WordPress oldalunk biztonsága – Az alapok

[Ezt a cikket 4 perc elolvasni.]

A WordPress előnye sajnos a legnagyobb hátránya is, nyílt forráskódja révén könnyedén kiaknázhatóak a biztonsági gyengeségei, egy esetleges “0-day” sebezhetőség megjelenése esetén pedig több millió oldal maradhat védtelenül, ha a tulajdonosai nem lépnek azonnal. A problémát súlyosbítja, hogy a rengeteg bővítmény között elég sok akad, ami hemzseg a biztonsági résektől, olykor pedig a legnépszerűbb pluginekben is találni sebezhetőségeket, ezek pedig nem kis riadalmat okoznak felfedezésükkor a közösségben (mint például tavaly a Revolution Slider esetében) . Általánosságban elmondhatjuk, hogy tökéletes védelmet nyújtó megoldás nincsen, azonban vannak apróságok, amikre ha odafigyelünk, akkor jelentősen megnehezíthetjük a hackerek dolgát és az automatizált támadások többsége ellen is védve lehetünk. Ráadásul ezek a trükkök komolyabb szakmai ismeret nélkül végrehajthatóak, ezért kezdők számára sem jelenthetnek gondot.

Fontos lépések a WordPress telepítése közben/után:

  • Már rögtön a telepítés közben változtassuk meg a MySQL adatbázis prefixet az alapértelmezett “wp_”-ről valami egészen másra
  • Semmiképpen se legyen a fő adminisztrátorunk felhasználóneve “admin”
  • Mindig legyenek erős jelszavaink. Az erős jelszó legalább 8 karakter, tartalmaz kis- és nagybetűt, számot és speciális karaktert is, valamint semmilyen formában sem köthető hozzánk. Sajnos manapság még mindig az egyik leggyakoribb jelszó az “123456” valamint a “password”, ezek mellett pedig a legkomolyabb védelem is hiábavaló
  • Ha egy mód van rá használjunk minden oldalunk esetében külön jelszót
  • Remélhetőleg magától értetődik, de számítógépünkön használjunk vírusirtót, ne kattintsunk e-mailben érkező gyanús linkekre, ne nyissunk meg ismeretlen e-mail csatolmányokat és ne adjuk meg belépési adatainkat senkinek
  • Publikus helyeken mindig jelentkezzünk ki mielőtt magára hagyjuk a számítógépet és lehetőség szerint mellőzzük a nyílt wifi hálózatok használatát
  • A telepítés után rögtön töröljük a minta oldalt, a “Helló Világ!” bejegyzést és a nem szükséges alapértelmezett témákat (twenty*)
  • Ha nincs szükségünk rá, akkor tiltsuk a hozzászólásokat
  • MINDIG frissítsük a WordPresst és az összes telepített bővítményünket is
  • Ha egy bővítményt nem használunk, töröljük! Tévhit, hogy az inaktív bővítmény nem jelent biztonsági kockázatot
  • Válasszunk megbízható és biztonságos tárhelyet. Rengeteg szolgáltató verseng egymással, jobbnál-jobb ajánlatokkal, érdemes nem a legolcsóbb cég mellett kikötni és elolvasni az interneten található véleményeket/értékeléseket a döntés előtt
  • SOHA ne változtassuk meg a könyvtárak/fájlok jogosultságát FTP-n (főleg ne 777-re). Ha egy bővítmény erre kéri a felhasználót, akkor ajánlatos inkább másikat keresni helyette. Az ideális jogosultsági érték mappák számára 755, fájlok számára 644, ettől eltérni csak nagyon indokolt esetben érdemes
  • Legyen mindenről biztonsági mentésünk! Ajánlott automatizálni ezt a folyamatot, akár szerver szinten, akár bővítmények segítségével, így probléma esetén könnyedén vissza tudunk állni az alap állapotba

Ha betartjuk a fentieket, akkor máris többet tettünk a biztonságunkért, mint az átlag weboldal tulajdonos, azonban mindez még kevés a nyugodt éjszakákhoz. Hamarosan jelentkezem a cikk folytatásával ahol kicsit szakmaibb vizekre evezünk majd és ahol összeszedem mindazokat a hasznos bővítményeket és technikákat, amiket én is alkalmazok a biztonsággal kapcsolatos munkáim során.

Ha tetszik, mutasd meg másoknak is: