WordPress belülről

8 tipp WordPress weboldalunk biztonságáért

WordPress az egyik legkedveltebb nyílt forráskódú rendszer. Sokan éppen ezért nem választják, mert tartanak attól, hogy túlságosan a középpontban van a rendszer és a hackerek kedvenc célpontja. Igazából elmondható az, hogy egy nyílt forráskódú rendszer nagyobb veszélynek lehet kitéve, mint egy egyedi CMS, de azt elfelejtik mondani a WordPress-t ócsárlók tábora, hogy amíg egy egyedi CMS-t jobb esetben országunkban 10-20 ember fejleszt, addig a WordPress-t több tízezer. Belemehetnénk itt az egyedi vagy nyílt forráskód vitába, de nem ezért vagyunk most itt. Nézzük meg inkább azt, hogy WordPress weboldalunk, hogyan tarthatjuk rendben, hogy biztonságban érezzük magunkat.

1. wp_ adatbázis prefix cseréje

Nem a legbiztonságosabb, ha beállunk a több millió blog mögé és mi is a wp_ adatbázis prefixet használjuk. A WP Security Scan bővítménnyel, pár lépésben tudjuk lecserélni ezt a prefixet.

2. Bejelentkező hibaüzenet cseréje

Ne adjunk lehetőséget arra, hogy tudják mit rontottak el. A WordPress ugyanis tudatja velünk egyértelműen, ha éppen az adott felhasználónév megfelelő, de a jelszó hibás hozzá. Ha úgy vesszük már egy lépéssel közelebb van a “támadó” a weboldalunkhoz. Erről bővebben itt már beszéltünk.

3. Védjük wp-admin mappánkat

Wp-admin mappánk fokozott veszélynek van kitéve, tehát nem árt nagyobb figyelmet szentelni neki. Wp-admin mappánkat, több módszerrel is védhetjük:

  • WordPress bővítménnyelAskApache password protect
  • CPanel – Aki cpanelt használ webtárhely adminisztráláshoz, lehetősége van, jelszóval védett könyvtárakat létrehozni. Egyébként minden bizonnyal interworx-nél is lehetőség van erre. Fapados tárhely szolgáltatókat pedig megkérhetjük erre.
  • Htaccess fájl segítségével, ha statikus az IP címünk, korlátozhatjuk az elérést is. Ennek módjáról itt olvashattok bővebben.

4. Mentés, mentés, mentés

Nem tudom eléggé hangsúlyozni. Menteni kell gyakran. Legalább minden héten, ha nagyobb weboldalról van szó, minden egyes nap. Pénzünkbe nem kerül és nagyon sok fejfájástól tudjuk magunkat megkímélni. Aki nem ment és nem törődik ezzel, az akkor fogja elkezdeni, amikor már megtörtént a baj! Tehát mentsen mindenki!

5. Nyitott mappáink bezárása

Nézzük meg, hogy mit látunk abban az esetben ha péládul az oldalad.hu/wp-includes mappát megtekintjük. Ha egy üres oldalt, kapunk, akkor rendben vagyunk, de ha az alábbi struktúrát látjuk, akkor bizony gond van, mert nagyon nagy esélyt adunk a hackereknek.

Ha ilyen problémánk van, akkor egyetlen sorral meg tudjuk oldani, amit a weboldalunk gyökerében található .htaccess fájlba kell illeszteni.

Options All -Indexes

6. Frissítés, frissítés, frissítés

Ez körülbelül, ugyanolyan fontos dolog, mint a mentés. Gyakran fordul elő velem az, hogy nagyon régi WordPress verziókkal találkozom. Ezen weboldalak szintén fokozott veszélynek vannak kitéve, mivel a rendszert a fejlesztés mellett folyamatos biztonsági frissítésekkel látják el. Frissítés előtt mindig csináljunk teljes adatmentés az FTP-n lévő fájlokról és az adatbázisról is. Ha olyan régi verzióval rendelkezünk, amelyben nincs automatikus frissítés lehetőség, olvassunk utána keressünk fel szakembert. Jobban járunk, ha kifizetünk pár ezer forintot, minthogy az egész weboldalunk a semmibe tűnik el akár.

A frissítés a bővítményekre szintén vonatkozik. Sőt! Azokra még inkább mivel, azt fejlesztői csapatok esetenként egy ember fejleszti, akinek nehezebb dolga van ilyen téren, mint egy egész fejlesztői csapatnak. A nem megfelelően karbantartott, frissített bővítmények okozzák az esetek többségében a WordPress weboldalak meghibásodását, feltörését!

7. Használjunk nehéz jelszót!

A jelszó már nagyon régen nem arról szól, mint régen, amikor elég volt megadni, hogy julika12. Használjatok normális jelszavakat és ezeket ne tároljátok a számítógépen. Se a WordPress admin jelszavát, sem pedig az tárhely jelszavát. Windwos-nál abszolút nem szabad elmenteni a jelszavakat, vagy kifejezetten erre alkalmas szoftverrel. Nekünk harapott almás tulajdonosoknak könnyebb dolgunk van a kulcskarika eléréssel. Vannak szuper jelszó generátorok, a használjuk ki őket. Eljutottunk arra szintre, amikor a papírra feljegyzett jelszó a legbiztonságosabb.

8. Ne használjuk az admin felhasználónevet!

A WordPress weboldalak 50%-nak még mindig admin a felhasználóneve. Az új telepítésnél már lehetőségünk van eleve mást megadni. Nyugodtan kezelhetjük ezen felhasználónevet is jelszóként szinte. A megjelenő nevet úgyis be tudjuk állítani a profilunkban.

Konklúzió

A cikkből úgy tűnhet, hogy kapkodnunk és megfeszített lépéseket kell tennünk azért, hogy WordPress weboldalunk biztonságos legyen. Természetesen ez nincs így. A fenti 8 pont szinte minden rendszerre elmondható, legyen az nyílt forráskódú vagy egyedi rendszer. Figyelni, frissíteni, karbantartani!