a rendszeres karbantartást sem hanyagolod el akkor már rengeteget tettél a honlapod biztonsága érdekében. Elsőre lehet, hogy soknak és ijesztőnek tűnnek ezek a feladatok, de könnyű beletanulni, meg tudod csinálni őket egyedül is.

Ha számodra, csak az a fontos, hogy atom stabilan működjön a weboldalad, de egyébként nem szeretnél vele foglalkozni (nincs időd, nem érdekel a WordPress), akkor inkább bízz meg egy szakembert, aki ezt elvégzi helyetted. Ne ezen spórolj!

A következő bejegyzésben bemutatom, hogyan készíthetsz biztonsági mentést. Tarts velem akkor is!